katbert

Symantec Antivirus Corporate Edition

В этой теме 8 сообщений

На Windows 2003 SP2 стоит антивирусный сервер 10.1.8.8000

Функция Risk tracer по умолчанию включена, однако при записи в сетевую папку EICAR в журнале исправно фиксируется пользователь, из-под которого подключались к папке, а в поле "компьютер" записан сам сервер

При отключенной Risk Tracer пользователь тоже фиксируется

Пробовал закидывать EICAR с WinXP SP2, Vista SP1, Win2003 SP1 - все без уставленного клиента SAV

Пробовал изменять период опроса подключений с 1000 до 100, затем до 50 мс - не помогло

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Cудя по этой - статье

В журнале должны бить поля Source Computer и Name Source Computer IP

А я таких не наблюдаю

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Вы пытаетесь отследить этот компьютер? Если записывается пользователь - то в чем проблемы? Или от system идут сообщения?

Немного непонятна преследуемая Вами цель.

а в поле "компьютер" записан сам сервер

так и должно быть - источник, давший предупреждение. Собственно, сам сервер там и значится.

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Вы пытаетесь отследить этот компьютер? Если записывается пользователь - то в чем проблемы? Или от system идут сообщения?

Немного непонятна преследуемая Вами цель.

Пользователь определяется правильно, и это происходит независимо от того, включена ли фича Risk Tracer

Судя по приведенному мною постом выше описанию, эта технология должна показать именно имя компьютер-источника заразы

А она не показывает - см. скрин-шот

risk_tracer.jpg

post-359-1249013032_thumb.jpg

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Я могу ошибаться, но не зависит ли это определение от опции "Network Scanning options"? Я не знаю тонкого построения компонентов SAV и их взаимосвязей. Но по идее, в Вашем случае Risk tracer работает четко с файловым антивирусом. То есть, SAV видит что от конкретного пользователя лежит файл с сигнатурой - и это отображает в лог-файле. Собственно, пользователь - из владельцев (сразу скажу по опыту, что с Sality - это бесполезно :) ). Из этого можно судить - что для определения на уровне сети (а там, и только там можно взять IP и имя компа-источника) - нужна проверка на уровне сети. Попробуйте активировать функцию. Предупрежу сразу, что она значительно тормозила работу с файл-серверами до версии 1.1.5.5000.

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Попробуйте активировать функцию. Предупрежу сразу, что она значительно тормозила работу с файл-серверами до версии 1.1.5.5000.

Оно включено по умолчанию

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Еще нашел в документации:

Информацию программы Threat Tracer можно просмотреть в окне диалога

«Свойства угрозы». Она доступна только для тех угроз, которые связаны с

заражением файлов.

То есть если речь идет именно о ЗАРАЖЕНИИ существующих файлов - тогда фича теоретически должна сработать

А если я сразу закидываю eicar в сетевую папку - оно его не видит

Но тогда останется неопознанным и вирус, кидающий свои exe-файлы во все доступные папки

Есть ли у кого возможность проверить это?

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Но тогда останется неопознанным и вирус, кидающий свои exe-файлы во все доступные папки

Есть ли у кого возможность проверить это?

Если вирус закинут под учеткой пользователя - будет значится имя пользователя в логах. Источником будет тот SAV, который нашел этот вирус. Если вирус детектится постфактум, в ходе плановой полной проверки - то, в большинстве случаев, от пользователя system.

Это Вы хотели услышать?

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!


Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.


Войти с помощью Facebook Войти Войти с помощью Twitter
Anti-Malware.ru Вконтакте   Anti-Malware.ru в Facebook   Anti-Malware.ru в Twitter   Anti-Malware.ru в LinkedIn   RSS