Jump to content

Lorder

Members
  • Content Count

    596
  • Joined

  • Last visited

About Lorder

  • Rank
    Commentator

Recent Profile Visitors

2,313 profile views
  1. Ситуация такая. Разворачивал мастером 4-ю версию антивируса для виртуальных сред с легким агентом на Hyper-V. С помощью мастера с сервера KSC (сейчас последняя версия, какая была на момент разворачивания точно не скажу.) поднял на каждом гипервизоре (10 штук) виртуальный сервер защиты. По инструкции мастер попросил учетную запись с правами на Hyper-V (что-бы там развернуть виртуальную машину). Я указал администратора, все прошло хорошо. И работает все тоже хорошо. Но после того, как планово сменился пароль администратора Hyper-V на контроллерах домена раз в минуту события ошибки авторизации от имени УЗ администратора Hyper-V и с адресом источника - виртуальные сервера защиты. Я не понимаю как и зачем виртуальные сервера защиты пытаются авторизоваться в домене от имени администратора Hyper-V. Я был уверен, что эта УЗ указывается только для разворачивания.
  2. На первый взгляд все отлично, все подгрузилось и теперь в порядке появления событий они сразу отправляются в splunk. Сейчас вечер и выходные, событий мало. Но, думаю, все ок .
  3. Всего в базе с 4 сентября 15 000 000 событий. К счастью, такие старые, в SIEM не отправляются (вроде) За 21 сентября собрано 550000 В среднем в рабочий день собирается 1 000 000 - 1 500 000 событий, в выходные 600 000.
  4. Добрый день! Настраиваю экспорт событий в SPLUNK (Настроить экспорт в SIEM систему). Выбрал формат syslog RFC5424 (т.к. в формате Splunk CEF экспортируются далеко не все события, которые мне нужны). Вчера включил отправку событий, сейчас следующая проблема наблюдается - в SIEM события до сих пор идут за вчерашнее утро. Поставил на сервер KSC wireshark, вижу, что события отправляются пачками по 100 штук раз в 30 секунд. Т.е. в минуту уходит 200 событий. Такими темпами я никогда не дойду до того, что будут в SIEM получать актуальные события. Каким-то образом регулируется параметры отправки? Откуда такое ограничение вылезло?
  5. Отлично. Это я и хотел узнать. Само собой, и уже сделано. Настроен белый список, и режим "только уведомлять". И в событиях есть то, что все равно надо разрешить. Вероятно по хешам. Выборка событий за 24 часа нашла 1000 запрещенных хэшей. Сколько их них надо разрешить - еще предстоит проверить, но, на первый взгляд, близко к 90%. И это за 24 часа. За месяц анализа может всплыть много чего, используемого реже, чем раз в день. Спасибо, вопрос решен.
  6. Вопрос, насколько корректным (как отразится на быстродействии клиентов или сервера) правило контроля запуска на основе белого списка и категории, пополняемой вручную хешами файлов SHA256? Если таких хешей будет сотни? Или тысячи? Предполагаю, что правило, разрешающее запуск файлов на основе автоматически пополняемой категории, читающей метрики файлов, лежащих в определенной папке, по сути тоже самое, тоже длинный список (всего что помещено в папку), только заполненный автоматически а не вручную. Или я ошибаюсь?
  7. Все таки прошу помочь решить две проблемы с обновлениями, имеющие массовый (100% на всей тестовой группе) характер. 1. Подсказать, что делать с ошибкой установки обновлений Microsoft: Абсолютно на всех устройствах тестовой группы с обновлениями Microsoft такая беда. 2. Что делать с обновлениями Google Chrome. Ошибки нет, просто не обновляется. И еще вопрос. KSC пытается обновить версию ПО, на ту, которой в уже нет. Есть более новая версия, но её KSC не предлагает. Указанного в ошибке URL (с версией 2.2.15) действительно нет, но если перейти по ссылке https://1.eu.dl.wireshark.org/win64/ , то увидим версию (2.2.16) и более свежие. Через какое-то время KSC поменяет URL или для этого надо писать в поддержку куда-то? Wireshark-win64-2.2.16.exe 2018-07-18 20:59 54M
  8. Поставил патч на сервер и на агентов администрирования выбранной группы компьютеров. Ситуация сильно не поменялась. на 44% или даже на 21% задача стояла несколько дней. Сегодня поднял тестовый сервер с последней версией KSC (SP3), перевел на него тестовую группу компьютеров (~400). Обновил агента, выполнил задачу поиска уязвимостей. Запустил задачу установки обновлений и закрытия уязвимостей. Работает более активно, но в большинстве случаев завершается ошибкой: "ошибка агента обновлений windows 80244019". Если можете подсказать в чем причина, буду признателен. И вопрос по процедуре обновлений. Откуда управляемое устройство берет назначенные ему обновления (Miscosoft и сторонних разработчиков, Aplle, Adobe, и пр.), с сервера KSC, с серверов сторонних разработчиков в интернет (т.е. нужен ли управляемому устройству интернет) с внутреннего сервера WSUS (для обновлений Microsoft)?
  9. Патч на управляемые компьютеры ставить задачей для установки сторонних программ. И указать файл патча и параметр -s? Или как-то просто одобрить его можно, что-бы он сам автоматом ставился? Есть ли дистрибутив агента уже с патчем, для новых компьютеров?
  10. В четверг создал и запустил задачу на группу компьютеров (в группе их ~400) На 120 компьютерах задача завершилась с вердиктом "действие не требуется" - это хорошо. Еще на 60 готова к выполнению, но не запускается, видимо выключены. На остальных задача запустилась в четверг, дошла до 44% и стоит на этих процентах 4-й день. Это вторая попытка использовать KSC для закрытия уязвимостей, первая попытка закончилась ровно так же. Как продвинуть задачу дальше этих 44%? KSC 10.4.343
×
×
  • Create New...

Important Information

We use cookies to make your experience of our websites better. By using and further navigating this website you accept this. Detailed information about the use of cookies on this website is available by clicking on more information.