Dzienniki i szybkie raporty dotyczące zagrożeń

Dziennik zagrożeń i raporty dotyczące zagrożeń zawierają informacje o zdarzeniach zagrożeń na serwerze i jego klientach. Dostępne informacje obejmują czas zdarzenia, bieżące działanie zdarzenia, nazwę użytkownika, komputer, nazwę i źródło zagrożenia, liczbę zagrożeń i ścieżkę pliku.
Pewne działania skanowania zapisane w dziennikach i raportach mogą zalecać uruchomienie narzędzia Power Eraser na określonych katalogach. W celu znalezienia tych zaleceń niektóre dzienniki i raporty można filtrować na podstawie pola
Podjęte działanie
.
Wykrycia narzędzia Power nie są widoczne w raportach zagrożeń. Narzędzie Power Eraser wykonuje agresywne skanowanie, które oznacza potencjalne zagrożenia. Ponieważ wyniki skanowania mogą wpływać na rzeczywistą liczbę wykryć, nie są one uwzględniane w raportach. Wykrycia występują za to w dziennikach, umożliwiając administratorowi podjęcie działań dotyczących potencjalnych zagrożeń.
Akcje opisują opcje w dziennikach zagrożeń.
Opcje filtra Ustawienia podstawowe dla szybkich raportów o ryzyku opisują opcje filtrowania dla kilku szybkich raportów.
Następująca tabela przedstawia opcje filtrowania Dodatkowych ustawień dla dzienników i szybkich raportów.
Opcje ustawień dodatkowych filtra widoków dzienników zagrożeń i szybkich raportów
Opcja
Opis
Podjęte działanie
Określa podjęte działanie, o którym mają zostać wyświetlone informacje.
Należy wybrać jedno z poniższych działań:
  • Wszystkie
  • Odmowa dostępu
    Określa zdarzenia zablokowania utworzenia pliku przez funkcję Automatyczna ochrona programu
    Symantec Endpoint Protection
    .
  • Nieprawidłowe działanie
    Określa zdarzenia podjęcia nieprawidłowego działania. Zagrożenia mogą być nadal obecne na komputerze.
  • Niepowodzenie wszystkich działań
    Określa zdarzenia, w przypadku których zarówno działanie podstawowe, jak i działanie pomocnicze skonfigurowane dla danego zagrożenia nie mogły zostać wykonane.
  • Zły
    Określa zdarzenia, w przypadku których wystąpił nieokreślony błąd aparatu skanowania. Zagrożenia mogą być nadal obecne na komputerze.
  • Wyczyszczono
    Określa zdarzenia usunięcia wirusa z komputera przez oprogramowanie.
  • Wyczyszczone poprzez usunięcie
    Określa zdarzenia, w przypadku których skonfigurowano działanie Wyczyść, ale plik został usunięty, ponieważ nie był możliwy inny sposób jego wyczyszczenia. Działanie to jest zazwyczaj niezbędne na przykład w przypadku koni trojańskich.
  • Wyczyszczono lub usunięto makra
    Określa zdarzenia, w przypadku których plik został wyczyszczony z wirusa makr poprzez usunięcie lub innymi środkami. Działanie to ma zastosowanie jedynie do zdarzeń otrzymanych od komputerów z oprogramowaniem Symantec AntiVirus 8.x lub starszym.
  • Usunięte
    Określa zdarzenia, w przypadku których oprogramowanie usunęło obiekt, taki jak plik lub klucz rejestru, aby usunąć zagrożenie.
  • Wykluczono
    Określa zdarzenia, w przypadku których użytkownicy wybrali wykluczenie wykrywania zagrożenia bezpieczeństwa. Na przykład działanie to może wystąpić, gdy użytkownik nie zareagował na monit o zezwolenie na zakończenie procesu.
  • Pozostawiono bez zmian
    Określa zdarzenia, w przypadku których zagrożenie pozostawiono bez zmian. Działanie to może zostać podjęte, gdy pierwszym skonfigurowanym działaniem jest Pozostaw bez zmian. To działanie może również zostać podjęte, gdy drugim skonfigurowanym działaniem jest
    Pozostaw bez zmian
    , a pierwsze skonfigurowane działanie nie powiodło się. Działanie to może oznaczać, że zagrożenie nadal jest aktywne na komputerze.
  • Nie jest dostępna żadna metoda naprawy
    Wyświetla zdarzenia, w przypadku których zagrożenie zostało wykryte, ale nie jest dostępna żadna metoda naprawy jego skutków ubocznych.
  • Nie jest dostępna żadna metoda naprawy — w celu naprawienia zaleca się skanowanie narzędziem Power Eraser
    Wyświetl zdarzenia, w przypadku których funkcja skanowania nie może naprawić skutków ubocznych określonych wykryć. Na komputerach, na których wystąpiły te zdarzenia, należy uruchomić narzędzie Power Eraser. Po wykryciu zagrożenia przez narzędzie Power Eraser należy ręcznie zainicjować naprawę.
  • Częściowo naprawiono
    Określa zdarzenia, w przypadku których program
    Symantec Endpoint Protection
    nie może w pełni naprawić skutków wirusa lub zagrożenia bezpieczeństwa.
  • Oczekiwanie na naprawę lub Oczekiwanie na działanie administratora
    Określa zdarzenia, w przypadku których użytkownik lub administrator musi podjąć działanie, aby ukończyć naprawę zagrożenia na komputerze. Na przykład
    Oczekiwanie na naprawę
    może wystąpić, gdy użytkownik nie zareagował na monit, aby zakończyć proces.
    Oczekiwanie na działanie administratora
    występuje w przypadku, gdy narzędzie Power Eraser wymaga wykonania przez administratora określonego działania z dzienników w konsoli.
  • Zakończono proces
    Określa zdarzenia, w przypadku których w celu wyeliminowania zagrożenia konieczne było zakończenie procesu na komputerze.
  • Zakończenie procesu oczekuje na ponowne uruchomienie
    Określa zdarzenia, w przypadku których komputer musi zostać ponownie uruchomiony w celu zakończenia procesu i wyeliminowania zagrożenia.
  • Poddano kwarantannie
    Określa zdarzenia, w przypadku których program
    Symantec Endpoint Protection
    poddał wirusa lub zagrożenie bezpieczeństwa kwarantannie.
  • Przywrócone
    Wyświetla zdarzenia narzędzia Power Eraser, które administrator usunął, a następnie przywrócił.
  • Podejrzane
    Określa zdarzenia, w przypadku których skanowanie funkcji SONAR w poszukiwaniu zagrożeń wykryło możliwe zagrożenie, ale nie naprawiło go, ponieważ nie było to możliwe albo skonfigurowano jedynie rejestrowanie wykryć.
  • Zablokowane zagrożenie — w celu naprawienia zaleca się skanowanie narzędziem Power Eraser
    Wyświetla zdarzenia, w których skanowanie wykryło i zablokowało zagrożenie, ale nie mogło usunąć ani naprawić żadnych plików. Na komputerach, na których wystąpiły te zdarzenia, należy uruchomić narzędzie Power Eraser. Po wykryciu zagrożenia przez narzędzie Power Eraser należy ręcznie zainicjować naprawę.
  • Wymagane ponowne uruchomienie — kwarantanna
    Wyświetla zdarzenia wymagające ponownego uruchomienia po dodaniu zagrożeń do kwarantanny przez skanowania.
  • Wymagane ponowne uruchomienie — wyczyszczono
    Wyświetla zdarzenia wymagające ponownego uruchomienia komputera klienta po wyczyszczeniu zagrożeń przez skanowania.
  • Pozostawione bez zmian przez administratora
    Wyświetla zdarzenia narzędzia Power Eraser, które administrator przejrzał, a następnie pozostawił bez zmian, nie eliminując. To działanie zdarzenia nie jest wysyłane do klienta Odpowiednie zdarzenie w widoku dziennika klienta nadal zawiera działanie zdarzenia „Oczekiwanie na analizę”.
Typ skanowania
Określa typ skanowania, o którym mają zostać wyświetlone informacje. Można na przykład wybrać opcję
Skanowanie zaplanowane
,
Konsola
lub
Skanowanie w czasie bezczynności
.
Skanowanie zaplanowane
obejmuje wszystkie rodzaje skanowań zaplanowanych:
Skanowanie aktywne
,
Skanowanie pełne
lub
Skanowanie niestandardowe
.
Typ zagrożenia
Określa typ zagrożenia, o którym mają zostać wyświetlone informacje. Można na przykład wybrać opcję
Destrukcyjne oprogramowanie
,
Plik cookie
lub
Dostęp zdalny
.
  • Typ zdarzenia
  • Domena
  • Grupa
  • Serwer
  • Komputer
  • Adres IP
  • Użytkownik
  • System operacyjny
Nazwa zagrożenia
Jeśli nazwa zagrożenia jest znana, należy użyć tej opcji.
Można użyć symbolu wieloznacznego ? (znak zapytania), który zastępuje dowolny pojedynczy znak, i gwiazdki (*), która zastępuje dowolny ciąg znaków. W polu tym można wprowadzić listę rozdzielaną przecinkami.
Aplikacja
Określa nazwę aplikacji, o której mają zostać wyświetlone informacje.
Można użyć symbolu wieloznacznego ? (znak zapytania), który zastępuje dowolny pojedynczy znak, i gwiazdki (*), która zastępuje dowolny ciąg znaków. W polu tym można wprowadzić listę rozdzielaną przecinkami.
Następująca tabela opisuje wyjątki, które można dodać z dziennika zagrożeń do zasady Wyjątki. Wybierz wyjątek i kliknij przycisk
Zastosuj
.
Działania
Opcja
Opis
Dodaj zagrożenie do zasady wyjątków
Tworzy wyjątek znanego zagrożenia. Dotyczy jedynie plików wykrytych jako znane zagrożenia bezpieczeństwa (takie jak programy typu adware lub spyware).
Dodaj plik do zasady wyjątków
Tworzy wyjątek dla wykrytego pliku, aby skanowania w poszukiwaniu wirusów i programów typu spyware nie wykrywały już tego pliku. Plik jest identyfikowany za pomocą ścieżki pliku.
Dodaj folder do zasady wyjątków
Tworzy wyjątek dla folderu, w którym znajdują się wykryte pliki. Dotyczy tylko skanowań w poszukiwaniu wirusów i programów typu spyware, nie dotyczy skanowań funkcji SONAR. Wyjątek nie powoduje automatycznego uwzględnienia podfolderów.
Dodaj rozszerzenie do zasady wyjątków
Tworzy wyjątek dla rozszerzenie wykrytego pliku. Jeśli na przykład wybrany plik ma rozszerzenie .doc, rozszerzenie DOC jest dodawane do listy rozszerzeń nie skanowanych przez skanowania w poszukiwaniu wirusów i programów typu spyware.
Ufaj domenie internetowej
Tworzy wyjątek zaufanej witryny internetowej stosowany do adresu URL, z którego został pobrany plik. Wyjątek dotyczy jedynie plików wykrytych przez funkcję Download Insight.
Zezwalaj na aplikację
Tworzy wyjątek aplikacji z działaniem Ignoruj. Plik jest identyfikowany za pomocą jego ciągu mieszania. Wyjątek dotyczy zarówno funkcji SONAR, jak i wszystkich skanowań w poszukiwaniu wirusów i programów typu spyware.
Blokuj aplikację
Tworzy wyjątek funkcji SONAR dla aplikacji z działaniem Poddaj kwarantannie. Plik jest identyfikowany za pomocą jego ciągu mieszania.
Usuń z obszaru kwarantanny
Nie tworzy wyjątku. Usuwa wybrany element z obszaru kwarantanny komputera klienckiego.
Rozpocznij analizę narzędzia Power Eraser
Umożliwia uruchomienie narzędzia Power Eraser na wybranych zagrożeniach. Program Symantec Endpoint Protection zaleca niekiedy uruchomienie narzędzia Power Eraser w odniesieniu do wykrytego zagrożenia.
Usuń zagrożenie wykryte przez narzędzie Power Eraser
Usuwa wybrane zagrożenia wykryte na komputerach klienckich przez narzędzie Power Eraser. To polecenie umożliwia ręczne usunięcie zagrożeń wykrytych przez narzędzie Power Eraser. Narzędzie Power Eraser nie usuwa zagrożeń w sposób automatyczny.
Przywróć zagrożenie usunięte przez narzędzie Power Eraser
Przywraca pliki wykryte przez narzędzie Power Eraser i usunięte wcześniej przez użytkownika lub innego administratora.
Ignoruj zagrożenie wykryte przez narzędzie Power Eraser
Potwierdza wybrane wykrycia. Tego polecenia należy użyć po przejrzeniu wybranych wykryć i podjęciu decyzji o ich pozostawieniu bez zmian.
Opcje podstawowe filtru szybkich raportów dotyczących zagrożeń
Opcja
Opis
Grupuj według
Określa element docelowy, o którym mają zostać wyświetlone informacje.
W przypadku raportu
Liczba wykryć zagrożeń
można na przykład grupować według
komputerów
.
W przypadku raportu
Nowe zagrożenia wykryte w sieci
można na przykład wybrać opcję
Grupa
lub
Nazwa użytkownika
.
W przypadku raportu
Zestawienie rozkładu zagrożeń
można na przykład wybrać opcję
Nazwa zagrożenia
lub
Źródło
.
Konfiguruj
. . .
Ta opcja jest dostępna tylko w przypadku
szczegółowego raportu dotyczącego zagrożeń
.
Szczegółowy raport dotyczący zagrożeń
zawiera domyślnie wszystkie raporty dotyczące rozkładu oraz informacje o nowych zagrożeniach. Aby ograniczyć dane zawarte w raporcie, można kliknąć tę opcję.
Oś X
Określa zmienną osi X na wykresie słupkowym 3D. Można na przykład wybrać opcję
Nazwa użytkownika
lub
Serwer
.
Wykres przedstawia pierwszych pięć wystąpień zmiennej osi. Jeśli jedną ze zmiennych jest komputer, a zainfekowanych komputerów jest mniej niż pięć, na wykresie mogą zostać wyświetlone niezainfekowane komputery.
Ta opcja jest dostępna tylko w przypadku raportu
Najważniejsze korelacje wykryć zagrożeń
.
Oś Y
Określa zmienną osi Y na wykresie słupkowym 3D. Można na przykład wybrać opcję
Domena
lub
Nazwa zagrożenia
.
Wykres przedstawia pierwszych pięć wystąpień zmiennej osi. Jeśli jedną ze zmiennych jest komputer, a zainfekowanych komputerów jest mniej niż pięć, na wykresie mogą zostać wyświetlone niezainfekowane komputery.
Ta opcja jest dostępna tylko w przypadku raportu
Najważniejsze korelacje wykryć zagrożeń
.
Ustawienia dodatkowe filtru szybkich raportów
Liczba powiadomień
i
Liczba powiadomień w czasie
Opcja
Opis
Stan potwierdzenia
Wyświetla przeczytane lub nieprzeczytane powiadomienia.
Typ powiadomienia
Określa typ powiadomienia, o którym mają zostać wyświetlone informacje. Można na przykład wybrać opcję
Zmiana listy klientów
lub
Nowy pakiet oprogramowania
.
Utworzony przez
Określa, że mają zostać wyświetlone powiadomienia, których filtry zostały utworzone przez danego użytkownika.
Nazwa powiadomienia
Określa nazwę określonego powiadomienia, o którym mają zostać wyświetlone informacje.
Można kliknąć opcję ..., aby wyświetlić listę wyboru znanych powiadomień. Można użyć symbolu wieloznacznego ? (znak zapytania), który zastępuje dowolny pojedynczy znak, i gwiazdki (*), która zastępuje dowolny ciąg znaków. Można również kliknąć kropki, aby wyświetlić listę powiadomień. Domyślnie uwzględniane są wszystkie utworzone powiadomienia.