McAfee Security-as-a-Service 扩展版本用户手册与 ePolicy...

用户手册

McAfee Security‑as‑a‑Service 扩展与 ePolicy Orchestrator® 4.6.0 软件配合使用

版权Copyright © 2011 McAfee, Inc. 保留所有权利。

未经 McAfee, Inc. 或其供应商或子公司的书面许可，不得以任何形式或手段将本出版物的任何内容复制、传播、转录、存储于检索系统或翻译成任何语言。

商标特性AVERT、EPO、EPOLICY ORCHESTRATOR、FOUNDSTONE、GROUPSHIELD、INTRUSHIELD、LINUXSHIELD、MAX (MCAFEE SECURITYALLIANCE EXCHANGE)、MCAFEE、NETSHIELD、PORTALSHIELD、PREVENTSYS、SECURITYALLIANCE、SITEADVISOR、TOTAL PROTECTION、VIRUSSCAN 和 WEBSHIELD 是 McAfee,Inc. 和/或其子公司在美国和/或其他国家或地区的注册商标或商标。与安全相关的 McAfee 红色是 McAfee 品牌产品的特有代表色。本声明中的所有其他注册和未注册的商标均为其各自所有者专有。

许可信息

许可协议致全体用户：请仔细阅读与您所购买的许可相关的法律协议，以了解使用许可软件的一般条款和条件。如果您不清楚所购买的许可属于哪一类，请查看软件包装盒中或购买产品时单独提供的销售文档以及其他相关的许可授权或订单文档，这些文档既可以是小册子、产品光盘上的文件，也可以是软件包下载网站提供的文件。如果您不接受该协议规定的所有条款和条件，请勿安装本软件。根据情况，您可以将产品退回 McAfee, Inc. 或原购买处以获得全额退款。

2 McAfee Security‑as‑a‑Service 扩展用户手册与 ePolicy Orchestrator® 4.6.0 软件配合使用

目录

前言 5关于本手册 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5

读者 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5约定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5

查找产品文档 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6

1 Security-as-a-Service 扩展介绍 7管理 McAfee SaaS 保护服务 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7必要组件 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7组件设置与集成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8

2 安装和配置扩展 9安装和设置概述 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9添加到 ePolicy Orchestrator 环境的功能 . . . . . . . . . . . . . . . . . . . . . . . . . . 10

功能配置概述 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10安装产品扩展 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11配置已注册的服务器 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13

注册 SecurityCenter 帐户 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14查看或编辑已注册的 SecurityCenter 帐户列表 . . . . . . . . . . . . . . . . . . . . . 15删除已注册的 SecurityCenter 帐户 . . . . . . . . . . . . . . . . . . . . . . . . . 15

与 SecurityCenter 同步数据 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16关于同步数据 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17在系统树中创建同步点 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17从 SecurityCenter 同步数据 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19查看同步点的状态 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21

配置权限集 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22配置用户角色的权限集 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22

配置同步管理员帐户 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23创建或更新同步管理员帐户 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23

3 监视和管理 McAfee SaaS 安全性 25监视流程概述 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25用于监控保护服务的功能 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26Security-as-a-Service 信息显示板和监视器 . . . . . . . . . . . . . . . . . . . . . . . . . . 26Security-as-a-Service 查询和报告 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28

预定义查询 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28自定义查询和报告 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28

“系统信息”页 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28威胁事件日志 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29

清除威胁事件 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30打开 SecurityCenter . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30与其他 McAfee 产品的兼容性 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30

使用 McAfee Risk Advisor 时的注意事项 . . . . . . . . . . . . . . . . . . . . . . . 31

McAfee Security‑as‑a‑Service 扩展用户手册与 ePolicy Orchestrator® 4.6.0 软件配合使用 3

4 故障排除 33故障排除解决方法 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 33手动删除文件和事件 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 35

手动删除数据 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 36查找更多信息 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37

索引 39

目录


前言

本手册将提供产品使用各阶段（从安装到配置再到故障排除）所需的信息。

目录关于本手册查找产品文档

关于本手册下文介绍本手册的目标读者、使用的印刷约定和图标以及组织结构。

读者McAfee 文档经过仔细调研并面向目标读者编写。

本指南中的信息主要面向以下人员：

• 管理员 ‑ 执行和实施公司安全计划的人员。

约定本手册使用下列印刷约定和图标。

“手册标题”或强调手册、章节或主题的标题；新术语的介绍；强调。

粗体着重强调的文本。

用户输入或路径用户键入的命令和其他文本；文件夹或程序的路径。

代码代码示例。

“用户界面” 用户界面（包括选项、菜单、按钮和对话框）中的文字。

超文本（蓝色）指向某个主题或网站的活动链接。

附注：附加信息，例如访问某个选项的替代方法。

提示：意见和建议。

重要事项/注意：有关保护计算机系统、软件安装、网络、企业或数据的有用建议。

警告：在使用硬件产品时，防止受到人身伤害的重要建议。


查找产品文档McAfee 提供了产品实施各阶段（从安装到日常使用再到故障排除）所需的信息。在发行某个产品后，有关此产品的信息将输入到 McAfee 在线知识库中。

任务1 转到 McAfee 技术支持 ServicePortal，网址为 http://mysupport.mcafee.com。

2 在 “Self Service”（自助服务）下，访问所需类型的信息：

要访问... 操作方法...

用户文档 1 单击“Product Documentation”（产品文档）。

2 选择产品，然后选择版本。

3 选择产品文档。

知识库 • 单击“Search the KnowledgeBase”（搜索知识库）以获取产品问题的解答。

• 单击“Browse the KnowledgeBase”（浏览知识库）以查看按产品和版本列出的文章。

前言查找产品文档


http://mysupport.mcafee.com

1 Security-as-a-Service 扩展介绍

McAfee® Security‑as‑a‑Service 报告扩展使您可以监控受 McAfee Security‑as‑a‑Service (McAfee SaaS) 服务保护并通过 McAfee® SecurityCenter 管理网站托管的计算机的状态。

该扩展与 McAfee® ePolicy Orchestrator (McAfee ePO™) 软件版本 4.6 或更高版本搭配使用。

目录管理 McAfee SaaS 保护服务必要组件组件设置与集成

管理 McAfee SaaS 保护服务 Security‑as‑a‑Service 报告扩展使您可以利用 ePolicy Orchestrator 控制台来监控受 McAfee SaaS 服务保护的托管系统的状态和事件信息。

McAfee SaaS 保护服务订购中含有一个用于基于 Web 的管理工具的帐户。该工具称为 SecurityCenter，其中包含：

• 数据库服务器 — 维护有关 McAfee SaaS 保护服务和受这些服务保护的计算机的信息。

• SecurityCenter 控制台 — 显示数据库中的信息，以管理安装了 McAfee SaaS 服务的系统（例如通过创建策略和详细检测报告）。

该扩展在 ePolicy Orchestrator 服务器和一个或多个 SecurityCenter 帐户间建立了通信链接。然后，扩展从SecurityCenter 数据库提取（或复制）数据并将数据与 ePolicy Orchestrator 数据库同步。您可以使用该扩展提供的监控与报告功能在 ePolicy Orchestrator 控制台中查看基本的 SaaS 信息。

必要组件利用 Security‑as‑a‑Service 扩展管理 McAfee SaaS 保护服务要求设置并运行下列组件。• ePolicy Orchestrator 4.6（或更高版本）服务器和数据库 — 该企业级安全管理工具可监控运行 McAfee 安全产品的

托管系统上的活动并创建报告。

• McAfee SecurityCenter — 这是用于 McAfee SaaS 服务的一个基于 Web 的管理工具。供站点管理员用来安装客户端软件、部署策略、监视活动和检测项、创建报告以及管理帐户信息。

• Security‑as‑a‑Service 扩展 — 此软件可在 SecurityCenter 和 ePolicy Orchestrator 服务器及数据库之间提供接口。

• McAfee SaaS 保护服务— 此类保护服务可为客户端计算机系统监控和报告活动，检测威胁并作出响应。某些保护服务还涉及帐户配置或安装客户端软件组件等操作。

1


组件设置与集成在 ePolicy Orchestrator 环境运行之后，您需要执行四项任务，以便在管理组件和 McAfee SaaS 保护服务之间设置正确的交互。

如果已设置了 SecurityCenter 管理帐户，并且已经为 McAfee SaaS 保护服务执行了任何必需的安装、激活或配置，请从任务 3 开始。

流程概述

1 — 在 SecurityCenter 中设置一个管理帐户。

订购 McAfee SaaS 服务时，McAfee 或您的服务提供商：

• 为您创建一个帐户。

• 设置一个基于 Web 的管理工具，即 SecurityCenter。SecurityCenter 用于管理受 McAfee SaaS 服务保护的计算机的状态。

• 向您发送用于登录 SecurityCenter 控制台的凭据。您需要登录帐户并配置所需的设置。

2 — 根据需要安装客户端软件并激活保护服务。

某些保护服务要求在客户端计算机上安装软件、执行激活或配置后，才能开始提供保护。有关更多信息，请参阅您在订购 McAfee SaaS 服务时收到的欢迎电子邮件，以及 SecurityCenter 控制台的“帮助和支持”页面中提供的文档。

在继续操作前，验证 McAfee SaaS 托管系统的数据是否显示在 SecurityCenter 控制台中。例如，检查“计算机”页以确认帐户中的托管系统是否已显示出来。检查“信息显示板”页上的小组件可以快速查看状态和检测信息。只有信息显示在SecurityCenter 中时，才能在 ePolicy Orchestrator 控制台中查看该信息。

3 — 安装和设置扩展。

本手册和快速入门手册（位于 SecurityCenter 控制台中“实用工具”页的“ePO 服务器”选项卡上）提供了相关说明。

4 — 从两个位置管理受 McAfee SaaS 服务保护的计算机。

安装完成后，您可以从以下两个控制台访问托管系统的信息：

• ePolicy Orchestrator 控制台 — 监控状态和事件信息。需要安装客户端软件、配置策略或执行其他管理任务时，选择“Security‑as‑a‑Service”信息显示板上“McAfee SecurityCenter”监视器中的链接以打开 SecurityCenter 控制台。

• SecurityCenter 控制台 — 创建自定义策略、安装客户端软件和运行详细报告。有关更多信息，请参阅 McAfee®

SaaS Endpoint Protection 文档，该文档位于 SecurityCenter 控制台的“帮助和支持”页上。

1 Security-as-a-Service 扩展介绍组件设置与集成


2 安装和配置扩展

以下主题介绍了如何安装、设置和配置扩展的功能。

目录安装和设置概述添加到 ePolicy Orchestrator 环境的功能安装产品扩展配置已注册的服务器与 SecurityCenter 同步数据配置权限集配置同步管理员帐户

安装和设置概述安装和设置该扩展需要执行四个常规任务。

流程概述1 下载并安装扩展。

从 SecurityCenter 或 ePolicy Orchestrator 控制台下载产品扩展的 .zip 文件，然后从 ePolicy Orchestrator 控制台安装它。

2 将您的 SecurityCenter 帐户注册到 ePolicy Orchestrator 软件。

这需要 SecurityCenter 管理帐户的登录凭据。如果您没有，请在执行此任务前先创建一个同步管理员帐户。

3 创建容器（同步点）以用于系统树中的 McAfee SaaS 数据。

从 McAfee SaaS 托管系统同步的数据将放在此容器中。

4 将 SecurityCenter 中的 SaaS 数据与 ePolicy Orchestrator 数据库同步。

这使得该扩展和 ePolicy Orchestrator 软件的监控和报告功能可以访问新的 McAfee SaaS 数据。

另请参阅安装产品扩展第 11 页创建或更新同步管理员帐户第 23 页注册 SecurityCenter 帐户第 14 页在系统树中创建同步点第 17 页从 SecurityCenter 同步数据第 19 页

2


添加到 ePolicy Orchestrator 环境的功能该扩展在 ePolicy Orchestrator 环境中新增或使用以下功能，以便从 SecurityCenter 帐户获取数据并将它与 ePolicyOrchestrator 服务器同步。

表 2-1 为同步 SaaS 数据新增的功能

功能详细信息

已注册的服务器

要求一种类型的已注册数据服务器：• “SecurityCenter 帐户”— 注册时需要提供您要注册的各个 SecurityCenter 帐户的管理登录凭据。

服务器任务新增了一个预先配置的计划提取任务：• “SaaS 数据同步”— 从已注册的 SecurityCenter 帐户提取数据并将这些数据与 ePolicy Orchestrator 数

据库同步。此服务器任务默认为禁用。

在“操作”菜单上添加了一个新选项：

• “同步 SaaS 系统”

系统树在“组详细信息”选项卡中新增了两个“操作”菜单选项：• “管理组同步设置”— 让您可将组关联到已注册的 SecurityCenter 帐户。（该组变为这个帐户的同步点。）

• “列出所有 SaaS 同步点” — 显示各个已注册 SecurityCenter 帐户近一次同步 SaaS 数据的时间。

权限集添加两个预配置的用户角色：• “SaaS 管理员” — 默认情况下，SaaS 管理员可以创建、编辑或删除 SaaS 已注册服务器、服务器任务

和查询。

• “SaaS 审阅者” — 默认状态下，SaaS 审阅者可以查看已注册的服务器、查看同步的数据，以及运行查询。

该扩展还添加了用于监控同步数据的功能。这些功能在本文档中的别处予以说明。

另请参阅用于监控保护服务的功能第 26 页配置已注册的服务器第 13 页与 SecurityCenter 同步数据第 16 页配置权限集第 22 页

功能配置概述使用 ePolicy Orchestrator 控制台设置或更改该扩展中基本功能的操作方式。

表 2-2 始终必需的配置任务

对于此... 执行这些任务...

已注册的服务器对于每个 SecurityCenter 帐户：• 将 SecurityCenter 帐户注册到 ePolicy Orchestrator 服务器，以作为外部数据库服务器。这需

要 SecurityCenter 帐户的管理登录凭据。

如果您没有管理帐户登录凭据，请在使用此功能前创建一个同步管理员帐户。

SaaS 数据同步服务器任务

对于每个已注册的 SecurityCenter 帐户：• 在系统树中配置一个同步点。这是用于存储从 McAfee SaaS 提取的 SecurityCenter 数据的位

置。

• 配置服务器任务，然后立即运行该任务或使其定期自动运行。

在扩展安装时已创建了一个服务器任务。请根据需要为其他已注册 SecurityCenter 帐户创建另外的服务器任务。

2 安装和配置扩展添加到 ePolicy Orchestrator 环境的功能


表 2-3 有时需要的配置任务

对于此... 执行这些任务...

用户角色的权限集对于在您的 ePolicy Orchestrator 环境中使用该扩展的管理员：• 将 Security‑as‑a‑Service 用户角色授权给现有的权限集，或创建新的权限集再进行添加。（有关

更多信息，请参阅 ePolicy Orchestrator 文档。）

• 为每个角色指定访问（读/写）权限集。

同步管理员帐户对于没有 SecurityCenter 管理帐户凭据的用户：• 创建一个同步管理员帐户。

需要该帐户才能配置已注册服务器和服务器任务。

如果需要同步管理员帐户，SecurityCenter 的“实用工具”页上的“ePO 服务器”选项卡中会显示用于创建和编辑帐户的链接。

另请参阅安装产品扩展第 11 页注册 SecurityCenter 帐户第 14 页在系统树中创建同步点第 17 页从 SecurityCenter 同步数据第 19 页

安装产品扩展要使 McAfee SaaS 保护服务能够由 ePolicy Orchestrator 软件进行管理，您必须首先下载并安装Security‑as‑a‑Service 扩展。

开始之前如果以前安装和卸载过该扩展，您需要手动删除一些遗留的文件。

任务有关选项定义，请单击界面中的“?”。

1 使用以下方式之一下载扩展：

从 ePolicy Orchestrator 控制台

a 单击“菜单” | “软件” | “软件管理器” | “扩展”.

b 在“产品类别”窗格中，单击“管理解决方案”。

安装和配置扩展安装产品扩展 2


c 在右侧窗格的“软件”下，单击“McAfee SaaS <版本号>”。

d 在右侧窗格的“组件”下，找到该扩展，然后单击“下载”。

e 在“文件下载”对话框中，将 McAfee Security‑as‑a‑Service.zip 文件保存到本地文件夹，然后单击“确定”。

从 SecurityCenter 控制台

a 在“实用工具”页中，单击“ePO 服务器”选项卡。

b 单击链接以下载该扩展。

c 在“文件下载”对话框中，将 McAfee Security‑as‑a‑Service.zip 文件保存到本地文件夹，然后单击“确定”。

2 安装和配置扩展安装产品扩展


2 从 ePolicy Orchestrator 控制台中，单击 “菜单” | “软件” | “扩展”，在“扩展”窗格中选择 “McAfeeSecurity‑as‑a‑Service”，然后在右侧窗格中单击“安装扩展”。

另请参阅手动删除文件和事件第 35 页手动删除数据第 36 页

配置已注册的服务器要启用扩展与 SecurityCenter 数据库之间的通信，您需要将每个 SecurityCenter 帐户注册到 ePolicy Orchestrator 服务器。您可以从 ePolicy Orchestrator 控制台执行该操作。

注册时需要提供您要注册的各个 SecurityCenter 管理帐户的登录凭据。

注册 SecurityCenter 帐户时，您的 ePolicy Orchestrator 服务器将被 SecurityCenter 识别为已注册的 ePolicyOrchestrator 服务器。您可以从 SecurityCenter 控制台“实用工具”页上的“ePO 服务器”选项卡中查看已注册的 ePolicyOrchestrator 服务器的列表。

安装和配置扩展配置已注册的服务器 2


表 2-4 已注册服务器的任务

从此控制台…… 您可以……

ePolicy Orchestrator • 注册帐户。

• 编辑注册信息。

• 查看已注册的帐户的列表。

• 删除已注册的帐户。

在 ePolicy Orchestrator 控制台中注册或删除帐户后，SecurityCenter 控制台的“信息显示板”页上会显示警报。

SecurityCenter • 查看有关您在其中注册了 SecurityCenter 帐户的 ePolicy Orchestrator 服务器的信息。

• 删除 ePolicy Orchestrator 服务器中的注册。

有关说明，请参阅 McAfee SaaS Endpoint Protection 文档，该文档位于 SecurityCenter 控制台的“帮助和支持”选项卡上。

注册 SecurityCenter 帐户将您的 SecurityCenter 帐户注册到 ePolicy Orchestrator 软件，使扩展可以提取 McAfee SaaS 数据并将数据与 ePolicyOrchestrator 数据库同步。

开始之前如果您没有 SecurityCenter 管理帐户的登录凭据，请创建一个同步管理员帐户。

无论何时注册帐户时，SecurityCenter 控制台的“信息显示板”页上都会显示一条警报。

如果有多个 SecurityCenter 帐户，请分别进行注册。


1 从 ePolicy Orchestrator 控制台中，单击“菜单” | “配置” | “已注册的服务器”，然后单击“新建服务器”。

已注册的服务器生成器向导随即打开，并显示“描述”页。

2 从“服务器类型”列表中，选择 “SaaS SecurityCenter”，指定名称和任何注释，然后单击“下一步”。

3 从“SecurityCenter 位置”列表中，选择托管您的帐户的数据中心。

该数据中心由用于访问 SecurityCenter 控制台的 URL 的域部分（例如 www.mcafee.com 或www.yourserviceprovider.com）标识。如果您不确定要选择哪个数据中心，请查看您订购 McAfee SaaS 保护服务时收到的欢迎电子邮件中提供的 URL。

2 安装和配置扩展配置已注册的服务器


4 输入用于登录 SecurityCenter 帐户的凭据。

购买 McAfee SaaS 保护服务的订购时，您会从服务提供商发来的欢迎电子邮件中收到这些凭据。如果 McAfee 或您的服务提供商没有发送凭据，请使用同步管理员帐户的凭据。

5 通过单击以下按钮之一保存您的设置：• “ 保存设置并向 SecurityCenter 注册” — 保存信息并注册该服务器。

• “保存”（右下角）— 保存信息但不注册。您可以在以后完成注册，不必再输入该信息。

完成注册后，帐户的电子邮件地址会显示在默认“Security‑as‑a‑Service”信息显示板的“McAfee SecurityCenter”监视器中，其中还包含指向 SecurityCenter 控制台上各页面的链接。

另请参阅清除威胁事件第 30 页创建或更新同步管理员帐户第 23 页

查看或编辑已注册的 SecurityCenter 帐户列表在 ePolicy Orchestrator 控制台中查看已注册 SecurityCenter 帐户的列表，并根据需要编辑其设置。


1 单击“菜单” | “配置” | “已注册的服务器”以显示所有已注册的服务器的列表。

2 若要查看某台服务器的设置，请从列表中选择该已注册的服务器，然后单击“操作” | “编辑”。

3 根据需要更改设置，然后单击“保存”。

删除已注册的 SecurityCenter 帐户删除已不再使用的 SecurityCenter 帐户的注册信息。这相当于“取消注册”已注册的服务器。

删除已注册的服务器时，SecurityCenter 控制台的“信息显示板”页上会显示一条警报。


1 单击“菜单” | “配置” | “已注册的服务器”.

2 从列表中选择已注册的服务器，然后单击“操作” | “删除”.

安装和配置扩展配置已注册的服务器 2


3 删除系统树中用作已删除帐户的同步点的组容器。

a 单击“菜单” | “系统” | “系统树”.

b 在“系统树”窗格中，选择组容器。

c 单击“系统树操作” | “删除组”.

4 决定是否清除已删除帐户的威胁事件。• 如果要取消 SecurityCenter 帐户，可以保留威胁事件以供参考。

• 如果您计划以后重新注册相同的 SecurityCenter 帐户，可清除所有威胁事件。否则，为重新注册的帐户同步数据时将提取历史数据，这可能会产生重复的事件条目。

另请参阅清除威胁事件第 30 页

与 SecurityCenter 同步数据在 ePolicy Orchestrator 控制台中查看 McAfee SaaS 数据之前，必须从已注册的 SecurityCenter 帐户提取数据，并将数据与 ePolicy Orchestrator 服务器和数据库同步。

安装扩展后，将创建一个 SaaS 数据同步服务器任务，并对其进行预配置以从已注册的 SecurityCenter 帐户提取数据。

同步的数据会显示在系统树中和“Security‑as‑a‑Service”信息显示板上的监视器中，并且您可以对这些数据运行查询。

在以后的更新中，SaaS 数据会更新并进行同步，以反映来自 SecurityCenter 帐户的更新数据。

数据的放置位置：同步点

McAfee SaaS 托管系统的数据放置在系统树的容器中，其称为同步点。在首次运行服务器任务之前，您需要创建该容器。您可以从该位置查看受 McAfee SaaS 服务保护的组和计算机。

如果有多个 SecurityCenter 帐户，请为每个帐户创建同步点和服务器任务。请在系统树的根级别上创建各个同步点；不要将一个组嵌套在另一个组中。

完整数据同步与增量数据同步

在数据同步任务第一次从 SecurityCenter 帐户提取 SaaS 数据时，它会提取近 30 天内的所有相关数据。数据量是决定同步任务所需时间长短和所用系统资源多少的其中一个因素。对于同一 SecurityCenter 帐户，首次数据同步任务使用的系统资源预计要比以后的数据同步任务要多。

以后的数据同步任务仅提取上次同步以来新增或更改的数据。这通常只影响少量数据，因此这样的更新一般只需用到网络、ePolicy Orchestrator 服务器和 ePolicy Orchestrator 数据库（可能运行于不同的系统上）上的较少资源。

按需数据同步与计划的数据同步

您可以根据需要随时同步 SaaS 数据，也可以计划在固定的间隔自动进行 SaaS 数据同步。

可以将同步计划为在网络需求和 ePolicy Orchestrator 控制台活动较少的时段内运行。尤其是在第一次从SecurityCenter 帐户提取数据时，这可能是一项重要的考虑因素。

2 安装和配置扩展与 SecurityCenter 同步数据


关于同步数据通过选择 SaaS 数据同步服务器任务的选项，您可以为 McAfee SaaS 保护服务指定要检索的数据类型。

SaaS 数据同步服务器任务可检索下列类型的数据：

• 终端（托管系统） • 保护状态

• 在其中组织托管系统的组 • 与特定保护服务相关的摘要信息，如所扫描的电子邮件或网站的数量

• 事件（如检测、被阻止的通信或被阻止的网站）

SaaS 数据同步完成后，您可以在 ePolicy Orchestrator 控制台中使用 ePolicy Orchestrator 软件和Security‑as‑a‑Service 扩展提供的监控功能来访问数据。

另请参阅用于监控保护服务的功能第 26 页

在系统树中创建同步点在系统树中创建一个容器，从 SecurityCenter 帐户提取 McAfee SaaS 保护服务的数据并与 ePolicy Orchestrator 数据库同步后，这些数据将被放入该容器中。该容器称为同步点.

开始之前将您的 SecurityCenter 帐户注册到 ePolicy Orchestrator 软件。您必须为系统树和服务器任务权限集配置正确的权限。有关配置权限集的信息，请参阅 ePolicy Orchestrator 文档。

如果有多个 SecurityCenter 帐户，请在系统树的根级别分别为各个帐户创建一个同步点。不要将一个同步容器嵌入到另一个中。

安装和配置扩展与 SecurityCenter 同步数据 2



1 从 ePolicy Orchestrator 控制台中，单击 “菜单” | “系统” | “系统树”.

2 单击“系统树操作” | “新建子组”.

3 键入新子组的名称。

4 在“系统树”窗格中，选择新组，然后单击“组详细信息”选项卡。



5 单击“操作” | “SaaS SecurityCenter” | “管理组同步设置”.

6 选择已注册的 SecurityCenter 帐户。

7 通过单击以下按钮之一保存您的设置：• “保存设置并立即同步” — 保存同步设置并立即提取数据。

• “保存”（右下角）— 保存设置但不提取数据。您可以在以后执行同步，不必再输入该信息。

从 SecurityCenter 同步数据您可以从已注册的 SecurityCenter 帐户提取 McAfee SaaS 数据，并通过运行服务器任务将这些数据与 ePolicyOrchestrator 数据库同步。该任务可以按需运行，也可以定期自动运行。例如，您可以将提取数据任务计划在每个晚上网络非繁忙时段中的同一时间运行。

开始之前将各个 SecurityCenter 帐户注册到ePolicy Orchestrator 软件，并在系统树中创建其同步点。您必须为服务器任务权限集配置正确的权限。有关配置权限集的信息，请参阅 ePolicy Orchestrator 文档。



同步完 SaaS 数据后，McAfee SaaS 托管系统会显示在系统树中，而 SaaS 数据会显示在“Security‑as‑a‑Service”信息显示板上的监视器中。

如果删除了现有的同步点，与之相关的服务器任务将不再运行。如果重新创建同步点，您需要重新配置其服务器任务或创建新服务器任务来为其同步数据。重新创建同步点不会使与同步点的以前实例相关的服务器任务自动开始为该同步点的新实例同步数据。


1 从 ePolicy Orchestrator 控制台中，单击 “菜单” | “自动” | “服务器任务”.

2 如果这是您第一次使用该服务器任务来同步数据，则需要进行配置：

a 在列表中找到“SaaS 数据同步”任务，然后单击“编辑”。

b 在向导中的“描述”页上键入所需的注释，选择是否要启用计划，然后单击“下一步”。

如果希望定期自动运行服务器任务，请选择“启用”，然后在此任务后面的步骤中配置计划选项。无论这些选项为启用还是禁用状态，您都可以配置它们。

c 在“操作”列表中，确保已选择“同步 SaaS 系统”。



d 选择此任务的同步点，然后单击“下一步”。

要同步的数据类型已预先选好。

e 选择计划选项，然后单击“下一步”。

除非在此任务前面的步骤中启用了计划，否则可忽略这些选择。您可以配置和保存选项，然后根据需要启用和禁用它们。

f 检查摘要信息，然后单击“保存”。

3 要随时运行该任务，请单击“菜单” | “自动” | “服务器任务”，在列表中选定该任务，然后单击“运行”。

如果已启用了计划，服务器任务会以计划的间隔自动运行。

另请参阅在系统树中创建同步点第 17 页创建或更新同步管理员帐户第 23 页

查看同步点的状态验证系统树中的所有同步点的 McAfee SaaS 数据是否均为新。




1 从 ePolicy Orchestrator 控制台中，单击“菜单” | “系统” | “系统树”，然后选择一个组。

2 在“组详细信息”选项卡中，单击“操作” | “SaaS SecurityCenter” | “列出所有 SaaS 同步点”，然后查看为各个同步点列出的“上次同步时间”以及其他信息。

配置权限集权限集是授予用户帐户的一组访问权限，以便用户能使用产品的特定功能。权限集只授予权限 — 决不会取消权限。

对于全局管理员，自动为其分配了所有产品和功能的全部权限。对于其他用户，则必须为其手动分配权限。全局管理员创建或编辑用户帐户和权限集时，可以分配现有权限集。

有关权限集的更多信息，请参阅 ePolicy Orchestrator 文档。

Security‑as‑a‑Service 权限集

该扩展向权限集添加了一个“Security‑as‑a‑Service”区域，其中包含两个预配置的用户角色。这些用户角色定义了对扩展功能的访问权限。全局管理员必须将 Security‑as‑a‑Service 用户角色授予现有权限集，或创建新的权限集并进行添加。

表 2-5 Security‑as‑a‑Service 用户角色的权限

用户角色默认权限

“SaaS 审阅者” 查看注册的服务器，查看同步的数据，以及运行查询。

“SaaS 管理员” 创建、编辑或删除注册的服务器、服务器任务和查询。

若有必要，全局管理员可以更改为这些角色定义的权限，或为新角色创建权限集。

其他必需的权限集

ePolicy Orchestrator 需要权限来授予对与扩展一起使用的其他功能（包括查询和信息显示板）的访问权限。例如，要管理 SaaS 数据同步和同步的数据，用户需要威胁事件日志的查看权限、系统的查看权限、系统树访问的查看权限以及SaaS 数据同步服务器任务的查看和更改权限。

表 2-6 每个功能所需的权限

功能所需的权限集

信息显示板信息显示板、查询

查询查询

服务器任务服务器任务

SaaS 托管系统上的事件系统、系统树访问、威胁事件日志

配置用户角色的权限集更新为 ePolicy Orchestrator 环境定义的 Security‑as‑a‑Service 用户角色所分配的读/写访问权限。

开始之前确定您要为其授予访问权限和其他权限集的扩展功能，只有在分配了这些权限后才能访问该功能的所有方面。

2 安装和配置扩展配置权限集



1 从 ePolicy Orchestrator 控制台中，单击“菜单” | “用户管理” | “权限集”.

2 选择一个用户角色。• “SaaS 管理员”— 可以创建、编辑或删除已注册的服务器、服务器任务和查询。

• “SaaS 审阅者”— 可以查看已注册的服务器和已同步的数据，并运行查询。

3 从“操作”列表中，选择“编辑”。

4 为各个功能选择权限：• “无”

• “仅查看设置”

• “查看和更改设置”

5 单击“保存”。

若要创建其他角色，请参阅 ePolicy Orchestrator 文档。

配置同步管理员帐户诸如在 SecurityCenter 服务器和其他服务器之间进行通信等任务都要求使用 SecurityCenter 管理帐户的登录凭据。

如果您没有 SecurityCenter 管理帐户，则需要先创建同步管理员帐户，然后才能执行这些任务。此帐户仅可为这些任务提供访问 SecurityCenter 所需的凭据。（管理帐户的凭据通常由 McAfee 或您向其购买 McAfee SaaS 保护服务的提供商提供。）

使用同步管理员帐户执行以下操作：

• 将 SecurityCenter 帐户注册到 ePolicy Orchestrator 软件。

• 运行或计划 SecurityCenter 服务器与 Active Directory 或 ePolicy Orchestrator 服务器之间的数据同步。

• 使用 Push Install 实用工具从 SecurityCenter 控制台将客户端软件部署到 Active Directory 域中的系统。

仅可为每个 SecurityCenter 帐户创建一个同步管理员帐户。

如果需要同步管理员帐户，SecurityCenter 中“实用工具”页的“Active Directory 配置”或“ePO 服务器”选项卡上会显示用于创建和编辑帐户的链接。

创建或更新同步管理员帐户如果您没有 SecurityCenter 管理帐户，则需要先创建一个同步管理员帐户，然后才能执行要求 SecurityCenter 服务器与其他服务器进行通信的任务。

仅可为每个 SecurityCenter 帐户创建一个同步管理员帐户。

如果您拥有 SecurityCenter 管理帐户，则系统不会显示本任务中介绍的链接。仅在需要同步管理员帐户时才会显示这些链接。

安装和配置扩展配置同步管理员帐户 2



1 从 SecurityCenter 控制台中，单击“实用工具”选项卡，然后执行以下操作之一：• 单击“ePO 服务器”选项卡。

• 单击“Active Directory 配置”选项卡。

如果您需要在执行任务前创建管理员帐户，会显示一条消息以及“创建”链接。如果已存在管理员帐户，则会显示该帐户的电子邮件地址以及“编辑”链接。

2 单击相应的链接。• “创建”— 输入新帐户的电子邮件地址和密码。

• “编辑”— 更新现有帐户的电子邮件地址或密码。

3 单击“保存”。

2 安装和配置扩展配置同步管理员帐户


3 监视和管理 McAfee SaaS 安全性

通过扩展功能，您可以监控托管系统和保护服务的状态，并使用 ePolicy Orchestrator 控制台发现问题。

目录监视流程概述用于监控保护服务的功能 Security-as-a-Service 信息显示板和监视器 Security-as-a-Service 查询和报告 “系统信息”页威胁事件日志打开 SecurityCenter 与其他 McAfee 产品的兼容性

监视流程概述我们建议使用以下两种方式在 ePolicy Orchestrator 环境中监控和管理 McAfee SaaS 保护服务。

1 从 ePolicy Orchestrator 控制台查看已同步的 SaaS 数据。通过使用 ePolicy Orchestrator 控制台中的监视功能，检查 SaaS 数据并识别与 McAfee SaaS 托管系统相关的问题。

表 3-1 访问监控功能的位置

数据类型查看位置

图表和图形形式的状态与活动摘要信息 “Security‑as‑a‑Service”信息显示板和监视器

有关 McAfee SaaS 托管系统状态的可选信息类型

“Security‑as‑a‑Service”查询和报告

McAfee SaaS 保护服务和其属性 “系统信息”页上的“SaaS 产品”选项卡和详细监视数据

McAfee SaaS 托管系统检测事件的详细信息威胁事件日志；Security‑as‑a‑Service 监视器、查询和报告

受 McAfee SaaS 服务保护的组和系统系统树中“系统”选项卡上

各个同步点的同步状态在系统树中，在“组详细信息”选项卡上单击“操作” | “SaaSSecurityCenter” | “列出所有 SaaS 同步点”

2 从 SecurityCenter 控制台解决问题。访问 SecurityCenter 控制台以在托管系统上安装客户端软件，配置策略，以及采取其他步骤来解决问题。默认的“Security‑as‑a‑Service”信息显示板提供了通过“McAfee SecurityCenter”监视器轻松进行访问的方法，该监视器包含指向各个已注册帐户对应的 SecurityCenter 控制台的直接链接。

有关使用 SecurityCenter 功能的更多信息，请参阅 McAfee SaaS Endpoint Protection 文档，该文档位于SecurityCenter 控制台的“帮助和支持”页上。

通过其他 McAfee 产品监视安全性的相关注意事项务必要检查并解决该扩展与 ePolicy Orchestrator 环境中运行的其他 McAfee 软件之间的任何兼容性问题。

3


另请参阅 Security-as-a-Service 信息显示板和监视器第 26 页Security-as-a-Service 查询和报告第 28 页“系统信息”页第 28 页威胁事件日志第 29 页打开 SecurityCenter 第 30 页与其他 McAfee 产品的兼容性第 30 页

用于监控保护服务的功能该扩展新增了用于查看和监控 McAfee SaaS 保护服务的同步数据的功能。

表 3-2 用于监视 SaaS 数据的功能

针对 McAfeeePO 软件的这项功能...

扩展添加了...

信息显示板一个预配置信息显示板：• “Security‑as‑a‑Service”— 显示与 SecurityCenter 控制台的“信息显示板”页中显示的小组件对应

的监视器。

查询预配置的查询和用于生成自定义查询的选项：• 新的共享查询组“Security‑as‑a‑Service”，其中包括一组与 SaaS 数据相关的查询。

• 查询生成器中的新的查询结果类型组“Security‑as‑a‑Service”。该组包含与 SaaS 数据相关的一组查询目标。

系统树在“组详细信息”选项卡上，添加了两个“操作”菜单选项：• “SaaS SecurityCenter” | “管理组同步设置” — 可用于将系统树中的组容器与注册的

SecurityCenter 帐户关联。（它变为这个帐户的同步点。）

• “SaaS SecurityCenter” | “列出所有 SaaS 同步点” — 显示各个已注册帐户近一次同步数据的时间。

系统信息页 • 新的 “SaaS 产品”选项卡。

• 一组新的可自定义的详细信息监视器。

Security-as-a-Service 信息显示板和监视器安装扩展后，将创建预配置的“Security‑as‑a‑Service”信息显示板。该信息显示板会显示一系列“Security‑as‑a‑Service”监视器。

信息显示板是一系列监视器的集合，这些监视器是用来管理您的环境的基本工具。如果您有相应的权限，可以创建和编辑多个信息显示板。

默认 Security‑as‑a‑Service 信息显示板

该扩展提供了一个默认信息显示板，其中包含与 SecurityCenter 中“信息显示板”页上的小组件对应的监视器。小组件是一种小型交互式报告，可为您的帐户提供相关的摘要和概述信息。

3 监视和管理 McAfee SaaS 安全性用于监控保护服务的功能


如果您注册了多个 SecurityCenter 帐户并为其同步数据，监视器会显示所有这些帐户的摘要数据。

“Security‑as‑a‑Service” 信息显示板可使用下列 SaaS 数据监视器：

表 3-3 Security‑as‑a‑Service 监视器

此监视器... 显示...

“McAfee SecurityCenter” 各个已注册 SecurityCenter 帐户的链接。选择一个链接，可打开浏览器窗口并显示SecurityCenter 控制台中的页面。

“SaaS 病毒和间谍软件防护覆盖范围”

您的帐户中保护状态为新、过期和未安装的计算机的数量。新状态的计算机表示已下载新的威胁检测定义 (DAT) 文件。保护状态为过期的计算机需要更新其 DAT文件。单击小组件饼图上的色块可显示特定类别计算机的列表。

“SaaS 防火墙保护覆盖范围” 您的帐户中已安装和未安装保护的计算机的数量。单击小组件饼图上的色块可显示特定类别计算机的列表。

“SaaS 浏览器保护覆盖范围” 您的帐户中已安装和未安装保护的计算机的数量。单击小组件饼图上的色块可显示特定类别计算机的列表。

“SaaS 检测到多威胁的计算机”

过去 7 天中检测到威胁数多的计算机。单击计算机名称或检测数可显示详细信息。

“SaaS 阻止站点多的计算机” 过去 7 天内浏览器保护服务阻止的站点数量多的计算机。单击计算机名称或检测数可显示详细信息。

“ 近 30 天的 SaaS 活动摘要” 过去一个月内每天检测到的威胁数。

“SaaS 浏览器保护 30 天摘要” 在过去 30 天尝试对站点安全评级分类为阻止网站的网站进行访问的历史记录。单击类别可显示详细信息。

“SaaS Web 过滤 30 天摘要” 过去 30 天内尝试访问 Web 过滤服务根据内容过滤的策略设置阻止用户或向用户发出警告的网站的历史记录。单击类别可显示详细信息。

“SaaS 电子邮件保护 7 天趋势” SaaS 电子邮件保护服务过去一周内每天检测到的电子邮件威胁数量和类型。单击类别可显示详细信息。

“SaaS 电子邮件保护 7 天摘要” 过去一周内发送到您帐户的电子邮件总数、SaaS 电子邮件保护服务检测到的威胁的数量和类型，以及不包含威胁的电子邮件数量。单击类别可显示详细信息。

“SaaS 漏洞扫描/PCI 认证” 近一次扫描检测到的漏洞总数。它将严重性等级划分为低、中、高、关键或紧急。单击类别可显示详细信息。

监视和管理 McAfee SaaS 安全性Security-as-a-Service 信息显示板和监视器 3


自定义信息显示板您可以创建自定义信息显示板，并选择要显示的监视器和查询。

有关创建和使用信息显示板的更多信息，请参阅 ePolicy Orchestrator 文档。

Security-as-a-Service 查询和报告该扩展包括通过 ePolicy Orchestrator 软件生成查询和报告的功能。您可以根据 ePolicy Orchestrator 数据库中存储的属性创建查询，或使用预定义的查询。有关更多信息，请参阅ePolicy Orchestrator 文档。

该扩展将以下报告功能添加到 ePolicy Orchestrator 环境：

• 若干可直接运行或经编辑后运行的自定义查询。

• 查询生成器中的一个查询结果类型组“Security‑as‑a‑Service”。该组包含与 SaaS 数据相关的一组查询目标，使您可以创建自定义查询。

可以组织和维护自定义查询以符合您的需求，然后用它们运行报告。报告可导出为多种文件格式。

预定义查询该扩展提供多个预定义查询。您可以使用它们的默认设置，也可以编辑这些设置来仅获取您需要的信息。预定义查询的名称与“Security‑as‑a‑Service”信息显示板的预定义 SaaS 监视器的名称完全匹配。

自定义查询和报告您可以通过查询生成器创建自定义查询和报告。查询生成器中选定的结果类型可标识查询所要检索的数据类型。该扩展在查询生成器中添加了一个新的查询结果类型组“Security‑as‑a‑Service”。该组包含与 SaaS 数据相关的一组查询目标。

表 3-4 Security‑as‑a‑Service 查询结果类型

查询结果类型显示此信息……

“SaaS 事件属性” 检测事件

“SaaS 托管系统” 由 SecurityCenter 托管的系统

“SaaS 产品属性” 托管系统上安装的 McAfee SaaS 产品的属性

“SaaS 产品” 所用的 McAfee SaaS 产品

“SaaS 摘要报告” SaaS 电子邮件保护和 SaaS 漏洞扫描服务的摘要数据

对于每一种结果类型，该扩展在查询生成器中新增了一系列可用属性，以用于自定义查询。

有关创建和使用查询与报告的更多信息，请参阅 ePolicy Orchestrator 文档。

“系统信息”页该扩展在 ePolicy Orchestrator 控制台的“系统信息”页中添加了查询数据和产品信息。单击系统树中的任何托管系统均可访问“系统信息”页。

监视和查询数据该扩展为可自定义的详细信息监视器添加了数据，该监视器显示在“系统信息”页的右上角。单击“自定义”可显示并选择监视器。

3 监视和管理 McAfee SaaS 安全性Security-as-a-Service 查询和报告


表 3-5 详细信息监视器可用的查询

查询类别查询

“共享组 ‑ Security‑as‑a‑Service” • “ 近 30 天内的 Security‑as‑a‑Service 活动摘要”

• “Security‑as‑a‑Service 浏览器保护 30 天摘要”

• “Security‑as‑a‑Service Web 过滤 30 天摘要”

仅提供为托管系统所用的 McAfee SaaS 保护服务的摘要信息。

“SaaS 产品”选项卡

该扩展创建了一个“SaaS 产品”选项卡，其中列出了供托管系统使用的各项 McAfee SaaS 保护服务。

使用此选项卡可以快速查看各项保护服务的属性。列出的属性因服务而异。

表 3-6 “SaaS 产品”选项卡中显示的信息

属性显示此信息……

“产品名称 ” McAfee SaaS 保护服务的名称。

“产品版本 ” 产品的版本号。

“产品引擎版本 ” 产品的引擎号。只有在适用于 SecurityCenter 帐户中可用的产品和信息时才会显示。

“产品 DAT 版本 ” 当前使用的威胁定义 (DAT) 文件的版本号。只有在适用于 SecurityCenter 帐户中可用的产品和信息时才会显示。

“产品 DAT 时间戳 ” DAT 文件创建的日期和时间。只有在适用于 SecurityCenter 帐户中可用的产品和信息时才会显示。

威胁事件日志在受 McAfee SaaS 服务保护的托管系统上所检测到的事件会显示在 McAfee 威胁事件日志中。

通过在 ePolicy Orchestrator 控制台中单击“菜单” | “报告” | “威胁事件日志”访问威胁事件日志，以查看有关这些事件及其解决方案的详细信息。

• 病毒和间谍软件检测

• 被防火墙服务阻止的入站事件

• Web 过滤事件

显示的事件日期和时间是指事件发生时的 ePolicy Orchestrator 服务器本地时间。相反，SecurityCenter 报告中所显示的事件时间表示事件发生时托管系统的当地时间。

有关威胁事件日志的更多信息，请参阅 ePolicy Orchestrator 文档。

何时清除威胁事件

为避免威胁事件日志中显示重复或过时的数据，我们建议在下列情形中手动清除威胁事件：

• 删除已注册的 SecurityCenter 帐户后 — 如果您从 ePolicy Orchestrator 已注册服务器列表中删除已注册的帐户，则清除该帐户相关的威胁事件。（如果不准备重新注册该帐户，则可以保留威胁事件以供参考。）

• 在重新安装 Security‑as‑a‑Service 扩展之前 — 如果您之前已安装了软件并同步了 SaaS 数据，则清除相关的威胁事件。

监视和管理 McAfee SaaS 安全性威胁事件日志 3


清除威胁事件在重新安装该扩展或重新注册以前注册过的 SecurityCenter 帐户时，您需要清除威胁事件日志的内容。这可防止出现较旧或重复的数据。


1 单击“菜单” | “报告” | “威胁事件日志”.

2 单击“操作” | “清除”.

3 在“清除”对话框的“清除早于此天数的记录”旁键入一个数字，然后选择时间单位。

4 单击“确定”。

早于指定时间的记录即被彻底删除。

打开 SecurityCenter 使用 SecurityCenter 控制台解决与 McAfee SaaS 保护服务相关的问题。通过使用“Security‑as‑a‑Service”信息显示板上显示的信息显示板监视器，从 ePolicy Orchestrator 控制台直接访问 SecurityCenter 控制台。

开始之前您必须将您的 SecurityCenter 帐户注册到 ePolicy Orchestrator 软件。

有关使用 SecurityCenter 功能的更多信息，请参阅 McAfee SaaS Endpoint Protection 文档，该文档位于SecurityCenter 控制台的“帮助和支持”页上。


1 单击“菜单” | “报告” | “信息显示板”。

2 从“信息显示板”列表中，选择“Security‑as‑a‑Service”。

3 在“McAfee SecurityCenter”监视器中，选择以下链接之一打开 Web 浏览器窗口并显示 SecurityCenter 控制台：• “策略” — 打开“策略”页，您可在其中编辑现有的策略或为 McAfee SaaS 托管系统创建新的策略。

• “安装保护” — 打开“安装保护”页，您可在其中将 McAfee SaaS 保护服务安装到客户端计算机上。

如果有多个 SecurityCenter 帐户，会显示指向各个帐户的链接。可通过注册期间指定的名称来识别帐户。

另请参阅注册 SecurityCenter 帐户第 14 页

与其他 McAfee 产品的兼容性该扩展与其他 McAfee 产品在 ePolicy Orchestrator 环境下相兼容。

但是，在与McAfee® Risk Advisor搭配使用时需要进行额外的配置步骤。

3 监视和管理 McAfee SaaS 安全性打开 SecurityCenter


使用 McAfee Risk Advisor 时的注意事项由 McAfee Risk Advisor 执行并用于分析托管系统和识别漏洞的扫描，如果在包含 McAfee SaaS 托管系统的 ePolicyOrchestrator 环境中运行，则需要使用特别的方式进行设置。

McAfee Risk Advisor 从 McAfee® Labs 提取新威胁数据，然后分析 ePolicy Orchestrator 数据库中存储的数据，并识别托管系统中的漏洞。

对于 McAfee SaaS 托管系统，仅从 SecurityCenter 帐户提取与计算风险相关的数据子集，并与 ePolicy Orchestrator 数据库进行同步。因此，McAfee Risk Advisor 无法为这些系统准确评估漏洞。

为了能更准确地为不使用 McAfee SaaS 服务的系统识别漏洞，我们建议您通过以下方式之一从分析中排除Security‑as‑a‑Service 同步点：

• 在系统树中手动选择所有 McAfee SaaS 托管系统，并为它们禁用分析。

• 创建 ePolicy Orchestrator 查询来识别 McAfee SaaS 托管系统，并创建一个服务器任务为这些系统禁用分析。

手动排除 SaaS 托管系统通过在系统树中选择相关系统并禁用其分析，从 McAfee Risk Advisor 的分析中手动排除McAfee SaaS 托管系统。


1 单击“菜单” | “系统” | “系统树”.

2 在系统树中，选择包含 McAfee SaaS 托管系统的同步点。

3 在右侧窗格中，单击“系统”选项卡，然后选择要排除的系统。

4 单击“操作” | “Risk Advisor” | “更改分析状态”.

5 选择“禁用”，然后单击“确定”。

6 验证更改。


b 在右侧窗格中，单击“系统”选项卡，然后单击计算机名称。

c 在“系统信息”页中，单击“Risk Advisor”选项卡，然后确保“分析状态”的状态为“禁用”。

通过服务器任务排除 SaaS 托管系统要自动执行从由 McAfee Risk Advisor 进行分析中排除 McAfee SaaS 托管系统的过程，请创建识别 SaaS 托管系统的ePolicy Orchestrator 查询以及为这些系统禁用分析的服务器任务。

该扩展向 ePolicy Orchestrator 报告功能添加了管理类型“Security‑as‑a‑Service”。该管理类型使查询可以自动找到SaaS 托管系统。


1 创建查询来识别和选择所有 McAfee SaaS 托管系统。

a 单击“菜单” | “报告” | “查询和报告”.

b 单击“查询”选项卡，然后单击“新建”。

c 选择查询选项。

监视和管理 McAfee SaaS 安全性与其他 McAfee 产品的兼容性 3


在以下选项卡中……

操作方法……

“结果类型” 1 在“功能组”窗格中，选择“系统管理”。

2 在“结果类型”窗格中，单击“托管系统”，然后单击“下一步”。

“图表” 1 在“将结果显示为”窗格中，选择“表”。

2 在右侧窗格中，从“分类依据”列表中选择“计算机属性” | “管理类型”“管理类型”，然后单击“下一步”。

“列” • 在“可用列”窗格的“计算机属性”下，添加“管理类型”字段，然后单击“下一步”。

“过滤器” 1 在“可用属性”窗格的“计算机属性”下，添加“管理类型”字段。

2 在右侧窗格中，选择“管理类型” | “等于” | “Security as a Service”，然后单击“保存”。

d 键入查询的名称，指定新的或现有的查询组，然后单击“保存”。

2 创建服务器任务从而为这些系统禁用分析。

a 单击“菜单” | “自动” | “服务器任务”.

b 单击“新建任务”。

c 键入任务的名称，选择“启用”计划状态，然后单击“下一步”。

d 从“操作”菜单中，选择“运行查询”。

e 在查询字段中，单击浏览图标，再从列表中选择第 1 步中创建的查询，然后单击“确定”。

f 在“子操作”字段中，单击浏览图标，再从列表中选择“禁用或启用威胁或资产”，然后单击“确定”。

g 对于“分析状态”，请选择“禁用”，然后单击“下一步”。

h 选择计划选项，然后单击“下一步”。

i 单击“保存”。

3 手动运行该服务器任务，或等待它按计划运行。

该服务器任务可识别各个 SaaS 托管系统，并将其“分析状态”设为“禁用”。这些系统将不包含在 McAfee RiskAdvisor 所执行的分析中。

4 验证服务器任务的结果。


b 在右侧窗格中，单击“系统”选项卡，然后单击计算机名称。

c 在“系统信息”页中，单击“Risk Advisor”选项卡，然后检查“分析状态”是否为“禁用”。

3 监视和管理 McAfee SaaS 安全性与其他 McAfee 产品的兼容性


4 故障排除

以下主题提供有关安装和使用该扩展的其他信息。

目录故障排除解决方法手动删除文件和事件查找更多信息

故障排除解决方法以下是对常见问题的解决方案。

安装扩展

该扩展不显示在 ePolicy Orchestrator 服务器的软件下载管理器中。

请从 SecurityCenter 控制台下载该扩展的副本。“实用工具”页的“ePO 服务器”选项卡中会提供相关的链接。

若要在已安装并卸载了扩展后重新安装扩展

卸载过程中不会全部删除与扩展相关的所有项目。在重新安装该扩展之前，需要手动删除“Security‑as‑a‑Service”信息显示板、“Security‑as‑a‑Service”查询、默认的 SaaS 数据同步服务器任务以及威胁事件。

连接 SecurityCenter

不能从 ePolicy Orchestrator 控制台创建已注册的服务器

执行下列一项或多项操作：• 验证是否可从 ePolicy Orchestrator 服务器访问 SecurityCenter 控制台。在服务器所运行的计算机上，打开浏

览器窗口并输入用于访问 SecurityCenter 的 URL，然后尝试进行连接。

• 验证您的 SecurityCenter 帐户凭据是否正确。在同一浏览器中打开一个新标签，或打开一个新的浏览器窗口，然后输入您的凭据并尝试登录。

• 检查您的 ePolicy Orchestrator 服务器是否作为已注册的服务器列出在 SecurityCenter 控制台中。在“实用工具”页上，单击“ePO 服务器”选项卡，然后检查“已注册的 ePolicy Orchestrator 服务器”列表。如果您的帐户已经列出，则不能再次注册。如果没有列出，请联系技术支持。

注册服务器

您在注册 SecurityCenter 帐户时收到错误消息指明该帐户已被注册

取消注册该帐户，然后重新注册。如果问题仍然存在，请联系技术支持。

4


同步 SaaS 数据

注册 SecurityCenter 帐户后看不到相关数据

只有在 SaaS 数据同步服务器提取任务成功运行后，才会显示数据。• 检查服务器任务日志来查看该任务是否已运行或完成。如果任务计划在某个特定时间运行，它可能还没有运

行。如果这是第一次运行该任务，可能需要比较长的时间，因为它要提取近 30 天的数据。

• 在数据同步完成后等待三分钟，或手动刷新各个监视器。单击各个监视器左上角的三角形图标，然后从菜单中选择“刷新”。

• 检查 SecurityCenter 控制台的“信息显示板”页上的小组件中是否显示了信息。如果您近设置了SecurityCenter 帐户而相关信息还没时间显示在这些小组件中，则这些信息无法与 ePolicy Orchestrator 软件同步。如果已过了足够长时间，而小组件中依然没有显示这些信息，则说明您的 SecurityCenter 帐户出现了问题。有关更多信息，请查看 McAfee SaaS Endpoint Protection 文档，该文档位于 SecurityCenter 控制台的“帮助和支持”选项卡上。

创建的同步点使用了已注册并同步过的 SecurityCenter 帐户

更改已注册帐户的同步点不会使监视器自动显示新同步点的信息。如果更改同步点，请执行以下操作之一：• 重命名现有的同步点。

• 从现有同步点删除 McAfee SaaS 托管的计算机，然后再设置新的同步点。

发现 SaaS 托管系统存在重复数据

重复数据可能由下列情形导致：• 您删除了已注册 SecurityCenter 帐户，但没有手动删除相关的同步点。请删除与已删除帐户相关的同步点，

然后重新运行 SaaS 数据同步任务。

• 您删除了已注册的 SecurityCenter 帐户，但没有手动删除其威胁事件。这导致数据同步期间提取了以前注册中的过时威胁事件。请清除该帐户的威胁事件，然后重新运行数据同步任务。

• 您卸载并重新安装了扩展，但未手动删除威胁事件。这导致数据同步期间提取了以前安装中的过时威胁事件。请清除该帐户的威胁事件，然后重新运行数据同步任务。

删除某同步点，然后又重新创建它

如果删除现有的同步点，与之相关的服务器任务将不再运行。如果重新创建该同步点，您需要重新配置其服务器任务或新建一个服务器任务来为其同步数据。重新创建同步点不会使与同步点的以前实例相关的服务器任务自动开始为该同步点的新实例同步数据。

您的数据未更新

执行下列任意或全部操作：• 从 ePolicy Orchestrator 控制台中，检查服务器任务日志（单击“菜单” “自动” “服务器任务日志”）中 SaaS 数据

同步服务器任务的状态。

• 从 SecurityCenter 控制台中，查看同步的状态（从“实用工具”页中，单击“ePO 服务”选项卡，然后查看“ePolicy Orchestrator [McAfee ePO] 服务器”列表）。

• 如果 SaaS 数据同步服务器任务仍然失败，请联系技术支持（从 SecurityCenter 控制台中，单击“帮助和支持”选项卡，然后单击“获取支持”）。

在系统树中将一个同步点嵌入在另一个同步点下，而嵌入的同步点不再显示出来

如果为顶层同步点同步数据，其中嵌入的任何同步点会被删除（因为这些系统实际上并不存在于同一已注册帐户中）。请在系统树的根级别重新创建被删除的同步点，再将它关联到 SaaS 数据同步服务器任务，然后运行该服务器任务，以便用 SaaS 托管系统填充该替代同步点。

系统树中没有显示所有系统

在一组托管系统中，仅可同步一个系统名称对应的单个实例。如果在同一组中有多个系统使用相同的名称，则需要使用唯一名称来重命名这些系统。

4 故障排除故障排除解决方法


使用信息显示板监视器查看数据

您已同步数据，但在任何“Security‑as‑a‑Service”信息显示板监视器中都看不到数据

在同步完成后，信息显示板监视器中的信息会在三分钟后自动刷新。要立即查看数据，请单击各个监视器左上角的三角形图标，然后从菜单中选择“刷新”。

在此情况下，单击控制台右上角的“刷新”图标不会刷新监视器。

您已同步数据，但 Security‑as‑a‑Service 监视器中显示的信息与 SecurityCenter 小组件中显示的信息不匹配。

监视器中显示的信息应与 SecurityCenter 的“信息显示板”页中对应的小组件显示的信息相匹配或非常相似。如果小组件中显示信息而监视器中并未显示，则说明扩展的配置或同步可能存在问题。请联系技术支持。

您已同步数据，但在“检测到多威胁的计算机”或“阻止站点多的计算机”监视器中看不到数据

• 在监视器指定的时间长度内，没有相关的检测项。

您的 SecurityCenter 帐户并不需要在整个 7 天或 30 天期间内都处于活动状态才可让数据显示在监视器中。在该帐户处于活动的天数内即会有相应的帐户数据可用。

• 数据同步不成功或尚未发生。检查服务器任务日志的状态（从 ePolicy Orchestrator 控制台中，单击“菜单” | “自动” | “服务器任务日志”）。

• 距同步发生的时间还没到三分钟。等待监视器在三分钟后自动刷新，或手动刷新各个监视器（单击每个监视器左上角的三角形图标，然后从菜单中选择“刷新”）。

您已同步数据，但无法看到所有的威胁事件数据

如果运行 SaaS 数据同步任务后，SecurityCenter 中丢失了某些威胁事件，则说明帐户中的信息量超过了单次任务执行期间可提取的数量。请将任务计划为每天运行多次，以确保能从 SecurityCenter 提取所有的威胁事件。

执行风险分析

McAfee Risk Advisor 风险分析指出 McAfee SaaS 托管系统存在风险

仅从 SecurityCenter 帐户提取与计算风险相关的信息子集，并与 ePolicy Orchestrator 数据库进行同步。因此，该分析无法准确评估这些系统的漏洞。如需更准确的结果，建议您将 McAfee SaaS 托管系统从分析中排除。您可在系统树中手动执行该操作，或创建查询和服务器任务来自动识别并排除这些系统。

另请参阅手动排除 SaaS 托管系统第 31 页通过服务器任务排除 SaaS 托管系统第 31 页手动删除数据第 36 页清除威胁事件第 30 页

手动删除文件和事件在您从 ePolicy Orchestrator 环境中删除扩展或组件时，有一些文件不会被自动删除。

您需要在下列情况下手动删除数据。

• 在删除已注册的 SecurityCenter 帐户后。• 删除同步组和系统所在的系统树中的容器组。（系统树中相关的容器组不再配置为同步点，但其中仍然包含以前

与已删除帐户同步的组和系统。）

• 清除威胁事件。（如果不准备重新注册该帐户，则可以保留威胁事件以供参考。）

故障排除手动删除文件和事件 4


• 在重新安装扩展之前。• 在重新安装扩展之前，手动删除以下项目：

• 默认的“SaaS 数据同步”任务。

• “Security‑as‑a‑Service”信息显示板。

• “Security‑as‑a‑Service”查询。

• 威胁事件。

• 不删除这些项目。这些项目在新安装的初始 SaaS 数据同步期间会自动更新。• 已注册的 SecurityCenter 帐户。

• 以前与 SecurityCenter 同步的计算机和组。

• 不删除这些项目。这些项目可以重复使用，或重新配置以用于新安装：• 计划的 SaaS 数据同步任务。

手动删除数据从 ePolicy Orchestrator 环境中删除扩展或其组件时，删除或清除未自动删除的项目。

如果您计划重新安装扩展，则仅需要删除威胁事件和同步点。


• 根据需要删除相应的项目。

要删除…… 执行这些步骤……

威胁事件 1 单击“菜单” | “报告” | “威胁事件日志”.

2 单击“操作” | “清除”.

3 在“清除”对话框的“清除早于此天数的记录”旁键入一个数字，然后选择时间单位。


同步点 1 单击“菜单” | “系统” | “系统树”.

2 在“系统树”窗格中，选择同步点。

3 单击“系统树操作” | “删除组”.

默认信息显示板

1 单击“菜单” | “报告 ” | “信息显示板”，然后从“信息显示板”下拉列表中选择要删除的信息显示板。

2 从“信息显示板”列表中，选择“Security‑as‑a‑Service”.

3 单击“信息显示板操作” | “删除”.


4 故障排除手动删除文件和事件


产品如何访问文档

ePolicy Orchestrator 软件

从 ePolicy Orchestrator 控制台：• 查看在线帮助：单击任意页面右上角的“?”图标。

• 下载用户手册或发行说明：1 单击“菜单” | “软件” | “软件管理器” | “扩

展”.4 在右下角窗格中，在“组件”列中找

到相关文档，然后单击“操作”列中的“下载”。

2 在“产品类别”窗格中，单击“管理解决方案”。

5 在“文件下载”对话框中，将文档文件保存到本地文件夹，然后单击“确定”。

3 在右侧窗格的“软件”下，单击“McAfeeePolicy Orchestrator。 ”

Security‑as‑a‑Service 扩展

从 ePolicy Orchestrator 控制台：• 查看在线帮助：单击任意页面（包含特定于扩展的内容）右上角的“?”图标。

• 下载用户手册或发行说明：1 单击“菜单” | “软件” | “软件管理器” |

“扩展”.4 在右下角窗格中，在“组件”列中找到

相关文档，然后单击“操作”列中的“下载”。

2 在“产品类别”窗格中，单击“管理解决方案”。

5 在“文件下载”对话框中，将文档文件保存到本地文件夹，然后单击“确定”。

3 在右侧窗格的“软件”下，单击“McAfee SaaS <版本号>”。

SecurityCenter、McAfee SaaS EndpointProtection 和 McAfeeSaaS 服务

从 SecurityCenter 控制台中：

• 查看在线帮助：单击任意页面右上角的“?”图标。

• 查看 PDF 格式的 McAfee SaaS Endpoint Protection 产品手册或安装手册：单击“帮助和支持”选项卡，然后选择文档链接。

• 查看扩展的快速入门手册或故障排除解决方案：选择“实用工具”页的“ePO 服务器”选项卡上的一个链接。

• 查看有关特定 McAfee SaaS 服务的其他文档：有关说明，请查看产品手册中的相应章节。通常可以单击与该服务相关的小组件中的链接以打开关联的 SaaS 管理门户，然后在该门户中单击“帮助”链接。

4 故障排除查找更多信息


索引

AActive Directory

同步管理员帐户, 创建 23同步管理员帐户, 关于 23

安装安装 Security-as-a-Service 扩展 11继以前安装后安装 35删除以前安装的数据 36要求 7

B帮助, 在线 37本手册中使用的约定和图标 5编辑

SaaS 数据同步服务器任务 19Security-as-a-Service 权限集 22Security-as-a-Service 用户角色 22同步管理员帐户 23已注册的 SecurityCenter 帐户 15

C查看

SaaS 数据同步服务器任务 19SaaS 数据同步, 状态 19SaaS 数据, 同步 25, 26同步点, 状态 21已注册的 SecurityCenter 帐户 15

查询生成器, Security-as-a-Service 新增功能 28重新安装, 要求 35, 36创建

SaaS 数据同步计划 19数据同步点 17同步管理员帐户 23已注册的服务器 14

从风险分析中排除 SaaS 托管系统 31从风险分析中排除系统的服务器任务 31

D打开, SecurityCenter 控制台 30

F风险分析和 Security-as-a-Service 31

服务器, 为 Security-as-a-Service 注册编辑 15查看 15关于 13删除 15注册 14

G概述

产品扩展的工作原理 7功能配置 10监控 SaaS 安全的流程 25扩展安装和设置流程 9Security-as-a-Service 扩展组件设置 8添加到 McAfee ePO 环境的 SaaS 功能 10, 26

管理员数据同步, 创建 23数据同步, 关于 23

关于本手册 5

J计划, SaaS 数据同步 19技术支持, 查找产品信息 37监控 SaaS 安全，请参阅 SaaS 安全, 监控兼容性, Security-as-a-Service 和其他 McAfee 产品 31角色, Security-as-a-Service 用户

配置 22SaaS 管理员 22SaaS 审阅者 22已定义 22

技术支持, 正在查找产品文档 6

MMcAfee Risk Advisor 31McAfee SecurityCenter，请参阅 SecurityCenterMcAfee SecurityCenter 监视器 30McAfee ServicePortal, 访问 6

P配置

概述 10McAfee Risk Advisor 风险分析任务 31SaaS 数据同步 19


配置（续）Security-as-a-Service 扩展的已注册服务器 14Security-as-a-Service 权限集 22Security-as-a-Service 用户角色 22同步点 17同步管理员帐户 23

Q清除，请参阅删除取消注册, Security-as-a-Service 的服务器 15

R日志

威胁事件 29软件管理器

下载产品扩展 11下载文档 37

SSaaS 安全, 监控

报告 28查询, 关于 28查询, 预定义 28查询, 自定义 28功能概述 26流程概述 25威胁事件日志 29系统信息页 28信息显示板和监视器, 关于 26

SaaS 管理员角色, 配置 22SaaS 审阅者角色, 配置 22SaaS 数据检索，请参阅数据同步SaaS 数据同步，请参阅数据同步SaaS 数据同步的服务器任务

编辑 19查看 19关于 16计划 19检查状态 16, 21删除 36数据定义 17运行 19

Security-as-a-Service 报告 28Security-as-a-Service 查询

从风险分析中排除系统 31关于 28删除 36预定义 28自定义 28

Security-as-a-Service 的已注册服务器编辑 15查看 15从 McAfee ePO 控制台访问 26, 30关于 13

Security-as-a-Service 的已注册服务器（续）继以前注册后重新注册 35删除 15删除以前注册的数据 35, 36注册 14

Security-as-a-Service 监视器关于 26McAfee SecurityCenter 监视器 30默认 26用于系统信息页 28

Security-as-a-Service 扩展设置, 概述 8Security-as-a-Service 扩展要求 7Security-as-a-Service 扩展组件

必需 7设置 8

Security-as-a-Service 权限集关于 22配置 22

Security-as-a-Service 信息显示板关于 26默认 26删除 36自定义 26

SecurityCenter从 McAfee ePO 控制台打开 26, 30删除已注册的 ePO 服务器 15文档链接 37下载 Security-as-a-Service 扩展 11已定义 7在 McAfee ePO 软件中取消注册 15注册到 McAfee ePO 软件 14

ServicePortal, 正在查找产品文档 6删除

查询 36从风险分析中排除 SaaS 托管系统 31何时手动删除项目 35同步点 36威胁事件日志条目 30, 36信息显示板 36已注册的 SecurityCenter 帐户 15

事件威胁事件日志, 内容 29威胁事件日志, 清除 30

数据同步 (Active Directory)同步管理员, 创建 23同步管理员, 关于 23

数据同步（Security-as-a-Service 扩展）查看同步数据 26查看同步状态 21关于 16计划 19SaaS 数据定义 17同步点, 查看状态 21同步点, 创建 17同步点, 关于 16

索引


数据同步（Security-as-a-Service 扩展）（续）同步管理员, 创建 23同步管理员, 关于 23执行 19

数据中心, 选择 14

T提取任务，请参阅 SaaS 数据同步的服务器任务提取 SaaS 数据，请参阅数据同步同步点

查看状态 21创建 17关于 16删除 15, 36

同步管理员创建和更新 23关于 23

同步, SaaS 数据，请参阅数据同步

W威胁事件日志

内容 29清除 30, 36

威胁事件日志（续）清除的时间 15, 35

文档产品和用户手册 37特定于产品, 查找 37印刷约定和图标 5在线帮助 37本手册面对的读者 5指定产品, 正在查找 6

X系统数, 同步点和 17, 21系统信息页 28系统要求 7下载, Security-as-a-Service 扩展 11

Y用户角色，请参阅角色, Security-as-a-Service 用户

Z在线帮助 37帐户

同步管理员, 创建 23同步管理员, 关于 23

索引


McAfee Security-as-a-Service 扩展版本用户手册与 ePolicy...

Documents

Transcript of McAfee Security-as-a-Service 扩展版本用户手册与 ePolicy...

McAfee Security-as-a-Service 扩展 版本 用户手册 与 ePolicy...

Documents

Transcript of McAfee Security-as-a-Service 扩展 版本 用户手册 与 ePolicy...

McAfee Security-as-a-Service 扩展版本用户手册与 ePolicy...

Transcript of McAfee Security-as-a-Service 扩展版本用户手册与 ePolicy...