Перейти к содержанию
2600

Symantec Endpoint Protection

Recommended Posts

2600

Мне нужно разблокировать атакующий компьютер, заблокированный firewall ом.

Я так понял это нужно делать через журнал Network Threat Protection Log.

Там найти это событие атаки и в закладке выбрать Stop Active Response.

Но у меня не активны (находятся в сером) эти две позиции, кроме этого Stop All Active Response.

Или может нужно отменять где то в другом месте.

Конечно на крайний случай можно и вообще это правило вырубить - но это не дело.

Пожалуйста подскажите.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Кирилл Керценбаум

2600 эта функция работает только в разделе Security Log и только в случае что хост блокируется по одной из сигнатур IPS. В таком случае необходимо найти запись об этом и на ней выбрать Stop Active Response.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
2600

Раздобыл русское руководство, но к MR1 (client_guide.pdf) , у меня установлено MR2 English там пишут цитирую

"

Блокировка атакующего компьютера

Когда клиент Symantec Endpoint Protection обнаруживает атаку из сети, он

автоматически блокирует соединение, чтобы обеспечить безопасность

компьютера. Клиент активирует активный ответ, в результате чего все

соединения с IP-адресом атакующего компьютера автоматически

блокируются на заданный интервал времени. IP-адрес атакующего

компьютера блокируется в одном расположении.

Обновление сигнатур IPS, сигнатур атак типа "отказ в обслуживании" и

сканирование портов также может вызвать активный ответ.

IP-адрес атакующего компьютера можно узнать в журнале безопасности.

Если блокировку атаки необходимо снять, то следует остановитьактивный

ответ в журнале безопасности.

Как заблокировать атакующий компьютер

1 На боковой панели клиента выберите Изменить параметры.

2 В разделе "Защита от угроз из сети" нажмите кнопку Изменить

параметры.

3 В окне "Параметрызащитыот угроз из сети" выберите Предотвращение

вторжений.

4 Выберите Периодавтоматической блокировкиатакующегоIP-адреса

(в секундах) и укажите количество секунд.

Допустимы значения от 1 до 999 999 секунд. Значение по умолчанию -

600 секунд (10 минут).

5 Нажмите кнопку OK.

Если IP-адрес необходимо разблокировать раньше стандартного срока,

это можно сделать вручную.

Как разблокировать атакующий компьютер

1 На боковой панели клиента выберите пункт Показать журналы.

2 В разделе Управление клиентами выберите Показать журналы >

Журнал безопасности.

3 В журнале безопасности выберите строку со значением "Активный

ответ" в столбце "Тип события", затем нажмите Действие>Остановить

активный ответ.

Для того чтобы разблокировать IP-адреса, выберите Действие >

Остановить все активные ответы. После разблокирования в столбце

"Тип события" будет показано "Активный ответ отменен". После

истечения срока автоматического ответа в столбце "Тип события"

появится значение "Активный ответ отключен".

4 В окне сообщения нажмите ОК.

5 Выберите Файл > Выход.

"

Видимо они его еще не сделали. Но планируют. Я так думаю.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Кирилл Керценбаум
Видимо они его еще не сделали. Но планируют. Я так думаю.

Что не сделали? Только сейчас попробовал, все работает!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
2600

Всё - работает. Огромное спасибо. Извините, я всё время смотрел не в тот журнал.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

×