Symantec Endpoint Protection - Вопросы по Symantec Endpoint Protection - Форумы Anti-Malware.ru Перейти к содержанию
2600

Symantec Endpoint Protection

Recommended Posts

2600

Мне нужно разблокировать атакующий компьютер, заблокированный firewall ом.

Я так понял это нужно делать через журнал Network Threat Protection Log.

Там найти это событие атаки и в закладке выбрать Stop Active Response.

Но у меня не активны (находятся в сером) эти две позиции, кроме этого Stop All Active Response.

Или может нужно отменять где то в другом месте.

Конечно на крайний случай можно и вообще это правило вырубить - но это не дело.

Пожалуйста подскажите.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Кирилл Керценбаум

2600 эта функция работает только в разделе Security Log и только в случае что хост блокируется по одной из сигнатур IPS. В таком случае необходимо найти запись об этом и на ней выбрать Stop Active Response.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
2600

Раздобыл русское руководство, но к MR1 (client_guide.pdf) , у меня установлено MR2 English там пишут цитирую

"

Блокировка атакующего компьютера

Когда клиент Symantec Endpoint Protection обнаруживает атаку из сети, он

автоматически блокирует соединение, чтобы обеспечить безопасность

компьютера. Клиент активирует активный ответ, в результате чего все

соединения с IP-адресом атакующего компьютера автоматически

блокируются на заданный интервал времени. IP-адрес атакующего

компьютера блокируется в одном расположении.

Обновление сигнатур IPS, сигнатур атак типа "отказ в обслуживании" и

сканирование портов также может вызвать активный ответ.

IP-адрес атакующего компьютера можно узнать в журнале безопасности.

Если блокировку атаки необходимо снять, то следует остановитьактивный

ответ в журнале безопасности.

Как заблокировать атакующий компьютер

1 На боковой панели клиента выберите Изменить параметры.

2 В разделе "Защита от угроз из сети" нажмите кнопку Изменить

параметры.

3 В окне "Параметрызащитыот угроз из сети" выберите Предотвращение

вторжений.

4 Выберите Периодавтоматической блокировкиатакующегоIP-адреса

(в секундах) и укажите количество секунд.

Допустимы значения от 1 до 999 999 секунд. Значение по умолчанию -

600 секунд (10 минут).

5 Нажмите кнопку OK.

Если IP-адрес необходимо разблокировать раньше стандартного срока,

это можно сделать вручную.

Как разблокировать атакующий компьютер

1 На боковой панели клиента выберите пункт Показать журналы.

2 В разделе Управление клиентами выберите Показать журналы >

Журнал безопасности.

3 В журнале безопасности выберите строку со значением "Активный

ответ" в столбце "Тип события", затем нажмите Действие>Остановить

активный ответ.

Для того чтобы разблокировать IP-адреса, выберите Действие >

Остановить все активные ответы. После разблокирования в столбце

"Тип события" будет показано "Активный ответ отменен". После

истечения срока автоматического ответа в столбце "Тип события"

появится значение "Активный ответ отключен".

4 В окне сообщения нажмите ОК.

5 Выберите Файл > Выход.

"

Видимо они его еще не сделали. Но планируют. Я так думаю.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Кирилл Керценбаум
Видимо они его еще не сделали. Но планируют. Я так думаю.

Что не сделали? Только сейчас попробовал, все работает!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
2600

Всё - работает. Огромное спасибо. Извините, я всё время смотрел не в тот журнал.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • PR55.RP55
      Как вылетал uVS при попытке скопировать файл в Zoo  так и вылетает. Есть системный дамп. https://disk.yandex.ru/d/6R97oQE3_nzfiA + Такая ошибка: https://disk.yandex.ru/i/Dr2xnpoU0CFYdg Тоже может быть использована.
    • Ego Dekker
      Программа для удаления продуктов ESET обновилась до версии 9.0.8.0. Для просмотра всех команд запустите утилиту с параметром /help.
    • PR55.RP55
      И возможно добавить в Инфо. поддержку просмотра NTFS Alternate Data Streams Для получения доп. информации по файлам - автозапуска.    
    • santy
      RP55,  особого смысла в этом нет. Возможно, стоит добавить в эвристику программы добавление статуса "подозрительный" для файла размером (св. 500Мб или больше), если он  в автозапуске. Так как в некоторых случаях майнеры используют файлы больших размеров, чтобы обойти антивирусную защиту.
    • PR55.RP55
      При копировании известного файла файла uVS v5.0.RC2.v x64 [http://dsrt.dyndns.org:8888]: Windows 7 Home Basic x64 (NT v6.1 SP1) build 7601 Service Pack 1 [C:\WINDOWS] GATHERNETWORKINFO.VBS._628B6B4BF3CC7F77578CF3CCFCC587DBF9EC7E07 https://disk.yandex.ru/i/LpsxRQ6EMkF23w    
×