none
FEP 2010 and SCCM - Behind the scenes :) RRS feed

  • Frage

  • Hi guys,
    i've a question how SCCM and Forefront Enpoint Protection 2010 are working together.
    I already realized that FEP 2010 is a complete independed solution which does not need any other products, but then it is not managed.

    Ok, but i want a managed client security solution so i use it with SCCM and the FEP Server components.
    Especially i would like to know how SCCM gets the information from the FEP Client.

    The deployment is running with a normal SCCM Package. The policies are also applied throught a normal SCCM package and if i change them the advertisement just re-runs, but from where does SCCM gets the Information which updates are needed (software update scan cycle to software update point?) and that a virus/malware/issue took place on a system? Does this work via status messages, hardware inventory or dcm? Can i trigger the data flow that is see the result more faster in sccm console?

    Any help would be really cool.

    Thank you.

    Dienstag, 18. Januar 2011 15:15

Alle Antworten

  • Hi,

    du kannst FEP 2010 in eines bestehende SCCM Umgebung integrieren, hast Du keine bestehende SCCM Umgebung, brauchst Du fuer FEP eine eigene SCCM Umgebung, weil FEP SCCM fuer das FEP Client Rollout, das Reporting, etc. verwendet. Da sganze Advertisment, die Collection, FEP Client Rollout SSAM usw. ist alles SCCM Mimik.

    Auf jedem FEP Client ist gleichzeitig auch der SCCM Client installiert, ueber den die Kommunikation erfolgt. Somit erfolgen die Update Zyklen, das Discovery etc. ganz normal ueber die SCCM Techniken. Ich sehe das bei meinen bisherigen 2 Testimplementierungen und der einen Produktivimplementierung so, dass FEP zu 90% SCCM verwendet fuer die meisten Methoden und nur ein paar angepasste FEP Techniken integriert. Selbst das FEP Reporting ist ja SCCM / SQL REporting Services, so wie es auch shcon bei FCS war, nur da halt MOM und SQL Reporting Servces.

    Beantwortet das Deine Frage?


    regards Marc Grote aka Jens Baier - www.it-training-grote.de - www.forefront-tmg.de - www.nt-faq.de
    Dienstag, 18. Januar 2011 15:38
    Moderator
  • fast :)
    Ich bin sehr an den Details interessiert wie SCCM an die Infos kommt. Ich würde die Datensammlungen gerne antriggern können, weiß aber nicht durch welche Mechanismen dies geschieht.
    Möglich sind ja Hardware Inventory, Software Inventory, DCM und Software Update Cycle, aber welcher ist für was genau.

    Ein Beispiel ist u.a. ein Virus auf einem FEP Client. Bis die Info im SCCM FEP Dashboard landet vergeht eine Ewigkeit. Wie kann ich den Datenfluss anstoßen?

    Dienstag, 18. Januar 2011 15:56
  • Hi,

    da bin ich ueberfragt, Aufgefallen ist mir das auch schon, das es ewig dauert, bis da was im FEP SCCM Dashboard auftaucht. Aber so tief bin ich noch nicht vorgedrungen, da ich mir neben FEP noch SCCM beibringen muss und leider immer alles nach Feierabend, nachdem MS die wie ich finde, unglueckliche Entscheidung getroffen hat, FEP in SCCM zu integrieren und fuer noch mehr Komplexitaet als schon bei FCS zu sorgen. in den spaerlichen FEP Dokus findet man dazu auch noch nichts. Da das FEP Dashboard aber SCCM Mimik ist, solltest Du in den SCCM Dokus / Foren mal nachfragen, wie die Interaktion SCCM zuM Dashboard ist und wie man eine Aktualisierung ggfs. manuell beeinflussen kannst


    regards Marc Grote aka Jens Baier - www.it-training-grote.de - www.forefront-tmg.de - www.nt-faq.de
    Dienstag, 18. Januar 2011 21:25
    Moderator
  • Hallo,

    danke erstmal für deine Hilfe.
    Ich habe nun alle Client Action Cycles und die aktualisierung des Dashboards auf kleine Intervalle gesetzt und schau mal was passiert.

    Problem ist meiner Meinung nach, dass die Infos zuerst im SCCM landen. Über SQL Integration Services werden die dann in bestimmten Abständen in die FEP DB übertragen, worauf die SCCM Reports wiederum zugreifen. Sollte das Dashboard ebenfalls auf die FEP DB zugreifen, dann wundern mich das nicht mehr.

    Das SCOM MP für FEP habe ich nun ebenfalls installiert. Für einen Virenbefall auf Systemen (EventID: 1116) gibt es dort eine Collection Rule (aber keine Alert Rule) somit sieht ein Admin keine Benachrichtigungen. Lediglich bei einem Malware Outbreak (Virusbefall auf 5% aller verwalteten Systemen) wird ein Alert geschrieben.

    :/

    Ich hab die Frage mal im englischsprachigen Forum gepostet, vllt. hat schon jmd. eine Lösung gefunden.

    http://social.technet.microsoft.com/Forums/en-US/FCSNext/thread/b410b564-26ed-48ac-a3f7-2b56a02b903b

    Mittwoch, 19. Januar 2011 12:40
  • Hallo Jonas,

    ich stehe gerade vor der gleichen Problematik und frage mich durch welchen Agent eine Virenmeldung vom Client an den Managementpoint berichtet wird.Oft ist die Rede vom DCM Agent,aber ich finde nicht raus welcher Zyklus genau diesen Vorgang steuert.Bei uns dauer die Meldung über erkannte Schadsoftware über 12 Stunden.Das ist alles andere als zufriedenstellend.

    Hast du in zwischen rausgefunden,wie man das beschleunigen kann?

    Gruß

    Stephan

    Freitag, 23. März 2012 12:45