Журналы управления клиентом: журнал безопасности

В журнале безопасности сохраняются сведения о подозрительных операциях, таких как сканирование портов, вирусные атаки и атаки типа "отказ в обслуживании". Журнал безопасности - это самый важный журнал клиента.

В журнале безопасности можно выполнить следующие задачи.

Просмотреть события, связанные с безопасностью.
Удалить все записи журнала.
Экспортировать данные журнала в текстовый файл, разделенный символами табуляции, который можно использовать в других приложениях.
Сменить локальное представление на исходное и наоборот. Для просмотра исходных и целевых портов и хостов выберите пункт Исходный вид в меню Вид.
Отфильтровать записи по времени их создания или уровню серьезности.
Определить источник пакетов данных, применявшихся для атаки, проследив их обратный маршрут. Обратите внимание, что не все записи поддерживают обратное прослеживание.
Запретить клиенту блокировать атаки с других компьютеров.

Табл.: Столбцы журнала безопасности

Столбец	Описание
Дата и время	Дата и время регистрации события в журнале.
Тип события	Тип предупреждения системы безопасности, например атака типа "отказ в обслуживании", исполняемый файл или вирусная атака.
Серьезность	Уровень серьезности атаки. Предусмотрены следующие варианты. Критический Существенный Несущественный Информация
Направление	Направление передачи трафика относительно компьютера клиента. Входящий Большинство атак находятся во входящем трафике, так как они запускаются с другого компьютера. Исходящий Такие атаки, как троянские компоненты, считаются исходящими, так как они предварительно загружаются на локальный компьютер и уже присутствуют. Неизвестный Трафик, блокированный или удаленный функцией активного ответа или в результате изменения исполняемого файла приложения.
Протокол	Тип протокола. Например, UDP, TCP или ICMP.
Удаленный или исходный хост	Хост в текущем виде. Могут быть показаны следующие поля. Удаленный хост (локальный вид) IP-адрес удаленного компьютера. Исходный хост (исходный вид) IP-адрес исходного компьютера.
Удаленный порт	Номер порта TCP или UDP, тип ICMP или код удаленного компьютера.
Удаленный или исходный MAC-адрес	MAC-адрес в текущем виде. Могут быть показаны следующие поля. Удаленный MAC-адрес (локальный вид) MAC-адрес удаленного компьютера. Если адрес находится в другой подсети, здесь будет указан MAC-адрес маршрутизатора. Исходный MAC-адрес (исходный вид) MAC-адрес исходного компьютера.
Локальный или целевой хост	Хост в текущем виде. Могут быть показаны следующие поля. Локальный хост (локальный вид) IP-адрес локального компьютера Целевой хост (исходный вид) IP-адрес целевого компьютера.
Локальный порт	Номер порта TCP или UDP, тип ICMP или код локального компьютера.
Локальный MAC-адрес или целевой MAC-адрес	MAC-адрес в текущем виде. Могут быть показаны следующие поля. Локальный MAC-адрес (локальный вид) MAC-адрес локального компьютера. Целевой MAC-адрес (исходный вид) MAC-адрес целевого компьютера.
Приложение	Имя приложения, связанного с атакой.
ИД сигнатуры	ИД сигнатуры по предотвращению вторжений, которую активировала атака. ИД сигнатуры можно использовать для поиска сигнатуры в интерактивном режиме.
Подчиненный ИД сигнатуры	Подчиненный ИД сигнатуры по предотвращению вторжений, которую активировала атака.
Имя сигнатуры	Имя сигнатуры, которую активировала атака.
URL-адрес источника вторжения	URL-адрес, связанный с атакой браузера.
URL-адрес перенаправления	URL-адрес, на который атака перенаправила браузер.
Пользователь	Пользователь или компьютер, которые отправили или получили трафик.
Домен пользователя	Имя домена сервера, в котором зарегистрирован клиент.
Расположение	Расположение, применявшееся в момент атаки. Например: офис, дом или VPN.
Экземпляры	Количество случаев использования метода атаки.
Начальное время	Время начала атаки.
Конечное время	Время завершения атаки.