4.1.5.1.1.2 Kural eylemi

E- postayı klasöre taşı - Etkilenen e-postalar belirtilen klasöre otomatik olarak taşınır

4.5 Aygıt denetimi

4.6.4 WMI Sağlayıcı WMI Hakkında

Windows Yönetim Yardımcıları (WMI), Microsoft tarafından geliştirilen Web Tabanlı Kurumsal Yönetim (WBEM) uygulamasıdır. Bu uygulama, kurumsal ortamda yönetim bilgilerine erişmek için standart bir teknoloji geliştirmeye yönelik sektörel bir girişimdir.

WMI ile ilgili daha fazla bilgi için http://msdn.microsoft.com/en-us/library/windows/desktop/

aa384642(v=vs.85).aspx sayfasına bakın ESET WMI Sağlayıcı

ESET WMI Sağlayıcı'nın amacı, ESET tanımlı herhangi bir yazılım ya da araca gerek olmadan, kurumsal bir ortamda ESET ürünlerinin uzaktan izlenmesine olanak sağlamaktır. Temel ürünü, durumu ve istatistiksel bilgileri WMI üzerinden göstererek kurumsal yöneticilere ESET ürünlerini izlerken çok daha fazla imkan sunuyoruz. Yöneticiler, ESET

ürünlerinin durumunu izlemek için, WMI tarafından sunulan bir dizi erişim yönteminden yararlanabilir (komut satırı, komut dosyaları ve üçüncü taraf kurumsal izleme araçları).

4.6.4.1 Sağlanan veriler

ESET ürünleriyle ilişkili olan tüm WMI sınıfları "root\ESET" ad alanında yer alır. Aşağıda daha ayrıntılı şekilde açıklanan şu sınıflar halihazırda uygulanmıştır:

Genel:

ESET_Product ESET_Features ESET_Statistics Günlükler:

ESET_ThreatLog ESET_EventLog ESET_ODFileScanLogs ESET_ODFileScanLogRecords ESET_ODServerScanLogs ESET_ODServerScanLogRecords ESET_GreylistLog

ESET_SpamLog ESET_Product sınıfı

Yalnızca tek bir ESET_Product sınıfı örneği olabilir. Bu sınıfın özellikleri, yüklenmiş ESET ürününüzle ilgili temel bilgilere başvurur:

Kimlik - ürün türü tanıtıcısı, örneğin "essbe"

Ad - ürünün adı, örneğin "ESET Security"

Yayın Sürümü - ürünün yayın sürümü, örneğin "Microsoft SharePoint Server"

Sürüm - Ürünün sürümü, örneğin "4.5.15013.0"

VirusDBVersion - Virüs veri tabanının sürümü, örneğin "7868 (20130107)"

VirusDBLastUpdate - Virüs veri tabanının son güncellemesinin zaman damgası. Bu dize, zaman damgasını WMI tarih-zaman biçiminde içerir. Örneğin "20130118115511.000000+060"

LicenseExpiration - Lisans son kullanma tarihi. Bu dize, zaman damgasını WMI tarih-zaman biçiminde içerir.

Örneğin "20130118115511.000000+060"

KernelRunning - eKrn hizmetinin makinede çalışıp çalışmadığını gösteren boolean değeri, örneğin "TRUE"

StatusCode - Ürünün koruma durumunu gösteren numara: 0 - Yeşil (Tamam), 1 - Sarı (Uyarı), 2 - Kırmızı (Hata) StatusText - sıfırdan farklı durum kodunun nedenini açıklayan ileti, aksi halde boş olur

ESET_Features sınıfı

ESET_Features sınıfı, ürün özelliklerinin sayısına bağlı olarak birden çok tekrara sahiptir. Her tekrar şunları içerir:

Ad - özelliğin adı (adların listesi aşağıda sağlanmaktadır) Durum - özelliğin durumu: 0 - pasif, 1 - devre dışı, 2 - etkin

Halihazırda algılanan ürün özelliklerini temsil eden dizelerin listesi:

CLIENT_FILE_AV - gerçek zamanlı dosya sistemi antivirus koruması CLIENT_WEB_AV - istemci web antivirus koruması

CLIENT_DOC_AV - istemci belge antivirus koruması CLIENT_NET_FW - istemci kişisel güvenlik duvarı CLIENT_EMAIL_AV - istemci e-posta antivirus koruması CLIENT_EMAIL_AS - istemci e-posta antispam koruması

SERVER_FILE_AV - korunan dosya sunucusu ürünündeki dosyaların gerçek zamanlı antivirus koruması, örneğin ESET Mail Security durumunda SharePoint'in içerik veri tabanındaki dosyalar

SERVER_EMAIL_AV - korunan sunucu ürününün e-postalarının antivirus koruması, örneğin MS Exchange veya IBM Domino'daki e-postalar

SERVER_EMAIL_AS - korunan sunucu ürününün e-postalarının antispam koruması, örneğin MS Exchange veya IBM Domino'daki e-postalar

SERVER_GATEWAY_AV - ağ geçidindeki korunan ağ protokollerinin antivirus koruması SERVER_GATEWAY_AS - ağ geçidindeki korunan ağ protokollerinin antispam koruması ESET_Statistics sınıfı

ESET_Statistics sınıfı, üründeki tarayıcıların sayısına bağlı olarak birden çok örneğe sahiptir. Her örnek şunları içerir:

Tarayıcı - belirli tarayıcı için dize kodu, örneğin "CLIENT_FILE"

Toplam - taranan dosyaların toplam sayısı etkilenen - etkilenen dosyaların sayısı Temizlenen - temizlenen dosyaların sayısı

Zaman damgası - bu istatistiğin son değiştirildiği zamanı gösteren zaman damgası. WMI tarih-zaman biçiminde, örneğin "20130118115511.000000+060"

ResetTime - İstatistiklerin en son sıfırlandığı zamanı gösteren zaman damgası. WMI tarih-zaman biçiminde, örneğin

"20130118115511.000000+060"

Halihazırda algılanan tarayıcıları temsil eden dizelerin listesi:

CLIENT_FILE

ESET_ThreatLog sınıfının birden çok örneği vardır ve her biri "Algılanan tehditler" günlüğünden bir günlük kaydını temsil eder. Her örnek şunları içerir:

Kimlik - bu günlük kaydının benzersiz kimliği

Zaman damgası - günlük kaydının oluşturulduğu zamanı gösteren zaman damgası (WMI tarih/zaman biçiminde) LogLevel - günlük kaydının [0-8] kümesinden bir sayı olarak ifade edilen önem derecesi. Değerler, aşağıdaki adlandırılan düzeylere tekabül eder: Hata Ayıklama, Bilgi-Dipnot, Bilgi, Bilgi - Önemli, Uyarı, Hata, Güvenlik/Uyarı, Hata-Ciddi, Güvenlik Uyarısı-Ciddi

Scanner - bu olay günlüğünü oluşturan tarayıcının adı ObjectType - bu olay günlüğünü üreten nesnenin türü ObjectName - bu olay günlüğünü üreten nesnenin adı

Tehdit - ObjectName ve ObjectType özellikleri tarafından açıklanan nesnede bulunan tehdidin adı Eylem - tehdidin algılanmasının ardından gerçekleştirilen eylem

Kullanıcı - Bu olay günlüğünün oluşturulmasına neden olan kullanıcı hesabı

ESET_EventLog

ESET_ThreatLog sınıfının birden çok örneği vardır ve her biri "Olaylar" günlüğünden bir günlük kaydını temsil eder.

Her örnek şunları içerir:

Kimlik - bu günlük kaydının benzersiz kimliği

Zaman damgası - günlük kaydının oluşturulduğu zamanı gösteren zaman damgası (WMI tarih/zaman biçiminde) LogLevel - günlük kaydının [0-8] aralığından bir sayı olarak ifade edilen önem derecesi. Değerler, aşağıdaki

adlandırılan düzeylere tekabül eder: Hata Ayıklama, Bilgi-Dipnot, Bilgi, Bilgi - Önemli, Uyarı, Hata, Güvenlik/Uyarı, Hata-Ciddi, Güvenlik Uyarısı-Ciddi

Modül - bu olay günlüğünü oluşturan modülün adı Olay - olayın açıklaması

User - Bu olay günlüğünün oluşturulmasına neden olan kullanıcı hesabı ESET_ODFileScanLogs

ESET_ODFileScanLogs sınıfının birden çok örneği vardır ve her biri, bir isteğe bağlı dosya taraması kaydını temsil eder.

Bu, günlüklerin "İsteğe bağlı bilgisayar taraması" GUI'sine eşdeğerdir. Her örnek şunları içerir:

Kimlik - bu isteğe bağlı günlüğün benzersiz kimliği

Zaman damgası - günlüğün oluşturulduğu zamanı gösteren zaman damgası (WMI tarih/zaman biçiminde) Hedefler - taramanın hedef klasörleri/nesneleri

TotalScanned - taranan nesnelerin toplam sayısı Etkilenen - etkilenmiş nesnelerin sayısı

Temizlenen - temizlenen nesnelerin sayısı Status - tarama işleminin durumu

ESET_ODFileScanLogRecords

ESET_ODFileScanLogRecords sınıfının birden çok örneği vardır ve her biri ESET_ODFileScanLogs sınıfının örneklerince temsil edilen tarama günlüklerinden birindeki günlük kaydını temsil eder. Bu sınıfın örnekleri, tüm isteğe bağlı taramaların/günlüklerin günlük kayıtlarını sağlar. Yalnızca belirli bir tarama günlüğü örneğine gerek duyuluyorsa, LogID özelliğine göre filtrelenmelidir. Her sınıf örneği şunları içerir:

LogID - bu kaydın ait olduğu tarama günlüğünün kimliği (ESET_ODFileScanLogs sınıfının örneklerinden birinin kimliği)

Kimlik - bu tarama günlük kaydının benzersiz kimliği

Zaman damgası - günlük kaydının oluşturulduğu zamanı gösteren zaman damgası (WMI tarih/zaman biçiminde) LogLevel - günlük kaydının [0-8] kümesinden bir sayı olarak ifade edilen önem derecesi. Değerler, aşağıdaki adlandırılan düzeylere tekabül eder: Hata Ayıklama, Bilgi-Dipnot, Bilgi, Bilgi - Önemli, Uyarı, Hata, Güvenlik/Uyarı, Hata-Ciddi, Güvenlik Uyarısı-Ciddi

Günlük - Gerçek günlük iletisi ESET_ODServerScanLogs

ESET_ODServerScanLogs sınıfının birden çok örneği vardır ve her biri bir isteğe bağlı tarama çalıştırmasını temsil eder.

Her örnek şunları içerir:

Kimlik - bu isteğe bağlı günlüğün benzersiz kimliği

Zaman damgası - günlüğün oluşturulduğu zamanı gösteren zaman damgası (WMI tarih/zaman biçiminde) Hedefler - taramanın hedef klasörleri/nesneleri

TotalScanned - taranan nesnelerin toplam sayısı Etkilenen - etkilenmiş nesnelerin sayısı

Temizlenen - temizlenen nesnelerin sayısı RuleHits - kural isabetlerinin toplam sayısı Status - tarama işleminin durumu

ESET_ODServerScanLogRecords

ESET_ODFileScanLogRecords sınıfının birden çok örneği vardır ve her biri ESET_ODServerScanLogs sınıfının örneklerince temsil edilen tarama günlüklerinden birindeki günlük kaydını temsil eder. Bu sınıfın örnekleri, tüm isteğe bağlı taramaların/günlüklerin günlük kayıtlarını sağlar. Yalnızca belirli bir tarama günlüğü örneğine gerek duyuluyorsa, LogID özelliğine göre filtrelenmelidir. Her sınıf örneği şunları içerir:

LogID - bu kaydın ait olduğu tarama günlüğünün kimliği (ESET_ ODServerScanLogs sınıfının örneklerinden birinin kimliği)

Kimlik - bu tarama günlük kaydının benzersiz kimliği

Zaman damgası - günlük kaydının oluşturulduğu zamanı gösteren zaman damgası (WMI tarih/zaman biçiminde) LogLevel - günlük kaydının [0-8] aralığından bir sayı olarak ifade edilen önem derecesi. Değerler, aşağıdaki

adlandırılan düzeylere tekabül eder: Hata Ayıklama, Bilgi-Dipnot, Bilgi, Bilgi - Önemli, Uyarı, Hata, Güvenlik/Uyarı, Hata-Ciddi, Güvenlik Uyarısı-Ciddi

Günlük - gerçek günlük iletisi ESET_GreylistLog

ESET_GreylistLog sınıfının birden çok örneği vardır ve her biri "Gri liste" günlüğünden bir günlük kaydını temsil eder.

Her örnek şunları içerir:

Kimlik - bu günlük kaydının benzersiz kimliği

Zaman damgası - günlük kaydının oluşturulduğu zamanı gösteren zaman damgası (WMI tarih/zaman biçiminde) LogLevel - günlük kaydının [0-8] kümesinden bir sayı olarak ifade edilen önem derecesi. Değerler, aşağıdaki adlandırılan düzeylere tekabül eder: Hata Ayıklama, Bilgi-Dipnot, Bilgi, Bilgi - Önemli, Uyarı, Hata, Güvenlik/Uyarı, Hata-Ciddi, Güvenlik Uyarısı-Ciddi

HELODomain - HELO etki alanının adı IP - kaynak IP adresi

Sender - e-posta göndericisi Alıcı - e-posta alıcısı

Eylem - gerçekleştirilen eylem

TimeToAccept - e-postanın kabul edilmesi için geçecek dakika sayısı ESET_SpamLog

ESET_SpamLog sınıfının birden çok örneği vardır ve her biri "Spamlog" günlüğünden bir günlük kaydını temsil eder.

Her örnek şunları içerir:

Kimlik - bu günlük kaydının benzersiz kimliği

Zaman damgası - günlük kaydının oluşturulduğu zamanı gösteren zaman damgası (WMI tarih/zaman biçiminde) LogLevel - günlük kaydının [0-8] kümesinden bir sayı olarak ifade edilen önem derecesi. Değerler, aşağıdaki adlandırılan düzeylere tekabül eder: Hata Ayıklama, Bilgi-Dipnot, Bilgi, Bilgi - Önemli, Uyarı, Hata, Güvenlik/Uyarı, Hata-Ciddi, Güvenlik Uyarısı-Ciddi

Sender - e-posta göndericisi Alıcı - e-posta alıcıları Konu - e-posta konusu Alınan - alınma zamanı

Puan - yüzde olarak spam puanı [0-100]

Neden - bu e-postanın spam olarak işaretlenmesinin nedeni Eylem - gerçekleştirilen eylem

DiagInfo - ek tanılama bilgileri

4.6.4.2 Sağlanan Verilere Erişme

Burada, Windows komut satırından ve PowerShell'den ESET WMI verilerine nasıl erişileceğine dair birkaç örnek verilmektedir. Bunlar, mevcut herhangi bir Windows işletim sisteminde kullanılabilir. Ancak verilere diğer komut dosyası dillerinden ve araçlarından erişmenin başka yolları da vardır.

Komut dosyası olmayan komut satırı

Bir wmic komut satırı aracı, çeşitli önceden tanımlanmış veya özel WMI sınıflarına erişmek için kullanılabilir.

Yerel makinedeki ürünle ilgili tüm bilgileri görüntülemek için:

wmic /namespace:\\root\ESET Path ESET_Product

Yerel makinedeki ürünün yalnızca ürün sürüm numarasını görüntülemek için:

wmic /namespace:\\root\ESET Path ESET_Product Get Version

10.1.118.180 IP'sine sahip uzak makinedeki ürünle ilgili tüm bilgileri görüntülemek için:

wmic /namespace:\\root\ESET /node:10.1.118.180 /user:Administrator Path ESET_Product

PowerShell

Yerel makinedeki ürünle ilgili tüm bilgileri almak ve görüntülemek için:

Get-WmiObject ESET_Product -namespace 'root\ESET'

10.1.118.180 IP'sine sahip uzak makinedeki ürünle ilgili tüm bilgileri almak ve görüntülemek için:

$cred = Get-Credential # kullanıcıdan kimlik bilgileri ister ve bunları şu değişkende depolar:

Get-WmiObject ESET_Product -namespace 'root\ESET' -computername '10.1.118.180' -cred $cred

Belgede ESET MAILSECURITY. Microsoft Windows Server 2003 / 2003 R2 / 2008 / 2008 R2 / 2012 / 2012 R2 / 2016 (sayfa 190-195)