Перейти к содержанию

Recommended Posts

Артем

Каким образом настроить и где можно потом смотреть логи действий SEP по всей сети.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Кирилл Керценбаум

Артем не совсем понял, о каких логах идет речь? Все логи с клиентов SEP передаются на менеджер управления SEPM

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Артем

Не могу отловить событие в сети...

Есть машины на которых стоит антивирь не симантек (макафи) и этими машинами я не управляю.

После конекта в сеть и получения адреса этит машины работают нормально минут 15 затем сеть блокируется, большие подозрения что это "дело рук" SEP. Затем ровно через 10 минут проходит один пинг и опять тишина.

В политиках поотключал уже и брандмауер и превентивную защиту не помогает.. Но блокировать в сети больше нечему.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A lone
Не могу отловить событие в сети...

Есть машины на которых стоит антивирь не симантек (макафи) и этими машинами я не управляю.

После конекта в сеть и получения адреса этит машины работают нормально минут 15 затем сеть блокируется, большие подозрения что это "дело рук" SEP. Затем ровно через 10 минут проходит один пинг и опять тишина.

В политиках поотключал уже и брандмауер и превентивную защиту не помогает.. Но блокировать в сети больше нечему.

А каким боком Симантек может на эти машины влиять ? С сервера/консоли SEPM можно получить логи только относительно антивируса ;) (и то не все :( )

как что вам прямая дорога в Event log компов. Хотя, если вы ими не управляете то какие вопросы к вам могут быть вообще непонятно ;)

Могу предположить, что проблема связана с DHCP - статическими IP адресами, но не зная настроек сети и рабочих станций, наверное, лучше об этом не говорить

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

  • Сообщения

    • santy
      в списке сигнатур, в данном случае 2-3 десятка записей с именем Win32/Adware.ConvertAd, а файл, который попал под детект данной сигнатуры, детектируется на VT как  NSIS/CoinMiner. захотел переименовать сигнатуру, а какую именно - не определить наугад :). ------- т.е. понятно, что переименоваться должна не строка в инфо, а запись в signs, и как следствие, потом уже и отображение названия в Инфо будет новое.
    • demkd
      такого нет, можно конечно сделать, но не ясно зачем
    • santy
      demkd, есть такая возможность,  из окна инфо, в поле сигнатура вызвать форму для переименования сигнатуры? (с учетом того, что сигнатур с одинаковыми именами может быть много, поэтому для редактирования должна быть открыта нужная запись) т.е. вызвать эту форуму:
    • santy
      у меня все шесть файликов сразу попали в подозрительные и вирусы при открытии образа. (без добавления новых сигнатур). тот случай, когда образы автозапуска нужны не только для того, чтобы писать по ним скрипты, но и для пополнения баз сигнатур и правил, т.е. чтобы использовать заложенные в программе возможности к самообучению.  
    • PR55.RP55
      Зачем ? Только для файлов которые попали в подозрительные. Логика такая:  Файл в подозрительных > uVS берёт его SHA1 ( если таковая есть ) и прогоняет весь список на совпадение > если совпадение найдено - файл попадает в подозрительные > в Инфо. файла пишется информация по какой причине файл попал в подозрительные. Да и проверку можно проводить на  готовом образе\списке.
×