跳至主内容

查看终端详情

查看终端详情

您可以通过以下方式获取 网络 页面中每个终端的详细信息:

检查网络页面

要了解端点的详细信息,请查看 网络 页面中提供的信息。

您可以通过点击窗格右上角的 open_settings_columns.png 设置 按钮来添加或删除包含端点信息的列。

  1. 登录 GravityZone 控制中心 .

  2. 从左侧菜单进入 网络 页面。

  3. 从左侧窗格中选择所需的群组。

    所选群组中所有可用的端点将显示在网络页面中。

  4. 检查每列显示的端点信息。

    根据可用条件,在标题行输入时实时搜索特定端点:

    • 名称 :端点名称。

    • FQDN :完全限定域名。

    • 操作系统版本 :端点上安装的操作系统版本。

    • 操作系统类型 :端点上安装的操作系统类型。

    • IP :终端设备的IP地址。

    • 最后出现时间 :终端设备最后一次被检测到在线时的日期和时间。

      注意

      监控 最后出现时间 字段非常重要,因为长时间不活动可能表明存在通信问题或计算机已断开连接。

    • 标签 :包含有关终端设备附加信息的自定义字符串。您可以在终端设备的 信息窗口 中添加标签,然后在搜索中使用它。

    • 策略 :应用于终端设备的策略,包含查看或更改策略设置的链接。

    • 终端类型 :机器、服务器或工作站的类型。

    • 公司 :终端设备所在的公司。

    • 用户 :已登录的用户。如果只有一个用户登录,将显示其名称。否则,表格将显示用户数量。要在 GravityZone 中查看与登录用户相关的数据,您必须在策略中启用 允许终端设备将用户登录数据发送到 GravityZone 选项,位于 常规 > 设置 > 选项 该部分默认处于禁用状态。

      提示

      用户 列包含指向相关主题详情页面的链接。

查看信息窗口

网络 表格中,点击目标终端名称即可显示 信息 窗口。该窗口仅显示所选终端的数据,并按标签页分组呈现。

以下是 信息 窗口中可能包含的完整信息列表,具体内容取决于终端类型及其特定安全信息。

常规标签页

  • 终端常规信息,包括名称、实例ID、IP地址、亚马逊区域与可用区(若为亚马逊实例)、实例类型、操作系统、基础设施、安全组及当前连接状态。

    在此部分可为终端分配标签。通过标签可快速定位网络中的同类终端并执行批量操作。关于终端筛选的更多信息,请参阅 终端排序、筛选与搜索 .

    此部分还可查看终端的手动/自动标签。详情参见 使用终端标签 .

  • 防护层信息,包括 GravityZone 解决方案配备的安全技术列表及其许可状态,可能为:

    • 未授权 - GravityZone 合作伙伴未持有该防护层的许可密钥。

    • 可用/激活 –该防护层的许可密钥已在终端激活。

    • 已过期 – 该防护层的许可证密钥已过期。

    • 待确认 – 许可证密钥尚未被确认。

      注意

      有关防护层的更多信息可在 防护 选项卡中查看。

  • 中继连接 :端点所连接的中继名称、IP地址及标签(如适用)。

  • 以下对象的密码详细信息 安全服务器 实例及网络传感器虚拟设备。详细信息包括最后更改日期、过期日期和最长密码有效期(天数)。更多信息请参阅 更改 安全服务器 密码 .

gz_cl_op_pt_endpoint_details_en.png

防护选项卡

此选项卡包含端点上已授权各防护层的详细信息,包括:

  • 安全代理信息(如产品名称、版本、更新状态、更新位置)、扫描引擎配置及安全内容版本。 对于Exchange防护,还会显示反垃圾邮件引擎版本。

  • 各防护层的安全状态。该状态显示在防护层名称右侧:

    • 安全 ,表示应用该防护层的端点未报告安全问题。

    • 存在漏洞 ,表示应用该防护层的端点报告了安全问题。详情参见 安全状态 .

  • 关联的 安全服务器 每个分配的 安全服务器 在无代理部署或安全代理扫描引擎设置为使用远程扫描时显示。 安全服务器 信息帮助您识别虚拟设备并获取其更新状态。

  • 保护模块状态。您可以轻松查看终端上安装了哪些保护模块,以及通过应用策略设置的可用模块状态( 开启/关闭 )。

  • 当天模块活动及恶意软件报告的快速概览。

    点击 report_inline.png 查看 链接访问报告选项并生成报告。更多信息请参阅 创建报告

  • 关于 沙盒分析器 保护层的信息:

    • 沙盒分析器 在终端上的使用状态,显示于窗口右侧:

      • 活跃 : 沙盒分析器 已授权(可用)并通过策略在终端上启用。

      • 未活跃 : 沙盒分析器 已授权(可用)但未通过策略在终端上启用。

    • 作为数据采集传感器的代理名称。

    • 终端上的模块状态:

      • 开启 - 沙盒分析器 已通过策略在终端上启用。

      • 关闭 - 沙盒分析器 未通过策略在终端上启用。

    • 点击 report_inline.png 查看 链接访问报告,查看上周的威胁检测情况。

  • 关于 加密 模块的信息,例如:

    • 检测到的卷(提及启动驱动器)。

    • 每个卷的加密状态(可能是 已加密 , 加密中 , 解密中 , 未加密 , 已锁定 已暂停 ).

      点击 恢复 链接可获取关联加密卷的恢复密钥。有关恢复密钥的详细信息,请参阅 使用恢复管理器管理加密卷 .

  • 存储保护模块的相关信息(若端点为 安全服务器 ),详情参见:

    • 服务状态:

      • 未配置 – 存储保护功能已授权但服务尚未配置。

      • 已启用 – 服务已在策略中启用并正常运行。

      • 已禁用 – 服务因策略禁用或许可证过期而停止运行。

    • 过去一个月内扫描的存储设备列表,包含以下详细信息:

      • 存储设备名称

      • 存储设备IP地址

      • 存储设备类型

      • 存储设备与 安全服务器 .

  • 安全分析功能相关信息(作为 EDR :

    • 特定代理信息显示:

      • 事件提供程序 - BEST 向安全分析组件报告终端及应用行为。

      • 通信状态 - BEST 与安全分析建立连接。

      • 最后状态更新 - 最近一次状态记录。

    • 关于 终端检测与响应(EDR) 传感器激活状态

details-eps-protection.png

调查选项卡

调查 选项卡中,您可以从终端收集取证数据,以分析和调查环境中可能存在的威胁。

  1. 网络 页面中,选择您要收集取证数据的托管终端,并打开其详细信息页面。

  2. 转到 调查 选项卡,点击 收集调查包 开始编译取证数据存档。

    Collect Investigation Package button

    注意

    如果按钮不可用,将显示工具提示,说明操作不可用的原因。更多详情请参阅 调查包先决条件

    系统将显示一条提示消息,告知您数据收集请求已成功创建。

    您可以在 调查文件活动 表格中跟踪其进度。

  3. 您可以查看当前的收集过程(进行中的活动状态显示为 待处理 ),以及过去24小时内执行的其他数据收集活动。

    Investigation Files Activity grid - Status

    注意

    被用户取消或由于各种原因未能完成的收集活动,其状态显示为 失败 .

    当数据收集过程成功完成时,操作状态将更改为 已完成 ,且包含取证工件的归档文件可供下载。

  4. 点击 下载文件 ,在 操作 列中将归档文件下载至本地并分析所收集的数据。

注意

如需了解调查包中收集的数据类型详情,请参阅 调查包数据 .

策略标签页

一个终端可应用多个策略,但同一时间仅有一个策略处于激活状态。 策略 标签页显示所有应用于该终端的策略信息。

  • 当前激活策略名称。点击策略名称可打开策略模板查看其设置。

  • 当前激活策略类型,可能为:

    • 设备 :当策略由网络管理员手动分配给终端时。

    • 位置 :基于规则的策略,当终端网络设置匹配现有 分配规则 .

      例如,某笔记本电脑分配了两个位置感知策略:一个名为 办公室 的策略在连接公司局域网时激活,另一个名为 漫游 的策略在用户远程工作并连接其他网络时激活。

    • 用户 :基于规则的策略,当终端匹配现有分配规则中指定的Active Directory目标时自动分配。

    • 外部(NSX) :当策略在VMware NSX环境中定义时。

  • 活动策略分配类型,可能为:

    • 直接 :当策略直接应用于终端时。

    • 继承 :当终端从父组继承策略时。

  • 适用策略 :显示与现有分配规则关联的策略列表。当终端满足关联分配规则的给定条件时,这些策略可能适用于该终端。

details-eps-policy.png

有关策略的更多信息,请参阅 策略设置 .

已连接终端标签页

已连接终端 标签页仅适用于具有中继角色的终端。此标签页显示连接到当前中继的终端信息,如名称、IP和标签。

Information window - Connected Endpoints Tab

存储库详情标签页

存储库详情标签页 仅适用于具有中继角色的终端,并显示有关安全代理更新和安全内容的信息。

该标签页包含有关存储在中继上的产品和签名版本以及官方存储库中可用版本、更新环、更新日期和时间以及最后一次检查新版本的详细信息。

注意

  • 产品版本不适用于安全服务器。

扫描日志标签页

扫描日志 标签页显示有关在终端上执行的所有扫描任务的详细信息。

日志按保护层分组,您可以从下拉菜单中选择要显示日志的层。

点击您感兴趣的扫描任务,日志将在浏览器的新页面中打开。

当有许多扫描日志可用时,它们可能会跨越多个页面。要在页面之间移动,请使用表格底部的导航选项。如果有太多条目,您可以使用表格顶部的筛选选项。

details-eps-relay_2.png

故障排除标签页

本部分专用于代理故障排查活动。您可以从终端检查中收集通用或特定日志,对当前故障排查事件采取行动,并查看历史活动记录。

重要提示

故障排查功能适用于Windows、Linux、macOS及所有 安全服务器 类型。

details-eps-troubleshooting.PNG

  • 收集终端日志

    此选项可帮助您收集故障排查所需的日志和通用信息,包括终端设置、活动模块或目标机器应用的特定策略。所有生成的数据将保存为归档文件。

    建议在问题原因不明时使用此选项。

    开始故障排查流程:

    1. 点击 收集日志 按钮。

      将显示配置窗口。

    2. 选择日志类型 下,选择以下选项之一:

      • 产品常规问题 - 收集与产品问题相关的日志。

      • 恶意软件感染 - 收集可能与恶意软件感染和攻击相关的日志。

      • 恶意软件感染(无云服务) - 收集可能与恶意软件感染和攻击相关的日志,且不联系Bitdefender云服务检查威胁情报数据。

    3. 日志存储 下,选择存储位置:

      • 目标机器 - 日志归档将保存至指定本地路径(安全服务器的路径不可配置)。

      • 网络共享 - 日志归档将保存至共享位置提供的路径。

      • Bitdefender云 - 日志存档将被保存至 Bitdefender 云存储位置,企业支持团队可访问该位置的文件。

      您可以使用 同时在目标机器上保存日志 选项,将日志存档副本作为备份保存在受影响的机器上。

    4. 根据所选存储位置填写必要信息(本地路径、网络共享凭证、共享位置路径)。

    5. 点击 收集日志 按钮。

    注意

    若选择 Bitdefender 作为存储选项,请注意:

    • 日志存档将以相同名称同时保存至 Bitdefender 和目标机器。点击故障排除事件可在详情窗口中查看存档名称。

    • 存档上传后,请在已开启的案例中向 Bitdefender企业支持 提供必要信息(目标机器名称、存档名称)。若无现存案例请新建。

  • 调试会话

    通过调试会话,您可在端点上启用高级日志记录功能,在复现问题时收集特定日志。

    此功能应在确定问题模块后或根据 Bitdefender企业支持 建议时使用。所有生成数据将保存至存档。

    开始故障排除流程:

    1. 点击 开始会话 按钮。将显示配置窗口。

    2. 问题类型 部分,选择您认为影响端点的问题:

      问题类型

      使用场景

      反恶意软件(实时扫描和按需扫描)

      • 端点整体运行缓慢

      • 程序或系统资源响应时间过长

      • 扫描过程比平时耗时更久

      • 无法连接主机安全服务错误

      更新错误

      • 产品或安全内容更新期间收到的错误消息。

      内容控制与防火墙

      • 网站无法加载

      • 网页元素显示异常

      • 防火墙通信问题

      • 防火墙规则未正确应用

      • 防火墙拦截应用程序

      • 防火墙运行异常

      云服务连接性

      • 端点无法连接至 Bitdefender云服务

      产品常规问题(高详细日志记录)

      • 通过详细日志复现通用报告问题。

      端点检测与响应 ( EDR )

      • 未生成安全事件

      • 事件为误报

      • 事件为漏报

      • 事件数据缺失

      • 事件包含错误数据

    3. 对于 调试会话时长 ,选择调试会话自动结束的时间间隔。

      注意

      建议在复现问题后立即使用 结束会话 选项手动停止会话。

    4. 日志存储 部分,选择一个或两个存储位置。

      您可以使用 同时在目标终端保存日志 选项,将日志存档副本作为备份保存在受影响的终端上。

    5. 根据所选位置填写必要信息(本地路径、网络共享凭据、共享位置路径)。

    6. 点击 开始会话 按钮。

    重要提示

    在受影响的终端上一次只能运行一个故障排除进程( 收集终端日志 / 调试会话 )。

  • 故障排除历史记录

    最近活动 本部分展示受影响计算机的故障排除活动记录。该表格按时间倒序仅显示最近的10个故障排除事件,并自动删除超过30天的活动记录。

    表格详细展示每个故障排除流程的信息。

    流程包含主要状态和中间状态。根据自定义设置,您可能需要处理以下需人工干预的状态:

    • 进行中(准备复现问题) – 手动或远程访问受影响的终端并复现问题。

    您可通过以下方式终止故障排除流程:

    • 结束会话 :终止终端上的调试会话和数据收集过程,同时将所有收集的数据保存至指定存储位置。

      建议在问题复现后立即使用此选项。

    • 取消 :此选项将终止流程且不收集任何日志。

      当您不需要从终端收集任何日志时使用此选项。

    • 强制停止 :强行终止故障排除流程。

      当会话取消耗时过长或终端无响应时使用此选项,数分钟后可启动新会话。

    重要提示

    • 为确保控制台显示最新信息,请使用 刷新 按钮(位于 故障排除 页面右上角)。

    • 点击表格中的事件名称可查看具体事件详情。

用户选项卡

此选项卡显示登录计算机的用户信息,包含以下元素:

  • 最后更新 :显示本选项卡信息最后更新时间。

  • 刷新 按钮:重新加载页面数据。

  • 列表展示以下信息:

    • 用户名 :登录该计算机的用户列表。

    • 最后登录方式 :显示用户是本地登录还是远程登录(通过RDP或SSH连接)。

    • 最后登录时间 :显示用户最后一次登录的时间。

提示

您可以使用每个列标题中的筛选器来搜索和细化显示的信息。例如 最后登录时间 ,使用两个日历标记您感兴趣的时间段的开始和结束。

注意

此窗口中每个存在安全问题的属性均标有 critical.png 图标。查看图标提示以获取更多详细信息。可能需要进一步的本地调查。

查看容器详情

您可以从 网络 页面获取每个容器的详细信息,具体如下:

  • 查看 网络 页面

  • 查看 信息 窗口

查看网络页面

要获取容器或容器主机的详细信息,请查看 网络 页面表格中的信息。

您可以通过点击窗格右上角的 open_settings_columns.png 设置 按钮来添加或删除包含容器信息的列。

  1. 登录到 GravityZone 控制中心 .

  2. 前往 网络 页面,从左侧菜单进入。

  3. 容器 实体类型 筛选器中选择(位于网络表格顶部)。

  4. 从表格中选择所需容器。

  5. 通过检查 安全问题 筛选器可快速识别容器及容器主机的安全状态。详细信息请参阅 检查容器状态 .

  6. 查看表格列中显示的每个容器信息。要筛选显示的列,请点击屏幕右上角的 open_settings_columns.png 设置 按钮。

    使用筛选器根据可用条件搜索特定容器或容器主机(统称为端点):

    • 名称 :端点名称。

    • FQDN :完全限定域名。

    • 操作系统版本 :端点安装的操作系统版本。

    • 操作系统类型 :端点安装的操作系统类型。

    • IP :终端IP地址。

    • 最后在线时间 :终端最后一次被检测到在线的日期和时间。

      注意

      监控 最后在线时间 字段至关重要,因为长时间不活动可能表明存在通信问题或容器已断开连接。

    • 标签 :包含终端附加信息的自定义字符串。您可以在容器的 信息 窗口 中添加标签,随后在搜索中使用该标签。

    • 策略 :应用于终端的策略,包含查看或更改策略设置的链接。

    • 终端类型 :终端类型(计算机、虚拟机、容器或移动设备)。

    • 用户 - 最后访问该设备的用户。

      注意

      仅适用于终端用户设备。

    • 公司 :终端所在的公司。

    • 容器ID - 容器的ID。

    • 容器镜像名称 - 容器镜像的名称。

查看信息窗口

网络 页面右侧窗格中,点击目标容器名称以显示 信息 窗口。该窗口仅显示所选容器的可用数据,并按多个标签页分组。

以下是您可能在 信息 窗口中查看到的所有信息列表,具体取决于设备类型及其特定的安全信息。

常规标签页

106300_1.png

  • 容器常规信息,例如名称、FQDN信息、IP地址、操作系统、基础设施、父组及当前连接状态。

    在本部分中,您可以为容器分配标签。无论容器位于网络中的何处,您都能快速找到具有相同标签的容器并对其执行操作。有关筛选容器的更多信息,请参阅 容器的排序、筛选和搜索 .

  • 防护层信息,包括通过 GravityZone 解决方案获取的安全技术列表及其许可证状态,可能的状态包括:

    • 可用/激活 – 该防护层的许可证密钥在容器上处于激活状态。

    • 已过期 – 该防护层的许可证密钥已过期。

    • 待确认 – 许可证密钥尚未确认。

      注意

      有关防护层的更多信息可在 防护 标签页中查看。

防护标签页

106300_2.png

此标签页包含终端上每个已授权防护层的详细信息。具体包括:

  • 安全代理信息,包括防护类型、产品版本、更新相关信息、引擎版本、安全内容详情及扫描引擎信息。

  • 每个防护层的安全状态。该状态显示在防护层名称右侧:

    • 安全 ,表示应用该防护层的终端未报告安全问题。

    • 存在漏洞 ,当应用于端点的保护层报告存在安全问题时。详情请参阅 安全状态 .

  • NSX相关信息,例如病毒标记状态及容器所属的安全组。若已应用安全标记,则表明该设备已受感染;否则设备未受感染或未启用安全标记。

  • 保护模块状态。可直观查看端点安装的保护模块及可用模块状态( 开启/关闭 ),该状态通过应用策略设置。

  • 当天模块活动与恶意软件报告的快速概览。

    点击 report_inline.png 查看 链接进入报告选项并生成报告。更多信息请参阅 生成报告

策略标签页

106300_3.png

一个容器可应用多个策略,但仅有一个策略可处于激活状态。 策略 标签页显示适用于该容器的所有策略信息。

  • 当前激活策略名称。点击策略名称可打开策略模板查看其设置。

  • 当前激活策略类型,可能为:

    • 设备 :当策略由网络管理员手动分配给容器时。

    • 位置 :若容器网络设置匹配现有 分配规则 .

    • 用户 :若端点匹配现有分配规则中指定的Active Directory目标,则自动分配给该端点的基于规则的策略。

      例如,一台设备可分配两个用户感知策略:一个针对管理员,另一个针对其他员工。当具有相应权限的用户登录时,对应策略即被激活。

    • 外部(NSX) :当策略在VMware NSX环境中定义时。

  • 当前激活策略的分配类型,可能为:

    • 直接 :当策略直接应用于容器时。

    • 继承 :当容器从父组继承策略时。

  • 适用策略 :显示与现有分配规则关联的策略列表。当容器满足关联分配规则的给定条件时,这些策略可能适用于该容器。

有关策略的更多信息,请参阅 管理策略 .

本节内容 :