4.1.5.1.1.2 Kural eylemi
E- postayı klasöre taşı - Etkilenen e-postalar belirtilen klasöre otomatik olarak taşınır
4.5 Aygıt denetimi
4.6.4 WMI Sağlayıcı WMI Hakkında
Windows Yönetim Yardımcıları (WMI), Microsoft tarafından geliştirilen Web Tabanlı Kurumsal Yönetim (WBEM) uygulamasıdır. Bu uygulama, kurumsal ortamda yönetim bilgilerine erişmek için standart bir teknoloji geliştirmeye yönelik sektörel bir girişimdir.
WMI ile ilgili daha fazla bilgi için http://msdn.microsoft.com/en-us/library/windows/desktop/
aa384642(v=vs.85).aspx sayfasına bakın ESET WMI Sağlayıcı
ESET WMI Sağlayıcı'nın amacı, ESET tanımlı herhangi bir yazılım ya da araca gerek olmadan, kurumsal bir ortamda ESET ürünlerinin uzaktan izlenmesine olanak sağlamaktır. Temel ürünü, durumu ve istatistiksel bilgileri WMI üzerinden göstererek kurumsal yöneticilere ESET ürünlerini izlerken çok daha fazla imkan sunuyoruz. Yöneticiler, ESET
ürünlerinin durumunu izlemek için, WMI tarafından sunulan bir dizi erişim yönteminden yararlanabilir (komut satırı, komut dosyaları ve üçüncü taraf kurumsal izleme araçları).
4.6.4.1 Sağlanan veriler
ESET ürünleriyle ilişkili olan tüm WMI sınıfları "root\ESET" ad alanında yer alır. Aşağıda daha ayrıntılı şekilde açıklanan şu sınıflar halihazırda uygulanmıştır:
Genel:
ESET_Product ESET_Features ESET_Statistics Günlükler:
ESET_ThreatLog ESET_EventLog ESET_ODFileScanLogs ESET_ODFileScanLogRecords ESET_ODServerScanLogs ESET_ODServerScanLogRecords ESET_GreylistLog
ESET_SpamLog ESET_Product sınıfı
Yalnızca tek bir ESET_Product sınıfı örneği olabilir. Bu sınıfın özellikleri, yüklenmiş ESET ürününüzle ilgili temel bilgilere başvurur:
Kimlik - ürün türü tanıtıcısı, örneğin "essbe"
Ad - ürünün adı, örneğin "ESET Security"
Yayın Sürümü - ürünün yayın sürümü, örneğin "Microsoft SharePoint Server"
Sürüm - Ürünün sürümü, örneğin "4.5.15013.0"
VirusDBVersion - Virüs veri tabanının sürümü, örneğin "7868 (20130107)"
VirusDBLastUpdate - Virüs veri tabanının son güncellemesinin zaman damgası. Bu dize, zaman damgasını WMI tarih-zaman biçiminde içerir. Örneğin "20130118115511.000000+060"
LicenseExpiration - Lisans son kullanma tarihi. Bu dize, zaman damgasını WMI tarih-zaman biçiminde içerir.
Örneğin "20130118115511.000000+060"
KernelRunning - eKrn hizmetinin makinede çalışıp çalışmadığını gösteren boolean değeri, örneğin "TRUE"
StatusCode - Ürünün koruma durumunu gösteren numara: 0 - Yeşil (Tamam), 1 - Sarı (Uyarı), 2 - Kırmızı (Hata) StatusText - sıfırdan farklı durum kodunun nedenini açıklayan ileti, aksi halde boş olur
ESET_Features sınıfı
ESET_Features sınıfı, ürün özelliklerinin sayısına bağlı olarak birden çok tekrara sahiptir. Her tekrar şunları içerir:
Ad - özelliğin adı (adların listesi aşağıda sağlanmaktadır) Durum - özelliğin durumu: 0 - pasif, 1 - devre dışı, 2 - etkin
Halihazırda algılanan ürün özelliklerini temsil eden dizelerin listesi:
CLIENT_FILE_AV - gerçek zamanlı dosya sistemi antivirus koruması CLIENT_WEB_AV - istemci web antivirus koruması
CLIENT_DOC_AV - istemci belge antivirus koruması CLIENT_NET_FW - istemci kişisel güvenlik duvarı CLIENT_EMAIL_AV - istemci e-posta antivirus koruması CLIENT_EMAIL_AS - istemci e-posta antispam koruması
SERVER_FILE_AV - korunan dosya sunucusu ürünündeki dosyaların gerçek zamanlı antivirus koruması, örneğin ESET Mail Security durumunda SharePoint'in içerik veri tabanındaki dosyalar
SERVER_EMAIL_AV - korunan sunucu ürününün e-postalarının antivirus koruması, örneğin MS Exchange veya IBM Domino'daki e-postalar
SERVER_EMAIL_AS - korunan sunucu ürününün e-postalarının antispam koruması, örneğin MS Exchange veya IBM Domino'daki e-postalar
SERVER_GATEWAY_AV - ağ geçidindeki korunan ağ protokollerinin antivirus koruması SERVER_GATEWAY_AS - ağ geçidindeki korunan ağ protokollerinin antispam koruması ESET_Statistics sınıfı
ESET_Statistics sınıfı, üründeki tarayıcıların sayısına bağlı olarak birden çok örneğe sahiptir. Her örnek şunları içerir:
Tarayıcı - belirli tarayıcı için dize kodu, örneğin "CLIENT_FILE"
Toplam - taranan dosyaların toplam sayısı etkilenen - etkilenen dosyaların sayısı Temizlenen - temizlenen dosyaların sayısı
Zaman damgası - bu istatistiğin son değiştirildiği zamanı gösteren zaman damgası. WMI tarih-zaman biçiminde, örneğin "20130118115511.000000+060"
ResetTime - İstatistiklerin en son sıfırlandığı zamanı gösteren zaman damgası. WMI tarih-zaman biçiminde, örneğin
"20130118115511.000000+060"
Halihazırda algılanan tarayıcıları temsil eden dizelerin listesi:
CLIENT_FILE
ESET_ThreatLog sınıfının birden çok örneği vardır ve her biri "Algılanan tehditler" günlüğünden bir günlük kaydını temsil eder. Her örnek şunları içerir:
Kimlik - bu günlük kaydının benzersiz kimliği
Zaman damgası - günlük kaydının oluşturulduğu zamanı gösteren zaman damgası (WMI tarih/zaman biçiminde) LogLevel - günlük kaydının [0-8] kümesinden bir sayı olarak ifade edilen önem derecesi. Değerler, aşağıdaki adlandırılan düzeylere tekabül eder: Hata Ayıklama, Bilgi-Dipnot, Bilgi, Bilgi - Önemli, Uyarı, Hata, Güvenlik/Uyarı, Hata-Ciddi, Güvenlik Uyarısı-Ciddi
Scanner - bu olay günlüğünü oluşturan tarayıcının adı ObjectType - bu olay günlüğünü üreten nesnenin türü ObjectName - bu olay günlüğünü üreten nesnenin adı
Tehdit - ObjectName ve ObjectType özellikleri tarafından açıklanan nesnede bulunan tehdidin adı Eylem - tehdidin algılanmasının ardından gerçekleştirilen eylem
Kullanıcı - Bu olay günlüğünün oluşturulmasına neden olan kullanıcı hesabı
ESET_EventLog
ESET_ThreatLog sınıfının birden çok örneği vardır ve her biri "Olaylar" günlüğünden bir günlük kaydını temsil eder.
Her örnek şunları içerir:
Kimlik - bu günlük kaydının benzersiz kimliği
Zaman damgası - günlük kaydının oluşturulduğu zamanı gösteren zaman damgası (WMI tarih/zaman biçiminde) LogLevel - günlük kaydının [0-8] aralığından bir sayı olarak ifade edilen önem derecesi. Değerler, aşağıdaki
adlandırılan düzeylere tekabül eder: Hata Ayıklama, Bilgi-Dipnot, Bilgi, Bilgi - Önemli, Uyarı, Hata, Güvenlik/Uyarı, Hata-Ciddi, Güvenlik Uyarısı-Ciddi
Modül - bu olay günlüğünü oluşturan modülün adı Olay - olayın açıklaması
User - Bu olay günlüğünün oluşturulmasına neden olan kullanıcı hesabı ESET_ODFileScanLogs
ESET_ODFileScanLogs sınıfının birden çok örneği vardır ve her biri, bir isteğe bağlı dosya taraması kaydını temsil eder.
Bu, günlüklerin "İsteğe bağlı bilgisayar taraması" GUI'sine eşdeğerdir. Her örnek şunları içerir:
Kimlik - bu isteğe bağlı günlüğün benzersiz kimliği
Zaman damgası - günlüğün oluşturulduğu zamanı gösteren zaman damgası (WMI tarih/zaman biçiminde) Hedefler - taramanın hedef klasörleri/nesneleri
TotalScanned - taranan nesnelerin toplam sayısı Etkilenen - etkilenmiş nesnelerin sayısı
Temizlenen - temizlenen nesnelerin sayısı Status - tarama işleminin durumu
ESET_ODFileScanLogRecords
ESET_ODFileScanLogRecords sınıfının birden çok örneği vardır ve her biri ESET_ODFileScanLogs sınıfının örneklerince temsil edilen tarama günlüklerinden birindeki günlük kaydını temsil eder. Bu sınıfın örnekleri, tüm isteğe bağlı taramaların/günlüklerin günlük kayıtlarını sağlar. Yalnızca belirli bir tarama günlüğü örneğine gerek duyuluyorsa, LogID özelliğine göre filtrelenmelidir. Her sınıf örneği şunları içerir:
LogID - bu kaydın ait olduğu tarama günlüğünün kimliği (ESET_ODFileScanLogs sınıfının örneklerinden birinin kimliği)
Kimlik - bu tarama günlük kaydının benzersiz kimliği
Zaman damgası - günlük kaydının oluşturulduğu zamanı gösteren zaman damgası (WMI tarih/zaman biçiminde) LogLevel - günlük kaydının [0-8] kümesinden bir sayı olarak ifade edilen önem derecesi. Değerler, aşağıdaki adlandırılan düzeylere tekabül eder: Hata Ayıklama, Bilgi-Dipnot, Bilgi, Bilgi - Önemli, Uyarı, Hata, Güvenlik/Uyarı, Hata-Ciddi, Güvenlik Uyarısı-Ciddi
Günlük - Gerçek günlük iletisi ESET_ODServerScanLogs
ESET_ODServerScanLogs sınıfının birden çok örneği vardır ve her biri bir isteğe bağlı tarama çalıştırmasını temsil eder.
Her örnek şunları içerir:
Kimlik - bu isteğe bağlı günlüğün benzersiz kimliği
Zaman damgası - günlüğün oluşturulduğu zamanı gösteren zaman damgası (WMI tarih/zaman biçiminde) Hedefler - taramanın hedef klasörleri/nesneleri
TotalScanned - taranan nesnelerin toplam sayısı Etkilenen - etkilenmiş nesnelerin sayısı
Temizlenen - temizlenen nesnelerin sayısı RuleHits - kural isabetlerinin toplam sayısı Status - tarama işleminin durumu
ESET_ODServerScanLogRecords
ESET_ODFileScanLogRecords sınıfının birden çok örneği vardır ve her biri ESET_ODServerScanLogs sınıfının örneklerince temsil edilen tarama günlüklerinden birindeki günlük kaydını temsil eder. Bu sınıfın örnekleri, tüm isteğe bağlı taramaların/günlüklerin günlük kayıtlarını sağlar. Yalnızca belirli bir tarama günlüğü örneğine gerek duyuluyorsa, LogID özelliğine göre filtrelenmelidir. Her sınıf örneği şunları içerir:
LogID - bu kaydın ait olduğu tarama günlüğünün kimliği (ESET_ ODServerScanLogs sınıfının örneklerinden birinin kimliği)
Kimlik - bu tarama günlük kaydının benzersiz kimliği
Zaman damgası - günlük kaydının oluşturulduğu zamanı gösteren zaman damgası (WMI tarih/zaman biçiminde) LogLevel - günlük kaydının [0-8] aralığından bir sayı olarak ifade edilen önem derecesi. Değerler, aşağıdaki
adlandırılan düzeylere tekabül eder: Hata Ayıklama, Bilgi-Dipnot, Bilgi, Bilgi - Önemli, Uyarı, Hata, Güvenlik/Uyarı, Hata-Ciddi, Güvenlik Uyarısı-Ciddi
Günlük - gerçek günlük iletisi ESET_GreylistLog
ESET_GreylistLog sınıfının birden çok örneği vardır ve her biri "Gri liste" günlüğünden bir günlük kaydını temsil eder.
Her örnek şunları içerir:
Kimlik - bu günlük kaydının benzersiz kimliği
Zaman damgası - günlük kaydının oluşturulduğu zamanı gösteren zaman damgası (WMI tarih/zaman biçiminde) LogLevel - günlük kaydının [0-8] kümesinden bir sayı olarak ifade edilen önem derecesi. Değerler, aşağıdaki adlandırılan düzeylere tekabül eder: Hata Ayıklama, Bilgi-Dipnot, Bilgi, Bilgi - Önemli, Uyarı, Hata, Güvenlik/Uyarı, Hata-Ciddi, Güvenlik Uyarısı-Ciddi
HELODomain - HELO etki alanının adı IP - kaynak IP adresi
Sender - e-posta göndericisi Alıcı - e-posta alıcısı
Eylem - gerçekleştirilen eylem
TimeToAccept - e-postanın kabul edilmesi için geçecek dakika sayısı ESET_SpamLog
ESET_SpamLog sınıfının birden çok örneği vardır ve her biri "Spamlog" günlüğünden bir günlük kaydını temsil eder.
Her örnek şunları içerir:
Kimlik - bu günlük kaydının benzersiz kimliği
Zaman damgası - günlük kaydının oluşturulduğu zamanı gösteren zaman damgası (WMI tarih/zaman biçiminde) LogLevel - günlük kaydının [0-8] kümesinden bir sayı olarak ifade edilen önem derecesi. Değerler, aşağıdaki adlandırılan düzeylere tekabül eder: Hata Ayıklama, Bilgi-Dipnot, Bilgi, Bilgi - Önemli, Uyarı, Hata, Güvenlik/Uyarı, Hata-Ciddi, Güvenlik Uyarısı-Ciddi
Sender - e-posta göndericisi Alıcı - e-posta alıcıları Konu - e-posta konusu Alınan - alınma zamanı
Puan - yüzde olarak spam puanı [0-100]
Neden - bu e-postanın spam olarak işaretlenmesinin nedeni Eylem - gerçekleştirilen eylem
DiagInfo - ek tanılama bilgileri
4.6.4.2 Sağlanan Verilere Erişme
Burada, Windows komut satırından ve PowerShell'den ESET WMI verilerine nasıl erişileceğine dair birkaç örnek verilmektedir. Bunlar, mevcut herhangi bir Windows işletim sisteminde kullanılabilir. Ancak verilere diğer komut dosyası dillerinden ve araçlarından erişmenin başka yolları da vardır.
Komut dosyası olmayan komut satırı
Bir wmic komut satırı aracı, çeşitli önceden tanımlanmış veya özel WMI sınıflarına erişmek için kullanılabilir.
Yerel makinedeki ürünle ilgili tüm bilgileri görüntülemek için:
wmic /namespace:\\root\ESET Path ESET_Product
Yerel makinedeki ürünün yalnızca ürün sürüm numarasını görüntülemek için:
wmic /namespace:\\root\ESET Path ESET_Product Get Version
10.1.118.180 IP'sine sahip uzak makinedeki ürünle ilgili tüm bilgileri görüntülemek için:
wmic /namespace:\\root\ESET /node:10.1.118.180 /user:Administrator Path ESET_Product
PowerShell
Yerel makinedeki ürünle ilgili tüm bilgileri almak ve görüntülemek için:
Get-WmiObject ESET_Product -namespace 'root\ESET'
10.1.118.180 IP'sine sahip uzak makinedeki ürünle ilgili tüm bilgileri almak ve görüntülemek için:
$cred = Get-Credential # kullanıcıdan kimlik bilgileri ister ve bunları şu değişkende depolar:
Get-WmiObject ESET_Product -namespace 'root\ESET' -computername '10.1.118.180' -cred $cred