Sophos Reporting Interface Guía de usuario Versión: 5.1 Edición: junio de 2012
Contenido 1 Acerca de esta guía...3 2 Acerca de Sophos Reporting Interface...4 3 Configurar Crystal Reports con Reporting Interface...5 4 Instalar Sophos Reporting Log Writer...6 5 Configurar Log Writer...8 6 Información disponible...11 7 Fuentes de datos de Reporting Interface...14 8 Fuentes de datos de Log Writer...19 9 Desinstalar Sophos Reporting Log Writer...23 10 Soporte técnico...24 11 Aviso legal...25 2
Guía de usuario 1 Acerca de esta guía En esta guía se describen las herramientas de Sophos que permiten utilizar herramientas de notificación y monitorización de terceros para generar informes con los datos de Sophos Enterprise Console. Esta guía está dirigida al administrador de sistemas o al administrador de bases de datos. Se asume que ya conoce el uso de de Sophos Enterprise Console (SEC) versión 5.1. La documentación de Sophos se encuentra en http://esp.sophos.com/support/docs/. 3
Sophos Reporting Interface 2 Acerca de Sophos Reporting Interface Sophos Reporting Interface facilita la generación de informes personalizados sobre las estaciones administradas desde Sophos Enterprise Console. Existen dos tipos de interfaz: Sophos Reporting Interface permite el uso de aplicaciones de terceros, como Crystal Reports o SQL Reporting Services, para acceder a la información en la base de datos de Enterprise Console. Los objetos de base de datos necesarios se instalan con la base de datos de Enterprise Console 5.1. Sophos Reporting Log Writer permite el uso de aplicaciones, como Splunk, para obtener datos en archivos de texto en vez de acceder a la base de datos. La instalación de Sophos Reporting Log Writer es opcional. Si es necesario, se puede instalar en un equipo con SEC o en cualquier otro equipo con acceso a la base de datos de Enterprise Console. Importante: Sophos Reporting Interface y Sophos Reporting Log Writer facilitan el uso de los datos de SEC mediante aplicaciones de terceros. Al instalar estas herramientas, debe asumir la responsabilidad de proteger los datos mencionados, incluyendo el uso de dichos datos por usuarios autorizados. 4
Guía de usuario 3 Configurar Crystal Reports con Reporting Interface Se recomienda utilizar Crystal Reports versión 2008 o posterior con Reporting Interface. No es necesario instalar Sophos Reporting Log Writer para utilizar Crystal Reports. Nota: Los datos obtenidos por Reporting Interface pueden contener información confidencial sobre usuarios y ordenadores. Debe restringir el acceso a dicha información. Se recomienda utilizar cifrado en el servidor SQL cuando se accede a las bases de datos de forma remota. Para más información sobre el cifrado de Microsoft SQL Server, consulte http://technet.microsoft.com/es-es/library/bb510663.aspx. En ciertos casos, el acceso a la base de datos de SEC al utilizar Reporting Interface podría afectar al rendimiento de otras operaciones, como Sophos Enterprise Console. El rendimiento de Enterprise Console puede verse afectado durante la transferencia de grandes cantidades de datos desde Reporting Interface. El asistente de Crystal Reports enlazará las columnas con el mismo nombre entre las vistas incluidas en el informe. Es posible que haya que eliminar algunos enlaces ya que columnas con nombres similares no tienen por qué tener valores idénticos para un evento. Por ejemplo, la columna InsertedAt aparece en cada vista que denote cuándo se añadió la entrada a la base de datos. Sin embargo, un evento puede tener valores InsertedAt diferentes para la entrada correspondiente en cada vista. Si el asistente de Crystal Reports enlaza estas columnas, deberá eliminar dichos enlaces para evitar la falta de datos. Para más información sobre las fuentes de datos que están relacionados, consulte Datos relacionados en la página 12 Para crear una conexión de Reporting Interface con Crystal Reports: 1. Abra Crystal Reports y cree una nueva conexión mediante OLE DB (ADO)y seleccione Microsoft OLE DB Provider for SQL Server. 2. Introduzca la información necesaria y complete el asistente. Sophos Reporting Interface aparecerá como fuente de datos. Para generar informes personalizados, consulte la documentación de Crystal Reports. Para ver las fuentes de datos disponibles mediante Reporting Interface, consulte Fuentes de datos de Reporting Interface en la página 14. Para más información y ejemplos de uso de Crystal Reports con Sophos Reporting Interface, consulte el artículo 112873 en la base de conocimiento de Sophos http://esp.sophos.com/support/knowledgebase/article/112873.html. 5
Sophos Reporting Interface 4 Instalar Sophos Reporting Log Writer Nota: los datos obtenidos por Log Writer pueden contener información confidencial sobre usuarios y ordenadores administrados desde SEC. Debe restringir el acceso a dicha información. Se recomienda restringir el acceso a la carpeta de instalación, a los archivos de formato de datos y a los archivos de registro. Además, dado que los datos de Sophos Reporting Interface en los archivos de registro no está cifrados, dichos datos sólo se deben utilizar en el equipo donde se crean y no compartirlos en una red insegura (por ejemplo, mediante unidades compartidas SAMBA/CIFS). 4.1 Comprobar los requisitos del sistema Compruebe que dispone de:.net Framework 3.5. Una copia de seguridad de la instalación de Sophos Enterprise Console y de la base de datos. Los permisos necesarios para instalar un servicio en el equipo donde instale Log Writer. 4.2 Recomendaciones Se recomienda que Log Writer se instale en el equipo con el servidor de administración. También se puede instalar en cualquier otro equipo con acceso a la base de datos de Sophos Enterprise Console. Por defecto, el servicio de Log Writer se instalará bajo la cuenta LocalSystem, que dispone de acceso completo en el servidor local. Se recomienda reasignar el servicio a una cuenta con acceso restringido tras la instalación. Si el servicio en otro equipo que no sea el que tiene el servidor de administración, deberá utilizar una cuenta con acceso remoto a la base de datos de SEC. Por esta razón, la cuenta debe estar asignada al inicio de sesión SQL con los permisos SELECT y EXECUTE dentro del esquema de Sophos LogWriter. Nota: asegúrese de que el equipo con Log Writer y el equipo con la base de datos tienen configurados correctamente la ubicación, la zona horaria y el reloj. 4.3 Instalación Para instalar Log Writer: 1. Localice el programa de instalación de Log Writer (InstallLogWriter.msi). Si desea generar un registro detallada de la instalación, utilice el siguente comando: msiexec /l*v logfile.txt /i "SophosReportingLogWriter.msi" El archivo de registro se crea en el directorio donde se ejecuta el comando. Si no desea generar un archivo de registro vaya al siguiente paso. 2. Haga doble clic en InstallLogWriter.msi. 6
Guía de usuario 3. En el cuadro de diálogo Sophos Reporting Log Writer Setup, haga clic en Siguiente. Un asistente le guiará durante la instalación. 4. Al completarse la instalación, haga clic en Finalizar. Active la opción Show configuration file para que se muestre el archivo de configuración predeterminada, SophosLogWriterConfig.xml. Si desea utilizar la configuración predeterminada de Log Writer, vaya al siguiente paso. Para más información sobre la configuración predeterminada, consulte Configuración predeterminada de Log Writer en la página 7. Para modificar la configuración de Log Writer, consulte Configurar Log Writer en la página 8. 5. Para iniciar el servicio de Log Writer: a) Abra el Panel de control de Windows y haga doble clic en Herramientas administrativas. b) En la ventana Herramientas administrativas, haga doble clic en Servicios. Se mostrará la lista de servicios disponibles. c) Seleccione Sophos Reporting Log Writer y haga clic en Iniciar. Log Writer lee el archivo de configuración y se activa (si realiza cambios en la configuración, debe reiniciar el servicio). 4.4 Configuración predeterminada de Log Writer La configuración predeterminada contiene dos alimentadores de datos. El primero alimenta el archivo de registro DefaultCommonEvents.log. Los datos de eventos comunes se extraen desde la fuente de datos EventsCommonData. El segundo alimenta el archivo de registro DefaultThreats.log. Los datos de eventos de amenazas se extraen desde la fuente de datos ThreatEventData. El archivo predeterminado de registro se encuentra en la carpeta 'Log Files' y se utilizan los archivos predeterminados de formato de datos de la carpeta 'Configuration Files' en la carpeta de instalación de Log Writer. Por defecto, cuando se inicie el servicio por primera vez, se extraerán los datos de los últimos 7 días. 7
Sophos Reporting Interface 5 Configurar Log Writer Los archivos de configuración se encuentran en la carpeta de instalación de Log Writer. Podrá encontrar un ejemplo de configuración para cada tipo de fuente de datos disponible. Utilice estos archivos como base para su configuración. La carpeta predeterminada de los archivos de configuración es: C:\Archivos de programa\sophos\reporting Interface\SophosLogWriterConfig.xml. Para ver las fuentes de datos disponibles mediante Log Writer, consulte Fuentes de datos de Log Writer en la página 19. Para realizar la configuración de Log Writer: 1. Especifique el valor del elemento <connectionstring> para determinar el modo de conexión de Log Writer con la base de datos de Enterprise Console database: Por defecto, el elemento <connectionstring> no se encuentra activo (aparece entre etiquetas de comentario "<!--" y "-->"). En este caso, la conexión se intentará establecer mediante el valor del servicio de administración de SEC en el registro de Windows. Sin embargo, si Log Writer se encuentra en un equipo sin dicho servicio, deberá especificar la conexión de forma explícita. En una instalación predeterminada, sólo es necesario indicar el nombre del servidor de la base de datos y la instancia. En una instalación no estándar de la base de datos, consulte el siguiente artículo en la web de Microsoft para ver cómo indicar los parámetros de conexión: http://msdn.microsoft.com/es-es/library/system.data.sqlclient.sqlconnection.connectionstring.aspx Nota: Si el elemento <connectionstring> especifica una conexión incorrecta o vacía (como DataSource="") el servicio no se podrá iniciar y no se comprobará el valor de conexión en el registro de Windows. Si se especifica una conexión a la base de datos, se debe definir el elemento <noofdays> para determinar los días de los que se obtendrán los datos. El elemento <commandtimeout> especifica el tiempo de espera de la conexión. Este elemento es opcional; si no se especifica, el tiempo de espera es indefinido. <?xml version= 1.0 encoding= utf-8?> <SophosDatafeed xmlns= http://esp.sophos.com/msys/logwriterconfig.xsd > <connection> <connectionstring> Integrated Security = SSPI; Persist Security Info = False; Initial Catalog = Sophos[versiónSEC]; Data Source = [SERVIDOR]\[INSTANCIA] </connectionstring> <commandtimeout>[tiempo DE ESPERA EN SEGUNDOS] </commandtimeout> </connection> <noofdays> [PERÍODO DE DATOS]</noOfDays> 8
Guía de usuario 2. Defina alimentadores de datos personalizados para extraer información de la base de datos. Se recomienda añadir sólo un alimentador cada vez para verificar el resultado y evitar sobrecarga en la base de datos. Para definir el alimentador de datos: Nota: Especifique cada alimentador con los elementos <tick> y <logfile>, con los que podrá difinir la frecuencia con la que se obtienen datos nuevos y la ubicación donde se guardan los datos. El elemento <applylogformat> toma el valor true o false, y permite especificar si se añadirá la fecha y hora de los datos como prefijo en cada línea. Esto puede ser útil si se utiliza una herramienta como Splunk que toma de forma automática la fecha inicial en cada línea del registro. Si no se especifica, por defecto no se añade la fecha. El elemento <filesize> limita el tamaño del archivo de registro. El elemento <noofbackupfiles> establece el número de copias de seguridad del registro que se van creando; alcanzado el mismo, se borrará el más antiguo en cada ocasión. Ejemplo: Si establece el elemento <filesize> con el valor 500KB y <noofbackupfiles> con el valor 2, la primera vez que el registro alcance un tamaño de 500KB se guardará con el sufijo ".1" y se creará otro registro para los datos nuevos. Cuando el registro nuevo llegue a 500KB, el registro anterior se cambia de nombre con el sufijo ".2" y el registro más reciente se guarda con el sufijo ".1". Se crea otro registro para los datos nuevo. La siguiente vez que esto ocurre, el archivo con el sufijo ".2" se borrará y el archivo con el sufijo ".1" se cambiará de nombre con el sufijo ".2". Cada alimentador de datos contiene uno o más elementos <call> a los que se asigna un identificador único callid. Log Writer hace un seguimiento de cada elemento call guardando la fecha en un archivo "[CallID].last". El identificador callid debe ser único. <datafeeds> <datafeed> <tick> [FRECUENCIA EN SEGUNDOS] </tick> <applylogformat> TRUE </applylogformat> <logfile> <noofbackupfiles> [NÚMERO DE COPIAS DE SEGURIDAD] </noofbackupfiles> <filesize> [TAMAÑO MÁXIMO KB/MB/GB] </filesize> <outputlocataion> [UBICACIÓN DEL REGISTRO] </outputlocation> <outputfilename> [NOMBRE DEL REGISTRO] </outputfilename> </logfile> <call callid = [IDENTIFICADOR ÚNICO] > <datasource> [FUENTE DE DATOS] </datasource> <dataconfigurationlocation>[ubicación CONFIGURACIÓN CALL DATA]</dataConfigurationLocation> <dataconfigurationfile>[nombre CONFIGURACIÓN CALL DATA]</dataConfigurationFile> </call>... </datafeed> 9
Sophos Reporting Interface... </datafeeds> </SophosDatafeed> 3. Si desea modificar las fuentes de datos, puede editar el elemento <call>, donde se especifica la fuente de datos y se asocia al archivo de formato que determina las columnas en que se ordenan los datos. El archivo de formato de datos se crea mediante una lista ordenada de campos, como se muestra a continuación: Nota: El atributo field name puede tener cualquier nombre. El atributo link debe contener el nombre de algún campo de Reporting Interface para la fuente de datos. El atributo enabled puede tener el valor 1 ó 0 para indicar si los datos se extraen o no, respectivamente. <?xml version= 1.0 encoding= utf-8?> <LogFile> <Events> <field name= [NOMBRE] link= [CAMPO] enabled= 1 />... </Events> </LogFile> 4. Iniciar el servicio de Sophos Reporting Log Writer. Nota: Debe reiniciar el servicio de Log Writer para aplicar los cambios en la configuración. Antes de iniciar el servicio de Log Writer con la configuración nueva, se recomienda detener el servicio Sophos Management Service mientras Log Writer inicializa las nuevas fuentes de datos y descarga los datos desde la base de datos. 10
Guía de usuario 6 Información disponible Sophos Enterprise Console guarda registros sobre: Ordenadores Paquetes Grupos Eventos Amenazas 6.1 Ordenadores Los ordenadores son las estaciones administradas desde Enterprise Console que cuentan con un identificador único (ComputerID). Puede acceder a los datos de registro de los ordenadores mediante las siguientes vistas de la base de datos: vcomputerhostdata proporciona información sobre cada ordenador administrado desde SEC. vpolicycompliancedata muestra las políticas aplicadas a cada ordenador. 6.2 Grupos Los grupos son conjuntos lógicos de ordenadores creados en Enterprise Console que cuentan con un identificador único (GroupID). Puede acceder a los datos de registro de los grupos mediante las siguientes vistas de la base de datos: vgrouppathandnamedata ofrece la lista de rutas a los grupos. vcomputergroupmapping lista los ordenadores de cada grupo. 6.3 Paquetes Los paquetes son versiones de Sophos Anti-Virus presentes en la red que cuentan con un identificador único (PackageID). Puede acceder a los datos de registro de los paquetes mediante las siguientes vistas de la base de datos: vpackagedata lista las versiones de Sophos Anti-Virus presentes en la red. vcomputerpackagemapping muestra el paquete instalado en cada ordenador. 6.4 Eventos Los eventos son notificaciones de sucesos en las estaciones que cuentan con un identificador conjunto (EventID y EventTypeID). 11
Sophos Reporting Interface Los eventos se clasifican según diferentes categorías. veventscommondata proporciona información básica sobre eventos e incluye EventTypeName para denotar cuál de las siguientes vistas contiene información adicional: Restricción de aplicaciones: veventsapplicationcontroldata Control de datos: veventsdatacontroldata Control de dispositivos: veventsdevicecontroldata Cortafuegos: veventsfirewalldata Protección contra manipulaciones: veventstamperprotectiondata Control web: veventswebdata Acciones contra amenazas: vthreateventdata 6.5 Amenazas Las amenazas son instancias de aplicaciones maliciosas detectadas en la red que cuentan con un identificador único (ThreatID). Puede acceder a los datos de registro de los paquetes mediante las siguientes vistas de la base de datos: vthreatinstances lista las amenazas detectadas en cada ordenador. vthreateventdata muestra las acciones que se han realizado al detectarse una amenaza en la red. 6.6 Datos relacionados Al combinar datos de diferentes vistas, deben unirse las filas que hacen referencia a la misma entidad. Esto se puede conseguir uniendo las filas con el mismo identificador. El siguiente diagrama muestra los campos utilizados para unir cada una de las vistas. 12
Guía de usuario 13
Sophos Reporting Interface 7 Fuentes de datos de Reporting Interface Reporting Interface tiene acceso a las siguientes fuentes de datos. Nota: la letra asignada a cada fuente de datos se utiliza en la siguiente tabla para indicar la disponibilidad del campo de datos. A. vcomputerhostdata B. vthreatinstances C. veventscommondata D. veventsapplicationcontroldata E. veventsdatacontroldata (añadidos nuevos campos de datos) F. veventsdevicecontroldata G. veventsfirewalldata H. veventstamperprotectiondata I. veventswebdata (añadidos nuevos campos de datos) J. vthreateventdata K. vcomputergroupmapping L. vgrouppathandnamedata M. vcomputerpackagemapping N. vpackagedata O. vpolicycompliancedata La siguiente tabla muestra los campos de datos disponibles en cada fuente de datos. Los datos del tipo datetime se ofrecen en hora universal UTC con el formato "aaaa-mm-dd hh:mi:ss" (24 horas). Los campos de datos nuevos añadidos en SEC 5.0 y posterior aparecen en negrita. Campos de datos Tipo Fuente de datos A B C D E F G H I J K L M N O EventID ThreatID ComputerID Name EventTime datetime EventTypeID EventTypeName 14
Fuente de datos Tipo Campos de datos O N M L K J I H G F E D C B A ReportingName UserName ActionID ActionName ScanTypeID ScanTypeName SubTypeID SubTypeName datetime InsertedAt Domain IPAddress Descripción datetime LastMessageReceived Time ThreatTypeID ThreatTypeName ThreatSubTypeID ThreatSubTypeName Priority ThreatName FullFilePath FileVersion CheckSum datetime FirstDetectedAt RuleName TrueFileType DestinationPath DestinationTypeID DestinationTypeName 15 Guía de usuario
Fuente de datos Tipo Campos de datos O N M L K J I H G F E D C B A SourcePath FileName DestinationValue long FileSize (SEC 5.0 o posterior) DeviceTypeID DeviceTypeName Model DeviceID Rol FileName FilePath FileVersion FileChecksum CommandLine Session Desktop Location ProtocolID ProtocolText DirectionID DirectionText LocalAddress RemoteAddress LocalPort RemotePort TargetTypeID TargetTypeText Target 16 Sophos Reporting Interface
Guía de usuario Campos de datos Tipo Fuente de datos A B C D E F G H I J K L M N O RuleID BlockedSite ReferringURL ReasonID (SEC 5.0 o posterior) ReasonName (SEC 5.0 o posterior) CategoryID (SEC 5.0 o posterior) CategoryName (SEC 5.0 o posterior) ActionTakenID ActionTakenName ScannerTypeID ScannerTypeName StatusID StatusName GroupID PathAndName Depth PackageID Product SAVVersion EngineVersion VirusDataVersion ExpiryTime datetime NotificationTime datetime Expired bit PolicyTypeID PolicyTypeName 17
Sophos Reporting Interface Campos de datos Tipo Fuente de datos A B C D E F G H I J K L M N O ComplianceID ComplianceName 18
Guía de usuario 8 Fuentes de datos de Log Writer Log Writer tiene acceso a las siguientes fuentes de datos. Nota: la letra asignada a cada fuente de datos se utiliza en la siguiente tabla para indicar la disponibilidad del campo de datos. A. EventsApplicationControlData B. EventsCommonData C. EventsDataControlData D. EventsDeviceControlData (añadidos nuevos campos de datos) E. EventsFirewallData F. EventsTamperProtectionData G. EventsWebData (añadidos nuevos campos de datos) H. ThreatEventData I. ThreatInstances La siguiente tabla muestra los campos de datos disponibles en cada fuente de datos. Los datos del tipo datetime se ofrecen en hora universal UTC con el formato "aaaa-mm-dd hh:mi:ss" (24 horas). Los campos de datos nuevos añadidos en SEC 5.0 y posterior aparecen en negrita. Campos de datos Tipo Fuente de datos A B C D E F G H I EventID EventTime datetime EventTypeID EventTypeName SubTypeID SubTypeName InsertedAt datetime UserName ComputerName ComputerDomain ComputerIPAddress Name 19
Fuente de datos Tipo Campos de datos I H G F E D C B A ReportingName ActionID ActionName ScanTypeID ScanTypeName RuleName TrueFileType DestinationPath DestinationTypeID DestinationTypeName SourcePath FileName DestinationValue long FileSize (SEC 5.0 o posterior) DeviceTypeID DeviceTypeName Model DeviceID Role FilePath FileVersion FileChecksum CommandLine Session Desktop Location ProtocolID ProtocolText 20 Sophos Reporting Interface
Guía de usuario Campos de datos Tipo Fuente de datos A B C D E F G H I DirectionID DirectionText LocalAddress RemoteAddress LocalPort RemotePort Target TargetTypeID TargetTypeText RuleID BlockedSite ReferringURL ReasonID (SEC 5.0 o posterior) ReasonName (SEC 5.0 o posterior) CategoryID (SEC 5.0 o posterior) CategoryName (SEC 5.0 o posterior) ActionTakenID ActionTakenName ScannerTypeID ScannerTypeName StatusID StatusName ThreatID ThreatName ThreatTypeID ThreatTypeName 21
Sophos Reporting Interface Campos de datos Tipo Fuente de datos A B C D E F G H I ThreatSubTypeID ThreatSubTypeName FullFilePath CheckSum FirstDetectedAt datetime Priority 22
Guía de usuario 9 Desinstalar Sophos Reporting Log Writer Nota: al desinstalar Log Writer también se elimina el archivo de configuración. Realice una copia de seguridad de dicho archivo si desea instalar Log Writer de nuevo. Para desinstalar Log Writer: 1. Abra el Panel de control > Agregar o quitar programas. 2. En el cuadro de diálogo Agregar o quitar programas, seleccione Sophos Reporting Log Writer y haga clic en Eliminar. 3. En cuadro de mensaje Confirm Uninstall, haga clic en Sí. Aparece una barra de evolución. Espere hasta que se complete la desinstalación. 23
Sophos Reporting Interface 10 Soporte técnico Para obtener asistencia técnica sobre cualquier producto de Sophos, puede: Visitar el fórum SophosTalk en http://community.sophos.com/ para consultar casos similares. Visitar la base de conocimiento de Sophos en http://esp.sophos.com/support/ Descargar la documentación correspondiente desde http://esp.sophos.com/support/docs/ Enviar un email a support@sophos.com indicando la versión del producto de Sophos, el sistema operativo y parches aplicados, y el texto exacto de cualquier mensaje de error. 24
Guía de usuario 11 Aviso legal Copyright 2012 Sophos Limited. Todos los derechos reservados. Ninguna parte de esta publicación puede ser reproducida, almacenada o transmitida de ninguna forma, ni por ningún medio, sea éste electrónico, mecánico, grabación, fotocopia o cualquier otro sin la correspondiente licencia del producto, bajo dichos términos, o sin la previa autorización escrita por parte del propietario. Sophos, Sophos Anti-Virus and SafeGuard son marcas registradas de Sophos Limited, Sophos Groupo Utimaco Safeware AG, según corresponda. Otros productos y empresas mencionados son marcas registradas de sus propietarios. 25