niwis SEP Event Monitor (NSEPEM)

NSEPEM ist eine Software zur Unterstützung von Symantec Endpoint Protection (SEP) oder Symantec Endpoint Security (SES).

NSEPEM läuft als Windows Dienst zusätzlich zu SEP/SES und kann basierend auf bestimmten Ereignissen oder Stati im SEP-Log Aktionen auslösen. Z. B. könnte ein Virenfund durch AutoProtect oder SONAR oder ein durch IPS entdeckter Angriff folgende Aktionen veranlassen:

  • Dialogfenster anzeigen (mit Variablen aus der SEP-Log Datei)
  • Scan ausführen
  • Program ausführen
  • Registrywert schreiben
  • Syslog UDP Paket schicken
  • Symantec Webseite mit Informationen über den Angriff anzeigen
  • Rechner in Quarantäne verschieben, wenn z. B. ein System Infected Event ausgelöst wird

Anwendungsgebiete

  • NSEPEM kann bei einem Risiko sofort einen Scan auslösen.
  • NSEPEM kann ein Script ausführen, welches die Aktualität der Signaturen ermittelt und diese bei Bedarf aktualisiert
  • NSEPEM kann einen Registrywert schreiben, der durch die Standorterkennung von SEP verwertet wird. Der Rechner begibt sich selbst in die Quarantäne.
  • NSEPEM kann wenige Millisekunden nach einem Fund ein Syslog-Paket verschicken.
  • NSEPEM kann nach einem Fund durch starten eines Skriptes die Netzwerkkarte des virtuellen Computers im Hypervisor deaktivieren.
  • NSEPEM kann ein Skript ausführen, einen Dialog anzeigen oder ein Syslog Paket schicken wenn die Virensignaturen veraltet sind.

Der ausführbare Dienst ist sehr klein (ca. 200 KB) und reagiert im Millisekundenbereich.

Seit NSEPEM 2.5 kann der Dienst zwischen verschiedenen IPS Alarmen unterscheiden und z. B. nur dann auslösen, wenn SEP einen „System infected“ Prefix in einem Alarm meldet (siehe SEP and Norton Network Threat Protection/IPS Signature Naming Improvements).

Neu in NSEPEM 3.1

  • behandelt nun alle SONAR Ereignisse genau wie Viren-Ereignisse
  • kann Aktionen ausführen, wenn das Alter der Signaturen x Tage überschreitet *
  • einzelne Namen von Schadsoftware können ausgenommen werden


* Im Gegensatz zu SEP, der auch eine Funktion zur Überwachung der Signaturen bietet, kann NSEPEM mit einer benutzerdefinierten Verzögerung arbeiten. So wird vermieden, dass der SEP Client veraltete Signaturen meldet, diese aber bereits im Hintergrund herunterlädt. Rechner, die nach der benutzerdefinierten Verzögerung immer noch veraltete Signaturen verwenden, können dies über eine Syslog Meldung direkt in der SIEM abgeben.

 

02407-9539450
info@niwis.com

Nachricht

 

Kostenloses Forum
mit vielen Tipps & Tricks

Zum Forum

 

Broadcom/Symantec
Schulungen

Schulungen

 

Security & AntiVirus
User Group

Zur SAVUG …