Перейти к содержанию
katbert

Symantec Antivirus Corporate Edition

Recommended Posts

katbert

На Windows 2003 SP2 стоит антивирусный сервер 10.1.8.8000

Функция Risk tracer по умолчанию включена, однако при записи в сетевую папку EICAR в журнале исправно фиксируется пользователь, из-под которого подключались к папке, а в поле "компьютер" записан сам сервер

При отключенной Risk Tracer пользователь тоже фиксируется

Пробовал закидывать EICAR с WinXP SP2, Vista SP1, Win2003 SP1 - все без уставленного клиента SAV

Пробовал изменять период опроса подключений с 1000 до 100, затем до 50 мс - не помогло

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
katbert

Cудя по этой - статье

В журнале должны бить поля Source Computer и Name Source Computer IP

А я таких не наблюдаю

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Shell

Вы пытаетесь отследить этот компьютер? Если записывается пользователь - то в чем проблемы? Или от system идут сообщения?

Немного непонятна преследуемая Вами цель.

а в поле "компьютер" записан сам сервер

так и должно быть - источник, давший предупреждение. Собственно, сам сервер там и значится.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
katbert
Вы пытаетесь отследить этот компьютер? Если записывается пользователь - то в чем проблемы? Или от system идут сообщения?

Немного непонятна преследуемая Вами цель.

Пользователь определяется правильно, и это происходит независимо от того, включена ли фича Risk Tracer

Судя по приведенному мною постом выше описанию, эта технология должна показать именно имя компьютер-источника заразы

А она не показывает - см. скрин-шот

risk_tracer.jpg

post-359-1249013032_thumb.jpg

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Shell

Я могу ошибаться, но не зависит ли это определение от опции "Network Scanning options"? Я не знаю тонкого построения компонентов SAV и их взаимосвязей. Но по идее, в Вашем случае Risk tracer работает четко с файловым антивирусом. То есть, SAV видит что от конкретного пользователя лежит файл с сигнатурой - и это отображает в лог-файле. Собственно, пользователь - из владельцев (сразу скажу по опыту, что с Sality - это бесполезно :) ). Из этого можно судить - что для определения на уровне сети (а там, и только там можно взять IP и имя компа-источника) - нужна проверка на уровне сети. Попробуйте активировать функцию. Предупрежу сразу, что она значительно тормозила работу с файл-серверами до версии 1.1.5.5000.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
katbert
Попробуйте активировать функцию. Предупрежу сразу, что она значительно тормозила работу с файл-серверами до версии 1.1.5.5000.

Оно включено по умолчанию

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
katbert

Еще нашел в документации:

Информацию программы Threat Tracer можно просмотреть в окне диалога

«Свойства угрозы». Она доступна только для тех угроз, которые связаны с

заражением файлов.

То есть если речь идет именно о ЗАРАЖЕНИИ существующих файлов - тогда фича теоретически должна сработать

А если я сразу закидываю eicar в сетевую папку - оно его не видит

Но тогда останется неопознанным и вирус, кидающий свои exe-файлы во все доступные папки

Есть ли у кого возможность проверить это?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Shell
Но тогда останется неопознанным и вирус, кидающий свои exe-файлы во все доступные папки

Есть ли у кого возможность проверить это?

Если вирус закинут под учеткой пользователя - будет значится имя пользователя в логах. Источником будет тот SAV, который нашел этот вирус. Если вирус детектится постфактум, в ходе плановой полной проверки - то, в большинстве случаев, от пользователя system.

Это Вы хотели услышать?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

  • Сообщения

    • Dima2_90
      На мой взгляд то, что Process Hacker выгружает антивирусы - явление нормальное, потому что Process Hacker - легитимная программа (по мнению некоторых вендоров -  потенциально опасная), а не троянская, и  команду на выгрузку антивируса даёт сам пользователь ( выбрав процесс в списке и нажимая "Terminate"), то есть это действие (завершение процесса, отвечающего за работу антивируса) санкционировано самим пользователем.
    • rownong
      Здравствуйте. Есть следующая инфраструктура (VPS куплены у хостинг-провайдера).  VPS сервер 1.
      На нем:
      - Несколько баз данных MySQL 
      - Папки (с сайтами, веб-приложениями, скриптами)
      - Установленные программы
      > Панель управления Vesta
      > MySQL-сервер
      > PhpMyAdmin
      > FTP-сервер
      - Задачи крона VPS сервер 2.
      На нем:
      - Asterisk (с конфигурациями) В перспективе VPS сервер 3.
      На нем будет располагаться ERP организации (база данных, бекенд Laravel, фронтенд Vue.js).  Нужно обеспечить безопасность данной IT инфраструктуры, закрыть максимум уязвимостей.
      Чтобы злоумышленники не могли, просмотреть / украсть: пароли в конфигах PHP скриптов, данные БД Таблиц MySQL, не имели доступ к  Asterisk, данным ERP, защита от sql инъекций, DDoS-атак и т.д. Вопросы: 1. В представленной инфраструктуре, каких технические специалисты должны делать аудит ? PHP-программист, системный администратор, или есть отдельные специалисты которые занимаются безопастностью в IT? 2. Я правильно понимаю, что выполнение задачи будет разбито на 2 этапа:
      - аудит (когда будут выписаны замечания)
      - реализация мер по устранению замечаний
      ?? 3. Как выбрать аудиторов?
      Достаточно фрилансеров или нужно обращаться в организацию? 4. Как определить компетенции аудиторов в обеспечении безопасности в IT? 5. Имеет смысл  нанимать сразу 2-х аудиторов?
      Потом реализовывать замечания обоих аудитов? 6. В какой формате проводятся аудиты по безопасности?
      Нужно будет прислать специалистам доступы ко всем системам? 7. Целесообразно делать аудит VPS без аудита офисного железа (компьютеры, роутеры, файловый сервак)?
      Теоретически на компьютерах могут быть уязвимости к вирусам которые доступы крадут от VPS, но проверять еще компы всей организации, сильно увеличит время на аудит.  
    • Draft
      К Сереге лысому, моему другу, приходят и жалуются, мол разводят их как лохов
    • Quincy
      К тебе именно приходит и на сайт жалуется?)))) 
    • PR55.RP55
      https://github.com/dragokas/hijackthis/blob/devel/src/_ChangeLog_ru.txt Стоит прочесть и найти полезное. Типа: Добавлена зачистка зависимостей легитимных служб от удаляемой службы.
      Добавлен запрет программе на перезагрузку серверных ОС с запросом к пользователю сделать это вручную.
      Добавлена проверка типа виртуализации ключей реестра.
×