Paul's Cybersecurity Blog

通过SEPM控制台可以直接查询到客户端应用程序控制日志（Application Control Logs），查询到的结果如下：但是直接在SEPM的数据库 SQL Server查询相应的 客户端应用程序控制日志（Application Control Logs）的SQL语句是怎么样的？具体查询语句如下：select TOP 20 ATL.LOG_IDX, ATL.EVENT_TIME, ATL.EVENT_ID, ATL.ACTION, S.NAME as DOMAIN_NAME,

通过SEPM控制台可以直接查询到客户端风险日志（Risk Logs），查询到的结果如下：但是直接在SEPM的数据库 SQL Server查询相应的 客户端风险日志的SQL语句是怎么样的？具体查询语句如下：select TOP 20 A.Idx, HP.APP_NAME, HA.WEB_DOMAIN, HA.WHITELIST_REASON as user_override, Alert_Idx, COMPUTER_NAME, USER_NAME,A.Parentserve.

通过SEPM控制台可以查询到网络和主机漏洞缓解（Network and Host Exploit Mitigation）的攻击日志（Attack Logs）设置如下：但是直接在SEPM的数据库 SQL Server查询相应的 网络和主机漏洞缓解的攻击日志的SQL语句是怎么样的？具体语句如下： select TOP 20 ASLUNION.AGENT_SECURITY_LOG_IDX, ASLUNION.LOCATION_NAME, ASLUNION.TRAFFIC_DIREC..

之前给客户写过替换SEP客户端Sylink.xml文件的脚本，如下记录几个版本的优化过程：第一版本：echooff"C:\ProgramFiles(x86)\Symantec\SymantecEndpointProtection\12.1.4013.4013.105\Bin\sylinkdrop.exe"-silentsylink.xml优点：简单直接缺点：不能针对针对32位和64位操作系统进行执行。第二版本：@echooffif/i"%P...

SEP客户端如果在系统克隆状态下进行大规模部署的话，就会导致大量客户端有相关的Hardware ID，在SEP服务器（SEPM）看来，相同的Hardware ID的SEP就是同一个客户端，这样会导致很多问题，典型问题如下：SEPM服务器性能严重下降，无法登录，因为客户端反复注册。 客户端统计不准确，包括数量、定义升级成功率 客户端在线状态不稳定，在服务器上搜索不到相关服务器 获取客户端相关的日志不准确传统方法是在客户端上进行Hardware ID删除处理，重启客户端后就自动生成新的H...

如果SEP的隔离区隔离大量的文件，通过GUI界面操作很费时的话，可以使用如下办法，在命令行状态通过命令清空隔离区，可以大大提高管理效率。1 禁用SEP防篡改功能（Temper Protection）在GUI界面 - Change Settings - Client Management - Configure Settings - Temper Protection取消对 “Protect Symantec security software from being tampered with

本文介绍如何使用Symantec诊断工具Symdiag为SEP for Windows收集所有数据。1.下载SymDiag for Windows工具Symantec 诊断工具SymDiag.exe for Windowshttps://download.youkuaiyun.com/download/gdlwx/125199542.双击运行下载的SymDiag.exe文件当前演示的SymDiag的版本为 2.1.280.您可以在”语言”对应的下拉菜单中,选择您希望使用的语言,该工具将自动更新

本文介绍用Python运行SEPM REST API脚本获取SEP客户端状态信息SEPM REST API的Python脚本源代码如下：import requests, json, pprintpagesize = 1000api_url_base = "https://localhost:8446/sepm/api/v1/"authentication_url = "https://localhost:8446/sepm/api/v1/identity/authenticate"# i

SEPM的REST API提供一种可以通过脚本来进行服务器管理的模式，可以大大提高某些操作的效率，例如 客户端移组操作。本文介绍如何通过Powershell运行官方提供的测试脚本，以验证脚本操作的可行性。1 测试系统环境以及脚本VMWare虚机环境： SEPM 服务器版本14 RU1 MP2 /执行脚本的客户端 Windows 10 Pro 64bit脚本已经上传到优快云的下载资源，链接如下：Symantec的SEP服务器（SEPM）REST API PowerShell测试脚本...

本文是基于VMWare虚机测试环境实际操作过程编写而成而成。一 升级前准备工作1 提前申请好各服务器 （SEPM，SQL Server）访问权限，系统管理员密码，sa、sem5密码等。2 根据SEP 14 MP1 系统要求文档检查旧SEP系统是否符合升级要求 操作系统：Windows Server 2008 / 2008 R2 / 2012 / 2012 R2 / 2016 等 浏览器：Microsoft Edge / IE11/ Mozila FireFox 5...

Symdiag工具是用于诊断Symantec产品问题的工具，主要可以收集相关的产品日志和系统日志。本文主要提供各个系统版本的Symdiag工具的下载。1 Symdiag for Windows 版本当前最新版本为2.1.280， 文件名为Symdiag.exe，下载到桌面直接双击运行即可已经上传优快云资源下载，可以0积分下载：https://download.youkuaiyun.com/download/gdlwx/125199542 Symdiag for Linux 版本当前最新版.

本文分三个部分介绍如何卸载赛门铁克（Symantec）企业防病毒客户端软件SEP的Windows版本，Linux版本和MacOS版本。1 卸载SEP for Windows 版本SEP for Windows版本卸载使用传统办法 -- 通过Windows控制面板卸载是比较容易出问题的，常见问题如 卸载过程发生回滚而导致卸载失败，卸载后存在有文件残余导致无法重装SEP或者第三方厂商防病毒软件等问题。最佳的解决办法是使用官方的卸载工具CleanWipe进行卸载。 由于优快云上CleanWipe工具

本文介绍如何在Linux的Ubuntu发行版上安装Symantec的企业防病毒软件SEP for Linux。1 准备根据Ubuntu 的发行版和Kernel版本选择具体兼容的SEP for Linux 版本，参考文档如下：List of Linux Distributions and Kernels with Precompiled Auto-Protect Drivers/Modules for Symantec Endpoint Protection for Linux 14.x+h

EKANS/Snake勒索病毒是在2020年初开始流行的，一开始影响不是很大。但在2020年6月8号，EKANS/Snake出现了新的变种，该变种导致了日本汽车巨头 本田全球运营受到该病毒攻击而停摆。参考新闻如下：云安全：本田全球运营因勒索软件攻击而停止该病毒最大的特点是可以攻击工控系统（ICS），从而导致企业生产受到影响。技术文档：EKANS Ransomware and ICS Operations关于新变种的的相关信息，可参考Virustotalhttps://www.