Перейти к содержанию
Shaulin

Symantec Endpoint Protection

Recommended Posts

Shaulin

В SAV 10 была возможность сканирования подсетей с помощью SSC.

SSC -> Tools -> Find computer -> Audit network.

Как это сделать в 11-ой версии?

Отредактировал Кирилл Керценбаум

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Кирилл Керценбаум
В SAV 10 была возможность сканирования подсетей с помощью SSC. Как это сделать в 11-ой версии?

Сканировать на предмет чего?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Shaulin
Сканировать на предмет чего?

Сканировать на предмет наличия действующих IP адресов. А при наличии установленного антивирусного ПО фирмы Symantec, с указанием его версии и parent сервера.

SSC -> Tools -> Find computer -> Audit network

Отредактировал Shaulin

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Кирилл Керценбаум

Shaulin тогда думаю вам подойдет Unmanaged Detector (Неуправляемый определитель), смотрим Документацию и еще здесь - http://service1.symantec.com/support/ent-s...70?OpenDocument

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Shaulin
Shaulin тогда думаю вам подойдет Unmanaged Detector (Неуправляемый определитель), смотрим Документацию и еще здесь - http://service1.symantec.com/support/ent-s...70?OpenDocument

Нашел. Спасибо большое.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Shell

Учтите только, что если на клиенте не работает SEP (скажем, остановлены часть служб, или клиент был удален корректно через установку\удаление программ) - он не обнаружится через данную проверку :) об этом я уже писал.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • demkd
      ---------------------------------------------------------
       4.11.8
      ---------------------------------------------------------
       o Управление DNS логом вынесено в отдельные твики, #41 и #42.
         DNS лог работает начиная с Win8 (в ограниченном виде) и с Win8.1 в полном.
         Отключение ведения лога происходит мгновенно во всех системах кроме Windows 10,
         в последнем случае необходимо перезагрузить систему после 42 твика.
         (Win7 и ниже не поддерживается).  
    • demkd
      да, выглядит странно, может быть CommandLineEventConsumer чем-то уже удален, антивирус какой-нибудь неаккуратно поработал.
    • santy
      здесь почему то нет потребителя события c5br1lMhB Consumer = "CommandLineEventConsumer.Name=\"c5br1lMhB\"" что это может быть? скрипт, который был недоступен на момент создания образа? запуск майнера был: C:\Windows\System32\rundll32.exe -o pool.supportxmr.com:443 -u 44EspGiviPdeZSZyX1r3R9RhpGCkxYACEKUwbA4Gp6cVCzyiNeB21STWYsJZYZeZt63JaUn8CVxDeWWGs3f6XNxGPtSuUEX -k --tls -p MOON но чем был вызван запуск - не смогли отследить. (зачистили без regt 39)                              IZTVMAIL01_2021-07-30_07-26-53_v4.11.6.7z
    • demkd
      привет, любой запуск процесса отслеживается, не важно что его запустило, дополнительно в wmi-activity разве что dll можно считать, которые подсаживались в wmiprvse.exe, толку только от этого.
    • santy
      Привет. Возможен ли расширенный мониторинг создаваемых процессов через подписки WMI, аналогично тому, как это выполняется сейчас в uVS через твик 39? (т.е. доп. события пишутся системой в лог WMI-Activity.evtx и затем экспортируются нужное в образ автозапуска) или это уже работает сейчас?  
×