Ankündigung

Einklappen
1 von 2 < >

Schulungen zu Symantec Endpoint Protection

Zu Symantec Endpoint Protection bieten wir Ihnen mehrere Schulungen an:

https://www.niwis.com/service/schulu...on-schulungen/
2 von 2 < >

Schulungen zu Symantec Endpoint Protection

Zu Symantec Endpoint Protection bieten wir Ihnen mehrere Schulungen an:

https://www.niwis.com/service/schulu...on-schulungen/
Mehr anzeigen
Weniger anzeigen

DRINGEND - Unklarheit wegen Meldungen Insight-Netzwerkbedrohung

Einklappen
X
  • Filter
  • Zeit
  • Anzeigen
Alles löschen
neue Beiträge

    DRINGEND - Unklarheit wegen Meldungen Insight-Netzwerkbedrohung

    Heute morgen erhalten wir über 30 Meldungen über den SEPM. Was habe ich hiervon zu halten? Und wo finde ich genauere Angaben was da geschieht?

    File or path ist nicht vorhanden, Category-type ist Insight-Netzwerkbedrohung

    Vielen Dank für euer Feedback

    Client Affected
    Computer: hsgXXX-n
    IP address: 10.0.32.22
    User: SYSTEM
    Domain: Default
    Client group: My Company\Clients\MP5
    Parent server: ms-aludra

    Risk Information
    Risk name: WS.Reputation.1
    Privacy impact: Medium
    Performance impact: Medium
    Overall rating: Medium
    Download site: N/A
    Downloaded or created by: N/A
    File or path: Nicht verfügbar
    Application:
    Version:
    File size: 0
    Category set: Malware
    Category type: Insight-Netzwerkbedrohung
    SHA-256 Hash: N/A
    SHA-1 Hash: N/A
    MD5 Hash: N/A
    Company: N/A
    Risk Detection
    Date found: 01/08/2018 07:03:16
    Description:
    Actual action: Deleted
    Specified primary action: Quarantine
    Specified secondary action: Delete or remove
    Detection source: Auto-Protect
    Risk detection method: Heuristic Detection
    URL tracking: Off
    Source computer:
    Event type: Security risk found
    Database insert date: 01/08/2018 07:04:15
    Event end date: 01/08/2018 07:03:16
    Event client date: 01/08/2018 07:03:16
    Permitted application reason: N/A
    Risk Reputation
    First seen: Reputation was not used in this detection.
    Reputation: Reputation was not used in this detection.
    Prevalence: Reputation was not used in this detection.
    Performance impact: Medium
    Overall rating: Medium
    Detection reason: Antivirus engine
    Minimum sensitivity level: N/A

    #2
    Hallo GResch,

    welche Signatur Version wird auf dem Client verwendet?

    Können Sie uns einen Auszug aus dem Client Log zukommen lassen?
    Bitte an info@niwis.com

    Des Weiteren können Sie am Manager unter folgenden Einstellungen schauen, ob Sie weiterführende Informationen zu diesem Vorfall finden:

    Monitor >> Log Type = Risk
    Dann auf Additional Settings klicken um anschließend den Risk Type auf Insight Network Threat einzustellen.


    VG,
    Saprophyt

    Kommentar


      #3
      Hallo Saprophyt,
      danke für das fixe Feedback.

      Anbei die Definitionen welche jetzt auf einem der Rechner ist, beim Starten war vermutlich eine ältere vorhanden.
      Virus definition: 01/07/2018 r21
      Sonar definitions 01/02/2018 r2
      IPS definitions 01/07/2018 r2

      weitere Infos finde ich auch nachdem ich den Risk Type umgestellt habe nicht, ich maile die Datei jedoch an euch.

      Zu dem Client-Log: Komm ich da auch über den Server ran?


      Kommentar


        #4
        Hallo GResch,

        wir haben Ihren Risk Report erhalten.

        Wie Sie schon gesagt haben, enthält dieser leider keine weiterführenden Informationen.

        Auf die Client-Logs haben Sie nur vom Client aus Zugriff.

        Um einen Fehler in der Berichtskomponente bzw. der Log Übertragung auszuschließen, ist es nötig die Client-Logs mit den Manager Logs abzugleichen.


        VG,
        Saprophyt

        Kommentar


          #5
          Hallo Saprophyt
          was für Client Logs soll ich denn besorgen?

          Zwischenzeitlich sind etwa 40-50 derartige Meldungen eingegangen. Kennt ihr die denn ebenfalls?

          Vielen Dank für ein Feedback und ich werde dann versuchen das benötigte Log möglichst schnell zu besorgen

          Kommentar


            #6
            Ich habe eine Protokolldatei wunschgemäss gemailt. Hier fallen mir 2 Fehlermeldungen auf. Obige Virenmeldung erschien gegen 9:05.

            Vielen Dank

            Klicke auf die Grafik für eine vergrößerte Ansicht

Name: Protokoll.2jpg.jpg
Ansichten: 4
Größe: 64,4 KB
ID: 35960
            Klicke auf die Grafik für eine vergrößerte Ansicht

Name: Protokoll.jpg
Ansichten: 1
Größe: 63,8 KB
ID: 35961



            Angehängte Dateien

            Kommentar


              #7
              Hallo GResch,

              benötigt werden die Log Inhalte aus dem Bereich "Virus and Spyware Protection" und dann Risk Log.


              VG,
              Saprophyt

              Kommentar


                #8
                Diese log Dateien waren bei den letzten überprüften Rechnern leider leer gewesen.

                Gibt es denn keine Möglichkeit auf dem Server hierzu Angaben zu bekommen bzw. worauf deutet diese Meldung denn hin? Laut Virenmeldung WS.Reputation.1, File nicht verfügbar, gelöscht oder Zugriff blockiert.

                In den Protolollen vom Server sehe ich noch "Malware" von der Kategorie "Insight-Netzwerkbedrohung".

                Kennt ihr das auch oder wo finde ich auf dem Server weiterführendes?

                Klicke auf die Grafik für eine vergrößerte Ansicht

Name: ws.reputation.png
Ansichten: 1
Größe: 21,7 KB
ID: 35964





                Kommentar


                  #9
                  In folgendem Symantec Beitrag wird das gleiche Thema angesprochen.
                  Hier wird erklärt, dass es sein kann, dass Symantec den Threat gestoppt hat, bevor dieser auf das Filesystem gelangen konnte.
                  Es könnte es sich hierbei aber auch um temporäre Dateien handeln.

                  https://www.symantec.com/connect/for...th-unavailable


                  Im Zweifelsfall empfehlen wir ein Ticket bei Symantec zu eröffnen.


                  VG,
                  Saprophyt

                  Kommentar


                    #10
                    Ich habe vor einer Woche einen Fall aufgemacht, Symantec weiss hier derzeit auch nicht weiter

                    Kommentar

                    Lädt...
                    X