Shell

Symantec Endpoint Protection

В этой теме 10 сообщений

День добрый.

Уже кратенько обмалвливался о IPS включенном в SEP.

Итак, версия SEP 11.0.4202. Хост пингуется icmp пакетами длинной 1500. С чего бы этого DOS?)

Ну, чисто теоретически можно организовать DOS таким образом но хост должен быть не один :)

c58fcb7084e9t.jpg

Здесь вопрос не как добавить исключения - это все работает. Больше интересует состав сигнатур, их функционал и работоспособность.

P.S. А вот открытое tcp сканирование nmap по прежнему не детектится :rolleyes:

Опция определения скана портов активирована.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Shell,

А с какими параметрами nmap вводили?

Вообще SEP, как правило, всегда детектит любое сканирование

портов, включая nmap. Модуль Network Threat Protection активирован?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
С чего бы этого DOS?)

Ну потому что похоже на DDOS, таких запросов по хорошему быть не должно. Задача IPS не только защищать от атак и закрывать уязвимости, но и фильтровать бесполезный трафик, чтобы Вы его потом могли закрыть

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Спасибо, Кирилл. Понял. Информативности, увы, не хватает чтобы разобраться что этот хост - просто пинговал, а вот тут - появился неизвестный хост и пытался заразить другой. Если бы это было несколько нагляднее (например, как в Cisco MARS)) или snort) - облегчило бы мониторинг и можно было выявлять оперативнее тяжелые случаи. Ну да ладно, с этим понятно.

По поводу nmap.

Вот настройки IPS

3c738d8a4860.jpg

В исключениях IPS по сигнатуркам - ничего нет.

Network Threat Protection активирован на хосте.

Вот, собственно nmap без ключей с платформы freebsd 7.1-Rel.

6e97e764a68b.jpg

Итог - хост не видит сканирования. В SEPM на отчетах тоже пусто.

e31a88aa335ft.jpg

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

А в логах файерволла на самом клиенте

что-то пишет или нет?

Проверьте эти логи тоже.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
А в логах файерволла на самом клиенте

что-то пишет или нет?

Проверьте эти логи тоже.

Правила файерволла отключены через SEPM (неактивно правило для группы). Но как компонент - файерволл установлен на клиенте.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Правила файерволла отключены через SEPM (неактивно правило для группы). Но как компонент - файерволл установлен на клиенте.

Определение сканирования входит в политику IPS, она для группы я так понимаю применена? Клиент, на который отправляются пакеты, именно версии 4202?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Да, Кирилл. Все верно. Клиент 11.0.4202.75. Политика IPS применена на клиента. Опция детектирования скана портов активирована.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Правила файерволла отключены через SEPM (неактивно правило для группы). Но как компонент - файерволл установлен на клиенте.

Попробуйте активировать политику фаерволла для этого клиента и обязательно включите "Занесение в журнал" для всех правил.

Спасибо, Кирилл. Понял. Информативности, увы, не хватает чтобы разобраться что этот хост - просто пинговал, а вот тут - появился неизвестный хост и пытался заразить другой. Если бы это было несколько нагляднее (например, как в Cisco MARS)) или snort) - облегчило бы мониторинг и можно было выявлять оперативнее тяжелые случаи. Ну да ладно, с этим понятно.

Cisco MARS - это все-таки продукт немного другого класса. Если сравнивать с ним, то у Symantec для подобных целей есть Security Information Manager (pdf), который позволяет следить за любой активностью в сети и оперативно выявлять подобные инциденты. Подробнее можно посмотреть тут:

http://www.anti-malware.ru/forum/index.php?showtopic=4324

Раздел IV. Управление безопасностью:

4.1. Symantec Security Information Manager 9600 Series

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Олег, я "образно" :)

Сравнивать IPS здесь не собираюсь.

Например, ничто же не мешает писать в отчет в SEPM сигнатуру по которой была детектирована атака. Верно? Сейчас же в отчете этого нет (по крайней мере визуально первоначально. К сожалению или радости, у меня нет в данное время алертов в мониторе в SEPM чтобы детализированно открыть и посмотреть).

Журналирование и файерволл включу на досуге, посмотрю.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!


Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.


Войти с помощью Facebook Войти Войти с помощью Twitter
Anti-Malware.ru Вконтакте   Anti-Malware.ru в Facebook   Anti-Malware.ru в Twitter   Anti-Malware.ru в LinkedIn   RSS
  • Сообщения

    • Ego Dekker
      Антивирусы были обновлены до версии 11.2.49.
    • PR55.RP55
      При попытке выполнить  в uVS:  "Открыть в браузере отчёт" 404 - Запрашиваемая страница не найдена. https://www.virustotal.com/latest-report.html?resource=bdaa128de70313feb65469a1b1518fd048734f54 При том, что SHA файла есть: https://www.virustotal.com/ru/file/fce6b3c60fd50d2d12f6379da5734380dc888931860e68f6e3ae2bb0c54582ac/analysis/ И так для всех файлов.  
    • РинРин
      Вспомнилась серия из сериала Черное зеркало - там, где парнишка решил почистить ноут от вирусни, скачал и запустил утилиту-чистильщика, а вместе с ней скачалась прога, которая незаметно снимала на него компромат. Ну и потом, естественно, парнишка очень сильно попал). Я не особо впечатлительная и наивная, но с тех пор у меня вебка заклеена стикером XDDD
    • San
      Я вот сейчас тоже столкнулся с подобной проблемой. Кредит к сожалению, давать мне почему-то отказываются. Поэтому для себя лично я решил, что лучше будет взять деньги под залог автомобиля, потому как в худшем случае, я потеряю только свое транспортное средство, а не квартиру или что-то еще более важное. Нашел неплохие условия в Москве на сайте https://lombard-capital.ru/uslugi/dengi-pod-zalog-avto/ .  Кто-нибудь пользовался их услугами?
       
    • Harlison
      Кстати по сути вы говорите про те же материалы, из которых делают балконы разные, как тут под ключ кстати по адекватной цене https://salamander.com.ua/production/osteklenie-lodzhij-i-balkonov/balkon-pod-klyuch/ . В итоге суть в чём, можете попробовать с ними связать напрямую и предложить быть спонсорами такой то идеи, для создания удобства граждан. Или через горсовет и сразу предлагать, где можно их сделать, чтобы те всё оплатили.
      Если взялись, так делайте!