跳至主内容

查看终端详情

查看终端详情

您可以通过以下方式在 网络 页面获取每个终端的详细信息:

查看网络页面

要查看端点详细信息,请检查 网络 页面中的可用信息。

您可以通过点击窗格右上角的 open_settings_columns.png 设置 按钮来添加或删除端点信息列。

  1. 登录 GravityZone 控制中心 .

  2. 从左侧菜单进入 网络 页面。

  3. 从左侧窗格中选择所需群组。

    所选群组中的所有端点将显示在网络页面中。

  4. 检查各端点列中显示的信息。

    根据可用条件,在标题行输入时实时搜索特定端点:

    • 名称 :端点名称。

    • FQDN :完全限定域名。

    • 操作系统版本 :端点安装的操作系统版本。

    • 操作系统类型 :端点安装的操作系统类型。

    • IP :端点的IP地址。

    • 最后出现时间 :端点最后一次被检测到在线的时间。

      注意

      监控 最后在线时间 字段至关重要,因为长时间不活动可能表示存在通信问题或计算机已断开连接。

    • 标签 :包含端点附加信息的自定义字符串。您可以在端点的 信息窗口 中添加标签,随后在搜索中使用。

    • 策略 :应用于端点的策略,包含查看或更改策略设置的链接。

    • 端点类型 :机器类型,服务器或工作站。

    • 公司 :端点所在的公司。

    • 用户 :已登录用户。若仅一名用户登录,则显示其姓名;否则表格显示用户数量。要查看 GravityZone 中已登录用户的相关数据,您必须在策略中启用 允许端点将用户登录数据发送至 GravityZone 选项(位于 常规 > 设置 > 选项 部分),因该选项默认禁用。

      提示

      用户 列包含指向相关主题详情页面的链接。

查看信息窗口

网络 表中,点击目标端点名称即可显示 信息 窗口。该窗口仅展示所选端点的可用数据,并按标签页分组显示。

以下是 信息 窗口中可能包含的完整信息列表(具体内容取决于端点类型及其专属安全信息):

常规标签页

  • 基础端点信息,包括名称、实例ID、IP地址、亚马逊区域与可用区(若为亚马逊实例)、实例类型、操作系统、基础设施、安全组及当前连接状态。

    在此处可为端点分配标签。通过标签可快速定位同标签端点并批量操作(无论其处于网络何处)。关于端点筛选的更多说明,请参阅 端点排序、筛选与搜索 .

    此处还可查看端点的自定义标签与自动标签。详情参见 使用端点标签 .

  • 防护层信息,包括通过 GravityZone 方案获取的安全技术列表及其许可状态(可能为下列情形):

    • 未授权 - GravityZone 合作伙伴未持有该防护层的许可密钥。

    • 可用/激活 – 该防护层许可密钥已在端点激活。

    • 已过期 – 该防护层许可密钥已失效。

    • 待确认 – 许可密钥尚未完成确认。

      有关保护层的更多信息可在 保护 选项卡中查看。

  • 中继连接 :终端所连接的中继名称、IP地址及标签(如适用)。

  • 以下项目的密码详细信息: 安全服务器 实例及网络传感器虚拟设备。详细信息包括最后修改日期、过期日期和最长密码有效期(天数)。更多信息请参阅 更改 安全服务器 密码 .

gz_cl_op_pt_endpoint_details_en.png

保护选项卡

此选项卡包含终端上已授权各保护层的详细信息,包括:

  • 安全代理信息(如产品名称、版本、更新状态、更新位置)、扫描引擎配置及安全内容版本。 对于Exchange保护,还会显示反垃圾邮件引擎版本。

  • 各保护层的安全状态。该状态显示在保护层名称右侧:

    • 安全 ——当应用该保护层的终端未报告安全问题时显示。

    • 脆弱 ——当应用该保护层的终端报告安全问题时显示。详情请参阅 安全状态 .

  • 关联的 安全服务器 。在无代理部署场景下,或当安全代理的扫描引擎设置为远程扫描时,会显示每个分配的 安全服务器 安全服务器 信息可帮助您识别虚拟设备并获取其更新状态。

  • 保护模块状态。您可以轻松查看端点安装了哪些保护模块,以及通过应用策略设置的可用模块状态( 开启/关闭 )。

  • 当日模块活动与恶意软件报告的快速概览。

    点击 report_inline.png 查看 链接访问报告选项并生成报告。更多信息请参阅 创建报告

  • 关于 沙箱分析器 保护层的信息:

    • 沙箱分析器 在端点的使用状态,显示于窗口右侧:

      • 活跃 : 沙箱分析器 已授权(可用)并通过策略在端点启用。

      • 未活跃 : 沙箱分析器 已授权(可用)但未通过策略在端点启用。

    • 作为数据采集传感器的代理名称。

    • 端点上模块状态:

      • 开启 - 沙箱分析器 已通过策略在端点启用。

      • 关闭 - 沙箱分析器 未通过策略在终端上启用。

    • 点击 report_inline.png 查看 链接访问报告,查看上周的威胁检测情况。

  • 关于 加密 模块的信息,例如:

    • 检测到的卷(提及启动驱动器)。

    • 每个卷的加密状态(可能是 已加密 , 加密中 , 解密中 , 未加密 , 已锁定 已暂停 ).

      点击 恢复 链接以获取关联加密卷的恢复密钥。有关恢复密钥的详细信息,请参阅 使用恢复管理器管理加密卷 .

  • 如果终端是 安全服务器 ,则显示存储保护模块的信息。详细信息请参阅:

    • 服务状态:

      • 不适用 – 存储保护已授权,但服务尚未配置。

      • 已启用 – 服务已在策略中启用并正常运行。

      • 已禁用 – 服务未运行,原因可能是策略中已禁用或许可证密钥已过期。

    • 过去一个月内扫描的存储设备列表,包含以下详细信息:

      • 存储设备名称

      • 存储设备IP

      • 存储设备类型

      • 存储设备与 安全服务器 .

  • 安全分析信息,作为 EDR :

    • 特定代理信息显示:

      • 事件提供程序 - BEST 向安全分析组件报告终端和应用程序行为。

      • 通信状态 - BEST 连接至安全分析。

      • 最后状态更新 - 最新状态。

    • 关于 EDR 传感器激活状态的概览信息。

details-eps-protection.png

调查标签页

调查 在调查选项卡中,您可以从终端收集取证数据,以分析和调查环境中可能存在的威胁。

  1. 网络 页面中,选择您要收集取证数据的受管终端并打开其详细信息页面。

  2. 转到 调查 选项卡,点击 收集调查包 开始编译包含取证数据的存档。

    Collect Investigation Package button

    注意

    如果按钮处于非活动状态,将显示工具提示,说明操作不可用的原因。更多详情请参阅 调查包先决条件

    系统会通过提示消息通知您数据收集请求已成功创建。

    您可以在 调查文件活动 网格中跟踪其进度。

  3. 您可以查看当前收集过程(进行中活动的状态显示为 待处理 ),以及过去24小时内执行的其他数据收集活动。

    Investigation Files Activity grid - Status

    注意

    被用户取消或因各种原因未能完成的收集活动,其状态显示为 失败 .

    当数据收集过程成功完成后,操作状态将变为 已完成 ,且包含所收集取证工件的存档可供下载。

  4. 点击 下载文件 操作 列以本地下载归档文件并分析收集的数据。

注意

要了解调查包中收集的数据类型详情,请参阅 调查包数据 .

策略标签页

一个终端可应用多个策略,但同一时间仅能激活一个策略。 策略 标签页显示适用于该终端的所有策略信息。

  • 当前激活的策略名称。点击策略名称可打开策略模板查看其设置。

  • 当前激活的策略类型,可能为:

    • 设备 :当策略由网络管理员手动分配给终端时。

    • 位置 :若终端网络设置匹配现有 分配规则 .

      例如,一台笔记本电脑分配了两个位置感知策略:一个名为 办公室 的策略在连接公司局域网时激活,以及 漫游 策略在用户远程工作并连接其他网络时激活。

    • 用户 :若终端匹配现有分配规则中指定的Active Directory目标,则自动分配基于规则的策略。

    • 外部(NSX) :当策略在VMware NSX环境中定义时。

  • 当前激活的策略分配类型,可能为:

    • 直接 :当策略直接应用于终端时。

    • 继承 :当终端从父组继承策略时。

  • 适用策略 :显示与现有分配规则关联的策略列表。当终端符合关联分配规则的给定条件时,这些策略可能适用于该终端。

details-eps-policy.png

有关策略的更多信息,请参阅 策略设置 .

已连接终端选项卡

已连接终端 选项卡仅适用于具有中继角色的终端。此选项卡显示连接到当前中继的终端信息,例如名称、IP和标签。

Information window - Connected Endpoints Tab

存储库详细信息选项卡

存储库详细信息选项卡 仅适用于具有中继角色的终端,并显示有关安全代理更新和安全内容的信息。

该选项卡包含有关存储在中继上的产品和签名版本以及官方存储库中可用的版本、更新环、更新的日期和时间以及最后一次检查新版本的详细信息。

注意

  • 产品版本不适用于安全服务器。

扫描日志选项卡

扫描日志 选项卡显示有关在终端上执行的所有扫描任务的详细信息。

日志按保护层分组,您可以从下拉菜单中选择要显示日志的层。

点击您感兴趣的扫描任务,日志将在浏览器的新页面中打开。

当有许多扫描日志可用时,它们可能跨越多个页面。要浏览页面,请使用表格底部的导航选项。如果有太多条目,您可以使用表格顶部的筛选选项。

details-eps-relay_2.png

故障排除选项卡

此部分专用于代理故障排除活动。您可以从终端检查中收集一般或特定的日志,对当前故障排除事件采取行动,并查看以前的活动。

重要

故障排除适用于Windows、Linux、macOS和所有 安全服务器 类型。

details-eps-troubleshooting.PNG

  • 收集终端日志

    此选项可帮助您收集一组日志和故障排除所需的常规信息,例如终端设置、活动模块或目标机器特定的应用策略。所有生成的数据将保存至压缩档案中。

    建议在问题原因不明时使用该选项。

    开始故障排除流程:

    1. 点击 收集日志 按钮。

      将显示配置窗口。

    2. 选择日志类型 下,选择以下选项之一:

      • 产品常规问题 - 收集与产品问题相关的日志。

      • 恶意软件感染 - 收集可能与恶意软件感染和攻击相关的日志。

      • 恶意软件感染(无云服务) - 收集可能与恶意软件感染和攻击相关的日志,且不联系Bitdefender云服务检查威胁情报数据。

    3. 日志存储 下,选择存储位置:

      • 目标机器 - 日志存档将保存至提供的本地路径(安全服务器不可配置该路径)。

      • 网络共享 - 日志存档将保存至共享位置提供的路径。

      • Bitdefender云 - 日志存档将保存至 Bitdefender 云存储位置,企业支持团队可访问该文件。

      您可以使用选项 同时在目标机器上保存日志 在受影响的机器上保存日志归档副本作为备份。

    4. 根据所选位置填写必要信息(本地路径、网络共享凭据、共享位置路径)。

    5. 点击 收集日志 按钮。

    注意

    如果选择 Bitdefender 作为存储选项,请注意:

    • 日志归档将以相同名称同时保存至 Bitdefender 和目标机器。点击故障排除事件可在详情窗口中查看归档名称。

    • 归档上传后,请在已开启的案例中向 Bitdefender企业支持 提供必要信息(目标机器名称、归档名称)。若无现有案例请新建。

  • 调试会话

    通过调试会话,您可以在复现问题时激活终端的高级日志记录功能以收集特定日志。

    此选项应在确定问题模块后或根据 Bitdefender企业支持 建议时使用。所有生成数据将保存至归档。

    开始故障排除流程:

    1. 点击 开始会话 按钮,将显示配置窗口。

    2. 问题类型 部分,选择您认为影响终端的问题:

      问题类型

      使用场景

      反恶意软件(实时防护与按需扫描)

      • 终端整体运行缓慢

      • 程序或系统资源响应时间过长

      • 扫描进程耗时超出常规

      • 无法连接主机安全服务错误

      更新错误

      • 产品或安全内容更新期间出现的错误信息

      内容控制与防火墙

      • 网站无法加载

      • 网页元素显示异常

      • 防火墙通信问题

      • 防火墙规则未正确应用

      • 防火墙拦截应用程序

      • 防火墙运行异常

      云服务连接性

      • 终端无法与 Bitdefender云服务建立连接

      产品常规问题(高详细度日志记录)

      • 通过详细日志复现通用报告问题

      终端检测与响应 ( EDR )

      • 未生成安全事件

      • 安全事件存在误报

      • 安全事件存在漏报

      • 安全事件数据缺失

      • 安全事件包含错误数据

    3. 针对 调试会话持续时间 ,选择调试会话自动结束的时间间隔。

      注意

      建议在复现问题后立即使用 结束会话 选项手动停止会话。

    4. 日志存储 部分,选择一个或两个存储位置。

      您可以使用 同时在目标终端保存日志 选项将日志存档副本作为备份保存在受影响的终端上。

    5. 根据所选位置填写必要信息(本地路径、网络共享凭据、共享位置路径)。

    6. 点击 开始会话 按钮。

    重要提示

    在受影响的终端上一次只能运行一个故障排除进程( 收集终端日志 / 调试会话 )。

  • 故障排除历史记录

    最近活动 部分展示了受影响计算机上的故障排除活动。该表仅按时间倒序显示最新的10个故障排除事件,并自动删除超过30天的活动记录。

    表格显示每个故障排除进程的详细信息。

    进程具有主要和中间状态。根据自定义设置,您可能会遇到需要采取行动的以下状态:

    • 进行中(准备复现问题) ——手动或远程访问受影响的终端并复现问题。

    您可以通过以下几种方式停止故障排除流程:

    • 结束会话 :终止调试会话和端点上的数据收集过程,同时将所有收集的数据保存到指定存储位置。

      建议在复现问题后立即使用此选项。

    • 取消 :此选项将取消流程且不收集任何日志。

      当您不想从端点收集任何日志时使用此选项。

    • 强制停止 :强制终止故障排除流程。

      当取消会话耗时过长或端点无响应时使用此选项,数分钟后即可启动新会话。

    重要提示

    • 为确保控制台显示最新信息,请使用 刷新 按钮,该按钮位于 故障排除 页面右上角。

    • 要查看特定事件的详细信息,请点击表格中的事件名称。

用户选项卡

此选项卡显示登录计算机的用户信息,包含以下元素:

  • 最后更新时间 :显示此选项卡信息最后一次更新的时间。

  • 刷新 按钮:重新加载页面数据。

  • 列表显示以下信息:

    • 用户名 :登录计算机的用户列表。

    • 最后登录方式 :显示用户是本地登录还是远程登录(通过RDP或SSH连接)。

    • 最后登录时间 :显示用户最后一次登录的时间。

提示

您可以使用各列标题中的筛选器来搜索和精炼显示的信息。例如对于 最后登录时间 ,使用两个日历标记您感兴趣的时间段的开始和结束。

注意

本窗口中每个存在安全问题的属性都标有 critical.png 图标。查看图标提示以获取更多详细信息。可能需要进行进一步的本地调查。

查看容器详情

您可以从 网络 页面获取每个容器的详细信息,操作如下:

  • 检查 网络 页面

  • 检查 信息 窗口

检查网络页面

要了解容器或容器主机的详细信息,请查看 网络 页面表格中的可用信息。

您可以通过点击面板右上角的 open_settings_columns.png 设置 按钮来添加或删除包含容器信息的列。

  1. 登录 GravityZone 控制中心 .

  2. 转到 网络 从左侧菜单进入

  3. 选择 容器 实体类型 筛选器中(位于网络表格顶部)。

  4. 从表格中选择目标容器。

  5. 通过检查 安全问题 筛选器可快速识别容器及容器主机的安全状态。详细信息请参阅 检查容器状态 .

  6. 查看表格列中显示的容器信息。点击屏幕右上角的 open_settings_columns.png 设置 按钮可筛选显示列。

    使用筛选器根据以下条件搜索特定容器或容器主机(统称为端点):

    • 名称 :端点名称。

    • FQDN :完全限定域名。

    • 操作系统版本 :端点安装的操作系统版本。

    • 操作系统类型 :端点安装的操作系统类型。

    • IP :端点的IP地址。

    • 最后出现时间 :端点最后一次在线的时间戳。

      注意

      需持续监控 最后出现时间 字段,因为长时间不活动可能表示存在通信问题或容器已断开连接。

    • 标签 :包含端点附加信息的自定义字符串。您可以在容器的 信息 窗口 中添加标签,然后在搜索中使用它。

    • 策略 :应用于端点的策略,包含查看或更改策略设置的链接。

    • 端点类型 :端点的类型(计算机、虚拟机、容器或移动设备)。

    • 用户 - 最后访问设备的用户。

      注意

      仅适用于终端用户设备。

    • 公司 :端点所在的公司。

    • 容器ID - 容器的ID。

    • 容器镜像名称 - 容器镜像的名称。

检查信息窗口

网络 页面的右侧窗格中,点击您感兴趣的容器名称以显示 信息 窗口。此窗口仅显示所选容器的可用数据,并按多个选项卡分组。

以下是您可能在 信息 窗口中找到的完整信息列表,具体取决于机器类型及其特定的安全信息。

常规选项卡

106300_1.png

  • 常规容器信息,包括名称、FQDN信息、IP地址、操作系统、基础设施、父组和当前连接状态。

    在本部分中,您可以为容器分配标签。无论容器位于网络中的何处,您都可以快速找到具有相同标签的容器并对它们执行操作。有关筛选容器的更多信息,请参阅 排序、筛选和搜索容器 .

  • 防护层信息,包括通过您的 GravityZone 解决方案获取的安全技术列表及其许可证状态,可能为:

    • 可用/激活 – 此防护层的许可证密钥在容器上处于激活状态。

    • 已过期 – 此防护层的许可证密钥已过期。

    • 待确认 – 许可证密钥尚未确认。

      注意

      有关防护层的更多信息可在 防护 选项卡中找到。

防护选项卡

106300_2.png

此选项卡包含有关终端上每个已授权防护层的详细信息。详细信息包括:

  • 安全代理信息,包括防护类型、产品版本、更新相关信息、引擎版本、安全内容详情和扫描引擎信息。

  • 每个防护层的安全状态。此状态显示在防护层名称的右侧:

    • 安全 ,当应用该防护层的终端上未报告安全问题时。

    • 易受攻击 ,当应用该防护层的终端上报告了安全问题时。有关更多详情,请参阅 安全状态 .

  • NSX相关信息,如病毒标签状态和容器所属的安全组。如果已应用安全标签,则表明机器已感染。否则,机器是干净的或未使用安全标签。

  • 防护模块状态。您可以轻松查看终端上安装了哪些防护模块,以及可用模块的状态( 开启 / 关闭 )通过应用策略设置。

  • 当日模块活动与恶意软件报告的快速概览。

    点击 report_inline.png 查看 链接访问报告选项并生成报告。更多信息请参阅 创建报告

策略标签页

106300_3.png

一个容器可应用多个策略,但同一时间仅有一个策略处于激活状态。 策略 标签页显示适用于该容器的所有策略信息。

  • 当前激活策略名称。点击策略名称可打开策略模板查看其设置。

  • 当前激活策略类型,可能为:

    • 设备 :当策略由网络管理员手动分配给容器时。

    • 位置 :若容器网络设置匹配现有 分配规则 .

    • 用户 :若终端匹配现有分配规则中指定的Active Directory目标,则自动分配此基于规则的策略。

      例如,一台机器可分配两个用户感知策略,分别针对管理员和其他员工。当具备相应权限的用户登录时,各策略将激活。

    • 外部(NSX) :当策略在VMware NSX环境中定义时。

  • 当前激活策略的分配类型,可能为:

    • 直接 :当策略直接应用于容器时。

    • 继承 :当容器从父组继承策略时。

  • 适用策略 :显示与现有分配规则关联的策略列表。当容器满足关联分配规则的给定条件时,这些策略可能适用于该容器。

有关策略的更多信息,请参阅 管理策略 .

本节内容 :