Symantec Endpoint Protection - Вопросы по Symantec Endpoint Protection - Форумы Anti-Malware.ru Перейти к содержанию

Recommended Posts

Shell

День добрый.

Уже кратенько обмалвливался о IPS включенном в SEP.

Итак, версия SEP 11.0.4202. Хост пингуется icmp пакетами длинной 1500. С чего бы этого DOS?)

Ну, чисто теоретически можно организовать DOS таким образом но хост должен быть не один :)

c58fcb7084e9t.jpg

Здесь вопрос не как добавить исключения - это все работает. Больше интересует состав сигнатур, их функционал и работоспособность.

P.S. А вот открытое tcp сканирование nmap по прежнему не детектится :rolleyes:

Опция определения скана портов активирована.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Pavel Polyanskiy

Shell,

А с какими параметрами nmap вводили?

Вообще SEP, как правило, всегда детектит любое сканирование

портов, включая nmap. Модуль Network Threat Protection активирован?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Кирилл Керценбаум
С чего бы этого DOS?)

Ну потому что похоже на DDOS, таких запросов по хорошему быть не должно. Задача IPS не только защищать от атак и закрывать уязвимости, но и фильтровать бесполезный трафик, чтобы Вы его потом могли закрыть

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Shell

Спасибо, Кирилл. Понял. Информативности, увы, не хватает чтобы разобраться что этот хост - просто пинговал, а вот тут - появился неизвестный хост и пытался заразить другой. Если бы это было несколько нагляднее (например, как в Cisco MARS)) или snort) - облегчило бы мониторинг и можно было выявлять оперативнее тяжелые случаи. Ну да ладно, с этим понятно.

По поводу nmap.

Вот настройки IPS

3c738d8a4860.jpg

В исключениях IPS по сигнатуркам - ничего нет.

Network Threat Protection активирован на хосте.

Вот, собственно nmap без ключей с платформы freebsd 7.1-Rel.

6e97e764a68b.jpg

Итог - хост не видит сканирования. В SEPM на отчетах тоже пусто.

e31a88aa335ft.jpg

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Pavel Polyanskiy

А в логах файерволла на самом клиенте

что-то пишет или нет?

Проверьте эти логи тоже.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Shell
А в логах файерволла на самом клиенте

что-то пишет или нет?

Проверьте эти логи тоже.

Правила файерволла отключены через SEPM (неактивно правило для группы). Но как компонент - файерволл установлен на клиенте.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Кирилл Керценбаум
Правила файерволла отключены через SEPM (неактивно правило для группы). Но как компонент - файерволл установлен на клиенте.

Определение сканирования входит в политику IPS, она для группы я так понимаю применена? Клиент, на который отправляются пакеты, именно версии 4202?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Shell

Да, Кирилл. Все верно. Клиент 11.0.4202.75. Политика IPS применена на клиента. Опция детектирования скана портов активирована.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Олег Головенко
Правила файерволла отключены через SEPM (неактивно правило для группы). Но как компонент - файерволл установлен на клиенте.

Попробуйте активировать политику фаерволла для этого клиента и обязательно включите "Занесение в журнал" для всех правил.

Спасибо, Кирилл. Понял. Информативности, увы, не хватает чтобы разобраться что этот хост - просто пинговал, а вот тут - появился неизвестный хост и пытался заразить другой. Если бы это было несколько нагляднее (например, как в Cisco MARS)) или snort) - облегчило бы мониторинг и можно было выявлять оперативнее тяжелые случаи. Ну да ладно, с этим понятно.

Cisco MARS - это все-таки продукт немного другого класса. Если сравнивать с ним, то у Symantec для подобных целей есть Security Information Manager (pdf), который позволяет следить за любой активностью в сети и оперативно выявлять подобные инциденты. Подробнее можно посмотреть тут:

http://www.anti-malware.ru/forum/index.php?showtopic=4324

Раздел IV. Управление безопасностью:

4.1. Symantec Security Information Manager 9600 Series

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Shell

Олег, я "образно" :)

Сравнивать IPS здесь не собираюсь.

Например, ничто же не мешает писать в отчет в SEPM сигнатуру по которой была детектирована атака. Верно? Сейчас же в отчете этого нет (по крайней мере визуально первоначально. К сожалению или радости, у меня нет в данное время алертов в мониторе в SEPM чтобы детализированно открыть и посмотреть).

Журналирование и файерволл включу на досуге, посмотрю.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • demkd
      Проблема оказалась в редакции windows, для home нужно дополнительно прописывать флаг в реестр, в RC4 теперь это делается автоматически.
        Добавил функцию для образов.

      ---------------------------------------------------------
       5.0.RC4
      ---------------------------------------------------------
      o Добавлена поддержка включения отслеживания командной строки процессов для "Home" редакций Windows.
        Теперь при включении отслеживания в лог печатается статус этой опции.

      o Функция "Распечатать в лог топ-10 процессов пересекающихся по времени с этим процессом" теперь доступа и при работе с образом,
        если образ сделан при активном отслеживании процессов.

      o Исправлена критическая ошибка при создании файла описания для скопированного в Zoo большого текстового файла (vbs/cmd и т.д.).

       
    • santy
      Привет. По 5.0 RC3 Это работает. (саму команду еще не проверил как работает). И в цепочку процесс укладывается, хотя цепочка достаточно запутана, но к сожалению, отслеживание командной строки не включилось по какой-то причине. Возможно потому что не был отключен антивирус MBAM.
       o В окне истории процессов и задач в контекстное меню процесса добавлен новый пункт: 
         "Распечатать в лог топ-10 процессов пересекающихся по времени с этим процессом"
         Это может быть полезно при поиске процесса модифицировавшего неявно запущенный им процесс. Функция есть в истории процессов и задач, но работает видимо только из активной системы.                           DESKTOP-867G3VL_2025-07-15_20-59-13_v5.0.RC3.v x64.7z
    • demkd
      Да, с этим файлом проблема, починю.
    • PR55.RP55
      В настройках добавить: Отправлять лог применения\выполнения скрипта на сервер\адресату. Уникальный идентификатор прописывается в скрипт при его генерации. т.е. Оператор не запрашивает результат выполнения скрипта у пользователя.    
    • Ego Dekker
      Домашние антивирусы для Windows были обновлены до версии 18.2.14.
×