Symantec Definitions

[yukho 0]

Здравствуйте!

В ходе эксплуатации Symantec Endpoint Protection 11.0.2000 MR2 хотелось бы поинтересоваться...

Синопсис: в тестовой зоне развётнут вышеуказанный продукт, вроде бы работает более-менее удовлетворительно, НО существуют угрозы (вирусы) которые не обнаруживаются данной программой! На ряде клиентов снимали жесткий диск и проверяли сторонним антивирусом (Касперский) - находил около десятка угроз. Данные угрозы посредством данной формы: https://submit.symantec.com/websubmit/gold.cgi были отправлены в Symantec. В итоге сигнатуры были добавлены в Latest Daily Certified version и Latest Rapid Release version, но судя по дате обнаружения - эти угрозы известные, некоторые из них: (http://www.symantec.com/security_response/writeup.jsp?docid=2004-021914-2822-99 , http://www.symantec.com/security_response/...-021914-2822-99 , http://www.symantec.com/security_response/...-101518-4323-99 ) Собственно, вопрос, почему данные сигнатуры не содержались ранее? Хотелось бы поподробнее узнать о "types of virus definitions" в Symantec...

Спасибо

[Иван 290]

наверное версия старого зверя, которую симантек не знал

докрутили сигнатуру - и теперь знает

[Кирилл Керценбаум 671]

Собственно, вопрос, почему данные сигнатуры не содержались ранее?

Собственно ответ такой: за 2007 года Symantec Security Response обнарудил примерно около 600 000 новых образцов вредоносного кода. Представляете, если бы все эти образцы были бы добавлены в базу, какого размера бы она стала. Соответственно каждая уникальная сигнатура, со своим собственным именем - это увеличение размера базы обновления. Поэтому, чем более глубокий корреляционный подход к формированию описаний вирусов применяется, тем меньше база, тем меньше памяти и дискового пространства занимает антивирус в процессе своей работы. В данном случае мы говорим именно об этом; если Вы обратите внимание на список изменений к базам (Изменения), то заметите, что добавляется очень мало новых сигнатур, однако огромное количество сигнатур модифицируется, совершенствуется, делается более интеллектуальными.

Хотелось бы поподробнее узнать о "types of virus definitions" в Symantec

Обновления Антивирусных баз

Multiple Daily Updates - полностью протестированные и сертифицированные обновления, выходящие каждые 6-10 часов 7 дней в неделю. Доступны только для продуктов Symantec Endpoint Protection 11 и Norton 2008 через LiveUpdate.

Daily Updates - полностью протестированные и сертифицированные обновления, выходящие каждые 20-28 часов 7 дней в неделю. Доступны для всех продуктов, кроме Norton 2005 и ниже, через LiveUpdate или через Intelligent Updater.

Weekly Updates - полностью протестированные и сертифицированные обновления, выходящие каждые 7 дней. Доступны для всех продуктов через LiveUpdate или через Intelligent Updater.

Rapid Release - ограниченно протестированные и сертифицированные обновления, выходящие каждые 30-60 минут. Доступны для всех продуктов кроме SEP/SAV CE/ SCS через LiveUpdate или для всех продуктов через ftp сервер. Для снижение вероятности ложных срабатываний рекомендуется использовать только для серверных и шлюзовых продуктов.

Обновления IPS сигнатур - выходят 1-7 раз в неделю.

Обновления баз Коммерческих приложений - выходят 2-5 раз в неделю.

Обновления баз Известных приложений - выходят 2-5 раз в неделю.

[yukho 0]

Огромное спасибо за разъяснения.

И ещё, имеются продукты Symantec Mail Security for Microsoft Exchange 6.0 и Symantec Endpoint Protection 11.0.2, имеется ли возможность сделать так, чтобы обновлялись эти продукты из одного (локального) места - не по отдельности из Интернета - по-видимому, нужно использовать LiveUpdate Administrator, но пока не было возможности разобраться, может кто опробовал данную схему, заранее благодарю?!

[Кирилл Керценбаум 671]

нужно использовать LiveUpdate Administrator

Именно так все и делается. Последняя версия LUA содержится на 2 диске SEP (если это русская версия дистрибутива, то LUA и документация к нему также на русском языке). Единственно, в вашем случае не получится экономить трафик, так как обновления для SEP и SMS доступны как уже указывалось в разные интервалы времени, SEP - каждые 8 часов, SMS - раз в день. Но если настроить клиентов также обновляться с данного сервера, если они по какой-то причине могут обновиться с SEPM, то тогда экономия может и быть.

[yukho 0]

...Наконец, попробовал настроить LiveUpdate Administrator. В итоге, сервис загружает и публикует все необходимые обновления, SEPM успешно загружает с него контент (сервер обновлений конфигурировал в настройках SEPM), а вот серверы с SMS ни в какую не обновляются с внешнего сервера. Действовал так - создал в LUA файл конфигурации и подсунул его в директорию LiveUpdate на серверах SMS. Файл переименовывал по-разному (и 1.Settings.Hosts.LiveUpdate, и Settings.Default.LiveUpdate...). Кто-нибудь конфигурировал подобную схему?

[Кирилл Керценбаум 671]

yukho а какой SMS? 6 для Exchange? Зачем так усложнять, ведь в продуктах Symantec в GUI можно выбрать использование альтернативного источника обновлений?

[2600 64]

Почему бы Symantec не выкладывать обновления отдельным файликом для Proactive Threat Protection и Network Threat Protection, точно так же как для virus definitions. Что бы была комплексная защита точек, в которых, в данный момент даже интернета нет.

[Кирилл Керценбаум 671]

Почему бы Symantec не выкладывать обновления отдельным файликом для Proactive Threat Protection и Network Threat Protection, точно так же как для virus definitions. Что бы была комплексная защита точек, в которых, в данный момент даже интернета нет.

Для Проактивной защиты эти обновления будут доступны для скачивания в ближайшем будущем, что касается IPS сигнатур - то это вряд ли, тем более что на компьютерах без Интернета они не настолько важны, как на тех что к Интернету доступ имеют. Также не стоит забывать, что все клиенты могут обновляться через SEPM, так что достаточно чтобы у него был доступ к Интернету

[yukho 0]

yukho а какой SMS? 6 для Exchange? Зачем так усложнять, ведь в продуктах Symantec в GUI можно выбрать использование альтернативного источника обновлений?

Кирилл, да 6-ой, но что-то не могу найти в консоли где можно изменить сервер загрузки обновлений...Вообще, вероятно, надо поменять настройки в <System folder>\Documents and Settings\All Users\Application Data\Symantec\LiveUpdate\Settings.LiveUpdate - один сервер таким образом получилось настроить, пока тестирую.

И ещё, как Вы уже писали, сигнатуры для SMS выпускаются раз в день, тоесть расписание нужно настраивать на раз в 12 часов? Вообще, где-нибудь есть информация по рекомендуемым настройкам интервалов обновления продуктов Symantec?

[Кирилл Керценбаум 671]

Кирилл, да 6-ой, но что-то не могу найти в консоли где можно изменить сервер загрузки обновлений...Вообще, вероятно, надо поменять настройки в <System folder>\Documents and Settings\All Users\Application Data\Symantec\LiveUpdate\Settings.LiveUpdate - один сервер таким образом получилось настроить, пока тестирую.

К сожалению в SMS 6.0 эти настройки из интерефейса недоступны, схему изменения сервера для обновлений для него я уточню.

И ещё, как Вы уже писали, сигнатуры для SMS выпускаются раз в день, тоесть расписание нужно настраивать на раз в 12 часов? Вообще, где-нибудь есть информация по рекомендуемым настройкам интервалов обновления продуктов Symantec?

Да, если Вы не активировали режим RapidRelease, то обновления выходят не реже чем один раз в 24 часа, но может быть и чаще. 12 часов это нормальный интервал. Через LUA можно настроить только стандартные обновления, RapidRelease работает только напрямую.