yukho

Symantec Definitions

В этой теме 11 сообщений

Здравствуйте!

В ходе эксплуатации Symantec Endpoint Protection 11.0.2000 MR2 хотелось бы поинтересоваться...

Синопсис: в тестовой зоне развётнут вышеуказанный продукт, вроде бы работает более-менее удовлетворительно, НО существуют угрозы (вирусы) которые не обнаруживаются данной программой! На ряде клиентов снимали жесткий диск и проверяли сторонним антивирусом (Касперский) - находил около десятка угроз. Данные угрозы посредством данной формы: https://submit.symantec.com/websubmit/gold.cgi были отправлены в Symantec. В итоге сигнатуры были добавлены в Latest Daily Certified version и Latest Rapid Release version, но судя по дате обнаружения - эти угрозы известные, некоторые из них: (http://www.symantec.com/security_response/writeup.jsp?docid=2004-021914-2822-99 , http://www.symantec.com/security_response/...-021914-2822-99 , http://www.symantec.com/security_response/...-101518-4323-99 ) Собственно, вопрос, почему данные сигнатуры не содержались ранее? Хотелось бы поподробнее узнать о "types of virus definitions" в Symantec...

Спасибо

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

наверное версия старого зверя, которую симантек не знал

докрутили сигнатуру - и теперь знает

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Собственно, вопрос, почему данные сигнатуры не содержались ранее?

Собственно ответ такой: за 2007 года Symantec Security Response обнарудил примерно около 600 000 новых образцов вредоносного кода. Представляете, если бы все эти образцы были бы добавлены в базу, какого размера бы она стала. Соответственно каждая уникальная сигнатура, со своим собственным именем - это увеличение размера базы обновления. Поэтому, чем более глубокий корреляционный подход к формированию описаний вирусов применяется, тем меньше база, тем меньше памяти и дискового пространства занимает антивирус в процессе своей работы. В данном случае мы говорим именно об этом; если Вы обратите внимание на список изменений к базам (Изменения), то заметите, что добавляется очень мало новых сигнатур, однако огромное количество сигнатур модифицируется, совершенствуется, делается более интеллектуальными.

Хотелось бы поподробнее узнать о "types of virus definitions" в Symantec

Обновления Антивирусных баз

Multiple Daily Updates - полностью протестированные и сертифицированные обновления, выходящие каждые 6-10 часов 7 дней в неделю. Доступны только для продуктов Symantec Endpoint Protection 11 и Norton 2008 через LiveUpdate.

Daily Updates - полностью протестированные и сертифицированные обновления, выходящие каждые 20-28 часов 7 дней в неделю. Доступны для всех продуктов, кроме Norton 2005 и ниже, через LiveUpdate или через Intelligent Updater.

Weekly Updates - полностью протестированные и сертифицированные обновления, выходящие каждые 7 дней. Доступны для всех продуктов через LiveUpdate или через Intelligent Updater.

Rapid Release - ограниченно протестированные и сертифицированные обновления, выходящие каждые 30-60 минут. Доступны для всех продуктов кроме SEP/SAV CE/ SCS через LiveUpdate или для всех продуктов через ftp сервер. Для снижение вероятности ложных срабатываний рекомендуется использовать только для серверных и шлюзовых продуктов.

Обновления IPS сигнатур - выходят 1-7 раз в неделю.

Обновления баз Коммерческих приложений - выходят 2-5 раз в неделю.

Обновления баз Известных приложений - выходят 2-5 раз в неделю.

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Огромное спасибо за разъяснения.

И ещё, имеются продукты Symantec Mail Security for Microsoft Exchange 6.0 и Symantec Endpoint Protection 11.0.2, имеется ли возможность сделать так, чтобы обновлялись эти продукты из одного (локального) места - не по отдельности из Интернета - по-видимому, нужно использовать LiveUpdate Administrator, но пока не было возможности разобраться, может кто опробовал данную схему, заранее благодарю?!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
нужно использовать LiveUpdate Administrator

Именно так все и делается. Последняя версия LUA содержится на 2 диске SEP (если это русская версия дистрибутива, то LUA и документация к нему также на русском языке). Единственно, в вашем случае не получится экономить трафик, так как обновления для SEP и SMS доступны как уже указывалось в разные интервалы времени, SEP - каждые 8 часов, SMS - раз в день. Но если настроить клиентов также обновляться с данного сервера, если они по какой-то причине могут обновиться с SEPM, то тогда экономия может и быть.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

...Наконец, попробовал настроить LiveUpdate Administrator. В итоге, сервис загружает и публикует все необходимые обновления, SEPM успешно загружает с него контент (сервер обновлений конфигурировал в настройках SEPM), а вот серверы с SMS ни в какую не обновляются с внешнего сервера. Действовал так - создал в LUA файл конфигурации и подсунул его в директорию LiveUpdate на серверах SMS. Файл переименовывал по-разному (и 1.Settings.Hosts.LiveUpdate, и Settings.Default.LiveUpdate...). Кто-нибудь конфигурировал подобную схему?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

yukho а какой SMS? 6 для Exchange? Зачем так усложнять, ведь в продуктах Symantec в GUI можно выбрать использование альтернативного источника обновлений?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Почему бы Symantec не выкладывать обновления отдельным файликом для Proactive Threat Protection и Network Threat Protection, точно так же как для virus definitions. Что бы была комплексная защита точек, в которых, в данный момент даже интернета нет.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Почему бы Symantec не выкладывать обновления отдельным файликом для Proactive Threat Protection и Network Threat Protection, точно так же как для virus definitions. Что бы была комплексная защита точек, в которых, в данный момент даже интернета нет.

Для Проактивной защиты эти обновления будут доступны для скачивания в ближайшем будущем, что касается IPS сигнатур - то это вряд ли, тем более что на компьютерах без Интернета они не настолько важны, как на тех что к Интернету доступ имеют. Также не стоит забывать, что все клиенты могут обновляться через SEPM, так что достаточно чтобы у него был доступ к Интернету

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
yukho а какой SMS? 6 для Exchange? Зачем так усложнять, ведь в продуктах Symantec в GUI можно выбрать использование альтернативного источника обновлений?

Кирилл, да 6-ой, но что-то не могу найти в консоли где можно изменить сервер загрузки обновлений...Вообще, вероятно, надо поменять настройки в <System folder>\Documents and Settings\All Users\Application Data\Symantec\LiveUpdate\Settings.LiveUpdate - один сервер таким образом получилось настроить, пока тестирую.

И ещё, как Вы уже писали, сигнатуры для SMS выпускаются раз в день, тоесть расписание нужно настраивать на раз в 12 часов? Вообще, где-нибудь есть информация по рекомендуемым настройкам интервалов обновления продуктов Symantec?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Кирилл, да 6-ой, но что-то не могу найти в консоли где можно изменить сервер загрузки обновлений...Вообще, вероятно, надо поменять настройки в <System folder>\Documents and Settings\All Users\Application Data\Symantec\LiveUpdate\Settings.LiveUpdate - один сервер таким образом получилось настроить, пока тестирую.

К сожалению в SMS 6.0 эти настройки из интерефейса недоступны, схему изменения сервера для обновлений для него я уточню.

И ещё, как Вы уже писали, сигнатуры для SMS выпускаются раз в день, тоесть расписание нужно настраивать на раз в 12 часов? Вообще, где-нибудь есть информация по рекомендуемым настройкам интервалов обновления продуктов Symantec?

Да, если Вы не активировали режим RapidRelease, то обновления выходят не реже чем один раз в 24 часа, но может быть и чаще. 12 часов это нормальный интервал. Через LUA можно настроить только стандартные обновления, RapidRelease работает только напрямую.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!


Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.


Войти с помощью Facebook Войти Войти с помощью Twitter
Anti-Malware.ru Вконтакте   Anti-Malware.ru в Facebook   Anti-Malware.ru в Twitter   Anti-Malware.ru в LinkedIn   RSS