30 ответов в этой теме

[Zergiuz]

Можно надежно посмотреть в логе dwnetfilter. Он же C:\ProgramData\Doctor Web\Logs\netfilter.log со станции.

Открываю лог, весит он 5,5 мб, начало лога в 27/09/2024 07:18:03 и заканчивается в 27/09/2024 09:17:04 если открыть чем то типа ворда, то это 1819 страниц, т.е. посмотреть что творилось например вчера практически невозможно в этом логе. Типа угрозу позавчерашнюю как мне посмотреть с детальной информацией? Делать логи по 100-200 Гб не вариант, а вот именно инцидент не плохо бы логировать.

[Afalin]

Сам по себе факт обращения к такому ресурсу не является проблемой.

Но в разделе угрозы это спамится по полной программе.

Ага, что тоже не есть правильно.
В моём понимании, в "Угрозах" должны быть детекты угроз, а не невесть что.

И хорошо, что не видите.

Возможность включить оповещение можно и сделать, у разных организаций разные контуры безопасности. Я использую ФСТЭК версию Сервера Dr.Web 13.00.1

Можно, но не нужно.
Нужно этот класс детектов отделить от угроз. И вот там уже можно много чего полезного сделать.
А то, что имеем сейчас, жизнеспособным быть не может.

[Zergiuz]

А то, что имеем сейчас, жизнеспособным быть не может.

именно так

[B.Chugunov]

Открываю лог, весит он 5,5 мб, начало лога в 27/09/2024 07:18:03 и заканчивается в 27/09/2024 09:17:04 если открыть чем то типа ворда, то это 1819 страниц, т.е. посмотреть что творилось например вчера практически невозможно в этом логе. Типа угрозу позавчерашнюю как мне посмотреть с детальной информацией? Делать логи по 100-200 Гб не вариант, а вот именно инцидент не плохо бы логировать.

Notepad++ прекрасно справляется с открытием и гигабайтных логов. Ворд даже не нужно пытаться использовать для таких целей. 
За вчера у Вас уже все отротировалось и это вполне нормальная ситуация. Лог не вечен к сожалению. Хотя бывает netfilter показывает события за сутки - двое, но редко. Напрямую зависит от интенсивности сетевой активности. Если лог станет вечным, не вечным станет диск.  Поэтому лог ротируется. Искать в нем срабатывания, которые были несколько дней назад, конечно уже не имеет смысла. 
С другой стороны чаще всего они цикличны. В таком случае достаточно дождаться следующего срабатывания и открыть лог. 
Попробуйте заглянуть в системные журналы - журнал приложений и служб - Doctor Web и поискать там события вида "URL blocked". Там будет и имя процесса, и заблокированный URL, и сетевой адрес. Системный журнал побольше вмещает. 

Касательно почтовых оповещений о таких угрозах - это вам точно не нужно, поверьте=) По крайней мере в текущей реализации данных событий. Юзер сходит на какой-нибудь не очень популярный новостной портал и положит Вам почту=)   

[Zergiuz]

Notepad++ прекрасно справляется с открытием и гигабайтных логов.

Этим и пользуюсь, я привёл пример для понимания сколько всего в логе что сохранён и больше в себя не вмещает, по времени это пара часов, реально мало, поэтому и нужно инцидент писать в отдельный лог.

[Zergiuz]

положит Вам почту=)

Вряд ли положит, есть фильтры и всё такое, бывают ситуации когда надо оповещать, да собственно если задумать сделать нормальное оповещение то его можно сделать нормальным, а не тупым. Лично в моём контуре безопасности это не так строго, но иногда есть бумажные приказы туда нельзя и сюда нельзя, но строить стену тоже либо не выгодно, либо не надо из-за каких то других проблем, и тут вот кто то вылезает и раз лезет туда где ему по рукам, то найдёт где пролезет, а мониторить постоянно сервер на предмет угроз ... бред.

[Zergiuz]

За вчера у Вас уже все отротировалось и это вполне нормальная ситуация.

Упс, сразу не сказал что комп с которого лог не выключается, реально лог за последние 2 часа.

[basid]

Обращение к сторонним ресурсам контролируете не вы, а владелец сайта.

Следовательно, вместо "пользователь зашёл" получается "бразуер обработал контент". Т.е. пользователь зашёл "куда можно", а браузер - "куда послали".

Ну и при чём тут пользователь и его личные навыки и паранойи?

И зачем вам знать сколько раз был заблокирован "известный источник вирусов"? В отчёт включить?

[Zergiuz]

И зачем вам знать сколько раз был заблокирован "известный источник вирусов"? В отчёт включить?

Из крайности в крайность, либо ничего мне знать не надо, либо в угрозах висит всё это. Однако по идее это должно просто блокироваться, и всё же мало ли куда мне надо, а это блокируется, при желании я должен разобраться почему, т.е. определённый лог с инцидентами это класса.

Сообщение было изменено Zergiuz: 30 Сентябрь 2024 - 08:53

[B.Chugunov]

Упс, сразу не сказал что комп с которого лог не выключается, реально лог за последние 2 часа.

Вы как то выборочно читаете или понимаете. Никто не говорил, что это прямо зависит от выключения компьютера. Даже прямо было сказано "Напрямую зависит от интенсивности сетевой активности". 
Вы же не можете предсказать сколько и каких запросов может слать софт. В том логе может быть и за 10 минут событий всего. И если писать в этих условиях лог хотя бы за сутки, то диск кончится быстрее. 

btw, в ивент лог системный в итоге посмотрели или о чем мы тут продолжаем беседу?

[Zergiuz]

btw, в ивент лог системный в итоге посмотрели или о чем мы тут продолжаем беседу?

Попробуйте заглянуть в системные журналы - журнал приложений и служб - Doctor Web и поискать там события вида "URL blocked". Там будет и имя процесса, и заблокированный URL, и сетевой адрес. Системный журнал побольше вмещает.

Да, там всё есть, фильтрами смотрится достаточно легко. Это документировано в программе dr.web? По логам это в принципе всё что я хотел, именно инцидент пишется в системный лог, осталось только убрать эту заразу из угроз и вынести в отдельный вид отчёта (статистики).