技术分享 | 用Google Data Studio可看见FireEye终端点安全主机管理数据

FireEye Endpoint Security 的主机管理模块在现有的警报、分流、遏制和获取功能的基础上进行了扩展，允许用户对其环境进行大规模的评估和报告。通过主机管理模块，用户可以快速、轻松地区分物理、虚拟和云主机，以及查看代理组件的实时状态，识别环境中的每个操作系统，识别用户登录的每个设备等。关于主机管理模块的更多细节可以在以下视频中找到。

主机管理模块包括一个嵌入在FireEye终端安全仪表板中的用户界面组件，它以可定制的互动方式显示所有信息，如图1所示。主机管理模块允许用户选择要显示的相关字段，过滤数据，并对结果进行排序，以提供对环境的洞察力。

图1：主机管理模块的用户界面

此外，这些数据可以作为CSV文件下载，通过微软PowerBI、Tableau或Google Data Studio等工具进行离线处理。使用这些第三方工具之一，用户可以根据自己的业务要求建立定制的可视化，如图2所示。

图2：数据可视化仪表板样本

手动下载和导入CSV文件进行处理是一个低效和费力的过程，但不用担心，我们已经解决了这个问题。

FireEye Endpoint Security有一个应用程序编程接口（API），使客户能够以编程方式与产品互动，以消除手动工作，如手动下载和处理CSV文件。使用这个API，有无限的整合可能性。

在这篇文章的剩余部分，我将分享我创建的一个示例项目的细节，该项目利用FireEye Endpoint Security主机管理模块API为Google Data Studio定制了一个连接器。

Google Data Studio 是Google提供的一个免费的拖放报告编辑器，允许用户创建完全定制的数据可视化。Data Studio提供了一套广泛的图表类型来帮助构建报告，并能够使用来自数百个来源的数据。Google为许多Google服务提供了19个连接器，包括 Google Sheets、Search Console、Google Analytics、YouTube和其他。此外，还有300多个由合作伙伴建立的社区连接器，任何人都可以使用。最后，如果没有连接器，任何人都可以建立自己的连接器。虽然这篇文章的重点是与Google Data Studio的整合，但同样的概念也可以利用许多其他的数据可视化工具，如微软的PowerBI，Tableau，Domo和其他。

要在Google Data Studio中利用FireEye终端安全主机管理模块API的数据开始构建自定义仪表盘，需要三个步骤。

首先，准备FireEye Endpoint Security环境。为了做到这一点:

1. 确认FireEye Endpoint Security的5.02或更高版本正在运行。

2. 在 FireEye Endpoint Security 中修改现有用户或创建新用户，并为其分配 api_admin 或 api_analyst 角色。在本例中，api_analyst 角色具有足够的权限。

3. 从FireEye Market安装以下模块

4. Host Management module

5. API Documentation module (可选的，但也是一个有用的参考)

第二步是建立一个连接器或使用GitHub上已经建立的这个样本连接器。所有先决条件以及下载和部署连接器的说明都可以在项目页面上找到。使用这个连接器，提供FireEye Endpoint Security API实例的URL和凭证，就可以立即开始构建报告，而无需任何编码。如果用户喜欢建立自己的连接器，Google有一个很好的资源可以开始使用。还可以参考以下FireEye资源，其中包含关于API的详细信息:

• FireEye Developer Hub

• Endpoint API Documentation (需要登录)

• Host Management Module Documentation (包含数据字段的定义)

最后一步是建立报告! 为了帮助人们开始，我已经创建并分享了这个报告模板。以此为起点，或利用现有的数据从头开始建立。有65个数据字段可以通过主机管理API访问，所以可能性是巨大的。