7.3. Visualización de datos de EndPoints
El usuario puede llevar un control de los EndPoints que hay instalados y de su estado desde la plataforma web redborder.
Para consultar los EndPoints hay que dirigirse a la sección Sensors y seleccionar la opción View -> EndPoints.
Una vez que se ha accedido a esta interfaz se visualiza un listado en el que aparecen todos los EndPoints que se han registrado contra el servidor GRR. Este listado incluye la siguiente información relacionada con cada EndPoint:
Name: nombre del Hostname del EndPoint asignado por el usuario.
GRR ID: ID interno del EndPoint (C.+Número en hexadecimal de 16 dígitos).
IP: IP del EndPoint.
Last Check in: indica la última vez que el EndPoint fue chequeado estando perativo.
Owner: propietario del EndPoint (por defecto: root).
En el margen superior derecho de la pantalla encontramos dos nuevas opciones:
New EndPoint Installer: descarga del instalador del EndPoint.
Discover EndPoints: actualización del listado de EndPoints mediante la consulta al servidor GRR, añadiendo o eliminando aquellos EndPoints que se hayan gestionado desde el panel de Administración de GRR.
Si un EndPoint ha sido eliminado desaparece del listado de EndPoints. Sin embargo, se guarda un registro del mismo añadiendo la etiqueta "DELETED", de este modo, si se desea realizar una consulta histórica mediante un filtro por franja de tiempo, obtendremos información de la actividad de este EndPoint con la indicación de que ha sido eliminado.
Para ver la información completa asociada a cada uno de los EndPoints basta con hacer clic en el icono de "Edición":
A continuación accedemos a una pantalla en la que encontramos información detallada sobre el estado del EndPoint acompañada de una serie de botones que nos permitirán activar una serie de mecanismos de contención para proteger a los EndPoints en casos de vulnerabilidades o amenazas.
En esta misma pantalla se encuentra la opción Download Event Log que permite realizar la descarga del registro de eventos en formato .json. El usuario puede seleccionar el intervalo de tiempo del que quiere obtener la información acerca de la actividad del sistema registrada por el Agente de Carga.
El archivo Event Log incluye los datos sobre los procesos del sistema, conexiones y acciones realizadas en ficheros (creación, modificación y eliminación). Existen tres modos en los que encontramos los logs: Informativos, Depuradores (Debug) y Error.
El usuario puede consultar el registro de la actividad del sistema en el archivo local de su equipo y que puede consultar en c:\Archivos de programa\redborder Malware EndPoint\Events.
El registro de eventos almacenado en su equipo tiene unas limitaciones de tamaño de almacenamiento, por lo que periódicamente los registros son borrados de manera automática por el sistema.
Si desea un informe exhaustivo de la actividad de sus equipos le recomendamos que realice siempre la descarga de los Logs desde la plataforma web redborder, ya que su almacenamiento es ilimitado.
