Announcement

Collapse
1 of 2 < >

Schulungen zu Symantec Endpoint Protection

Zu Symantec Endpoint Protection bieten wir Ihnen mehrere Schulungen an:

https://www.niwis.com/service/schulu...on-schulungen/
2 of 2 < >

Schulungen zu Symantec Endpoint Protection

Zu Symantec Endpoint Protection bieten wir Ihnen mehrere Schulungen an:

https://www.niwis.com/service/schulu...on-schulungen/
See more
See less

DRINGEND - Unklarheit wegen Meldungen Insight-Netzwerkbedrohung

Collapse
X
  • Filter
  • Time
  • Show
Clear All
new posts

    DRINGEND - Unklarheit wegen Meldungen Insight-Netzwerkbedrohung

    Heute morgen erhalten wir über 30 Meldungen über den SEPM. Was habe ich hiervon zu halten? Und wo finde ich genauere Angaben was da geschieht?

    File or path ist nicht vorhanden, Category-type ist Insight-Netzwerkbedrohung

    Vielen Dank für euer Feedback

    Client Affected
    Computer: hsgXXX-n
    IP address: 10.0.32.22
    User: SYSTEM
    Domain: Default
    Client group: My Company\Clients\MP5
    Parent server: ms-aludra

    Risk Information
    Risk name: WS.Reputation.1
    Privacy impact: Medium
    Performance impact: Medium
    Overall rating: Medium
    Download site: N/A
    Downloaded or created by: N/A
    File or path: Nicht verfügbar
    Application:
    Version:
    File size: 0
    Category set: Malware
    Category type: Insight-Netzwerkbedrohung
    SHA-256 Hash: N/A
    SHA-1 Hash: N/A
    MD5 Hash: N/A
    Company: N/A
    Risk Detection
    Date found: 01/08/2018 07:03:16
    Description:
    Actual action: Deleted
    Specified primary action: Quarantine
    Specified secondary action: Delete or remove
    Detection source: Auto-Protect
    Risk detection method: Heuristic Detection
    URL tracking: Off
    Source computer:
    Event type: Security risk found
    Database insert date: 01/08/2018 07:04:15
    Event end date: 01/08/2018 07:03:16
    Event client date: 01/08/2018 07:03:16
    Permitted application reason: N/A
    Risk Reputation
    First seen: Reputation was not used in this detection.
    Reputation: Reputation was not used in this detection.
    Prevalence: Reputation was not used in this detection.
    Performance impact: Medium
    Overall rating: Medium
    Detection reason: Antivirus engine
    Minimum sensitivity level: N/A

    #2
    Hallo GResch,

    welche Signatur Version wird auf dem Client verwendet?

    Können Sie uns einen Auszug aus dem Client Log zukommen lassen?
    Bitte an info@niwis.com

    Des Weiteren können Sie am Manager unter folgenden Einstellungen schauen, ob Sie weiterführende Informationen zu diesem Vorfall finden:

    Monitor >> Log Type = Risk
    Dann auf Additional Settings klicken um anschließend den Risk Type auf Insight Network Threat einzustellen.


    VG,
    Saprophyt

    Comment


      #3
      Hallo Saprophyt,
      danke für das fixe Feedback.

      Anbei die Definitionen welche jetzt auf einem der Rechner ist, beim Starten war vermutlich eine ältere vorhanden.
      Virus definition: 01/07/2018 r21
      Sonar definitions 01/02/2018 r2
      IPS definitions 01/07/2018 r2

      weitere Infos finde ich auch nachdem ich den Risk Type umgestellt habe nicht, ich maile die Datei jedoch an euch.

      Zu dem Client-Log: Komm ich da auch über den Server ran?


      Comment


        #4
        Hallo GResch,

        wir haben Ihren Risk Report erhalten.

        Wie Sie schon gesagt haben, enthält dieser leider keine weiterführenden Informationen.

        Auf die Client-Logs haben Sie nur vom Client aus Zugriff.

        Um einen Fehler in der Berichtskomponente bzw. der Log Übertragung auszuschließen, ist es nötig die Client-Logs mit den Manager Logs abzugleichen.


        VG,
        Saprophyt

        Comment


          #5
          Hallo Saprophyt
          was für Client Logs soll ich denn besorgen?

          Zwischenzeitlich sind etwa 40-50 derartige Meldungen eingegangen. Kennt ihr die denn ebenfalls?

          Vielen Dank für ein Feedback und ich werde dann versuchen das benötigte Log möglichst schnell zu besorgen

          Comment


            #6
            Ich habe eine Protokolldatei wunschgemäss gemailt. Hier fallen mir 2 Fehlermeldungen auf. Obige Virenmeldung erschien gegen 9:05.

            Vielen Dank

            Click image for larger version

Name:	Protokoll.2jpg.jpg
Views:	4
Size:	64.4 KB
ID:	35960
            Click image for larger version

Name:	Protokoll.jpg
Views:	1
Size:	63.8 KB
ID:	35961



            Attached Files

            Comment


              #7
              Hallo GResch,

              benötigt werden die Log Inhalte aus dem Bereich "Virus and Spyware Protection" und dann Risk Log.


              VG,
              Saprophyt

              Comment


                #8
                Diese log Dateien waren bei den letzten überprüften Rechnern leider leer gewesen.

                Gibt es denn keine Möglichkeit auf dem Server hierzu Angaben zu bekommen bzw. worauf deutet diese Meldung denn hin? Laut Virenmeldung WS.Reputation.1, File nicht verfügbar, gelöscht oder Zugriff blockiert.

                In den Protolollen vom Server sehe ich noch "Malware" von der Kategorie "Insight-Netzwerkbedrohung".

                Kennt ihr das auch oder wo finde ich auf dem Server weiterführendes?

                Click image for larger version

Name:	ws.reputation.png
Views:	1
Size:	21.7 KB
ID:	35964





                Comment


                  #9
                  In folgendem Symantec Beitrag wird das gleiche Thema angesprochen.
                  Hier wird erklärt, dass es sein kann, dass Symantec den Threat gestoppt hat, bevor dieser auf das Filesystem gelangen konnte.
                  Es könnte es sich hierbei aber auch um temporäre Dateien handeln.

                  https://www.symantec.com/connect/for...th-unavailable


                  Im Zweifelsfall empfehlen wir ein Ticket bei Symantec zu eröffnen.


                  VG,
                  Saprophyt

                  Comment


                    #10
                    Ich habe vor einer Woche einen Fall aufgemacht, Symantec weiss hier derzeit auch nicht weiter

                    Comment

                    Working...
                    X