Generatore di report

È possibile utilizzare un modello e dei filtri per generare un report.

permette di selezionare un modello di report, specificare filtri, generare un report e salvare il modello con le impostazioni di filtro e visualizzazione specificate. È anche possibile configurare una pianificazione dell'esportazione per i report. I report possono essere esportati nei seguenti formati: PDF, CSV e HTML. Vedere Log e report.

Limitazione È possibile salvare modelli, pianificare esportazioni e scaricare report solo se si dispone di una licenza Central Firewall Reporting Advanced.

I report generati che è possibile visualizzare in Sophos Central supportano fino a 10.000 record in un report. Le esportazioni pianificate supportano fino a 100.000 record per report in formato CSV e fino a 10.000 record in HTML e PDF.

La scheda Generatore di report include le seguenti aree:

  • Filtri
  • Grafico
  • Tabella

Filtri

Selezionare Gestione del Firewall > Generatore di report per configurare i filtri.

In Filtri è possibile selezionare i firewall, il modello di report e l'intervallo di tempo. È anche possibile specificare query.

Selezionare i firewall dall'elenco a discesa e cliccare su Applica.Se si desidera deselezionare tutti i firewall, aprire l'elenco a discesa e cliccare su Deseleziona tutto e successivamente su Applica. Possono anche essere deselezionati uno alla volta.

Limitazione È possibile selezionare più firewall solo se sono tutti dotati di licenza.
Nota Attualmente è possibile selezionare fino a 100 firewall. Per un numero più elevato di firewall è possibile eseguire più report che includano fino a 100 firewall ciascuno. Ogni amministratore può configurare fino a un massimo di 100 report pianificati. Questo significa che è possibile compilare fino a 100 report per tutte le funzionalità che utilizzano questo formato per i report. Per maggiori informazioni, vedere Log e report.

Se sono presenti più firewall, è possibile cliccare sul testo, ad esempio su 3 firewall, per visualizzare i nomi dei firewall in questione.

Sotto Modelli per i report è possibile selezionare uno dei seguenti modelli di report:

  • ATP: le minacce provenienti da indirizzi IP specifici rilevati da ATP (Advanced Threat Protection).
  • Antivirus: il malware o gli elementi sospetti che sono stati bloccati.
  • Utilizzo larghezza di banda: la larghezza di banda utilizzata da applicazioni specifiche.
  • Rischi e utilizzo app cloud: le app cloud utilizzate e tutti i rischi associati a tali app.
  • Firewall: Il numero di connessioni tra indirizzi IP specifici.
  • IPS: i tentativi di attacco intercettati da IPS (Intrusion Prevention System).
  • Visualizzatore log e ricerca: voci di log generate dal firewall in formato non aggregato.

    Il report Visualizzatore log e ricerca non include un grafico, ma solo una tabella.

  • Protezione zero-day: file ed e-mail contenenti allegati sospetti inviati a Sandstorm.
  • Attività relative alla posizione geografica della minaccia: minacce bloccate, provenienti da paesi specifici.
  • Minacce ed eventi bloccati: tutti i tipi di minacce ed eventi bloccati.
  • Utilizzo VPN: La quantità di utilizzo di connessioni VPN specifiche.
  • Utilizzo del web: visite a siti web specifici.

In Intervallo di tempo è possibile specificare l'intervallo di tempo per il quale debbano essere visualizzate le informazioni, selezionando una delle opzioni. Selezionando Personalizzato/a, è possibile specificare l'intervallo di date e orari per cui visualizzare le informazioni.

Limitazione Se non si dispone di una licenza Firewall Reporting, non sarà possibile specificare un intervallo di tempo che inizi più di sette giorni prima.

Aggiunta di filtri

Per aggiungere filtri, procedere come segue:

  1. Sotto Query, selezionare o immettere il nome della colonna in cui si desidera applicare il filtro.
  2. Immettere i valori in base ai quali si desidera filtrare il report.
  3. Per modificare l'operatore utilizzato per il confronto, cliccare sul segno uguale accanto al nome della colonna e selezionare un'opzione dall'elenco a discesa.

    Schermata del segno uguale su cui cliccare per mostrare l'elenco degli operatori

    La tabella seguente mostra un elenco degli operatori:

    Operatore

    Righe visualizzate

    =

    Righe in cui il valore della colonna è uguale al valore in base al quale si desidera applicare il filtro

    Il valore applica la distinzione tra maiuscole e minuscole.

    Esempi:

    Per visualizzare tutte le righe in cui il dominio è uguale a un dominio specifico, immettere quanto segue:

    DOMAIN = www.bing.com

    Per visualizzare tutte le righe in cui l'indirizzo IP è uguale a un indirizzo IP specifico, immettere quanto segue:

    Source IP = 10.8.9.191

    !=

    Righe in cui il valore della colonna non è uguale al valore in base al quale si desidera applicare il filtro

    Il valore applica la distinzione tra maiuscole e minuscole.

    <

    Righe in cui il valore della colonna è inferiore al valore in base al quale si desidera applicare il filtro (valido solo per i valori numerici)

    <=

    Righe in cui il valore della colonna è inferiore o uguale al valore in base al quale si desidera applicare il filtro (valido solo per i valori numerici)

    >

    Righe in cui il valore della colonna è maggiore rispetto al valore in base al quale si desidera applicare il filtro (valido solo per i valori numerici)

    >=

    Righe in cui il valore della colonna è maggiore o uguale al valore in base al quale si desidera applicare il filtro (valido solo per i valori numerici)

    IN

    Righe in cui il valore della colonna è uguale a uno o più valori in un elenco di valori separati da virgola in base ai quali si desidera applicare il filtro

    I valori applicano la distinzione tra maiuscole e minuscole.

    Esempio:

    Per visualizzare tutte le righe in cui l'indirizzo IP di destinazione è uguale a uno o più valori in un elenco di indirizzi IP, immettere quanto segue:

    Destination IP IN 13.107.21.200,204.79.197.200

    ~

    Righe in cui il valore della colonna corrisponde a un'espressione con caratteri jolly in base alla quale si desidera applicare il filtro. I caratteri jolly sono asterischi: *

    L'espressione non applica la distinzione tra maiuscole e minuscole.

    Esempi:

    Per visualizzare tutte le righe in cui l'URL contiene una stringa specifica, immettere quanto segue:

    URL ~ *amazon*

    Per visualizzare tutte le righe in cui l'indirizzo IP di origine è uguale a uno o più indirizzi in una subnet, immettere quanto segue:

    Source IP ~ 13.225.78.*

    !~

    Righe in cui il valore della colonna non corrisponde a un'espressione con caratteri jolly in base alla quale si desidera applicare il filtro. I caratteri jolly sono asterischi: *

    L'espressione non applica la distinzione tra maiuscole e minuscole.

  4. Ripetere questa procedura se si desidera aggiungere altri filtri. Una riga viene visualizzata solo se soddisfa le condizioni di tutti i filtri.
  5. Per rimuovere un filtro, cliccare sul pulsante di eliminazione accanto al filtro: Pulsante di eliminazione.
  6. Cliccare su Genera per visualizzare il report selezionato utilizzando i filtri specificati.

    Se l'intervallo di tempo selezionato è superiore a 30 giorni, il recupero dei dati potrebbe richiedere diverso tempo. Se sono necessari più di pochi secondi, viene visualizzato un messaggio.

    1. Per continuare ad attendere la visualizzazione del report, cliccare su OK.

      Il report viene aggiunto alla coda. Una volta pronto, viene visualizzato automaticamente nella scheda Generatore di report.

    2. Se in un secondo momento si decide di interrompere l'attesa, è possibile cliccare su Avvia un altro report.

      È possibile visualizzare un altro report durante l'attesa. Tuttavia, quando sarà pronto il primo report, occorrerà selezionare la scheda Coda per visualizzarlo.

    3. Per interrompere la generazione del report, cliccare su Annulla.

Grafici

È possibile selezionare il tipo di grafico nella parte in alto a destra dell'area.

  • A barre
  • A barre orizzontali
  • A torta
  • A linee
  • Ad area

Per selezionare le informazioni da visualizzare su ciascun asse, procedere come segue:

  1. Cliccare sul pulsante a forma di cacciavite e chiave inglese nella parte in alto a destra dell'area: Pulsante cacciavite e chiave inglese.
  2. Nella prima casella in alto, selezionare le informazioni da visualizzare sull'asse X.
  3. Nella casella successiva, cliccare sulla freccia e selezionare le informazioni da visualizzare sull'asse Y.
  4. Se il grafico visualizzato è a linee o ad area, cliccare sulla freccia nella casella inferiore e selezionare le informazioni da visualizzare sull'asse Z.

Quando si seleziona un tipo di grafico diverso, vengono visualizzate le informazioni predefinite su ciascun asse, anche se dovesse essere stato precedentemente modificato.

Se si passa il mouse sul grafico, vengono visualizzati i valori dei dati.

Pianificazione dei report

Per configurare una pianificazione dell'esportazione per i report, procedere come segue:
  1. Cliccare su Pianificazione.

    È possibile pianificare fino a 100 report.

    Nota È anche possibile generare un'esportazione cliccando su PDF, CSV, o HTML. È possibile scaricare i report esportati da Esportazioni pianificate.
  2. Immettere un Nome del modello.
  3. Selezionare l'Intervallo di tempo per i dati che si desidera includere.
  4. Configurare le impostazioni della Frequenza di esportazione.
  5. Selezionare il Formato dell'esportazione.

    È possibile esportare il report nei seguenti formati: PDF, CSV o HTML.

    Un'esportazione PDF contiene un massimo di quindici colonne.

  6. Selezionare il metodo di Notifica/recapito dell'esportazione.

    Si consiglia di inviare il link tramite e-mail, se il report include informazioni che possono portare all'identificazione personale.

    Il report viene inviato all'indirizzo e-mail di Sophos Central specificato nei Dettagli dell'account.

    Per visualizzare i report da un link, occorre immettere le proprie credenziali di accesso di Sophos Central.

    Il report può essere inviato ad altri amministratori di Sophos Central.

  7. Cliccare su Salva.

È possibile scaricare i report esportati da Esportazioni pianificate.

Salvataggio di un modello di report

Cliccare su Salva modello per salvare il modello di report selezionato con uno dei filtri o delle impostazioni di visualizzazione applicati, inclusi i seguenti:

  • Filtri per le query
  • Tipo di grafico
  • Assi del grafico
  • Ordinamento della tabella
  • Colonne della tabella

In questo modo si evita di dover effettuare nuovamente tutte le selezioni. Il report verrà salvato nella scheda Salva modelli. I dati non saranno salvati insieme al modello.

È anche possibile attivare e disattivare la pianificazione dell'esportazione per questo modello di report.

Tabelle

Quando si visualizza la tabella per la prima volta, viene mostrato un set predefinito di colonne. È possibile selezionare le colonne da visualizzare cliccando sul pulsante di selezione delle colonne nella parte in alto a destra dell'area della tabella: Pulsante di selezione delle colonne.

Le righe verranno combinate per rimuovere righe duplicate. Ad esempio, per impostazione predefinita la tabella mostra il numero di riscontri per un ID regola, un IP di origine, un IP di destinazione e un paese specifico. Questo viene rappresentato da una riga:

ID REGOLA FIREWALL

IP DI ORIGINE

IP DI DESTINAZIONE

PAESE DI ORIGINE

RISCONTRI

0

1.1.1.1

255.255.255.255

Australia

3

Tuttavia, se si aggiunge un'altra colonna in cui i dati sono diversi in ciascuna riga (ad esempio l'utente), verrà visualizzata una riga per ciascun riscontro, e ogni riga avrà lo stesso ID regola, IP di origine, IP di destinazione e paese:

ID REGOLA FIREWALL

UTENTE

IP DI ORIGINE

IP DI DESTINAZIONE

PAESE DI ORIGINE

RISCONTRI

0

John Smith

1.1.1.1

255.255.255.255

Australia

1

0

Paul Jones

1.1.1.1

255.255.255.255

Australia

1

0

George Harris

1.1.1.1

255.255.255.255

Australia

1

Più colonne vengono aggiunte, maggiore sarà la granularità delle informazioni visualizzate.

Se viene visualizzata la colonna della data, le righe duplicate saranno raggruppate per data e ora come segue:

Intervallo di tempo

Raggruppamento di righe

Inferiore o uguale a 1 ora

Righe in cui la data e l'ora sono uguali (con arrotondamento al minuto più vicino).

Superiore a 1 ora ma inferiore o uguale a 48 ore

Righe in cui la data e l'ora sono uguali (con arrotondamento all'ora più vicina).

Superiore a 48 ore

Righe in cui la data e l'ora sono uguali (con arrotondamento al giorno più vicino).

Alcune colonne includono valori che sono hyperlink. Se si clicca su uno di questi valori, viene aggiunto un filtro alla casella Query per tale valore. È quindi possibile utilizzarlo per filtrare il report. Ad esempio, nella tabella riportata sopra, cliccando su Australia, verrà aggiunto un filtro: Paese di origine = Australia. È possibile ripetere questa operazione per altri valori, per rendere il filtro più specifico. Per il report Minacce ed eventi bloccati, questi hyperlink includono anche link a uno degli altri report.

Per il report Visualizzatore log e ricerca, i pulsanti nella parte in alto a destra dell'area consentono di passare dalla visualizzazione tabulare, che mostra un numero limitato di colonne, alla visualizzazione non elaborata, che mostra tutte le colonne, e viceversa.