NSEPEM

Der niwis SEP Event Monitor (NSEPEM) ist eine Software zur Unterstützung von Symantec Endpoint Protection (SEP) oder Symantec Endpoint Security (SES).

NSEPEM läuft als Windows Dienst zusätzlich zu SEP/SES und kann basierend auf bestimmten Ereignissen oder Stati des SEP-Agenten Aktionen auslösen. Z. B. könnte ein Virenfund durch AutoProtect oder SONAR oder ein durch IPS entdeckter Angriff folgende Aktionen veranlassen:

  • Dialogfenster anzeigen (mit Variablen aus der SEP-Log Datei)
  • Scan ausführen
  • Program ausführen
  • Registrywert schreiben
  • Syslog UDP Paket schicken
  • Symantec Webseite mit Informationen über den Angriff anzeigen
  • Rechner in Quarantäne verschieben, wenn z. B. ein System Infected Event ausgelöst wird

Anwendungsgebiete

  • NSEPEM kann bei einem Risiko sofort einen Scan auslösen.
  • NSEPEM kann ein Script ausführen, welches die Aktualität der Signaturen ermittelt und diese bei Bedarf aktualisiert
  • NSEPEM kann einen Registrywert schreiben, der durch die Standorterkennung von SEP verwertet wird. Der Rechner begibt sich selbst in die Quarantäne.
  • NSEPEM kann wenige Millisekunden nach einem Fund ein Syslog-Paket verschicken.
  • NSEPEM kann nach einem Fund durch starten eines Skriptes die Netzwerkkarte des virtuellen Computers im Hypervisor deaktivieren.
  • NSEPEM kann ein Skript ausführen, einen Dialog anzeigen oder ein Syslog Paket schicken wenn die Virensignaturen veraltet sind.
  • NSEPEM kann eine Aktion auslösen, wenn eine bestimmte Datei ihren Hashwert ändert.
  • NSEPEM kann eine Reparatur oder Code ausführen, wenn der SEP-Dienst nicht gestartet ist.

Der ausführbare Dienst ist sehr klein (ca. 200 KB) und reagiert im Millisekundenbereich.

Seit NSEPEM 2.5 kann der Dienst zwischen verschiedenen IPS Alarmen unterscheiden und z. B. nur dann auslösen, wenn SEP einen „System infected“ Prefix in einem Alarm meldet (siehe SEP and Norton Network Threat Protection/IPS Signature Naming Improvements).

Neu in NSEPEM 3.5

  • NSEPEM prüft den Hash oder das vorhandensein einer Datei und führt Aktionen aus
  • NESEPM prüft, ob bestimmte Dienste laufen und führt Aktionen aus.


* Im Gegensatz zu SEP, der auch eine Funktion zur Überwachung der Signaturen bietet, kann NSEPEM mit einer benutzerdefinierten Verzögerung arbeiten. So wird vermieden, dass der SEP Client veraltete Signaturen meldet, diese aber bereits im Hintergrund herunterlädt. Rechner, die nach der benutzerdefinierten Verzögerung immer noch veraltete Signaturen verwenden, können dies über eine Syslog Meldung direkt in der SIEM abgeben.


Ihre Fragen und Anmerkungen sind jederzeit willkommen.

Bitte aktiviere JavaScript in deinem Browser, um dieses Formular fertigzustellen.
Name