Tema
Preporučene radnje za konfiguriranje sustava ESET Protect.
Uvod
Po instalaciji su navedeni serveri konfigurirani na način koji odgovara zahtjevima većine poduzeća. No, inicijalne postavke ne moraju odgovarati uvijek i svima, stoga donosimo popis dijela radnji koje biste mogli primijeniti jednokratno/dnevno/tjedno ili ih promijeniti kako biste sustav prilagodili radu svoj mreže.
Naravno da neke od ovih radnji neće odgovarati vašem okruženju (npr. zatvorene mreže neće računalim dopustiti direktan izlaz na internet bez proksija i sl.) – provjerite prijedloge i primijenite one za koje mislite da će povećati sigurnost i pojednostaviti administraciju.
Postupak
Po instalaciji provjerite upute na stranici https://help.eset.com/protect_admin/latest/en-US/fs.html (online pomoć je dostupna i na hrvatskom, samo promijenite jezik u izborniku gore desno) i sljedeće prijedloge:
(*1) Neželjene vrste programa – u pravilu krajnji korisnici nemaju potrebu za ovakvim alatima, ali mogu biti korisni administratorima i tehničkom osoblju, pa kreirajte odgovarajuća pravila (policy) i nekima uključite detekciju svega, a drugima možda dopustite malo slobodniji rad (naša preporuka je da uključite sve kategorije, a da napravite pojedinačne izuzetke alata kako je opisano u ovom dokumentu). Ovu stavku je moguće definirati i u pravilu (policyju) EP servera.
• Potentially unwanted applications
• Potentially unsafe applications
• Suspicious applications
(*2) Preporučujemo da u izuzetke stavite konkretnu datoteku i/ili konkretnu prijetnju. Stavljanje cijelog direktorija u izuzetak od detekcije može dovesti do toga da se u njemu nađe prijetnja koja je izvan kontrole administratora antivirusnog sustava. Ovu stavku je moguće definirati i u pravilu (policyju) EP servera.
(*3) Najčešće se dogodi da tijekom skeniranja korisnik odgodi brisanje prijetnji na kraj skeniranja, a u međuvremenu se uvjeti s datotekom promijene:
• datoteka je zauzeta
• Endpoint je namješten tako da ne briše detekcije, nego ih samo prijavljuje
• datoteka se nalazi u sistemskom direktoriju i nije sigurno po OS ukloniti ju bez suradnje administratora
• datoteka više ne postoji (npr. browser cache je očišćen, vanjski uređaj je iskopčan, ..)
• EFI/UEFI detekcije – ne mogu se obrisati jer su u BIOS-u
(*4) Npr. kreirajte dinamičku grupu “DynGrp_Neriješene_prijetnje”
• Neka grupa obuhvati računala koja ispune uvjet (“Dynamic group template expression“): “Active detections – Detection handled” = “No”
• Kreirajte policy koji ima najstroža pravila i dodijelite ga grupi (https://help.eset.com/protect_admin/latest/en-US/amin_pol_assign_policy_to_group.html)
• Kreirajte scheduled task “On Demand Scan” – “In-Depth Scan” koji će se pokrenuti (“trigger”) “Joined Dynamic Group Trigger”
Na ovaj način će računala kod kojih se pojavi neriješena prijetnja biti automatki uključena u dinamičku grupu, konfiguracija će im biti postavljena “na najjače” i odmah će se pokrenuti dubinsko skeniranje. Ako imate ESET Endpoint Security možete dodati i da se računalo izdvoji (isključi) s mreže – ostat će u kontaktu sa EPx serverom, ali sve druge mrežne aktivnosti će biti spriječene.
(*5) Automatizirana izvješća
Izvješća (Reports) se mogu podesiti da se pokreću periodično i da automatski pošalju e-mail sa .PDF privitkom i spreme .CSV datoteku na disk. CSV datoteku možete dodatno obrađivati svojim skriptama, uvoziti u baze itd.
(*6) Aktivirajte obavijesti (Notifications) koje će se slati u važnim situacijama (npr. ako se u periodu od 5 minuta pojavi više od 5 detekcija); kreirajte grupnu, distribucijsku e-adresu koju po potrebi može pratiti više osoba i reagirati. Nemojte namjestiti previše obavijesti jer će dovesti do zasićenja administratora i one važne mogu kasnije biti ignorirane.
(*7) Ostala upozorenja kojima treba posvetiti pozornost:
• Anti-Phishing protection is non-functional
• Anti-Stealth is non-functional
• Computer restart required
• Detection Engine out of date
• ESET LiveGrid is not accessible
• ESET Management Agent is outdated
• Host Intrusion Prevention System (HIPS) is non-functional
• License expires
• Product malfunction
• Operating system is not up to date
• Presentation mode is enabled
• Product is installed but it is not running
• Product not activated
• Real-time file system protection is disabled
• Some of the functionality of this ESET Security Product is not supported on macOS Big Sur yet. Check for product updates regularly to get the unsupported functionality back on your macOS. More info: https://support.eset.com/news7604
• Web control is non-functional
• Windows Security Center indicates that the feature is not installed or is not running properly
• Windows updates available
• Your product is outdated
• Your security product will reach End of Life soon
(*8) HTTP proxy
Korištenje HTTP proksija koji dolazi s instalacijom administrativnog servera je naročito praktično u okruženjima u kojima je pristup internetu na neki način ograničen. Takva ograničenja mogu smetati komunikaciji klijenata s ESET-ovim serverima, što se u slučaju korištenja proksija može riješiti tako da na firewallu perimetra propustite sav promet s EPx servera (preciznije – sa HTTP proksija na serveru) prema internetu, a klijenti komuniciraju s tim proksijem.
Ako koristite ESETBridge uveden s ESET Protect v.10 obavezno prođite kroz dokumente za konfiguraciju: https://help.eset.com/ebe/latest/en-US/?configure.html i privjerite odgovara li policy vašim zahtjevima.
Razno
n/a
Slike
• Arhitektura
https://help.eset.com/protect_install/latest/en-US/architecture.html
epx xepx bestpractices xbestpracticesx xpreporuceneradnjex emagent agent xemagent xagent policy xpolicy
Ažurirano: 2023-12-22