Перейти к содержанию
A lone

Symantec Endpoint Protection

Recommended Posts

A lone

Вот ведь какая штука получается...

Вроде как есть эти самые уведомления, только работают как-то через одно место. Вот, например, выставляется для отчета "Событие отдельной угрозы" так называемая амортизация в интервале 20 минут, а сообщение может придти через час, а может и через 5 :(

Грустно все это.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Кирилл Керценбаум

A lone если параметр агрегации задан в 20 минут, то чаще чем раз в 20 минут они приходить не будут. Однако, если событий в период времени нет, то нулевые уведомления также приходить не будут. Можете сделать скриншот настроек данного уведомления?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A lone

завтра, сегодня я вне офиса

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A lone

естесвенно, в поле получатель указан smtp-адрес

А вот и свежий пример:

Сообщение от:

Имя сервера: XXX

IP-адрес сервера: x.x.x.x

Найдена по крайней мере одна угроза:

Имя угрозы: Downloader

Время события: 2009-01-27 05:57:25 GMT

Время вставки в базу данных: 2009-01-27 06:01:59 GMT

Пользователь:abcd

Компьютер: S00403

IP-адрес: z.z.z.z

Домен: CO

Сервер: xxx

Группа клиентов: Моя компания\YYY

Действие над угрозой: Исправлен путем удаления

письмо пришло за пару минут до публикации данного сообщения

LU.JPG

post-4543-1233037756_thumb.jpg

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Кирилл Керценбаум

A lone если письмо не приходит например в течение 5 часов, то потом оно содержит данные например 3-х или 4-х часовой давности? Именно по времени вставки в базу?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • PR55.RP55
      В меню: Скрипт добавить проверку скрипта находящегося в буфере обмена. Это нужно при работе на форумах.    
    • demkd
      причем хорошая такая защита, тут скорее всего только виртуализацией его выковыривать, если защиты и то нее нет, заморозка только на потоки в uVS работает, да и я не факт что именно поток защищает процесс.
    • santy
      похоже впервые по данному типу майнера используются потоки для защиты от удаления файлов. по крайней мере, в октябрьском варианте по этому распространенному на нек форумах майнеру нет потоков. C:\PROGRAMDATA\REALTEKHD\TASKHOSTW.EXE. может заморозку потоков делать перед  созданием образа автозапуска? по кройней мере в том случае, если они обнаружены  
    • demkd
      потому что файлы защищены: (!) Невозможно открыть процесс: dllhost.exe [6856]
      (!) ПРЕДУПРЕЖДЕНИЕ: Обнаружен внедренный поток в процессе C:\PROGRAMDATA\REALTEKHD\TASKHOSTW.EXE [7424], tid=7428
      Не удалось открыть файл: C:\PROGRAMDATA\REALTEKHD\TASKHOST.EXE
      Не удалось открыть файл: C:\PROGRAMDATA\REALTEKHD\TASKHOSTW.EXE
    • PR55.RP55
      C:\PROGRAMDATA\REALTEKHD\TASKHOST.EXE C:\PROGRAMDATA\REALTEKHD\TASKHOSTW.EXE Хэш файла не найден http://www.tehnari.ru/f35/t270519/
×