секьюрити лог агент что это
Секьюрити лог агент что это
В теме нет куратора. По вопросам наполнения шапки обращайтесь к модераторам раздела через кнопку 
под сообщениями, на которые необходимо добавить ссылки.
Заранее простите, чукча не обзорщик
На ощупь довольно скользкий, софт-тач покрытия нет, пластмассовая задняя крышка довольно скользкая, при этом сам телефон лёгкий.
Покрытие дисплея приятное, по нему легко скользит палец, но оттереть следы сложно.
Микрофон неплохой, собеседники меня хорошо слышали, но все же немного не мешает шумоподавления.
Неплохая для цены камера.
Фотографии внешнего вида и образцы фотографий прикладываю.
По мере использования постараюсь дополнять.
Интернет мобильный или вайфай? Обычный мобильный у меня вроде не падает в скорости с блютузом. Может брак?
Здравствуйте товарищи! Вчера купил сей аппарат, что хочу сказать, весьма достойный аппарат. Сравниваю с Самсунг Галакси s 10e, s 10, m31, а m31 у меня до сих пор, но он лопата и это меня бесило. Честно говоря я подозревал что маркетинг нас зомбирует, но чтоб настолько. Аппарат очень компактный и удобный не сравнивая его конечно с s10e. Но не зря модем от Qualcomm хвалят, так как сотовый сигнал на порядок лучше чем у Эксинос. Поверьте я живу за городом в лесу практически. Этот малыш держит 4G там где у остальных Эксиносов и 3 G не стабильно работает. Я это ощутил это когда у меня был Редми 8.
Экран довольно яркий, не сильно отличается от Амолед матриц. Минимальная яркость совсем не минимальная конечно, но ночью надо спать.
По звуку норм, но я его увеличиваю когда нужно, с помощью программы с Плей Маркет называется Усилитель Громкости. Реально работает.
Очень люблю компактные смартфоны, а здесь ещё и батарея классная на 3900 мА. Думаю сутки при 8 часах экрана легко будет держать.
Гугл Камеры ставил разные штук 10, так вот подошла только от Редми 7а, но она даже хуже чем стоковая, перестал париться.
Вывод конечно мой субъективный таков, что в наше время нас задавили маркетингом и впариванием флагманов, а эти смартфоны якобы бабушкофоны, шли бы они куда подальше. А эти смартфоны не намного то и хуже, а тем кто в игры не подсидает так он однозначно подойдёт. Прошу строго не судить пишу на эмоциях.
Добавлено 19.08.2020, 17:34:
perpetueflorens, спасибо что открыли ветку на 4 pda, я до покупки смартфона искал, не нашел, а очень хотел почитать отзывы до покупки. Но купил и не пожалел. Буду следить с удовольствием за веткой, а так же много что нам актуально и про Самсунг А01 думаю так как они родственники. Спасибо
990x.top
Простой компьютерный блог для души)
Security Log Agent что это за программа? (com.samsung.android.securitylogagent)
Привет. Говорим о телефонах, а вернее о всяком непонятном, что можно заметить в телефоне. Вот один человек пишет, что он купил на днях телефон Samsung Galaxy, и в нем выскакивает часто предупреждение что мол обнаружены какие-то несекционные действия.. В общем ему отвечают что попробуйте обновить прошивку, типа этот баг уже устранен, и если не может, то нужно скачать Package Disabler из Google Play и в нем отключить Security Log Agent. Так что уже делаем вывод, что Security Log Agent может выдавать странную ошибку и что при ней делать я уже написал, можно попробовать. Хотя честно говоря не знаю что это за приложение Package Disabler…
Так, вот читаю что еще один чел спрашивает как убрать уведомление Security Log Agent. И ему другой отвечает что этот баг у всех есть после прошивки ядра на телефоне Samsung SM-G900F Galaxy S5.
Вот я нашел такую картинку, где вроде есть опция отключения уведомления Security Log Agent:
Вот только непонятно, где это настройка? Может нужно пойти в список приложений, там найти Security Log Agent, зайти в сведения? Многие люди писали что у них эта трабла появляется на новом телефоне, то есть они ничего в нем не меняли, прошивка родная, а проблема с этим уведомлением есть.
Представитель Samsung на эту проблему ответил так — он посоветовал очистить данные приложения Security Log Agent. В итоге человек очистил данные и остановил приложение и говорит что вроде после этого уведомление уже не выскакивает.. а вы проверьте, может у вас тоже получится остановить приложение? Кстати, если вы чуть продвинутый юзер, то можете использовать Titanium Backup — это прога как раз по работе с приложениями, можно останавливать, замораживать приложения. Но нужно в проге шарить немного, предупреждаю.
Что еще важно — представитель Самсунг сказал что это системное приложение и оно не удаляется:
Dот это попадос ребята.
Но вроде получается что можно остановить приложение Security Log Agent? Ребята, а ну попробуйте и мне потом напишите, окей?.
Ну а вот вроде бы то самое уведомление о каких-то несекционных действиях, смотрите:
Вот само приложение и с него видимо нужно снять галочку:
Возможно что выше на картинке и есть прога Package Disabler, точно не знаю. Да, точно, это прога Package Disabler, вот тут видно ее название:
Кстати вот человек пишет что ему удалось выключить Security Log Agent при помощи Package Disabler:
Вот еще один комментарий нашел человека, он говорит что раньше он замораживал Security Log Agent:
То есть снова мы видим то, что приложение Security Log Agent можно замораживать. Это я к тому, что если что — попробуйте заморозить при помощи Titanium Backup.
Ребята, на этом все, инфы не много и так что смог то и откопал. Удачи вам и берегите себя!!
Секьюрити лог агент что это
Простой компьютерный блог для души)
Привет. Говорим о телефонах, а вернее о всяком непонятном, что можно заметить в телефоне. Вот один человек пишет, что он купил на днях телефон Samsung Galaxy, и в нем выскакивает часто предупреждение что мол обнаружены какие-то несекционные действия.. В общем ему отвечают что попробуйте обновить прошивку, типа этот баг уже устранен, и если не может, то нужно скачать Package Disabler из Google Play и в нем отключить Security Log Agent. Так что уже делаем вывод, что Security Log Agent может выдавать странную ошибку и что при ней делать я уже написал, можно попробовать. Хотя честно говоря не знаю что это за приложение Package Disabler…
Так, вот читаю что еще один чел спрашивает как убрать уведомление Security Log Agent. И ему другой отвечает что этот баг у всех есть после прошивки ядра на телефоне Samsung SM-G900F Galaxy S5.
Вот я нашел такую картинку, где вроде есть опция отключения уведомления Security Log Agent:
Вот только непонятно, где это настройка? Может нужно пойти в список приложений, там найти Security Log Agent, зайти в сведения? Многие люди писали что у них эта трабла появляется на новом телефоне, то есть они ничего в нем не меняли, прошивка родная, а проблема с этим уведомлением есть.
Представитель Samsung на эту проблему ответил так — он посоветовал очистить данные приложения Security Log Agent. В итоге человек очистил данные и остановил приложение и говорит что вроде после этого уведомление уже не выскакивает.. а вы проверьте, может у вас тоже получится остановить приложение? Кстати, если вы чуть продвинутый юзер, то можете использовать Titanium Backup — это прога как раз по работе с приложениями, можно останавливать, замораживать приложения. Но нужно в проге шарить немного, предупреждаю.
Что еще важно — представитель Самсунг сказал что это системное приложение и оно не удаляется:
Dот это попадос ребята.
Но вроде получается что можно остановить приложение Security Log Agent? Ребята, а ну попробуйте и мне потом напишите, окей?.
Ну а вот вроде бы то самое уведомление о каких-то несекционных действиях, смотрите:
Вот само приложение и с него видимо нужно снять галочку:
Возможно что выше на картинке и есть прога Package Disabler, точно не знаю. Да, точно, это прога Package Disabler, вот тут видно ее название:
Кстати вот человек пишет что ему удалось выключить Security Log Agent при помощи Package Disabler:
Вот еще один комментарий нашел человека, он говорит что раньше он замораживал Security Log Agent:
То есть снова мы видим то, что приложение Security Log Agent можно замораживать. Это я к тому, что если что — попробуйте заморозить при помощи Titanium Backup.
Ребята, на этом все, инфы не много и так что смог то и откопал. Удачи вам и берегите себя!!
Повысьте безопасность вашего устройства Samsung
Последняя версия
Оценить это приложение
SecurityLogAgent – это официальное системное приложение, позволяющее обеспечить безопасность вашего устройства Samsung. Этот инструмент уведомляет вас в случае возникновения проблемы в используемом вами Android-устройстве.
Если в вашем Samsung возникает проблема безопасности, SecurityLogAgent выдаёт сообщение: ‘Обнаружены несанкционированные действия’. Это системное приложение генерирует такое сообщение и предлагает возможность перезагрузить устройство Samsung, чтобы отменить все изменения.
SecurityLogAgent – приложение созданное Samsung, чтобы помогать с защитой вашего устройства. Это нужный системный инструмент для устройств, произведённых этим популярным корейским брендом.
Привет Хабр! Читайте под катом как получить доступ к логу безопасности Windows без прав администратора. Эта будет не первая статья на Хабре связанная с логами Windows и наверно не самая оригинальная, но на мой взгляд я потратил слишком много времени на поиск простого решения для чтения логов обычным пользователем, вот я и решил поделиться «историей своего успеха».
Также пришлось сравнить скорость работы Powershell командлетов Get-WinEvent и Get-EventLog.
Все что находится под катом актуально для Windows Server 2008R2/2012R2, Windows 10 Pro (1809), на других версиях я не проверял, думаю что с продуктами 2016 и 2019 годов ситуация аналогичная.
И так, по умолчанию у рядового пользователя прав на чтение логов безопасности нет.
При попытке получить логи вы получите ошибку.
И через Event Viewer в доступе также будет отказано.
SHOWTIME
Добавим пользователя в локальную группу Event Log Readers.
Далее предоставляем права на чтение ветки реестра MACHINESystemCurrentControlSetServicesEventlogSecurity.
Без изменения прав на эту ветку реестра, прочитать параметры лога безопасности не получится, соответственно не получится узнать место расположение и имя файла с логами. Security, это единственный раздел сервиса Eventlog который не наследует права доступа от корня.
Вот как выглядят права для MACHINESystemCurrentControlSetServicesEventlog.
Проверяем, оба командлета Get-WinEvent и Get-EventLog работают!
Позже вернусь к сравнению этих командлетов…
Manage auditing and security log
Если пользователю необходимо предоставить права на отчистку лога, вам придется отредактировать групповую политику. Пользователю или группе пользователей необходимо добавить права Manage auditing and security log.
Находится данная группа тут Computer ConfigurationWindows SettingsSecurity SettingsLocal PoliciesUser Rights Assignment.
Более подробно про Manage auditing and security log можно прочитать тут
This policy setting determines which users can specify object access audit options for individual resources such as files, Active Directory objects, and registry keys. These objects specify their system access control lists (SACL). A user who is assigned this user right can also view and clear the Security log in Event Viewer. For more info about the Object Access audit policy, see Audit object access.
Проверяем, все работает как и было обещано, логи были отчищены…
Другие логии отчистить прав нету.
Честно говоря, не могу придумать сценарий где пользователю нужно выдать права на отчистку логов безопасности, но такая возможность присутствует.
Get-WinEvent VS Get-EventLog
Пришло время сравнить эти два командлета
The Get-EventLog cmdlet gets events and event logs on the local and remote computers.
You can use the cmdlet’s parameters and property values to search for events. This cmdlet gets events that match the specified property values.
The cmdlets that contain the EventLog noun work only on classic event logs. To get events from logs that use the Windows Event Log technology in Windows Vista and later Windows versions, use Get-WinEvent.
The Get-WinEvent cmdlet gets events from event logs, including classic logs, such as the System and Application logs, and the event logs that are generated by the Windows Event Log technology introduced in Windows Vista. It also gets events in log files generated by Event Tracing for Windows (ETW).
Without parameters, a Get-WinEvent command gets all the events from all the event logs on the computer. To interrupt the command, press CTRL + C.
Get-WinEvent also lists event logs and event log providers. You can get events from selected logs or from logs generated by selected event providers. And, you can combine events from multiple sources in a single command. This cmdlet allows you to filter events by using XPath queries, structured XML queries, and simplified hash-table queries
Согласно описания, Get-WinEvent умеет работать с большим количеством журналов которые появились в WIndows Vista.
Для наглядности вот списки с которыми работают эти командлеты, вывод для Get-WinEvent я остановил.
Но есть одно но, производительность имеет значение, сравните время выполнения запросов.
Время работы Get-WinEvent просто поражает, обратите внимание на количество записей в логах Applocation и Security, количество событий примерно одинаковое 3400-3600, но при этом разница по времени выполнения почти 20 раз…
Get-WinEvent тратит 127 секунд против 52 секунд Get-EventLog для чтения событий Application.
И шах и мат, Get-WinEvent тратит 2020 секунд против 45 секунд Get-EventLog для чтения событий Security.
Если выполнить те же команды локально все выглядит не так уж и плохо, но даже локально Get-EventLog работает с логами безопасности в 50 раз быстрее чем Get-WinEvent.
И еще один пример, уже чуть более осмысленный, получения событий с кодом 4624 An account was successfully logged on.
Что тут сказать, цифры не врут…
Non-administrator access to DC Event logs
И на заключение я оставил тему получения доступа к логам безопасности на домен контроллере.
Все выше написанное актуально и для домен контроллера с некоторыми поправками.
1 — Группу Event Log Readers вы найдете в объектах Built-in security principals.
Добавляя пользователя в данную группу вы даете права только на чтение логов на домен контроллерах.
И не забывайте что на каждом из домен контроллеров необходимо дать права на чтение ветки реестра MACHINESystemCurrentControlSetServicesEventlogSecurity.
Вот пример, прочитать лог рядового сервера разрешений нет, если вам нужно читать логи с других машин домена, используйте групповые политики, для добавления пользователей или групп пользователей в локальные группы Event Log Readers.
2 – Для добавления прав на отчистку логов необходимо редактировать политику Default Domain Controllers Policy.
3 – Для разрешения запуска заданий от имени пользователя на домен контроллере необходимо также редактировать Default Domain Controllers Policy и дать пользователю права Log on as a batch job.
4 — Будьте предельно внимательными при редактировании дефолтных политик домена!
Краткий список ресурсов, которые мне помогли:
Что полезного можно вытащить из логов рабочей станции на базе ОС Windows
Пользовательская рабочая станция — самое уязвимое место инфраструктуры по части информационной безопасности. Пользователям может прийти на рабочую почту письмо вроде бы из безопасного источника, но со ссылкой на заражённый сайт. Возможно, кто-то скачает полезную для работы утилиту из неизвестно какого места. Да можно придумать не один десяток кейсов, как через пользователей вредоносное ПО может внедриться на внутрикорпоративные ресурсы. Поэтому рабочие станции требуют повышенного внимания, и в статье мы расскажем, откуда и какие события брать для отслеживания атак.
Для выявления атаки на самой ранней стадии в ОС Windows есть три полезных событийных источника: журнал событий безопасности, журнал системного мониторинга и журналы Power Shell.
Журнал событий безопасности (Security Log)
Это главное место хранения системных логов безопасности. Сюда складываются события входа/выхода пользователей, доступа к объектам, изменения политик и других активностей, связанных с безопасностью. Разумеется, если настроена соответствующая политика.
Перебор пользователей и групп (события 4798 и 4799). Вредоносное ПО в самом начале атаки часто перебирает локальные учетные записи пользователей и локальные группы на рабочей станции, чтобы найти учетные данные для своих тёмных делишек. Эти события помогут обнаружить вредоносный код раньше, чем он двинется дальше и, используя собранные данные, распространится на другие системы.
Создание локальной учётной записи и изменения в локальных группах (события 4720, 4722–4726, 4738, 4740, 4767, 4780, 4781, 4794, 5376 и 5377). Атака может также начинаться, например, с добавления нового пользователя в группу локальных администраторов.
Попытки входа с локальной учётной записью (событие 4624). Добропорядочные пользователи заходят с доменной учётной записью и выявление входа под локальной учётной записью может означать начало атаки. Событие 4624 включает также входы под доменной учетной записью, поэтому при обработке событий нужно зафильтровать события, в которых домен отличается от имени рабочей станции.
Попытка входа с заданной учётной записью (событие 4648). Такое бывает, когда процесс выполняется в режиме “Запуск от имени” (run as). В нормальном режиме работы систем такого не должно быть, поэтому такие события должны находиться под контролем.
Блокировка/разблокировка рабочей станции (события 4800-4803). К категории подозрительных событий можно отнести любые действия, которые происходили на заблокированной рабочей станции.
Изменения конфигурации файрволла (события 4944-4958). Очевидно, что при установке нового ПО настройки конфигурации файрволла могут меняться, что вызовет ложные срабатывания. Контролировать такие изменения в большинстве случаев нет необходимости, но знать о них точно лишним не будет.
Подключение устройств Plug’n’play (событие 6416 и только для WIndows 10). За этим важно следить, если пользователи обычно не подключают новые устройства к рабочей станции, а тут вдруг раз — и подключили.
Windows включает в себя 9 категорий аудита и 50 субкатегорий для тонкой настройки. Минимальный набор субкатегорий, который стоит включить в настройках:
Системный монитор (Sysmon)
Sysmon — встроенная в Windows утилита, которая умеет записывать события в системный журнал. Обычно требуется его устанавливать отдельно.
Эти же события можно в принципе найти в журнале безопасности (включив нужную политику аудита), но Sysmon даёт больше подробностей. Какие события можно забирать из Sysmon?
Создание процесса (ID события 1). Системный журнал событий безопасности тоже может сказать, когда запустился какой-нибудь *.exe и даже покажет его имя и путь запуска. Но в отличие от Sysmon не сможет показать хэш приложения. Злонамеренное ПО может называться даже безобидным notepad.exe, но именно хэш выведет его на чистую воду.
Сетевые подключения (ID события 3). Очевидно, что сетевых подключений много, и за всеми не уследить. Но важно учитывать, что Sysmon в отличие от того же Security Log умеет привязать сетевое подключение к полям ProcessID и ProcessGUID, показывает порт и IP-адреса источника и приёмника.
Изменения в системном реестре (ID события 12-14). Самый простой способ добавить себя в автозапуск — прописаться в реестре. Security Log это умеет, но Sysmon показывает, кто внёс изменения, когда, откуда, process ID и предыдущее значение ключа.
Создание файла (ID события 11). Sysmon, в отличие от Security Log, покажет не только расположение файла, но и его имя. Понятно, что за всем не уследишь, но можно же проводить аудит определённых директорий.
А теперь то, чего в политиках Security Log нет, но есть в Sysmon:
Изменение времени создания файла (ID события 2). Некоторое вредоносное ПО может подменять дату создания файла для его скрытия из отчётов с недавно созданными файлами.
Загрузка драйверов и динамических библиотек (ID событий 6-7). Отслеживание загрузки в память DLL и драйверов устройств, проверка цифровой подписи и её валидности.
Создание потока в выполняющемся процессе (ID события 8). Один из видов атаки, за которым тоже нужно следить.
События RawAccessRead (ID события 9). Операции чтения с диска при помощи “\\.\”. В абсолютном большинстве случаев такая активность должна считаться ненормальной.
Создание именованного файлового потока (ID события 15). Событие регистрируется, когда создается именованный файловый поток, который генерирует события с хэшем содержимого файла.
Создание named pipe и подключения (ID события 17-18). Отслеживание вредоносного кода, который коммуницирует с другими компонентами через named pipe.
Активность по WMI (ID события 19). Регистрация событий, которые генерируются при обращении к системе по протоколу WMI.
Для защиты самого Sysmon нужно отслеживать события с ID 4 (остановка и запуск Sysmon) и ID 16 (изменение конфигурации Sysmon).
Журналы Power Shell
Power Shell — мощный инструмент управления Windows-инфраструктурой, поэтому велики шансы, что атакующий выберет именно его. Для получения данных о событиях Power Shell можно использовать два источника: Windows PowerShell log и Microsoft-WindowsPowerShell / Operational log.
Windows PowerShell log
Загружен поставщик данных (ID события 600). Поставщики PowerShell — это программы, которые служат источником данных для PowerShell для просмотра и управления ими. Например, встроенными поставщиками могут быть переменные среды Windows или системный реестр. За появлением новых поставщиков нужно следить, чтобы вовремя выявить злонамеренную активность. Например, если видите, что среди поставщиков появился WSMan, значит был начат удаленный сеанс PowerShell.
Microsoft-WindowsPowerShell / Operational log (или MicrosoftWindows-PowerShellCore / Operational в PowerShell 6)
Журналирование модулей (ID события 4103). В событиях хранится информация о каждой выполненной команде и параметрах, с которыми она вызывалась.
Журналирование блокировки скриптов (ID события 4104). Журналирование блокировки скриптов показывает каждый выполненный блок кода PowerShell. Даже если злоумышленник попытается скрыть команду, этот тип события покажет фактически выполненную команду PowerShell. Ещё в этом типе события могут фиксироваться некоторые выполняемые низкоуровневые вызовы API, эти события обычно записывается как Verbose, но если подозрительная команда или сценарий используются в блоке кода, он будет зарегистрирован как c критичностью Warning.
Обратите внимание, что после настройки инструмента сбора и анализа этих событий потребуется дополнительное время на отладку для снижения количества ложных срабатываний.
Расскажите в комментариях, какие собираете логи для аудита информационной безопасности и какие инструменты для этого используете. Одно из наших направлений — решения для аудита событий информационной безопасности. Для решения задачи сбора и анализа логов можем предложить присмотреться к Quest InTrust, который умеет сжимать хранящиеся данные с коэффициентом 20:1, а один его установленный экземпляр способен обрабатывать до 60000 событий в секунду из 10000 источников.