Ankündigung

Einklappen
1 von 2 < >

Schulungen zu Symantec Endpoint Protection

Zu Symantec Endpoint Protection bieten wir Ihnen mehrere Schulungen an:

https://www.niwis.com/service/schulu...on-schulungen/
2 von 2 < >

Schulungen zu Symantec Endpoint Protection

Zu Symantec Endpoint Protection bieten wir Ihnen mehrere Schulungen an:

https://www.niwis.com/service/schulu...on-schulungen/
Mehr anzeigen
Weniger anzeigen

Was ist der niwis SEP Event Monitor (NSEPEM)

Einklappen
Das ist ein wichtiges Thema.
X
X
 
  • Filter
  • Zeit
  • Anzeigen
Alles löschen
neue Beiträge

    Was ist der niwis SEP Event Monitor (NSEPEM)

    Der niwis SEP Event Monitor (NSEPEM) ist ein Dienst, der auf Windows-Rechnern mit installiertem SEP verwendet werden kann.

    Der Dienst kann basierend auf bestimmten Ereignissen oder Stati im SEP-Log Aktionen auslösen.
    Z. B. könnte ein Virenfund durch AutoProtect oder SONAR oder ein durch IPS entdeckter Angriff folgende Aktionen veranlassen:
    • Dialogfenster anzeigen (mit Variablen aus der SEP-Log Datei)
    • Programmcode ausführen (z. B. doscan.exe /scanname "SCAN" oder beliebiges Skript)
    • Registrywert schreiben
    • Syslog UDP Paket schicken
    • Symantec Webseite mit Informationen über den Angriff anzeigen
    • Rechner in Quarantäne verschieben, wenn z. B. ein System Infected Event ausgelöst wird
    Anwendungsgebiete
    • NSEPEM könnte bei einem Risiko sofort einen Scan auslösen.
    • NSEPEM könnte einen Registrywert schreiben, der durch die Standorterkennung von SEP verwertet wird. Der Rechner begibt sich selbst in die Quarantäne.
    • NSEPEM kann wenige Millisekunden nach einem Fund ein Syslog-Paket verschicken.
    • NSEPEM kann nach einem Fund durch starten eines Skriptes die Netzwerkkarte des virtuellen Computers im Hypervisor deaktivieren.
    • NSEPEM kann ein Skript ausführen, einen Dialog anzeigen oder ein Syslog Paket schicken wenn die Virensignaturen veraltet sind.
    Der ausführbare Dienst ist sehr klein (ca. 200 KB) und reagiert im Millisekundenbereich.
    Zuletzt geändert von uspange; 08.01.2021, 08:23.

    #2
    NSEPEM 2.5 kann zwischen verschiedenen IPS Alarmen unterscheiden und z. B. nur dann auslösen, wenn SEP einen "System infected" Prefix in einem Alarm meldet (siehe SEP and Norton Network Threat Protection/IPS Signature Naming Improvements).

    Kommentar


      #3
      Neu in NSEPEM 3.1
      • behandelt nun alle SONAR Ereignisse genau wie Viren-Ereignisse
      • kann Aktionen ausführen, wenn das Alter der Signaturen x Tage überschreitet *

      * Im Gegensatz zu SEP, der auch eine Funktion zur Überwachung der Signaturen bietet, kann NSEPEM mit einer benutzerdefinierten Verzögerung arbeiten. So wird vermieden, dass der SEP Client veraltete Signaturen meldet, diese aber bereits im Hintergrund herunterlädt. Rechner, die nach der benutzerdefinierten Verzögerung immer noch veraltete Signaturen verwenden, können dies über eine Syslog Meldung direkt in der SIEM abgeben.
      Zuletzt geändert von uspange; 31.12.2020, 15:15.

      Kommentar

      Lädt...
      X