Queries & Reports is misschien wel de meest krachtige en belangrijke functie waar je als Trellix-beheerder beschikking over hebt. Met queries en reports kun je namelijk alle informatie die je ooit maar uit Trellix ePO zou willen hebben, bij elkaar zoeken en ordenen. Je kunt heldere overzichten maken, dieper inzoomen op onderdelen van je omgeving en handige, periodieke rapportages laten genereren. En omdat het zo’n uitgebreide functie is, is er veel over te vertellen. Daarom splitsen we het onderwerp op in meerdere delen. De komende tijd gaan we je dus, verspreid over meerdere blogs, alles leren over het gebruik van Queries & Reporting. Bovendien delen we aan het einde van deze serie een aantal dashboards met je die wij zelf op dagelijkse basis gebruiken voor het beheer van Trellix. Kun je die direct zelf gebruiken. Handig!
In dit eerste deel vertellen we je alles over de resultaten die je met een query naar boven kunt krijgen
Result Types
Laten we dus bij het begin beginnen: de output van een query. Nu hoor ik je denken: output heb je toch pas aan het einde, niet het begin? Klopt. Maar als je een resultaat wilt hebben waar je iets aan hebt, moet je eerst weten waar je allemaal naartoe kunt. In de Queries & Reports van Trellix begin je met het kiezen van een “Result Type”. Hiermee bepaal je wat voor soort informatie je gaat gebruiken voor je overzichten.
De belangrijkste mogelijkheden die je hebt zijn System Management, Events en Policy Management. Daarmee kun je in onze ervaring alles te weten komen wat je wilt voor je beheer van Trellix. De andere Result Types zul je 99% van de tijd niet nodig hebben. Dus om deze Trellix Tactics behapbaar te houden, slaan we die even over 😊.
System Management
Met System Management vraag je informatie op over de systemen uit je System Tree. Denk aan OS-type, versienummers van de Trellix Agent, laatste communicatie-tijdstip met ePO, en meer van dergelijke informatie. Ook als je wilt weten hoe het ervoor staat met je compliance, of alles wel up-to-date is, moet je hier zijn. Met “Compliance History” maak je daar snel een overzicht van.
Events
Wil je meer weten over bepaalde threats, hoe Trellix ze heeft afgehandeld, of wil je analyseren welk type aanval het vaakst voor komt? Dit soort informatie kun je opvragen met de Events resultaten. Stel dat je wilt weten welke threats er allemaal voorbij zijn gekomen in je omgeving in de afgelopen week, uitgesplitst per “Severity”. Analyse van threats en patronen & trends van aanvallen, doe je met het Events type.
Policy Management
Met dit result type kun je informatie opvragen over de (toepassing van) policies die je in je omgeving hebt geconfigureerd. Wil je erachter komen welke policies en configuraties actief zijn op welke apparaten? Of welke apparaten afwijkende policies/configuraties of geplande taken hebben? Dat zoek je uit met Policy Management-resultaten.
Charts
Wanneer je hebt bepaald naar wat voor soort informatie je op zoek bent, is de volgende stap om te kiezen hoe je die informatie gaat visualiseren. Dat doe je met Charts. En die bestaan in allerlei soorten en maten. Hieronder lees je welke soorten er allemaal bestaan, wat ze doen en een voorbeeld van waar je ze voor gebruikt.
(Let op: soms is een bepaalde Chart niet logisch voor het Result Type wat je hebt gekozen. Het kan dus zijn dat je sommige onderstaande Charts niet terugziet bij bepaalde Result Types)
Bar Charts
Bar Chart: Het klassieke staafdiagram; horizontale of verticale balken waarmee je makkelijk absolute aantallen kunt vergelijken. Denk bijvoorbeeld aan het aantal apparaten met verschillende versienummers van de agent.
Grouped Bar Chart: Een uitgebreidere versie van bovenstaande, waarmee je resultaten verder kunt groeperen. Bijvoorbeeld het aantal apparaten met verschillende versienummers van de agent, gegroepeerd op OS platform, waarbij elk OS platform een staaf per versienummer krijgt.
Stacked Bar Chart: Een versie van het staafdiagram, waarmee je resultaten kunt stapelen. Bijvoorbeeld het aantal apparaten met verschillende versienummers van de agent gegroepeerd op OS platform, waarbij elk OS platform één staaf krijgt waarin de versienummers met verschillende kleuren op elkaar zijn gestapeld.
Pie Charts
Pie Chart: Cirkeldiagram, waarmee je een procentuele verdeling kunt maken op basis van categorieën. Bijvoorbeeld de verdeling van verschillende typen OS Types binnen een omgeving (Windows 10, Windows 11, MacOS etc.).
Boolean Pie Chart: Cirkeldiagram met binaire resultaten. Bijvoorbeeld om te controleren hoeveel procent van je omgeving compliant/non-compliant is, of actief/inactief.
Bubble Charts
Bubble Chart: Type diagram waarin je data makkelijk visueel kunt vergelijken met bollen: de bollen worden op een grafiek geplot, en hoe groter de bol, hoe groter het aantal. Bijvoorbeeld de verdeling van OS Types per groep (assignment path) in je system tree.
Summary
Single Group Summary Table: Tabel waarbij je gebruik maakt van 1 variabele/”group”, en de absolute waarden van die variabele binnen je omgeving meet. Bijvoorbeeld het aantal verschillende OS Platform binnen je omgeving. Je kunt vanuit de resultaten doorklikken naar List Tables (zie hieronder).
Multi-Group Summary Table: Tabel waarbij je gebruik maakt van 2 of meer variabelen/”groups”, die worden uitgesplitst in rijen en kolommen. Bijvoorbeeld het aantal verschillende OS Types binnen je omgeving gesorteerd op OS Platform. Je kunt vanuit de resultaten doorklikken naar List Tables (zie hieronder).
Line Chart
Single-Line Chart: De welbekende grafiek met X-as en Y-as, waarop je informatie kunt plotten om trends te zien. Bijvoorbeeld het aantal threats per dag in een specifieke tijdsperiode.
Multi-line Chart: Hetzelfde als een Single-Line, maar dan met mogelijkheid om verder uit te splitsen. Bijvoorbeeld het aantal threats per OS platform per dag in een specifieke tijdsperiode, waarbij elk OS Platform een eigen lijntje krijgt.
List
Table: Geeft je simpelweg een gesorteerde lijst met informatie, waarin elke regel voor één entry staat en je de kolommen zelf kunt bepalen. Bijvoorbeeld tabel van alle systemen in je omgeving, met als kolommen IP-adres, Operating System en aantal threats. Je kunt vanuit Single en Multi Group Tables doorklikken naar deze tabellen.
En daarmee zijn we door alle Result Types heen gegaan. Nu weet je welke informatie je allemaal naar boven kunt krijgen, en op welke verschillende manieren je die kunt visualiseren. Dat is al een goede basis voor het bouwen van je eigen queries en rapporten. De volgende keer kijken we naar hoe je met Filters en Columns de exacte informatie boven tafel krijgt die jij nodig hebt.
Meer weten?
Mark Schager helpt je graag verder. Je kunt hem bereiken op: mark@mydigitals.nl