Перейти к содержанию
Nikita

Настройка нормальных уведомлений

Recommended Posts

Nikita

Хочется спросить, можно ли настроить на SEPM нормальные уведомления о найденных вирусах?

Что настроено сейчас:

1) Уведомление о событии отдельной угрозы

Приходит письмо с кучей информации, но без информации о том, какой файл или файлы были заражены

2) Уведомления о новых угрозах и эпидемиях.

Приходит письмо с вложенным файлом формата mht. В самом письме полезной информации - ноль, понять насколько велико заражение - невозможно. Всё вроде бы как во вложении.

Не знаю как другим, а лично мне читать вложения очень неудобно. Выходит, что чтобы понять какие файлы заражены, как много этих файлов и прочее нужно не просто заглянуть в почту, а тщательно изучать что там шлет SEPM. Более того, уведомления эти полной картины все равно не дают, так как обнаруженных зараженных файлов может быть на 2 порядка больше чем то, что он отослал.

В результате, наименьшим по трудозатратам на анализ и наибольшим по достоверности является отчет SEPM за день, в который ты заглядываешь в конце рабочего дня и обнаруживаешь: опа, а тут, оказывается, с утра вирусы вовсю прут

идеальным был бы следующий вариант:

в заголовке письма имя зараженного компютера, в теле письма без всяких вложений список зараженных файлов и название вируса. Все остальное в 99% случаев - лишнее!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A lone
Хочется спросить, можно ли настроить на SEPM нормальные уведомления о найденных вирусах?

давайте начнем обсуждение с указания версии SEPM. У меня стоит MR5 и в письме "Событие отдельной угрозы" есть следующая информация (кажется, отдельно ничего в отчете не настраивал):

Найдена по крайней мере одна угроза:

Имя угрозы: Trojan Horse

Путь к файлу: C:\temp\DWH557F.tmp

Время события: 2009-12-09 16:37:25 GMT

Время вставки в базу данных: 2009-12-09 17:20:15 GMT

Пользователь:SYSTEM

Компьютер: ХХХ

IP-адрес: 10.хх.xx.xx

Домен: YY.ru

Сервер: AAA

Группа клиентов: Моя компания\10.хх.xx.xx

Действие над угрозой: Помещен в карантин

что касается

В результате, наименьшим по трудозатратам на анализ и наибольшим по достоверности является отчет SEPM за день, в который ты заглядываешь в конце рабочего дня и обнаруживаешь: опа, а тут, оказывается, с утра вирусы вовсю прут

Уверен, что когда приходит письмо с темой "Уведомление об эпидемии" надо не чай пить до конца рабочего дня в ожидании "манны небесной", а начинать сильно чесаться на предмет происходящего в сети немедленно вне зависимости от количества обнаруженного.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
angel-keeper

В MR5 пофисили сообщение о найденном заражении вирусом.

Сообщение #74

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Nikita
В MR5 пофисили сообщение о найденном заражении вирусом.

Сообщение #74

Спасибо. Действительно, у меня стоит MR4

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

  • Сообщения

    • demkd
      кто-то невнимательно читал: В окно информации о процессе добавлены проценты загрузки CPU с момента создания процесса Пока не будет документации как вытаскивать эти данные из шедулера такой графы не будет, мало того эта информация доступна только для поздних билдов Windows 10, на младших версиях и базовом билде Windows 10 такую информацию получить невозможно.
    • PR55.RP55
      Demkd "CPU" =. Похоже, что с защищёнными процессами это не работает. Запустил в несколько потоков сканирование в ESET  показывает нагрузку в 1-2% При том, что архивация в 7-zip под 50% --------- И всё таки одно дело когда работает центральный процессор... Например на старых версиях Intel Atom  всегда нагружен под завязку и это мало о чём говорит. Другое дело если процесс работает с видео картой. Я бы добавил к инфо. данные по: GPU  
    • stepangrnec
      купить лотерейный билет лото  мгновенная лотерея онлайн 
    • demkd
      HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{c53e07ec-25f3-4093-aa39-fc67ea22e99d}
      Windows.StateRepositoryPS.dll используется в ShellExperienceHost.exe, который в результате и рубится из-за исключения уже в другой библиотеке - StartUI.dll при нажатии на кнопку меню с виндовым флажком, как это связано с Windows.StateRepositoryPS.dll не совсем ясно, поскольку в событиях не видно никаких проблем с соответствующим ему COM.
      "Для них недостаточно просто назначить Full Access для Everyone" тут это прокатывает и все работает если впрямую назначить Everyone и дать полный доступ, а uVS ранее просто и незатейливо сбрасывал dacl в null и отключал наследование, что если верить msdn обеспечивает полный доступ к ключу всем и оно так и есть, но как оказалось нравится это не всем причем таким странным образом, поэтому теперь и dacl и owner всегда возвращаются в исходное состояние во избежании.
    • Такси Курумоч
      Такси Курумоч Аэропорт Самара с квитанцией, чеком Сайт: http://g-transfer.ru
      Email: [email protected]
      Viber/Whatsapp +79272040919
      Телефон +79991709505   Воспользовался услугами данной трансферной компании, и решил обязательно поделиться со всеми)
×