欺诈日志和报告

欺诈
”日志和报告包含客户端发送回
Symantec Endpoint Protection Manager
的任何活动(被视为欺骗程序活动)的相关信息。欺骗程序旨在吸引攻击者。但是,它仅将事件发送回客户端和
Symantec Endpoint Protection Manager
以指示其遭受了攻击。
Deception 是一组工具,用于面向潜在攻击者伪装成所需数据和攻击途径。您可使用这些工具快速检测和停止渗透尝试。
对欺诈日志中的事件采取的操作
选项
说明
将客户端放置到隔离区中
将您认为以某种方式受到损害的客户端移至隔离区中。
从隔离区中移出客户端
从隔离区中删除客户端。如果攻击已消除或您错误地隔离了客户端,请使用此选项。
欺诈报告
摘要
说明
存在欺诈活动的高风险计算机
显示遭受到攻击者活动的高风险客户端计算机,通过来自给定计算机上的欺骗程序的事件指示。
欺骗程序包含工件,例如传送到客户端计算机的文件。攻击者接触工件时,工件将触发事件。按照设计,日常用户看不到工件,但入侵者对其感兴趣。
存在欺诈活动的高风险进程
显示攻击者用于触发欺诈事件的调用者进程。例如,如果使用了 ping.exe 触发网络查询 (DNS) 欺骗程序,则 ping.exe 是调用者进程。
存在欺诈活动的高风险用户
显示遭受到攻击者活动最多的用户,依据的是来自用户使用的客户端计算机上的欺骗程序的事件。
触发的高风险欺诈者
显示攻击者接触最多的欺骗程序。