Journaux et rapports rapides des risques

Les journaux et les rapports de risque incluent des informations relatives aux événements de risque sur vos serveurs et leurs clients. Les informations disponibles incluent l'heure des événements, l'action réelle des événements, le nom d'utilisateur, l'ordinateur, la source de risque, le nombre et le chemin des fichiers.
Certaines actions d'analyse dans les journaux et les rapports peuvent recommander l'exécution de Power Eraser sur certaines détections. Dans certains journaux et rapports, vous pouvez filtrer sur
Action effectuée
pour vérifier ces détections.
Les détections de Power Eraser n'apparaissent pas dans les rapports de risque. Power Eraser est une analyse en mode agressif qui signale des risques potentiels. Les résultats d'analyse risquent de surcharger le compte réel de détection ; ces détections ne sont donc pas incluses dans les rapports. Les détections apparaissent toutefois dans les journaux, afin de permettre à l'administrateur d'agir sur les risques potentiels.
Le tableau suivant décrit les options de filtre de paramètres supplémentaires pour les journaux et les rapports rapides.
Options de filtre des paramètres supplémentaires pour les vues des journaux et des rapports rapides de risques
Option
Description
Action effectuée
Spécifie l'action effectuée distante dont vous voulez consulter les informations.
Sélectionnez l'une des options suivantes :
  • Toutes
  • Accès refusé
    Affiche les événements dans lesquels la partie Auto-Protect de
    Symantec Endpoint Protection
    a empêché la création d'un fichier.
  • Action non valide
    Affiche les événements où l'action effectuée n'était pas valide. Ces risques peuvent encore être présents sur l'ordinateur.
  • Toutes les actions échouées
    Affiche les événements où ni l'action principale ni l'action secondaire configurées pour le risque n'ont pu être effectuées pour une raison quelconque.
  • Incorrect
    Affiche les événements où une défaillance du moteur d'analyse est survenue pour une raison non spécifiée. Ces risques peuvent encore être présents sur l'ordinateur.
  • Nettoyé
    Affiche les événements dans lesquels le logiciel a nettoyé un virus de l'ordinateur.
  • Nettoyé par suppression
    Affiche les événements pour lesquels l'action configurée était "nettoyer", mais pour lesquels un fichier a été supprimé, car c'était le seul moyen de le nettoyer. Par exemple, cette action est généralement nécessaire pour des programmes de cheval de Troie.
  • Fichier nettoyé ou macros supprimées
    Afficher les événements pour lesquels un virus de macro a été retiré d'un fichier par suppression ou par un autre moyen. Cette action s'applique uniquement aux événements provenant d'ordinateurs exécutant Symantec AntiVirus 8.x ou des versions antérieures.
  • Supprimé
    Afficher les événements où le logiciel a supprimé un objet, tel qu'un fichier ou une clé de registre, pour supprimer un risque.
  • Exclu
    Afficher les événements où les utilisateurs ont choisi d'exclure un risque de sécurité de la détection. Par exemple, cette action peut se produire quand un utilisateur est invité à autoriser l'arrêt d'un processus.
  • Laissé tel quel
    Spécifie les événements présentant un risque pour lequel aucune action n'a été exécutée. Cette action peut se produire si la première action configurée est Conserver. Cette action peut également se produire si la deuxième action configurée est
    Conserver
    et si la première action configurée échoue. Cette action peut signifier qu'un risque est en activité sur l'ordinateur.
  • Aucune réparation disponible
    Affiche les événements pour lesquels un risque a été détecté mais où aucune réparation n'est disponible pour les effets secondaires de ce risque.
  • Aucune réparation n'est disponible - Power Eraser recommandé pour la réparation
    Affichez les événements pour lesquels l'analyse n'a pas pu réparer les effets secondaires de certaines détections. Exécutez Power Eraser sur les ordinateurs où ces événements se produisent. Une fois que Power Eraser a détecté la menace, vous devez lancer la réparation manuellement.
  • Partiellement réparé
    Affiche les événements dans lesquels
    Symantec Endpoint Protection
    ne peut pas réparer complètement les effets d'un virus ou d'un risque de sécurité.
  • Réparation ou action de l'administrateur en attente
    Affiche les événements pour lesquels un utilisateur ou un administrateur doit effectuer une action pour terminer la résolution d'un risque sur un ordinateur. L'action
    Réparation en attente
    peut par exemple être exécutée lorsqu'un utilisateur n'a pas répondu à une invite pour terminer un processus.
    Action administrateur en attente
    se produit quand Power Eraser a besoin d'une action de la part de l'administrateur dans les journaux de la console.
  • Processus arrêté
    Affiche les événements pour lesquels un processus a dû être terminé sur un ordinateur pour atténuer un risque.
  • Fin du processus, redémarrage en attente
    Affiche les événements pour lesquels un ordinateur doit être redémarré pour terminer un processus et atténuer un risque.
  • mis en quarantaine
    Affiche les événements dans lesquels
    Symantec Endpoint Protection
    a mis en quarantaine un virus ou un risque de sécurité.
  • Restauré(s)
    Affiche les événements Power Eraser que l'administrateur a supprimé puis restaurés.
  • Suspect
    Affiche les événements dans lesquels une analyse SONAR a détecté un risque potentiel mais ne l'a pas résolu, soit parce qu'elle ne peut pas le faire, soit parce que vous l'avez configurée pour consigner seulement les détections.
  • Menace bloquée - Power Eraser recommandé pour la réparation
    Affiche les événements pour lesquels une analyse a détecté et bloqué une menace mais n'a supprimé ou ni réparé aucun fichier. Exécutez Power Eraser sur les ordinateurs où ces événements se produisent. Une fois que Power Eraser a détecté la menace, vous devez lancer la réparation manuellement.
  • Redémarrage requis - Mise en quarantaine
    Affiche les événements qui requièrent un redémarrage après la mise en quarantaine de certains risques.
  • Redémarrage requis - Nettoyé(s)
    Affiche les événements qui nécessitent le redémarrage de l'ordinateur client après le nettoyage des risques par l'analyse.
  • Pas d'action de l'administrateur
    Affiche les événements Power Eraser que l'administrateur a passés en revue mais a choisi de ne pas résoudre. Notez que cette action n'est pas transmise au client. L'événement correspondant sur le client dans la vue du journal client continue à afficher l'événement comme "Analyse en attente".
Type d'analyse
Spécifie le type d'analyse pour lequel vous voulez afficher des informations. Par exemple, vous pouvez sélectionner
Analyse planifiée
,
Console
ou
Analyse d'inactivité
.
Analyse planifiée
inclut tous les types d'analyse planifiée :
Analyse active
,
Analyse complète
ou
Analyse personnalisée
.
Type de risque
Spécifie le type de risque pour lequel vous voulez afficher des informations. Par exemple, vous pouvez sélectionner
Malware
,
Cookie
ou
Accès distant
.
  • Type d'événement
  • Domaine
  • Groupe
  • Serveur
  • Ordinateur
  • Adresse IP
  • Utilisateur
  • Système d'exploitation
Nom du risque
Si vous connaissez le nom du risque, utilisez cette option.
Vous pouvez utiliser le caractère générique point d'interrogation (?), qui correspond à tout caractère, et l'astérisque (*), qui correspond à toute chaîne de caractères. Ce champ accepte également une liste de valeurs séparées par des virgules.
Application
Spécifie le nom de l'application sur laquelle vous voulez afficher des informations.
Vous pouvez utiliser le caractère générique point d'interrogation (?), qui correspond à tout caractère, et l'astérisque (*), qui correspond à toute chaîne de caractères. Ce champ accepte également une liste de valeurs séparées par des virgules.
Le tableau suivant décrit les exceptions que vous pouvez ajouter à la politique d'exceptions à partir du journal des risques. Sélectionnez l'exception et cliquez sur
Appliquer
.
Actions
Option
Description
Autoriser l'application
Crée une exception d'application avec l'action Ignorer. Le fichier est identifié par son hachage. L'exception s'applique à SONAR et à toutes les analyses antivirus et antispywares.
Bloquer l'application
Crée une exception d'application SONAR avec l'action Mettre en quarantaine. Le fichier est identifié par son hachage.
Ajouter un fichier à la politique d'exception
Crée une exception pour le fichier détecté afin que les analyses de virus et spyware ne détectent plus le fichier. Le fichier est identifié par son chemin d'accès.
Ajouter un dossier à la politique d'exception
Crée une exception pour le dossier dans lequel résident les fichiers détectés. S'applique uniquement aux analyses de virus et spyware et pas aux analyses SONAR. L'exception ne s'applique pas automatiquement aux sous-dossiers.
Domaine Web approuvé
Crée une exception de domaine Web approuvé qui s'applique à l'URL à partir duquel le fichier a été téléchargé. L'exception s'applique uniquement aux fichiers détectés par le Diagnostic des téléchargements.
Ajouter un risque à la politique d'exception
Crée une exception de risque connu. S'applique uniquement aux fichiers détectés comme étant des risques de sécurité (par exemple, les spywares et logiciels publicitaires) qui sont connus.
Ajouter une extension à la politique d’exception
Crée une exception pour l'extension du fichier détecté. Par exemple, si le fichier que vous sélectionnez porte l'extension .doc, alors DOC est ajouté à la liste des extensions que les analyses de virus et spyware ignoreront.
Suppression de la quarantaine
Supprime le fichier sélectionné de la quarantaine sur les ordinateurs clients.
Télécharger le fichier mis en quarantaine par le client
Télécharge les fichiers que le client a identifiés comme constituant un risque, qu'il a mis en quarantaine et qu'il a chargés sur le serveur de gestion :Utilisez cette commande pour accéder au fichier pour analyse approfondie.
Les fichiers en quarantaine téléchargés prennent en charge la réplication.
Lancer l'analyse Power Eraser
Exécute Power Eraser sur les risques sélectionnés. Symantec Endpoint Protection recommande parfois l'exécution de Power Eraser sur un risque détecté.
Supprimer un risque détecté par Power Eraser
Supprime les risques sélectionnés que Power Eraser a détectés sur des ordinateurs client. Utilisez cette commande de supprimer manuellement les risques que Power Eraser a détectés. Power Eraser ne supprime pas les risques automatiquement.
Restaurer un risque supprimé par Power Eraser
Restaure des fichiers détectés comme risque Power Eraser et que vous ou un autre administrateur aviez supprimé.
Ignorer un risque détecté par Power Eraser
Signale les détections sélectionnées comme passées en revue sans action effectuée. Utilisez cette commande lorsque vous avez passé en revue les détections sélectionnées et décidé de n'effectuer aucune action.
Options de filtre des paramètres de base pour les rapports rapides de risque
Option
Description
Regrouper par
Spécifie la cible sur laquelle vous voulez consulter des informations.
Par exemple, pour
Nombre de détections de risques
, vous pouvez regrouper par
Ordinateur
.
Par exemple, pour
Nouveaux risques détectés sur le réseau
, vous pouvez sélectionner
Groupe
ou
Nom d'utilisateur
.
Par exemple, pour
Résumé de la distribution des risques
, vous pouvez sélectionner
Nom du risque
ou
Source
.
Configurer
. . .
Cette option n'est disponible que pour le
Rapport détaillé des risques
.
Par défaut, le
Rapport détaillé des risques
inclut tous les rapports de distribution et les nouveaux risques. Vous pouvez cliquer sur cette option pour limiter les données dans ce rapport.
Axe des abscisses
Spécifie la variable que vous voulez utiliser sur l'axe des abscisses du graphique à barres 3-D. Par exemple, vous pouvez sélectionner
Nom d'utilisateur
ou
Serveur
.
Le graphique affiche les cinq premières instances de cette variable d'axe. Si vous sélectionnez l'ordinateur en tant que variable alors que moins de cinq ordinateurs sont infectés, il est possible que des ordinateurs non infectés s'affichent sur le graphique.
Cette option est disponible uniquement pour le rapport
Corrélation des principales détections de risque
.
Axe des ordonnées
Spécifie la variable que vous voulez utiliser sur l'axe des ordonnées du graphique à barres 3-D. Par exemple, vous pouvez sélectionner
Domaine
ou
Nom du risque
.
Le graphique affiche les cinq premières instances de cette variable d'axe. Si vous sélectionnez l'ordinateur en tant que variable alors que moins de cinq ordinateurs sont infectés, il est possible que des ordinateurs non infectés s'affichent sur le graphique.
Cette option est disponible uniquement pour le rapport
Corrélation des principales détections de risque
.
Paramètres de filtre supplémentaires pour les rapports rapides
Nombre de notifications
et
Nombre de notifications dans le temps
Option
Description
Etat Accusé de réception reçu
Affiche les notifications lues ou non lues.
Type de notification
Spécifie le type de notification dont vous voulez consulter les informations. Par exemple, vous pouvez sélectionner
Modification de liste de clients
ou
Nouveaux package de logiciels
.
Créé par
Spécifie que vous voulez afficher les notifications qui ont des filtres créés par cet utilisateur.
Nom de notification
Spécifie le nom d'une notification particulière sur laquelle vous voulez consulter des informations.
Vous pouvez également cliquer sur ... pour effectuer une sélection dans une liste de notifications. Vous pouvez utiliser le caractère générique point d'interrogation (?), qui correspond à tout caractère, et l'astérisque (*), qui correspond à toute chaîne de caractères. Vous pouvez également cliquer sur les points pour sélectionner dans une liste de notifications. Par défaut, toutes les notifications qui ont été créées sont incluses.
Autres informations