Перейти к содержанию
Shaulin

Symantec Endpoint Protection

Автор Shaulin, в Вопросы по Symantec Endpoint Protection

Recommended Posts

Shaulin    0

Shaulin
Опубликовано (изменено)

В SAV 10 была возможность сканирования подсетей с помощью SSC.

SSC -> Tools -> Find computer -> Audit network.

Как это сделать в 11-ой версии?

Отредактировал Кирилл Керценбаум

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

Кирилл Керценбаум    671

Кирилл Керценбаум
Опубликовано
В SAV 10 была возможность сканирования подсетей с помощью SSC. Как это сделать в 11-ой версии?

Сканировать на предмет чего?

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

Shaulin    0

Shaulin
Опубликовано (изменено)
Сканировать на предмет чего?

Сканировать на предмет наличия действующих IP адресов. А при наличии установленного антивирусного ПО фирмы Symantec, с указанием его версии и parent сервера.

SSC -> Tools -> Find computer -> Audit network

Отредактировал Shaulin

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

Кирилл Керценбаум    671

Кирилл Керценбаум
Опубликовано

Shaulin тогда думаю вам подойдет Unmanaged Detector (Неуправляемый определитель), смотрим Документацию и еще здесь - http://service1.symantec.com/support/ent-s...70?OpenDocument

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

Shaulin    0

Shaulin
Опубликовано
Shaulin тогда думаю вам подойдет Unmanaged Detector (Неуправляемый определитель), смотрим Документацию и еще здесь - http://service1.symantec.com/support/ent-s...70?OpenDocument

Нашел. Спасибо большое.

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

Shell    301

Shell
Опубликовано

Учтите только, что если на клиенте не работает SEP (скажем, остановлены часть служб, или клиент был удален корректно через установку\удаление программ) - он не обнаружится через данную проверку :) об этом я уже писал.

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты
Перейти к списку тем Вопросы по Symantec Endpoint Protection

  • Сообщения

    • demkd
      uVS - Тестирование

      От demkd · Опубликовано

      ---------------------------------------------------------
       4.11.8
      ---------------------------------------------------------
       o Управление DNS логом вынесено в отдельные твики, #41 и #42.
         DNS лог работает начиная с Win8 (в ограниченном виде) и с Win8.1 в полном.
         Отключение ведения лога происходит мгновенно во всех системах кроме Windows 10,
         в последнем случае необходимо перезагрузить систему после 42 твика.
         (Win7 и ниже не поддерживается).  
    • demkd
      uVS - Тестирование

      От demkd · Опубликовано

      да, выглядит странно, может быть CommandLineEventConsumer чем-то уже удален, антивирус какой-нибудь неаккуратно поработал.
    • santy
      uVS - Тестирование

      От santy · Опубликовано

      здесь почему то нет потребителя события c5br1lMhB Consumer = "CommandLineEventConsumer.Name=\"c5br1lMhB\"" что это может быть? скрипт, который был недоступен на момент создания образа? запуск майнера был: C:\Windows\System32\rundll32.exe -o pool.supportxmr.com:443 -u 44EspGiviPdeZSZyX1r3R9RhpGCkxYACEKUwbA4Gp6cVCzyiNeB21STWYsJZYZeZt63JaUn8CVxDeWWGs3f6XNxGPtSuUEX -k --tls -p MOON но чем был вызван запуск - не смогли отследить. (зачистили без regt 39)                              IZTVMAIL01_2021-07-30_07-26-53_v4.11.6.7z
    • demkd
      uVS - Тестирование

      От demkd · Опубликовано

      привет, любой запуск процесса отслеживается, не важно что его запустило, дополнительно в wmi-activity разве что dll можно считать, которые подсаживались в wmiprvse.exe, толку только от этого.
    • santy
      uVS - Тестирование

      От santy · Опубликовано

      Привет. Возможен ли расширенный мониторинг создаваемых процессов через подписки WMI, аналогично тому, как это выполняется сейчас в uVS через твик 39? (т.е. доп. события пишутся системой в лог WMI-Activity.evtx и затем экспортируются нужное в образ автозапуска) или это уже работает сейчас?  
×