AV&HIPS - On Access Scan

Hallo zusammen,

bei mir wird eine Datei immer wieder von einer Netzwerkfreigabe gelöscht und ich vermute, dass es durch die On-Access-Scans von Sophos kommt.
Diese Freigabe habe ich in der Standard AV&HIPS-Richtlinie ausgeschlossen.

Nun frage ich mich: da ich 10 AV&HIPS Richtlinien habe, muss ich nun in jeder davon die Freigabe als ausnahme hinzufügen?

Und darüber hinaus: Wenn Sophos eine Datei weglöscht, gibt es eine Log-Datei die das festhält?

  • Hallo TheJ0ker,

    Sophos auf einem Client löscht üblicherweise nicht so einfach Dateien auf einem Server. Hat der auch On-Accesx? Dann würde ich zuerst in dessen Log nachsehen. Logs sind jedenfalls immer auf den Endpoints (Client und Server sind beides Endpoints).

    Ausschlüsse nur wenn wirklich notwendig, nicht auf vage Empfehlungen hinauf. Auch mit Falsch-Positiven kann man meist besser umgehen (falls es sich um FP handelt). Davon abgesehen wird nur eine Policy dem Endpoint zugewiesen, eventuelle Ausnahmen (s.o.) sind daher in allen zu setzen.

    Christian

  • Hallo TheJ0ker,

    löscht [der Client]
    wenn er kann, ja.

    Der Haken ist in der Hilfe nicht explizit erwähnt

    Christian

  • In reply to QC:

    Hallo Christian,

    danke für den Hinweis!

    Hier habe ich es in der Zwischenzeit auch gefunden.
    https://www.sophos.com/de-de/medialibrary/PDFs/documentation/sec_52_psgeng.pdf?la=de-DE
    (Punkt 17)

    Dann stelle ich das Verzeichnis in dem meine Datei liegt als Ausnahme ein und setze den haken für Remote Dateien *nicht*.

    Danke nochmals!

  • In reply to TheJ0ker:

    Hallo TheJ0ker,

    das Verzeichnis in dem meine Datei liegt als Ausnahme
    ich bin, wie ich immer erwähne, kein Freund von Ausnahmen. Falsch Positive sollten nicht mit die Deppen bei Sophos können es halt nicht besser, machma eine Ausnahme erledigt werden. Die erste Frage ist - was wurde wo erkannt? Für viele Kennungen gibt es eine Analyse-Seite, bei generischen Kennungen wird um das Einsenden eines Samples gebeten, das sollte man jedenfalls machen. Aber auch bei spezifischen Kennungen empfehle ich das Einsenden eines Samples - meistens wird dann die Kennung entsprechend angepasst, was zukünftige FP vermeidet, den Schutz aber generell aufrecht lässt.
    Offensichtlich ist On-Access auf dem Server nicht aktiviert, oder? 

    Übrigens: SEC 5.2.x? Wenn das die Produktionsversion ist, wäre ein Upgrade nicht schlecht.

    Christian

  • In reply to QC:

    Guten Morgen,

    danke, dass du dir so ernsthafte Gedanken zu der Situation machst!
    Also installiert ist 5.5. Ich hatte da wohl das falsche Dokument zur Hand. Ich denk mal die Definition für den Button passt dennoch.

    Wie sich jetzt zeigt, war es garnicht On-Access-Scan, was die Datei gelöscht hat, sondern der abendliche Viren-Scan.
    Die Datei, um die es geht ist psexec. Meinst du da macht ein Einsenden der Datei Sinn? Ich kann mich natürlich irren, aber die PsTools kennt Sophos doch sicherlich bereits.

    Deine Aussage zu den Ausnahmen, werde ich im Hinterkopf behalten :-)

  • In reply to TheJ0ker:

    Hallo TheJ0ker,

    psexec
    sollte als PsExec in der Kategorie Adware and PUAs erkannt werden. Wenn dem so ist, ist Einsenden natürlich nicht sher sinnvoll, da ja alles so läuft wie gedacht. Sollte es aber eine andere Kennung sein, ist etwas (und wahrscheinlich psexec.exe) faul und die Datei sollte umgehend eingesandt werden.
    PsExec und Konsorten sind besser mit dem Authorization Manager (AV Policy → Autorisierungen ...) abzuhandeln. Vorteil: Die Ausnahme gilt unabhängig vom Ort, die Datei wird trotzdem gescannt und ist vor bösartigen Manipulationen geschützt. Nachteil: Die Ausnahme kann nicht auf einen bestimmten Ort beschränkt werden. Umgekehrt lässt sich eine Scan-Ausnahme für einen exakt bestimmten Ort festlegen, die Datei ist dann aber ungeschützt.

    Christian

  • In reply to QC:

    Die Anwendung wird als Adware and PUAs erkannt, also alles "Works as designed".

    Wenn ich nun psexec Authorisiere, ist sie dann sowohl für den Scan-on-Demand, als auch für den On-Access-Scan authorisiert?

  • In reply to TheJ0ker:

    Hallo TheJ0ker,

    Autorisierungen gelten unabhängig von der Art von Scans. Andernfalls wären sie erst unter den On-Access Einstellungen zu finden.
    Nicht zu vergessen - sie gelten per Policy. Es mag etwas verwirrend sein, dass die Liste Bekannter Adware/PUA global ist. Anwendungen, die in einer Policy aus der Bekannte Liste gelöscht werden, scheinen auch in den anderen nicht mehr auf (bis sie aufgrund neuer Erkennungen wieder auf die Liste kommen).

    Christian