Sophos Reporting Interface Guía de usuario Versión: 5.2 Edición: enero de 2013
Contenido 1 Acerca de esta guía...3 2 Acerca de Sophos Reporting Interface...4 3 Acerca de Sophos Reporting Interface...5 4 Información disponible...6 5 Fuentes de datos de Reporting Interface...9 6 Apéndice: Configurar Crystal Reports con Reporting Interface...14 7 Soporte técnico...15 8 Aviso legal...16 2
Guía de usuario 1 Acerca de esta guía En esta guía se describe Sophos Reporting Interface, que permite utilizar herramientas de notificación de terceros para generar informes con los datos de Sophos Enterprise Console. Esta guía está dirigida al administrador de sistemas o al administrador de bases de datos. Se asume que ya conoce el uso de de Sophos Enterprise Console (SEC) versión 5.2. Nota: si desea exportar los datos a aplicaciones de monitorización de registros, como Splunk, puede utilizar Sophos Reporting Log Writer. Para más información, consulte la Guía de usuario de Sophos Reporting Log Writer. La documentación de Sophos se encuentra en http://www.sophos.com/es-es/support/documentation.aspx. 3
Sophos Reporting Interface 2 Acerca de Sophos Reporting Interface Sophos Reporting Interface facilita la generación de informes personalizados sobre las estaciones administradas desde Sophos Enterprise Console. Sophos Reporting Interface permite el uso de aplicaciones de terceros, como Crystal Reports o SQL Reporting Services, para acceder a la información en la base de datos de Enterprise Console. Los objetos de base de datos necesarios se instalan con la base de datos de Enterprise Console. 4
Guía de usuario 3 Acerca de Sophos Reporting Interface Importante: Sophos Reporting Interface permite utilizar los datos de Entreprise Console en aplicaciones de terceros. Los datos pueden incluir información confidencial sobre usuarios y ordenadores. Al usar Sophos Reporting Interface, debe asumir la responsabilidad de proteger los datos mencionados, incluyendo el uso de dichos datos por usuarios autorizados. Además de restringir el acceso a los datos obtenidos mediante Reporting Interface, también se recomienda cifrar la conexión entre los clientes y la base de datos de Enterprise Console. Para más información, consulte la documentación de SQL Server: Habilitar conexiones cifradas en el motor de base de datos (Administrador de configuración de SQL Server), SQL Server 2012 Cifrar conexiones a SQL Server 2008 R2 Cómo habilitar el cifrado SSL para una instancia de SQL Server mediante Microsoft Management Console, SQL Server 2005 Nota: En ciertos casos, el acceso a la base de datos de Enterprise Console al utilizar Reporting Interface podría afectar al rendimiento de otras operaciones. El rendimiento de Enterprise Console puede verse afectado durante la transferencia de grandes cantidades de datos desde Reporting Interface. Se recomienda utilizar los identificadores numéricos en vez de la cadena del valor para realizar enlaces lógicos con los datos obtenidos mediante Reporting Interface. De esta forma evitará problemas de compatibilidad con próximas ediciones de Enterprise Console. Puede utilizar Reporting Interface con aplicaciones de terceros como Microsoft Excel, Microsoft Access, Microsoft SQL Server Reporting Services o Crystal Reports. Para ver un ejemplo con Crystal Reports, vea Apéndice: Configurar Crystal Reports con Reporting Interface en la página 14. Para ver otros casos, consulte vea Sophos Reporting Interface en SophosTalk. 5
Sophos Reporting Interface 4 Información disponible Sophos Enterprise Console guarda registros sobre: Ordenadores Paquetes Grupos Eventos Amenazas 4.1 Ordenadores Los ordenadores son las estaciones administradas desde Enterprise Console que cuentan con un identificador único (ComputerID). Puede acceder a la información de los ordenadores mediante las siguientes vistas de la base de datos: vcomputerhostdata proporciona información sobre cada ordenador administrado desde Enterprise Console. vpolicycompliancedata lista las políticas aplicadas a cada ordenador y el estado de cumplimiento. 4.2 Grupos Los grupos son conjuntos lógicos de ordenadores creados en Enterprise Console que cuentan con un identificador único (GroupID). Puede acceder a la información de los grupos mediante las siguientes vistas de la base de datos: vgrouppathandnamedata ofrece la lista de rutas a los grupos. vcomputergroupmapping lista los ordenadores de cada grupo. 4.3 Paquetes Los paquetes son versiones de Sophos Anti-Virus presentes en la red que cuentan con un identificador único (PackageID). Puede acceder a la información de los paquetes mediante las siguientes vistas de la base de datos: vpackagedata lista las versiones de Sophos Anti-Virus disponibles, actualmente o en el pasado. vcomputerpackagemapping muestra el paquete instalado en cada ordenador. 4.4 Eventos Los eventos son notificaciones de sucesos en las estaciones que cuentan con un identificador conjunto (EventID y EventTypeID). 6
Guía de usuario Los eventos se clasifican según diferentes categorías. veventscommondata proporciona información básica sobre eventos e incluye EventTypeName para denotar cuál de las siguientes vistas contiene información adicional: Restricción de aplicaciones: veventsapplicationcontroldata Control de datos: veventsdatacontroldata Control de dispositivos: veventsdevicecontroldata Cortafuegos: veventsfirewalldata Protección contra manipulaciones: veventstamperprotectiondata Control web: veventswebdata Acciones contra amenazas: vthreateventdata 4.5 Amenazas Las amenazas son archivos o aplicaciones identificadas dentro de una categoría de alerta (virus/spyware, archivo/comportamiento sospechoso, aplicaciones no deseadas). El identificador asignado es ThreatID. Puede acceder a la información de las amenazas mediante las siguientes vistas de la base de datos: vthreatinstances lista las amenazas detectadas en cada ordenador. vthreateventdata muestra las acciones que se han realizado al detectarse una amenaza en la red. 4.6 Datos relacionados Al combinar datos de diferentes vistas, deben unirse las filas que hacen referencia a la misma entidad. Esto se puede conseguir uniendo las filas con el mismo identificador. El siguiente diagrama muestra los campos utilizados para unir cada una de las vistas. 7
Sophos Reporting Interface 8
Guía de usuario 5 Fuentes de datos de Reporting Interface Reporting Interface tiene acceso a las siguientes fuentes de datos. Nota: cada fuente de datos se representa con una letra en la matriz. A. vcomputerhostdata B. vthreatinstances C. veventscommondata D. veventsapplicationcontroldata E. veventsdatacontroldata F. veventsdevicecontroldata G. veventsfirewalldata H. veventstamperprotectiondata I. veventswebdata J. vthreateventdata K. vcomputergroupmapping L. vgrouppathandnamedata M. vcomputerpackagemapping N. vpackagedata O. vpolicycompliancedata La siguiente matriz muestra los campos de datos disponibles en cada fuente de datos. Los datos del tipo datetime se ofrecen en hora universal UTC con el formato "aaaa-mm-dd hh:mi:ss" (24 horas). Los campos de datos nuevos añadidos en SEC 5.0 y posterior aparecen en negrita. Campo de datos Tipo Fuente de datos A B C D E F G H I J K L M N O EventID ThreatID ComputerID Nombre EventTime datetime EventTypeID 9
Sophos Reporting Interface Campo de datos Tipo Fuente de datos A B C D E F G H I J K L M N O EventTypeName ReportingName UserName ActionID ActionName ScanTypeID ScanTypeName SubTypeID SubTypeName InsertedAt datetime Domain IPAddress Description LastMessageReceived Time DNSName (SEC 5.2 o posterior) OperatingSystemID (SEC 5.2 o posterior) OperatingSystem Name (SEC 5.2 o posterior) ServicePack (SEC 5.2 o posterior) ThreatTypeID ThreatTypeName ThreatSubTypeID ThreatSubTypeName 10
Fuente de datos Tipo Campo de datos O N M L K J I H G F E D C B A Priority ThreatName FullFilePath FileVersion CheckSum datetime FirstDetectedAt RuleName TrueFileType DestinationPath DestinationTypeID DestinationType Name SourcePath FileName DestinationValue long FileSize (SEC 5.0 o posterior) DeviceTypeID DeviceTypeName Model DeviceID Rol FileName FilePath FileVersion FileChecksum CommandLine Sesión 11 Guía de usuario
Sophos Reporting Interface Campo de datos Tipo Fuente de datos A B C D E F G H I J K L M N O Desktop Ubicación ProtocolID ProtocolText DirectionID DirectionText LocalAddress RemoteAddress LocalPort RemotePort TargetTypeID TargetTypeText Target RuleID BlockedSite ReferringURL ReasonID (SEC 5.0 o posterior) ReasonName (SEC 5.0 o posterior) CategoryID (SEC 5.0 o posterior) CategoryName (SEC 5.0 o posterior) ActionTakenID ActionTakenName ScannerTypeID ScannerTypeName 12
Fuente de datos Tipo Campo de datos O N M L K J I H G F E D C B A StatusID StatusName GroupID PathAndName Depth PackageID Product SAVVersion EngineVersion VirusDataVersion datetime ExpiryTime datetime NotificationTime bit Expired PolicyTypeID PolicyTypeName ComplianceID ComplianceName 13 Guía de usuario
Sophos Reporting Interface 6 Apéndice: Configurar Crystal Reports con Reporting Interface En este ejemplo se muestra cómo utilizar Crystal Reports versión 2008 o posterior con Reporting Interface. El asistente de Crystal Reports enlazará las columnas con el mismo nombre entre las vistas incluidas en el informe. Es posible que haya que eliminar algunos enlaces ya que columnas con nombres similares no tienen por qué tener valores idénticos para un evento. Por ejemplo, la columna InsertedAt aparece en cada vista que denote cuándo se añadió la entrada a la base de datos. Sin embargo, un evento puede tener valores InsertedAt diferentes para la entrada correspondiente en cada vista. Si el asistente de Crystal Reports enlaza estas columnas, deberá eliminar dichos enlaces para evitar la falta de datos. Para más información sobre las fuentes de datos que están relacionados, consulte Datos relacionados en la página 7 Para crear una conexión de Reporting Interface con Crystal Reports: 1. Abra Crystal Reports y cree una nueva conexión mediante OLE DB (ADO) y seleccione Microsoft OLE DB Provider for SQL Server. 2. Introduzca la información necesaria y complete el asistente. Sophos Reporting Interface aparecerá como fuente de datos. Para generar informes personalizados, consulte la documentación de Crystal Reports. Para ver las fuentes de datos disponibles mediante Reporting Interface, consulte Fuentes de datos de Reporting Interface en la página 9. Para más información y ejemplos de uso de Crystal Reports con Sophos Reporting Interface, consulte el artículo 112873 en la base de conocimiento de Sophos http://www.sophos.com/es-es/support/knowledgebase/112873.aspx. 14
Guía de usuario 7 Soporte técnico Para obtener asistencia técnica sobre cualquier producto de Sophos, puede: Visitar el fórum SophosTalk en community.sophos.com/ para consultar casos similares. Visitar la base de conocimiento de Sophos en www.sophos.com/es-es/support.aspx. Descargar la documentación correspondiente desde www.sophos.com/es-es/support/documentation/. Enviar un email a soporte@sophos.com indicando la versión del producto de Sophos, el sistema operativo y parches aplicados, y el texto exacto de cualquier mensaje de error. 15
Sophos Reporting Interface 8 Aviso legal Copyright 2010 2013 Sophos Limited. Todos los derechos reservados. Ninguna parte de esta publicación puede ser reproducida, almacenada o transmitida de ninguna forma, ni por ningún medio, sea éste electrónico, mecánico, grabación, fotocopia o cualquier otro sin la correspondiente licencia del producto, bajo dichos términos, o sin la previa autorización escrita por parte del propietario. Sophos, Sophos Anti-Virus y SafeGuard son marcas registradas de Sophos Limited, Sophos Group o Utimaco Safeware AG, según corresponda. Otros productos y empresas mencionados son marcas registradas de sus propietarios. 16