Перейти к содержанию
2600

Symantec Endpoint Protection

Автор 2600, в Вопросы по Symantec Endpoint Protection

Recommended Posts

2600    64

2600
Опубликовано

Мне нужно разблокировать атакующий компьютер, заблокированный firewall ом.

Я так понял это нужно делать через журнал Network Threat Protection Log.

Там найти это событие атаки и в закладке выбрать Stop Active Response.

Но у меня не активны (находятся в сером) эти две позиции, кроме этого Stop All Active Response.

Или может нужно отменять где то в другом месте.

Конечно на крайний случай можно и вообще это правило вырубить - но это не дело.

Пожалуйста подскажите.

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

Кирилл Керценбаум    671

Кирилл Керценбаум
Опубликовано

2600 эта функция работает только в разделе Security Log и только в случае что хост блокируется по одной из сигнатур IPS. В таком случае необходимо найти запись об этом и на ней выбрать Stop Active Response.

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

2600    64

2600
Опубликовано

Раздобыл русское руководство, но к MR1 (client_guide.pdf) , у меня установлено MR2 English там пишут цитирую

"

Блокировка атакующего компьютера

Когда клиент Symantec Endpoint Protection обнаруживает атаку из сети, он

автоматически блокирует соединение, чтобы обеспечить безопасность

компьютера. Клиент активирует активный ответ, в результате чего все

соединения с IP-адресом атакующего компьютера автоматически

блокируются на заданный интервал времени. IP-адрес атакующего

компьютера блокируется в одном расположении.

Обновление сигнатур IPS, сигнатур атак типа "отказ в обслуживании" и

сканирование портов также может вызвать активный ответ.

IP-адрес атакующего компьютера можно узнать в журнале безопасности.

Если блокировку атаки необходимо снять, то следует остановитьактивный

ответ в журнале безопасности.

Как заблокировать атакующий компьютер

1 На боковой панели клиента выберите Изменить параметры.

2 В разделе "Защита от угроз из сети" нажмите кнопку Изменить

параметры.

3 В окне "Параметрызащитыот угроз из сети" выберите Предотвращение

вторжений.

4 Выберите Периодавтоматической блокировкиатакующегоIP-адреса

(в секундах) и укажите количество секунд.

Допустимы значения от 1 до 999 999 секунд. Значение по умолчанию -

600 секунд (10 минут).

5 Нажмите кнопку OK.

Если IP-адрес необходимо разблокировать раньше стандартного срока,

это можно сделать вручную.

Как разблокировать атакующий компьютер

1 На боковой панели клиента выберите пункт Показать журналы.

2 В разделе Управление клиентами выберите Показать журналы >

Журнал безопасности.

3 В журнале безопасности выберите строку со значением "Активный

ответ" в столбце "Тип события", затем нажмите Действие>Остановить

активный ответ.

Для того чтобы разблокировать IP-адреса, выберите Действие >

Остановить все активные ответы. После разблокирования в столбце

"Тип события" будет показано "Активный ответ отменен". После

истечения срока автоматического ответа в столбце "Тип события"

появится значение "Активный ответ отключен".

4 В окне сообщения нажмите ОК.

5 Выберите Файл > Выход.

"

Видимо они его еще не сделали. Но планируют. Я так думаю.

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

Кирилл Керценбаум    671

Кирилл Керценбаум
Опубликовано
Видимо они его еще не сделали. Но планируют. Я так думаю.

Что не сделали? Только сейчас попробовал, все работает!

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

2600    64

2600
Опубликовано

Всё - работает. Огромное спасибо. Извините, я всё время смотрел не в тот журнал.

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти
Перейти к списку тем Вопросы по Symantec Endpoint Protection

  • Сообщения

    • Зотов Тимур
      Нужен совет

      От Зотов Тимур · Опубликовано

      Здравствуйте. Мне помог тренинг http://games4business.ru/product/vedenie-peregovorov . Менеджеры стали более уверены в себе, не бояться отвечать на вопросы и не впадают в панику при отказе клиента, а наоборот пытаются сделать все чтоб он передумал.Компания Лаборатория Деловых Игр качественно и профессионально составляют различные тренинги, которые действительно помогают компаниям процветать и развиваться.
    • PR55.RP55
      Новые функции в Universal Virus Sniffer (uVS)

      От PR55.RP55 · Опубликовано

      https://github.com/dragokas/hijackthis/blob/devel/src/_ChangeLog_ru.txt Стоит прочесть и найти полезное. Типа: Добавлена зачистка зависимостей легитимных служб от удаляемой службы.
      Добавлен запрет программе на перезагрузку серверных ОС с запросом к пользователю сделать это вручную.
      Добавлена проверка типа виртуализации ключей реестра.
    • Hoppi
      Путешествие

      От Hoppi · Опубликовано

      Мне нравится квартиры посуточно снимать, это дешевле выходит чем отели. 
    • SemenovaI
      Путешествие

      От SemenovaI · Опубликовано

      Хм, отличная идея. Я тоже люблю путешествовать самостоятельно. На Букинге можно заказать отели и билеты на транспорт, а что бы экономнее было так можно воспользоваться при заказе кэшбэком. А еще советую дождаться Черной пятницы https://letyshops.com/chernaya-pyatnitsa и сделать покупки на Букинге и других интернет магазинах с солидной экономией. 
    • PR55.RP55
      uVS - Тестирование

      От PR55.RP55 · Опубликовано

      Demkd Мне кажется ЭТО тоже стоит посмотреть. C:\USERS\ADMIN\APPDATA\LOCAL\PACKAGE CACHE\{C187DB08-7705-4616-834B-87B3087AE698}V3.0.7.830\INSTALLER V.T.:  MicrosoftTrojan:Win32/Zpevdo.A    
×