Типы уведомлений и когда они отправляются

В
Symantec Endpoint Protection Manager
предусмотрены уведомления для администраторов. Большинство этих уведомлений можно настроить в соответствии с конкретными задачами. Например, можно добавить фильтры, чтобы условие по событию относилось только к определенным компьютерам. Также можно настроить запуск определенных действий при активации уведомлений.
При установке
Symantec Endpoint Protection Manager
некоторые из этих уведомлений включены по умолчанию. Включенные по умолчанию уведомления настроены для входа на сервер и отправки электронных сообщений системным администраторам.
Стандартные уведомления
Уведомление
Описание
Ошибка аутентификации
Настраиваемое число ошибок входа в систему за определенный период времени активирует уведомление об ошибках аутентификации. Число ошибок входа в систему и временной интервал, необходимые для активации уведомления, можно настроить.
Список клиентов изменен
Это уведомление активируется при изменении существующего списка клиентов. Это условие уведомления включено по умолчанию.
Возможны следующие изменения списка клиентов.
  • Добавление клиента
  • Изменение имени клиента
  • Удаление клиента
  • Изменение аппаратного обеспечения клиента
  • Изменение состояния неуправляемого детектора клиента
  • Изменение режима клиента
Предупреждение системы защиты клиента
Уведомление активируется одним из следующих событий безопасности.
  • События соответствия
  • События предупреждения последствий использования эксплойтов сети и хоста
  • События трафика
  • События пакетов
  • События управления устройством
  • События управления приложением
Можно настроить тип, серьезность и частоту событий, активирующих это уведомление.
Для применения некоторых из этих типов событий необходимо включить ведение журнала в соответствующей политике.
Если установить для периода уведомлений значение
Нет
, следует убедиться в том, что клиенты могут отправлять критические события немедленно. Параметр
Разрешить клиентам немедленно отправлять сведения о критических событиях
по умолчанию включен, причем его можно настроить в диалоговом окне
Параметры связи
.
Обнаружение Deception
Когда злоумышленник пытается открыть или изменить поддельные данные, инструменты Deception регистрируют событие. Уведомление отправляется, когда:
  • Злоумышленник обходит защиту клиента.
  • Злоумышленник получает информацию о клиентском компьютере.
  • Злоумышленник пытается использовать клиентский компьютер для дополнительных атак в корпоративной сети.
"Защита загрузки": содерж. устар.
Уведомление предупреждает администраторов об устаревшем содержимом компонента "Защита загрузки". Можно указать, когда определения запускают уведомление.
Обнаружение репутации файла - предупреждение
Уведомляет администраторов об отправке файла в Symantec для проверки репутации. Компоненты SONAR и Download Insight используют проверку репутации и автоматически отправляют файлы в Symantec.
По умолчанию уведомление
Обнаружение репутации файла
включено.
Обн. прил-е с принуд. запуском
Это уведомление активируется при обнаружении приложения из списка коммерческих приложений или из списка приложений, мониторинг которых ведет администратор.
Сигнатуры IPS устарели
Уведомление предупреждает администраторов об устаревших сигнатурах IPS. Можно указать, когда определения запускают уведомление.
Проблема с лицензией
Закончилась оплаченная лицензия
Уведомление предупреждает администраторов и (при необходимости) партнеров, что срок действия оплаченных лицензий уже истек или скоро истечет.
Это уведомление включено по умолчанию.
Превышение разрешенного числа рабочих мест
Уведомление предупреждает администраторов и (при необходимости) партнеров, что превышено разрешенное число рабочих мест для оплаченных лицензий.
Это уведомление включено по умолчанию.
Закончилась лицензия на пробное использование
Уведомление предупреждает администраторов, что срок действия лицензий на пробное использование уже истек или истечет в течение 60, 30 или 7 дней.
При наличии пробной лицензии это уведомление включено по умолчанию. Уведомление не включено по умолчанию, если это лицензия на обновление или оплаченная лицензия.
Обнаружение предупреждения последствий использования эксплойтов памяти
Это уведомление активируется при обнаружении новой атаки на уязвимости Windows.
Предупреждение о загрузке сети: запросы полных описаний вирусов и программ-шпионов
Уведомляет администраторов, когда слишком много клиентов запрашивают полные наборы описаний, а также о потенциальных проблемах с пропускной способностью сети.
Это уведомление включено по умолчанию.
Новое запомненное приложение
Уведомление запускается при обнаружении нового приложения.
Обнаруженные новые угрозы
Уведомление запускается при обнаружении новой угрозы во время сканирования на вирусы и программы-шпионы.
Если установить для периода уведомлений значение
Нет
, следует убедиться в том, что клиенты могут отправлять критические события немедленно. Параметр
Разрешить клиентам немедленно отправлять сведения о критических событиях
по умолчанию включен, причем его можно настроить в диалоговом окне
Параметры связи
.
Новый пакет программ
Уведомление запускается при загрузке нового пакета программ или при возникновении следующих событий.
  • Загрузка пакета клиента в LiveUpdate.
  • Обновление сервера управления.
  • Импорт пакетов клиента в консоли вручную.
  • В LiveUpdate доступны новые описания средств обеспечения безопасности или содержимое модуля.
Можно настроить отправку уведомления для новых описаний средств обеспечения безопасности, или новых пакетов клиента, или в обоих случаях.
Это уведомление включено по умолчанию.
Нов. разр. польз. загрузка
Уведомление запускается, когда на клиентском компьютере разрешается приложение, обнаруженное Download Insight. На основе этих сведений администратор может принимать решение о блокировании или разрешении приложения.
Рекомендуется использовать Power Eraser
Уведомляет администраторов о том, что заражение не удалось исправить во время обычного сканирования, и что может потребоваться использовать Power Eraser.
Это уведомление включено по умолчанию.
Эпидемия угроз
Уведомление предупреждает администраторов об эпидемиях угроз безопасности. Необходимо указать количество и тип обнаруженных экземпляров новых угроз, а также период времени для активации уведомления. Допустимые типы: экземпляры на любом компьютере, экземпляры на одном компьютере и экземпляры на отдельных компьютерах.
Это условие уведомления включено по умолчанию.
Если установить для периода уведомлений значение
Нет
, следует убедиться в том, что клиенты могут отправлять критические события немедленно. Параметр
Разрешить клиентам немедленно отправлять сведения о критических событиях
по умолчанию включен, причем его можно настроить в диалоговом окне
Параметры связи
.
Состояние сервера
Проблемы в состоянии сервера приводят к запуску уведомления. В уведомлении указывается имя сервера, его состояние, причина и последнее состояние подключения или отключения.
Это уведомление включено по умолчанию.
Событие отдельной угрозы
Уведомление активируется обнаружением события отдельной угрозы и содержит сведения о ней, включая информацию о компьютере, пользователе и действиях, запущенных на сервере управления.
Если установить для периода уведомлений значение
Нет
, следует убедиться в том, что клиенты могут отправлять критические события немедленно. Параметр
Разрешить клиентам немедленно отправлять сведения о критических событиях
по умолчанию включен, причем его можно настроить в диалоговом окне
Параметры связи
.
Описания SONAR устарели
Это уведомление предупреждает администраторов об устаревших описаниях SONAR. Можно указать, когда определения запускают уведомление.
Системное событие
Уведомление запускается определенными событиями системы и содержит количество обнаруженных событий этого типа. К системным событиям относятся операции на сервере управления, ошибки репликации, резервного копирования и системные ошибки.
Неуправляемые компьютеры
Уведомление активируется, когда сервер управления обнаруживает неуправляемые компьютеры в сети. Уведомление содержит сведения об IP-адресе, MAC-адресе и операционной системе каждого из неуправляемых компьютеров.
Закончилась лицензия на обновление
Для обновления предыдущих версий
Symantec Endpoint Protection Manager
до текущей версии необходима лицензия на обновление. Уведомление активируется истечением срока действия лицензии на обновление.
Это уведомление отображается только после обновления.
Описания вирусов устарели
Уведомление предупреждает администраторов об устаревших описаниях вирусов. Можно указать, когда определения запускают уведомление.
Это уведомление включено по умолчанию.