Перейти к содержанию
Nikita

Настройка нормальных уведомлений

Recommended Posts

Nikita

Хочется спросить, можно ли настроить на SEPM нормальные уведомления о найденных вирусах?

Что настроено сейчас:

1) Уведомление о событии отдельной угрозы

Приходит письмо с кучей информации, но без информации о том, какой файл или файлы были заражены

2) Уведомления о новых угрозах и эпидемиях.

Приходит письмо с вложенным файлом формата mht. В самом письме полезной информации - ноль, понять насколько велико заражение - невозможно. Всё вроде бы как во вложении.

Не знаю как другим, а лично мне читать вложения очень неудобно. Выходит, что чтобы понять какие файлы заражены, как много этих файлов и прочее нужно не просто заглянуть в почту, а тщательно изучать что там шлет SEPM. Более того, уведомления эти полной картины все равно не дают, так как обнаруженных зараженных файлов может быть на 2 порядка больше чем то, что он отослал.

В результате, наименьшим по трудозатратам на анализ и наибольшим по достоверности является отчет SEPM за день, в который ты заглядываешь в конце рабочего дня и обнаруживаешь: опа, а тут, оказывается, с утра вирусы вовсю прут

идеальным был бы следующий вариант:

в заголовке письма имя зараженного компютера, в теле письма без всяких вложений список зараженных файлов и название вируса. Все остальное в 99% случаев - лишнее!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A lone
Хочется спросить, можно ли настроить на SEPM нормальные уведомления о найденных вирусах?

давайте начнем обсуждение с указания версии SEPM. У меня стоит MR5 и в письме "Событие отдельной угрозы" есть следующая информация (кажется, отдельно ничего в отчете не настраивал):

Найдена по крайней мере одна угроза:

Имя угрозы: Trojan Horse

Путь к файлу: C:\temp\DWH557F.tmp

Время события: 2009-12-09 16:37:25 GMT

Время вставки в базу данных: 2009-12-09 17:20:15 GMT

Пользователь:SYSTEM

Компьютер: ХХХ

IP-адрес: 10.хх.xx.xx

Домен: YY.ru

Сервер: AAA

Группа клиентов: Моя компания\10.хх.xx.xx

Действие над угрозой: Помещен в карантин

что касается

В результате, наименьшим по трудозатратам на анализ и наибольшим по достоверности является отчет SEPM за день, в который ты заглядываешь в конце рабочего дня и обнаруживаешь: опа, а тут, оказывается, с утра вирусы вовсю прут

Уверен, что когда приходит письмо с темой "Уведомление об эпидемии" надо не чай пить до конца рабочего дня в ожидании "манны небесной", а начинать сильно чесаться на предмет происходящего в сети немедленно вне зависимости от количества обнаруженного.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
angel-keeper

В MR5 пофисили сообщение о найденном заражении вирусом.

Сообщение #74

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Nikita
В MR5 пофисили сообщение о найденном заражении вирусом.

Сообщение #74

Спасибо. Действительно, у меня стоит MR4

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ego Dekker
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • PR55.RP55
      .xml  файлы taskschd.msc Могут быть подписаны  цифровой подписью. Думаю будет нелишним, если uVS будет это фиксировать. т.е. проверять не только подпись целевого файла, но и подпись самого файла\задачи. и писать в ИНфО .  
    • demkd
      ---------------------------------------------------------
       4.15.2
      ---------------------------------------------------------
       o Исправлена ошибка при работе с образом автозапуска.
         Для некоторых процессов команда unload не добавлялась в скрипт при нажатии кнопки "принять изменения".  o Добавлена плашка окна на таскбаре для окна удаленного рабочего стола.
         (при работе с удаленной системой) -----------------------------------------------------------
      Есть проблема с локализацией глюка в редких случаях приводящему к аварийному завершению uVS при активном флаге "Проверять весь HKCR".
      На основе дампов его найти не получается, нужна копия реестра системы с такой проблемой, если кому-то попадется такая проблема, то присылайте архив с копией реестра системы мне на почту.  
×