2
Kontrolle Richtlinien eTrust Antivirus r8.1
Hallo,
bei der Kontrolle vorher eingestellter Richtlinien in der ITM-Konsole des Antivirus r8.1 ist mir einiges unklar.
Im Richtlinien-Management der Konsole, im Bereich der Alert-Weiterleitung, sind 2 Richtlinien eingestellt.
- die 1. Richtlinie betrifft die Clients im Netzwerk
- die 2. Richtlinie betrifft den ITM-Server selbst
Die 1. Richtlinie für die Clients definiert, dass Berichte an den Lokalen Manager, Ereignisprotokoll und den ITM-Server gesendet werden.
Im Bereich Alert-Filter ist eingestellt, dass Alerts in den Modulen Shell-Scanner, Echtzeitserver und Malware-Erkennungsbericht (alles nur auf der Ebene "Kritisch") gesendet und empfangen werden. Modul Jobserver ist ausgelassen.
Diese Richtlinie ist in der Organisation dem Zweig mit den Clients zugewiesen.
So weit so klar.
In der Organisation sind als Zweige definiert die Clients, der Redistributor (Client als Verteilserver) und der ITM-Server.
Die 2. Richtlinie betrifft den ITM-Server. Sie definiert, dass Alerts an den ITM-Server selbst weitergeleitet werden.
Allerdings in abgespecktem Umfang verglichen mit der Richtlinie für die Clients, nämlich nur innerhalb des Moduls
Malware-Erkennungsbericht.
Diese Richtlinie ist keinem Zweig zugewiesen.
Soll das so sein?
mfg
- die 1. Richtlinie betrifft die Clients im Netzwerk
- die 2. Richtlinie betrifft den ITM-Server selbst
Die 1. Richtlinie für die Clients definiert, dass Berichte an den Lokalen Manager, Ereignisprotokoll und den ITM-Server gesendet werden.
Im Bereich Alert-Filter ist eingestellt, dass Alerts in den Modulen Shell-Scanner, Echtzeitserver und Malware-Erkennungsbericht (alles nur auf der Ebene "Kritisch") gesendet und empfangen werden. Modul Jobserver ist ausgelassen.
Diese Richtlinie ist in der Organisation dem Zweig mit den Clients zugewiesen.
So weit so klar.
In der Organisation sind als Zweige definiert die Clients, der Redistributor (Client als Verteilserver) und der ITM-Server.
Die 2. Richtlinie betrifft den ITM-Server. Sie definiert, dass Alerts an den ITM-Server selbst weitergeleitet werden.
Allerdings in abgespecktem Umfang verglichen mit der Richtlinie für die Clients, nämlich nur innerhalb des Moduls
Malware-Erkennungsbericht.
Diese Richtlinie ist keinem Zweig zugewiesen.
Soll das so sein?
mfg
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 119498
Url: https://administrator.de/contentid/119498
Printed on: April 25, 2024 at 16:04 o'clock
2 Comments
Latest comment
Ich meine darauf nun eine Antwort gefunden zu haben, in diesem Paper:
http://supportconnect.ca.com/sc/kb/techdetail.jsp?searchID=TEC432014&am ...
-->
Assign the "Server Alert" policy to the branch containing ITM Server.
Note: The reason, why we have two alert policies, one for the server and one for the client is that, the Alert Manager is installed only on the ITM server and does not get installed with all the agents. Hence it would be appropriate for the agents to forward their events to the Alert Manager on the Admin server. The Admin server forwards the events to the Alert Manager which is local to the machine.
http://supportconnect.ca.com/sc/kb/techdetail.jsp?searchID=TEC432014&am ...
-->
Assign the "Server Alert" policy to the branch containing ITM Server.
Note: The reason, why we have two alert policies, one for the server and one for the client is that, the Alert Manager is installed only on the ITM server and does not get installed with all the agents. Hence it would be appropriate for the agents to forward their events to the Alert Manager on the Admin server. The Admin server forwards the events to the Alert Manager which is local to the machine.
Das Handbuch empfiehlt zusätzlich im Bereich "Alert-Weiterleitung" des Richtlinien-Managements eine Richtlinie zu erstellen, um Echtzeitschutz-Alerts zur effizienteren Verarbeitung an den Alert-Manager zu senden.
Mit "Echtzeitschutz-Alerts" sind wohl die Alerts innerhalb des Moduls Echtzeitserver gemeint, wie z.B. Meldungen wie: "Eine nicht autorisierte Anwendung %s wurde an der Ausführung gehindert. Rechner: %s, Benutzer: %s."
Der Hintergrund für diese Richtlinie im Bereich "Alert-Weiterleitung" soll sein, dass Clients standardmäßig eine Benachrichtigung erhalten, wenn über den Echtzeitschutz eine Bedrohung erkannt wurde - auch wenn nur einer der Clients den Alert ausgelöst hat.
->
Wie soll man sich das vorstellen? Hat jemand Erfahrung damit? Wenn ein Rechner einen Alert auslöst, wird diese Meldung auf allen im Netzwerk vorhandenen Clients in Echtzeit eingeblendet?
Momentan ist im Richtlinien-Management bei Anwendung "eTrust Antivirus" und Typ "Echtzeit" in dessen untergeordneter Registerkarte "Erweitert" die Option
- Meldungen in Echtzeit einblenden
aktiviert.
Was heissen würde, alle Clients bekommen die Meldung eines einzelnen Clients eingeblendet?
Mit der oben genannten Richtlinie im Bereich "Alert-Weiterleitung" (die Echtzeit-Alerts an den Alert-Manager weiterleitet) soll man anschließend
diese Option, "Meldungen in Echtzeit einblenden", deaktivieren können.
Ist dies empfehlenswert?
Mit "Echtzeitschutz-Alerts" sind wohl die Alerts innerhalb des Moduls Echtzeitserver gemeint, wie z.B. Meldungen wie: "Eine nicht autorisierte Anwendung %s wurde an der Ausführung gehindert. Rechner: %s, Benutzer: %s."
Der Hintergrund für diese Richtlinie im Bereich "Alert-Weiterleitung" soll sein, dass Clients standardmäßig eine Benachrichtigung erhalten, wenn über den Echtzeitschutz eine Bedrohung erkannt wurde - auch wenn nur einer der Clients den Alert ausgelöst hat.
->
Wie soll man sich das vorstellen? Hat jemand Erfahrung damit? Wenn ein Rechner einen Alert auslöst, wird diese Meldung auf allen im Netzwerk vorhandenen Clients in Echtzeit eingeblendet?
Momentan ist im Richtlinien-Management bei Anwendung "eTrust Antivirus" und Typ "Echtzeit" in dessen untergeordneter Registerkarte "Erweitert" die Option
- Meldungen in Echtzeit einblenden
aktiviert.
Was heissen würde, alle Clients bekommen die Meldung eines einzelnen Clients eingeblendet?
Mit der oben genannten Richtlinie im Bereich "Alert-Weiterleitung" (die Echtzeit-Alerts an den Alert-Manager weiterleitet) soll man anschließend
diese Option, "Meldungen in Echtzeit einblenden", deaktivieren können.
Ist dies empfehlenswert?
