跳至主内容

配置集成

ConnectWise Automate需要访问 GravityZone 服务。为授权访问,需在 GravityZone 控制中心 生成API密钥,然后在 工具 > Bitdefender GravityZone ConnectWise Control Center 的

配置集成时需考虑以下事项:

  1. 生成API密钥

  2. 插件设置

  3. 警报设置

  4. 软件包默认值

  5. 客户端映射

  6. 客户端事件

  7. 客户端订阅

  8. EDR规则

  9. 计算机映射

重要提示

ConnectWise Automate集成超过30天未与 Bitdefender 服务通信,将自动禁用。需重新配置完整的 Bitdefender 插件方可启用。

生成API密钥

请按以下步骤生成API密钥:

  1. 使用合作伙伴账户登录 GravityZone 控制中心

  2. 点击控制台右上角的 control_center_user_menu_icon.png 用户图标并选择 我的账户 .

  3. 进入 API密钥 部分并点击 添加 位于表格顶部。

  4. 启用以下API:

    • 公司API

    • 许可API

    • 软件包API

    • 网络API

    • 集成API

    • 策略API

    • 报告API

    • 账户API

    • 事件API

    • 隔离区API

    • 事件推送服务API

    api_key_cwa.png

  5. 点击 保存 .

    系统将生成一个API密钥。为防止敏感信息泄露,请勿共享或分发自行生成的API密钥。

  6. 控制中心API 部分复制访问URL。

插件设置

插件设置 页面包含将ConnectWise Automate连接至 GravityZone 所需的数据,例如访问URL、API密钥以及 Bitdefender 安全代理。

  1. 在ConnectWise Automate控制中心,导航至 工具 > Bitdefender GravityZone > 插件设置 .

    cw_automate_plugin_settings_april2024_p_170175_en.png

  2. API选项 下,输入GravityZone控制台的URL及生成的API密钥,然后点击 验证 .

    cw-automate_api-details_p_170175_en.png

  3. 回调URL 旁,点击 检测URL 以自动发现ConnectWise Automate服务器,并确认回调URL字段包含正确地址。

  4. 点击 保存设置 (位于屏幕右上角)以确认更改。

警报设置

警报设置 页面中,您可配置 Bitdefender 插件,使其基于 GravityZone 防护模块的推送通知发送警报。

cw-automate_alert_settings_p_170175_en.png

配置警报设置的步骤如下:

  1. 选择保留旧警报数据的天数(最多120天)。

  2. 勾选复选框以启用特定安全事件的警报,包括 已拦截威胁 当前威胁 (仍存在于计算机上的威胁)。以下安全事件可设置警报:

    • 高级威胁控制

    • 高级反漏洞利用

    • 反恶意软件

    • 反钓鱼

    • 终端检测与响应(EDR)

    • 防火墙

    • 超级检测

    • 网络攻击防御

    • 勒索软件缓解

    • 沙盒分析器

    • 网络流量扫描

    对于某些安全事件(如反钓鱼、勒索软件缓解和网络流量扫描),您只能选择 已拦截威胁 ,因为Bitdefender会自动采取措施而无需用户交互。

    对于EDR事件,您只能启用所有威胁的警报,无法单独选择已拦截或当前威胁。这是由于EDR事件的复杂性,Bitdefender可能在监控和报告过程中采取行动。因此,为确保完整的事件覆盖,必须接收当前和已拦截威胁的警报。 了解更多关于ConnectWise Automate集成中的EDR事件 .

  3. 可选地,对于 终端检测与响应 ,您可以通过编辑警报的严重性阈值来更改 ConnectWise Automate工单分类。

    工单根据0到100的评分分为三个严重性等级:低、中、高。默认严重性阈值由 Bitdefender ,但可以对其进行修改。

    要编辑严重性阈值,请左右移动滑块或在相应框中输入所需数值。

    例如,数值51和76表示:50分及以下的工单为低严重性,51至75分的工单为中等严重性,76分及以上的工单为高严重性。

    cw-automate_edit_edr_severity_p_170175_en.png

    有关配置工单类别的详细信息,请参阅 EDR 事件在 ConnectWise GravityZone .

  4. 点击 保存设置 (位于屏幕右上角)以确认您的选择。

您可以在客户端、位置和计算机屏幕的GravityZone选项卡中查看与警报相关的安全事件。详情请参阅 安全事件 .

包默认设置

该集成会在GravityZone控制中心为每个映射的客户端或位置创建新的部署包。配置部署包以在目标机器上安装 Bitdefender 安全代理。

cw_automate_package_defaults_april2024_p_170175_en.png

  1. 在Automate控制中心导航至 工具 > Bitdefender GravityZone .

  2. 转到 包默认设置 .

  3. 语言 ,从下拉菜单中选择软件包语言。

  4. 模块 下,选择默认软件包中启用的防护模块。

  5. 安装 下,选择卸载现有安全产品或在其基础上部署。

  6. 设置 下,可为安全代理设置卸载密码。

  7. 点击 保存设置 确认更改。

软件包默认设置 页面进行的修改不会更新GravityZone控制台中已存在的部署包。此时需在控制台中手动更新或重新创建。

重新创建软件包步骤如下:

  1. 从GravityZone控制台删除ConnectWise Automate部署包。

  2. 在Automate控制中心,进入 工具 > Bitdefender GravityZone > 自动部署 .

  3. 点击 刷新软件包列表 .

    插件将根据 软件包默认设置 页面。

客户端映射

Bitdefender 插件会在GravityZone控制中心为现有的ConnectWise Automate客户端创建公司记录。您可以通过 客户端映射 页面的设置来控制这些公司记录的创建。在此过程中,您还可以为新公司配置产品类型或订阅。

cw_automate_client_mapping_p_170145_en.png

要自动配置与ConnectWise Automate客户端关联的GravityZone公司,请点击页面右上角的 自动映射 按钮。随后的对话框将询问您是否要创建具有随机名称和基于位置的分组的GravityZone公司。

要为未映射的客户端手动配置GravityZone公司:

  1. Bitdefender GravityZone公司 列中,点击对应的ConnectWise Automate客户端条目。

  2. 从下拉菜单中选择 创建客户记录 以在GravityZone中创建新公司。

    另外两个选项与排除或现有公司相关:

    • 忽略客户 - 将该客户端排除在映射过程之外(例如使用自动映射时)。

    • 选择一个已创建的GravityZone公司,将其与ConnectWise Automate客户端关联。

  3. 可选地,在 在GravityZone中创建基于位置的组 列中,为需要此设置的客户端勾选复选框。

  4. 点击 保存客户端映射 按钮。

    如果您选择了 创建客户记录 ,配置向导将引导您完成同步过程,包括为新公司选择产品类型和可用功能。

    client-mapping-01-create-customer-record.png

    点击 继续 并按照屏幕提示操作:

    1. 选择产品。根据产品类型,安装在该公司计算机上的Bitdefender安全代理将启用特定功能。

      提供以下产品类型:

      • 终端安全 全功能安全解决方案,包含所有可部署于Windows、Linux或macOS设备的模块。

      • Bitdefender EDR 轻量级端点检测与响应(EDR)解决方案,适用于Windows系统,可与任何第三方防护平台并行运行。

      点击 继续 .

    2. 选择防护模式。根据所选模式,某些附加组件将自动包含在内,且不会在附加组件管理步骤中显示为可选项。

      提供以下防护模式:

      • 按需定制 量身定制的防护方案,可自主选择符合特定需求的功能模块。

      • 安全防护 提供可操作的威胁情报与预防措施,以及实时威胁检测与事件响应能力。

        点击 继续 .

      cw_automate_protection_model_april2024_17017_en.png

    3. 选择该产品类型可用的附加组件。根据所选附加组件,您将能安装具有特定功能的Bitdefender安全代理。

      提示

      根据所选防护模式,某些附加组件可能因已被包含或与当前模式不兼容而不可见。例如:安全防护模式已包含高级威胁防护(HyperDetect和沙盒分析器)及端点检测与响应功能,且与容器防护和虚拟化环境安全模块不兼容。

      点击 继续 .

      client-mapping-02-add-on-management.png

    4. 配置Bitdefender代理的部署模式。选择以下选项之一:

      • 使用默认包配置 - 按照 包默认值 部分。

        注意

        将为GravityZone中映射的客户端配置安装包。

        点击 继续 .

      • 使用自定义包 - 使用自定义功能集部署Bitdefender客户端。

        点击 继续 .

        接下来,配置以下设置:

        1. 语言 部分,从下拉菜单中选择包语言。

        2. 模块 部分,选择自定义包中启用的防护模块。

        3. 安装 部分,选择卸载现有安全产品或在其基础上部署。

          点击 继续 .

        4. 部署器 部分,选择终端将连接的通信实体。

        5. 设置 在此可设置安全代理的卸载密码。

      • 与策略同步 - 部署的Bitdefender代理将激活您分配的GravityZone策略中的功能。

        通过 与策略同步 选项部署的模块会每隔 24小时 与当前计算机应用策略中的对应功能保持同步。若Bitdefender检测到您的GravityZone公司定义了超过10条策略,系统将提示您确认这些策略已在组织内正确应用。

        注意

        与策略同步 选项仅适用于Windows操作系统。对于Linux和macOS部署,将创建默认安装包(仅含反恶意软件功能)。如需添加更多功能,请在GravityZone控制中心编辑安装包。

      点击 继续 .

      cw_automate_deployment_modes_p_170145_en.png

      插件将在GravityZone中创建一个或多个具有指定产品类型的公司。这些公司内计算机安装的Bitdefender安全代理将包含向导中配置的功能。

    5. 点击 继续 .

    6. 选择需要分配给客户端的 EDR 规则(如适用)。

    7. 点击 完成 .

      若不选择任何选项,您可稍后手动安装安全代理。

      client-mapping-03-auto-deployment.png

      关于自动部署的详细信息,请参阅 同步 ConnectWise Automate计算机与 GravityZone .

    8. 点击 完成 .

客户端已关联至GravityZone公司 ,更改映射关系不会将已安装的Bitdefender代理迁移至GravityZone控制中心新选定的公司。要使代理显示在新公司下,必须卸载后重新安装Bitdefender代理。

完成公司映射后,您可在客户订阅页面重新配置产品类型及可用Bitdefender服务。

注意

Bitdefender插件为MSP提供按月订阅、按月订阅试用和按月许可证试用三种公司配置模式。

客户端事件

客户端事件 页面中,您可以查看并手动处理库存同步事件。该页面仅显示配置为手动处理或系统无法自动处理的事件。

详情请参阅 同步 ConnectWise Automate库存与 GravityZone .

客户订阅

客户订阅 页面中,您可通过Bitdefender插件控制客户端的产品类型、保护模型及启用的服务。

cw_automate_client_subscriptions_p_170145_en.png

配置服务

要在不更改产品类型的情况下重新配置客户端的Bitdefender服务:

  1. 客户订阅 页面左上角,点击按产品类型查看客户端。

  2. 勾选或取消勾选对应您想启用服务的复选框。

    注意

    已包含或与当前配置的保护模式不兼容的服务无法禁用/激活,并显示为灰色。

  3. 点击 保存设置 按钮。

说明

此操作不会自动更新现有部署包。创建新包时,需在 包默认设置 页面启用相应模块。

重新配置客户端

若要重新配置客户端并在终端安全与Bitdefender EDR之间切换产品类型,请按以下步骤操作:

  1. 在页面左上角点击按产品类型查看客户端。

  2. 选择需要更换产品的客户端。

  3. 点击 更换产品 按钮。向导将引导您完成流程,请遵循屏幕指示:

    注意

    若您的GravityZone for MSP许可证不支持Bitdefender EDR独立产品,该按钮将显示为 重新配置客户端 .

    1. 选择产品类型。可选产品类型包括:

      • 终端安全 全功能安全解决方案,所有模块均可部署于运行Windows、Linux或macOS的设备。

      • Bitdefender EDR 轻量级终端检测与响应(EDR)方案,适用于Windows系统,可与任何第三方防护平台并行运行。

      点击 继续 .

    2. 选择保护模式。根据所选模式,某些附加组件将自动包含且不会在附加组件管理步骤中显示。

      可选保护模式如下:

      • 按需定制 模式,可自由选择符合特定需求的功能模块。

      • 全面防护 模式,提供可操作的威胁情报与预防措施,实时威胁检测及事件响应。

        点击 继续 .

    3. 选择产品类型对应的附加组件。不同附加组件将决定Bitdefender安全代理安装时启用的功能。

      提示

      根据所选保护模式,部分附加组件可能因已包含或模式不兼容而不可见。例如:全面防护模式已包含高级威胁防护(HyperDetect与沙盒分析器)及端点检测与响应功能,且与容器防护和虚拟化环境安全模块不兼容。

    4. 配置部署模式。选择以下选项之一:

      1. 应用默认套餐 ——按套餐默认设置的功能集部署Bitdefender代理。

        注意

        请注意,GravityZone中该客户现有的安装包将被覆盖。

        点击 继续 .

      2. 重新配置自定义套餐 ——按自定义功能集部署Bitdefender代理。

        点击 继续 .

        接下来配置以下设置:

        1. 语言 项下,从下拉菜单中选择安装包语言。

        2. 模块 ,从下拉菜单中选择自定义包中启用的防护模块。

        3. 安装 选项中,选择卸载现有安全产品或在其基础上部署。

          点击 继续 .

        4. 部署器 中,选择终端将连接的通信实体。

        5. 设置 中,可为安全代理设置卸载密码。

      3. 与策略同步 ——部署的Bitdefender代理将激活默认GravityZone策略中的功能。

        通过 与策略同步 选项部署的模块将每 24小时 与当前计算机应用的策略中激活的对应功能持续同步。若检测到为GravityZone公司定义了超过10条策略,系统将显示警告以确保您已在组织内正确应用这些策略。

        注意

        与策略同步 功能仅适用于Windows操作系统。对于Linux和macOS部署,将创建包含反恶意软件功能的默认安装包。如需添加更多功能,请在GravityZone控制中心编辑安装包。

        cw_automate_change_product_deployment_modes_p_170145_en.png

      点击 继续 .

    5. 选择要分配给客户端的 EDR 规则(如适用),然后点击 完成 .

    该客户的产品将发生变更。

更改产品后,您需要通过GravityZone重新配置计算机上安装的Bitdefender安全代理,以包含新功能。现有产品及其功能将在七天后失效。

注意

若您的许可证不允许更改托管客户的产品类型,则 重新配置客户端 按钮将取代 更改产品 按钮出现在 客户端订阅 页面。这意味着您只能修改现有产品的附加功能和其他设置。

EDR 规则

EDR规则 部分的 Bitdefender 插件中,您可以创建和管理自定义规则,以包含或排除特定行为触发 安全事件 .

cw_automate_edr_rules_p_170145_en.png

EDR规则 包含两类:

要查看每个类别的规则,请选择网格区域上方的 检测 排除 选项。

在网格区域中,点击 + 点击规则旁边的+图标可查看该规则已分配到的客户端。灰色的 + 图标表示该规则未分配给任何客户端。

要创建和管理 EDR 规则,请使用窗口上方的以下选项:

  • 添加规则 - 点击创建新规则并选择将使用该规则的客户端。

  • 编辑规则 - 点击修改现有规则,包括使用该规则的客户端列表。编辑规则前,需先在网格区域勾选对应复选框。

  • 删除规则 - 点击移除不再需要的规则。删除规则前,需先在网格区域勾选对应复选框。

  • 同步规则 - 点击同步 Bitdefender 插件与 GravityZone 控制台中的现有规则。

  • 刷新 - 点击更新页面至最新数据。

Bitdefender 插件中对EDR规则的修改将同步反映至GravityZone控制台的 EDR自定义规则 模块。

img-02-edr-rule-in-gravityzone.png

在ConnectWise Automate中创建的EDR规则(GravityZone控制中心视图)

以下章节描述如何创建检测规则与排除规则。该流程同样适用于编辑规则。若需在 GravityZone 控制台创建EDR自定义规则,请参阅 调查事件 .

检测规则

检测 类别为您提供了创建和管理自定义检测规则的框架,用于将您环境中的特定行为标记为有效检测,并在 安全事件 .

创建检测规则的步骤如下:

  1. EDR规则 部分,点击 检测 标签页。

  2. 在右上角点击 添加规则 .

  3. 在后续页面中填写以下详细信息:

    1. 规则名称 。此字段为必填项。

    2. 简短 描述 以便于规则识别。

    3. 目标 – 选择要包含在规则中的元素类型:

      • 进程

      • 文件

      • 连接

      • 注册表

    4. 状态 – 指定规则启用或禁用状态。

    5. 标签 – 添加特定标签以便于规则分组和管理。输入 回车 确认每个标签或点击文本框内部。

    6. 严重性 – 从下拉列表中设置触发安全事件的级别为 , .

    img-04-add-detection-rule.png

  4. 条件 下,按以下方式指定规则要素:

    1. 根据所选目标选择对应选项。例如,对于目标 文件 ,选择要素 名称 .

    2. 选择目标与其值之间的关系类型:

      • 等于 - 包含所有要素与值字段输入值完全匹配的事件。

      • 包含 - 包含所有要素包含值字段输入值的事件(例如通配符、文件扩展名等)。

      • 属于其中之一 - 包含所有要素匹配值字段中任意输入值的事件。输入值之间应用 运算符。

    3. 为每个条件输入具体数值。

      注意

      当为某个条件输入多个数值时(使用“属于以下条件之一”的情况下),必须在每个数值输入后按 回车键 以完成操作。

    criteria-details.png

  5. 如需为该规则添加更多条件,请点击 添加条件 .

    注意

    该规则将触发包含所有已定义条件的事件。多个条件之间采用 AND (与)运算符进行关联。

    如需删除条目,请点击 delete_inline.png 删除图标

  6. 。定义完所有条件后,点击 下一步 .

  7. 规则应用 窗口中,选择需要应用该规则的客户端。使用搜索框查找特定客户端,并利用以下按钮:

    • cw-plus.png - 选择列表中的所有客户端。

    • cw-minus.png - 点击取消选择列表中的所有客户端。

    • cw-return.png - 点击撤销更改(例如已做出的选择)。

    • cw-columns.png - 点击以多列水平滚动条形式显示客户端(替代单列垂直滚动模式)。

    img-05-add-detection-rule-application.png

    该列表仅显示已订阅 端点检测与响应 ( EDR )服务且具有有效客户端映射的客户。加载列表所需时间取决于可用客户端的数量。

    注意

    您可以在后续编辑规则时添加不同的客户端。取消选择客户端将导致该规则从先前分配到的客户端中移除。

  8. 点击 完成 以保存规则并将其应用到客户端。

排除规则

排除 类别为您提供了创建和管理自定义排除规则的框架,用于排除对您组织无关的事件,这些事件在 安全事件 .

要创建排除规则,请按照以下步骤操作:

  1. EDR规则 部分,点击 排除 选项卡。

  2. 在右上角,点击 添加规则 .

  3. 在后续页面中,填写以下详细信息:

    1. 规则 名称。此字段为必填项。

    2. 简短 描述 以便于规则识别。

    3. 目标 – 选择要包含在规则中的元素类型:

      • 进程

      • 文件

      • 连接

    4. 状态 – 指定规则启用或禁用。

    5. 标签 – 添加特定标签以便于规则分组和管理。输入 回车 确认每个标签或点击文本框内部。

    6. 严重性 – 从下拉列表中设置触发安全事件的级别为 , .

    img-06-add-exclusion-rule.PNG

  4. 条件 下,按如下方式指定规则元素:

    1. 根据所选目标选择其中一个选项。例如,对于目标 文件 ,选择元素 名称 .

    2. 选择目标与其值之间的关系类型:

      • - 排除所有元素与值字段中输入值完全匹配的事件。

      • 包含 - 排除所有元素包含值字段中输入值的事件(例如通配符、文件扩展名等)。

      • 是其中之一 - 排除所有元素与值字段中输入值之一匹配的事件。 运算符将应用于输入的各个值之间。

    3. 为每个条件输入具体数值。

      注意

      当为某个条件输入多个值时(使用“属于其中之一”条件时),必须在每个值输入后按 回车键 以完成操作。

    criteria-details.png

  5. 如需为当前规则添加更多条件,请点击 添加条件 .

    注意

    该规则将触发包含所有已定义条件的告警事件。多个条件之间采用 AND 逻辑运算符进行关联。

    若要删除条目,请点击 delete_inline.png 删除图标

  6. 。定义完所有条件后,点击 下一步 .

  7. 规则应用 窗口中,选择需要应用此规则的客户端。可通过搜索框查找特定客户端,并使用以下按钮:

    • cw-plus.png - 选择列表中的所有客户端

    • cw-minus.png - 点击取消选择列表中的所有客户端

    • cw-return.png - 点击撤销更改(例如已做的选择)

    • cw-columns.png - 点击以多列水平滚动条形式显示客户端(替代单列垂直滚动模式)

    img-05-add-detection-rule-application.png

    列表仅显示已订阅 终端检测与响应 ( EDR )服务且具有有效客户端映射的客户端。列表加载时间取决于可用客户端数量。

    注意

    后续编辑规则时可随时添加不同客户端。取消选择客户端将导致该规则从先前分配的客户端中移除。

  8. 点击 完成 以保存规则并应用到客户端。

计算机映射

注意

Bitdefender已开始分阶段推出高级计算机同步功能。用户需安装1.4.0.167或更高版本的插件才能参与该 rollout 计划。Bitdefender将在后续阶段逐步向符合条件的用户推送新功能,力求尽快覆盖全部装机用户。

随着新高级计算机同步功能的引入, 计算机映射 功能因不兼容将被移除。

集成功能会自动为安装Bitdefender安全代理的计算机在Automate控制中心创建记录,并映射与GravityZone控制中心关联的计算机。

以下功能需依赖计算机映射才能正常工作:

  • 隔离区管理

  • 队列扫描

  • 查看安全事件历史

  • 警报与监控

若自动映射失败,可通过以下步骤手动调整:

  1. 点击 更改计算机映射 (位于计算机界面的Bitdefender标签页)。

  2. 从下拉列表中选择GravityZone控制中心中需要链接的目标设备。

  3. 选择 保存 (位于窗口右上角)以保存更改并关闭窗口。

本节内容 :