Журналы и быстрые отчеты об угрозах

Журналы и отчеты об угрозах предоставляют информацию о событиях, связанных с угрозами для серверов и их клиентов. Доступная информация включает время события, фактическое действие события, имя пользователя, компьютер, имя/источник угрозы, количество и путь к файлу.
Во время некоторых действий по сканированию в журналах и отчетах могут появляться рекомендации запустить Power Eraser для определенных обнаружений. В некоторых журналах и отчетах, чтобы просмотреть эти рекомендации, можно выполнить фильтрацию по признаку
Выполненное действие
.
Обнаружения Power Eraser не отображаются в отчетах об угрозах. Power Eraser выполняет агрессивное сканирование и помечает потенциальные угрозы. Поскольку результаты сканирования могут превосходить фактическое количество обнаружений, они не включаются в отчеты. Тем не менее такие обнаружения отображаются в журналах. Благодаря этому администратор может предпринять действия по устранению потенциальных угроз.
Действия — описание параметров в журналах угроз.
В таблице Основные параметры фильтра для быстрых отчетов об угрозах описаны параметры фильтра для некоторых быстрых отчетов.
В следующей таблице приводятся настройки фильтра "Дополнительные параметры" для журналов и быстрых отчетов.
Настройки фильтра Дополнительные параметры для представлений быстрых отчетов и журналов угроз
Параметр
Описание
Предпринятое действие
Предпринятое действие, для которого требуется просмотреть информацию.
Выберите один из следующих вариантов.
  • Все
  • Доступ запрещен
    Показать события, в которых автоматическая защита
    Symantec Endpoint Protection
    предотвратила создание файла.
  • Действие недопустимо
    Показать события, в которых было предпринято недопустимое действие. Эти угрозы могут все еще присутствовать на компьютере.
  • Ни одно действие не выполнено
    Показать события, в которых по каким-либо причинам не было выполнено ни основное, ни резервное действие, настроенное для угрозы.
  • Поврежден
    Просмотрите события, в которых ошибка модуля сканирования ядра произошла по неизвестной причине. Эти угрозы могут все еще присутствовать на компьютере.
  • Исправлены
    Показать события, в которых вирус был обезврежен на компьютере.
  • Исправлено путем удаления
    Показать события, в которых было выполнено действие "Исправлено", но файл был удален, так как не было другого способа исправления. Например, такое действие обычно необходимо для троянских программ.
  • Исправлено или избавлено от макросов
    Показать события, в которых макровирус из файла был обезврежен путем удаления или другим способом. Это действие применимо только для событий, полученных с компьютеров, на которых работает Symantec AntiVirus версии 8.x или более ранней.
  • Удален или убран
    Показать события, в которых для устранения угрозы был удален объект, такой как файл или ключ реестра.
  • Исключено
    Показать события, в которых пользователи исключили обнаружение угрозы безопасности. Например, это действие может иметь место, когда пользователю предлагается завершить процесс.
  • Не исправлено
    События, для которых угроза не была исправлена. Это действие может возникнуть, если первое настроенное действие — "Не исправлять". Также оно возможно, если
    Не исправлять
    — второе настроенное действие, а первое не было выполнено. При этом угроза может оставаться активной на компьютере.
  • Исправление невозможно
    События, в которых обнаружена угроза, но было невозможно исправить все побочные эффекты угрозы.
  • Исправление невозможно — для исправления рекомендуется использовать Power Eraser
    Показать события, для которых при сканировании не удалось исправить побочные эффекты некоторых обнаружений. На компьютерах с такими событиями следует запустить Power Eraser. После обнаружения угрозы с помощью Power Eraser необходимо запустить исправление вручную.
  • Частично исправлено
    Показать события, в которых
    Symantec Endpoint Protection
    не удалось полностью исправить побочные эффекты вируса или угрозы безопасности.
  • "Ожидает исправления" или "Ожидает действия администратора"
    Показать события, для которых для полного устранения угрозы на компьютере требуется дополнительное действие пользователя или администратора. Например, действие
    Ожидает исправления
    может отображаться, если пользователь не ответил на предложение завершить процесс. Сообщение
    Ожидает действия администратора
    отображается, если приложению Power Eraser требуется, чтобы администратор выполнил определенные действия из журналов в консоли.
  • Процесс прерван
    Показать события, в которых для устранения угрозы был прерван процесс на компьютере.
  • Ожидание завершения процесса для перезапуска
    Показать события, в которых для устранения угрозы и завершения процесса необходимо перезагрузить компьютер.
  • Помещен в карантин
    Показать события, в которых продукт
    Symantec Endpoint Protection
    поместил в карантин вирус или угрозу безопасности.
  • Восстановленный
    Показать события Power Eraser, которые администратор удалил, но затем решил восстановить.
  • Подозрительных
    Показать события, в которых с помощью сканирования SONAR потенциальная угроза была обнаружена, но не обезврежена, поскольку это невозможно или в параметрах задана только запись обнаружений.
  • Угроза заблокирована — для исправления рекомендуется использовать Power Eraser
    Показать события, в которых сканирование обнаружило и заблокировало угрозу, но не удалило и не исправило никакие файлы. На компьютерах с такими событиями следует запустить Power Eraser. После обнаружения угрозы с помощью Power Eraser необходимо запустить исправление вручную.
  • Требуется перезапуск — помещено в карантин
    Показать события, требующие перезапуска после того, как функция сканирования поместит угрозы в карантин.
  • Требуется перезапуск - Очищено
    Показать события, требующие перезапуска клиентского компьютера после очистки угроз при выполнении сканирования.
  • Не исправлен администратором
    Показать события Power Eraser, которые администратор просмотрел, но решил не исправлять и оставить без изменения. Обратите внимание, что это действие события не отправляется клиенту. В соответствующем событии в представлении журнала клиента на клиентском компьютере действие события по-прежнему будет отображаться с состоянием "Ожидает анализа".
Тип сканирования
Тип сканирования, информацию о котором необходимо просмотреть. Например, можно выбрать вариант
Плановое сканирование
,
Консоль
или
Сканирование при простое
.
Плановое сканирование
включает в себя все типа планового сканирования:
Активное сканирование
,
Полное сканирование
или
Выборочное сканирование
.
Тип угрозы
Тип угрозы, информацию о которой необходимо просмотреть. Например, можно выбрать вариант
Вредоносные программы
,
Файл Cookie
или
Удаленный доступ
.
  • Тип события
  • Домен
  • Группа
  • Сервер
  • Компьютер
  • IP-адрес
  • Пользователь
  • Операционная система
Имя угрозы
Если вы знаете название угрозы, используйте этот параметр.
Символами подстановки могут быть вопросительный знак (?), соответствующий любому символу, и звездочка (*), соответствующая любой строке. Можно указывать несколько записей через запятую.
Приложение
Имена приложений, информацию о которых необходимо просмотреть.
Символами подстановки могут быть вопросительный знак (?), соответствующий любому символу, и звездочка (*), соответствующая любой строке. Можно указывать несколько записей через запятую.
В следующей таблице приводятся исключения, которые можно добавить в политику исключений из журнала угроз. Выберите исключение и нажмите
Применить
.
Действия
Параметр
Описание
Добавить угрозу в политику исключений
Создает исключение для известной угрозы. Применяется только к файлам, которые обнаруживаются как угрозы безопасности (например, программы показа рекламы и программы-шпионы), которые являются известными угрозами безопасности.
Добавить файл в политику исключений
Создает исключение для обнаруженного файла, после чего файл больше не обнаруживается при сканировании на наличие вирусов и программ-шпионов. Файл идентифицируется по пути к файлу.
Добавить папку в политику исключений
Создает исключение для папки, в которой находятся обнаруженные файлы. Применяется только к сканированию на наличие вирусов и программ-шпионов и не применяется к сканированию SONAR. Подпапки не включаются в исключение автоматически.
Добавить расширение в политику исключений
Создает исключение для расширения обнаруженного файла. Например, если выбранный файл имеет расширение .doc, то DOC добавляется в список расширений, которые не проверяются при сканировании на наличие вирусов и программ-шпионов.
Доверенный веб-домен
Создает исключение надежного веб-домена, которое применяется к URL-адресу, с которого был загружен файл. Исключение применяется только к файлам, которые обнаруживаются Download Insight.
Разрешить приложение
Создает исключение приложения с действием "Игнорировать". Файл идентифицируется по его хэшу. Исключение применяется как к SONAR, так и к любым видам сканирования на наличие вирусов и программ-шпионов.
Заблокировать приложение
Создает исключение приложения для SONAR с действием "Поместить в карантин". Файл идентифицируется по его хэшу.
Удалить из карантина
Не создает исключение. Удаляет выбранный элемент из карантина клиентских компьютеров.
Запустить анализ Power Eraser
Запускает Power Eraser для выбранных угроз. Иногда Symantec Endpoint Protection рекомендует запускать Power Eraser для обнаруженных угроз.
Удалить угрозу, обнаруженную с помощью Power Eraser
Удаляет выбранные угрозы, обнаруженные на клиентских компьютерах с помощью Power Eraser. Эта команда служит для ручного удаления угроз, обнаруженных с помощью Power Eraser. Power Eraser не удаляет эти угрозы автоматически.
Восстановить угрозу, удаленную Power Eraser
Восстанавливает файлы, обнаруженные Power Eraser и удаленные вами или другим администратором.
Игнорировать угрозу, обнаруженную с помощью Power Eraser
Подтверждает выбранные обнаружения. Эту команду следует использовать после изучения выбранных обнаружений и принятия решения о том, что их необходимо оставить без изменений.
Основные параметры фильтра для быстрых отчетов об угрозах
Параметр
Описание
Группировать по
Целевой объект, для которого требуется просмотреть информацию.
Например, для отчета
Количество обнаруженных угроз
можно сгруппировать данные по
компьютерам
.
Например, для отчета
Новые угрозы, найденные в сети
можно выбрать вариант
Группа
или
Имя пользователя
.
Например, для отчета
Сводка распределения угроз
можно выбрать вариант
Имя угрозы
или
Источник
.
Настроить
. . .
Этот параметр доступен только для
Комплексного отчета об угрозах
.
По умолчанию
Комплексный отчет об угрозах
включает в себя все отчеты о распределении угроз и о новых угрозах. Эта кнопка позволяет ограничить объем данных в отчете.
Ось X
Переменная, которая будет использоваться для оси X на трехмерной столбиковой диаграмме. Например, можно выбрать вариант
Имя пользователя
или
Сервер
.
На графике показаны пять чаще всего встречающихся значений этой переменной. Если в качестве переменной выбран компьютер, и заражено менее пяти компьютеров, то на диаграмме могут быть показаны и незараженные компьютеры.
Эта возможность доступна только для отчета
Соотношение самых частых угроз
.
Ось Y
Переменная, которая будет использоваться для оси Y на трехмерной столбиковой диаграмме. Например, можно выбрать вариант
Домен
или
Имя угрозы
.
На графике показаны пять чаще всего встречающихся значений этой переменной. Если в качестве переменной выбран компьютер, и заражено менее пяти компьютеров, то на диаграмме могут быть показаны и незараженные компьютеры.
Эта возможность доступна только для отчета
Соотношение самых частых угроз
.
Дополнительные параметры фильтра для быстрых отчетов
Число уведомлений
и
Число уведомлений по времени
.
Параметр
Описание
Состояние подтверждения
Отображает прочитанные или непрочитанные уведомления.
Тип уведомления
Тип уведомления, информацию о котором необходимо просмотреть. Например, можно выбрать вариант
Изменение списка клиентов
или
Новый пакет программ
.
Cоздан
Позволяет просмотреть уведомления с фильтрами, созданными указанным пользователем.
Имя уведомления
Имена уведомления, информацию о котором необходимо просмотреть.
Вариант . . . можно выбрать в списке известных уведомлений. Символами подстановки могут быть вопросительный знак (?), соответствующий любому символу, и звездочка (*), соответствующая любой строке. Щелкнув многоточие, можно выбрать уведомление в списке. По умолчанию включаются все созданные уведомления.