Jump to content

Lorder

Members
  • Content Count

    596
  • Joined

  • Last visited

Everything posted by Lorder

  1. Ситуация такая. Разворачивал мастером 4-ю версию антивируса для виртуальных сред с легким агентом на Hyper-V. С помощью мастера с сервера KSC (сейчас последняя версия, какая была на момент разворачивания точно не скажу.) поднял на каждом гипервизоре (10 штук) виртуальный сервер защиты. По инструкции мастер попросил учетную запись с правами на Hyper-V (что-бы там развернуть виртуальную машину). Я указал администратора, все прошло хорошо. И работает все тоже хорошо. Но после того, как планово сменился пароль администратора Hyper-V на контроллерах домена раз в минуту события ошибки авторизации от имени УЗ администратора Hyper-V и с адресом источника - виртуальные сервера защиты. Я не понимаю как и зачем виртуальные сервера защиты пытаются авторизоваться в домене от имени администратора Hyper-V. Я был уверен, что эта УЗ указывается только для разворачивания.
  2. На первый взгляд все отлично, все подгрузилось и теперь в порядке появления событий они сразу отправляются в splunk. Сейчас вечер и выходные, событий мало. Но, думаю, все ок .
  3. Всего в базе с 4 сентября 15 000 000 событий. К счастью, такие старые, в SIEM не отправляются (вроде) За 21 сентября собрано 550000 В среднем в рабочий день собирается 1 000 000 - 1 500 000 событий, в выходные 600 000.
  4. Добрый день! Настраиваю экспорт событий в SPLUNK (Настроить экспорт в SIEM систему). Выбрал формат syslog RFC5424 (т.к. в формате Splunk CEF экспортируются далеко не все события, которые мне нужны). Вчера включил отправку событий, сейчас следующая проблема наблюдается - в SIEM события до сих пор идут за вчерашнее утро. Поставил на сервер KSC wireshark, вижу, что события отправляются пачками по 100 штук раз в 30 секунд. Т.е. в минуту уходит 200 событий. Такими темпами я никогда не дойду до того, что будут в SIEM получать актуальные события. Каким-то образом регулируется параметры отправки? Откуда такое ограничение вылезло?
  5. Отлично. Это я и хотел узнать. Само собой, и уже сделано. Настроен белый список, и режим "только уведомлять". И в событиях есть то, что все равно надо разрешить. Вероятно по хешам. Выборка событий за 24 часа нашла 1000 запрещенных хэшей. Сколько их них надо разрешить - еще предстоит проверить, но, на первый взгляд, близко к 90%. И это за 24 часа. За месяц анализа может всплыть много чего, используемого реже, чем раз в день. Спасибо, вопрос решен.
  6. Вопрос, насколько корректным (как отразится на быстродействии клиентов или сервера) правило контроля запуска на основе белого списка и категории, пополняемой вручную хешами файлов SHA256? Если таких хешей будет сотни? Или тысячи? Предполагаю, что правило, разрешающее запуск файлов на основе автоматически пополняемой категории, читающей метрики файлов, лежащих в определенной папке, по сути тоже самое, тоже длинный список (всего что помещено в папку), только заполненный автоматически а не вручную. Или я ошибаюсь?
  7. Все таки прошу помочь решить две проблемы с обновлениями, имеющие массовый (100% на всей тестовой группе) характер. 1. Подсказать, что делать с ошибкой установки обновлений Microsoft: Абсолютно на всех устройствах тестовой группы с обновлениями Microsoft такая беда. 2. Что делать с обновлениями Google Chrome. Ошибки нет, просто не обновляется. И еще вопрос. KSC пытается обновить версию ПО, на ту, которой в уже нет. Есть более новая версия, но её KSC не предлагает. Указанного в ошибке URL (с версией 2.2.15) действительно нет, но если перейти по ссылке https://1.eu.dl.wireshark.org/win64/ , то увидим версию (2.2.16) и более свежие. Через какое-то время KSC поменяет URL или для этого надо писать в поддержку куда-то? Wireshark-win64-2.2.16.exe 2018-07-18 20:59 54M
  8. Поставил патч на сервер и на агентов администрирования выбранной группы компьютеров. Ситуация сильно не поменялась. на 44% или даже на 21% задача стояла несколько дней. Сегодня поднял тестовый сервер с последней версией KSC (SP3), перевел на него тестовую группу компьютеров (~400). Обновил агента, выполнил задачу поиска уязвимостей. Запустил задачу установки обновлений и закрытия уязвимостей. Работает более активно, но в большинстве случаев завершается ошибкой: "ошибка агента обновлений windows 80244019". Если можете подсказать в чем причина, буду признателен. И вопрос по процедуре обновлений. Откуда управляемое устройство берет назначенные ему обновления (Miscosoft и сторонних разработчиков, Aplle, Adobe, и пр.), с сервера KSC, с серверов сторонних разработчиков в интернет (т.е. нужен ли управляемому устройству интернет) с внутреннего сервера WSUS (для обновлений Microsoft)?
  9. Патч на управляемые компьютеры ставить задачей для установки сторонних программ. И указать файл патча и параметр -s? Или как-то просто одобрить его можно, что-бы он сам автоматом ставился? Есть ли дистрибутив агента уже с патчем, для новых компьютеров?
  10. В четверг создал и запустил задачу на группу компьютеров (в группе их ~400) На 120 компьютерах задача завершилась с вердиктом "действие не требуется" - это хорошо. Еще на 60 готова к выполнению, но не запускается, видимо выключены. На остальных задача запустилась в четверг, дошла до 44% и стоит на этих процентах 4-й день. Это вторая попытка использовать KSC для закрытия уязвимостей, первая попытка закончилась ровно так же. Как продвинуть задачу дальше этих 44%? KSC 10.4.343
  11. Где и как можно получить KPSN для разворачивания в своей сети? И можно ли его в виртуальной среде разворачивать?
  12. Все понятно всем спасибо. PS: Жалко, что к уязвимостям ПО не хотят добавить уязвимости в конфигурациях. Приходится держать еще один софт для их поиска.
  13. А с поиском уязвимостей что не так, его зачем убрали? Закрытия уязвимостей, соответственно, теперь тоже не будет?
  14. На части компьютеров у нас обнаруживается уязвимость KLA10544, на сайте с описанием: http://securelist.social-kaspersky.com/en/kadvisories/KLA10544 написано следующее: Affected products Microsoft Silverlight 4 earlier than 4.1.10329 Microsoft Silverlight 5 earlier than 5.1.10411 Но реально на клиентах установлен Silverlight актуальной версии (5.1.50901.0), чем версия, содержащая данную уязвимость. Если же посмотреть описание CVE, входящих в KLA10544 на сайте cve.mitre.org, то там увидим, что есть много других программных продуктов, содержащих эту уязвимость. CVE-2012-0159 Microsoft Windows XP SP2 and SP3, Windows Server 2003 SP2, Windows Vista SP2, Windows Server 2008 SP2, R2, and R2 SP1, Windows 7 Gold and SP1, and Windows 8 Consumer Preview; Office 2003 SP3, 2007 SP2 and SP3, and 2010 Gold and SP1; Silverlight 4 before 4.1.10329; and Silverlight 5 before 5.1.10411 allow remote attackers to execute arbitrary code via a crafted TrueType font (TTF) file, aka "TrueType Font Parsing Vulnerability." CVE-2011-3402 Unspecified vulnerability in the TrueType font parsing engine in win32k.sys in the kernel-mode drivers in Microsoft Windows XP SP2 and SP3, Windows Server 2003 SP2, Windows Vista SP2, Windows Server 2008 SP2, R2, and R2 SP1, and Windows 7 Gold and SP1 allows remote attackers to execute arbitrary code via crafted font data in a Word document or web page, as exploited in the wild in November 2011 by Duqu, aka "TrueType Font Parsing Vulnerability." Вопрос - это на сайте http://securelist.social-kaspersky.com не полное описание уязвимости?
  15. В личном кабинете создал запрос и попросил Патч А. В запросе указал ссылку на эту ветку обсуждения проблемы. Мне ответили: По ссылке почитал про патч, установил по инструкции, рекомендованной на сайте (в консоли, в разделе мониторинга, согласился с установкой). После установки проверил версию файла "klsoap.dlll должна быть 10.4.365" Затем выполнил следующие рекомендации: Запустил консоль, провел опрос Active Directory, удаленные каталоги создались снова. Никаких изменений в "безопасности" я не наблюдаю. Вижу две группы с одинаковым названием (одна из которых должна была переименоваться)
  16. Да, с настройкой "назначать автоматически". Сейчас, если поискать по "является агентом обновлений", у меня агентов обновлений 212 штук. Из них два назначены 10.1.249 и 10.4.407. Эти агенты сканируют AD? Я был уверен, что они ретранслируют базы/дистрибутивы и прочее на клиентские компьютеры для снижения нагрузки на центральный сервер. "если Active Directory сканируется апдейтагентом (UA), " - значит ли это, что сканирование может быть, а может и не быть? Если да, то где это проверить?
  17. Можете разъяснить подробнее этот пункт? Как выяснить кем сканируется AD?
  18. Например В домене было "KLOPER_Рабочие станции" -> переименовал в "KLPASS_рабочие станции". В KSC в безопасности: осталось "KLOPER_Рабочие станции"; добавить "KLPASS_Рабочие станции" не дает, говорит уже есть в списке (логично, группа та же, сид тот же); удалил из списка, добавил "KLPASS_Рабочие станции", добавилось, но отображается как "KLOPER_Рабочие станции"; создал в домене группу KLOPER_Рабочие станции, добавил удачно, теперь в списке безопасности две "KLOPER_Рабочие станции", одна из которых, на самом деле "KLPASS_Рабочие станции".
  19. Нет, не изменилось. Проблема эта наблюдается больше месяца. За это время принудительный опрос Active Directory я выполнял десятки раз (доступ к USB по заявке). Компьютер включаем в группу в AD, потом я синхронизирую (что-бы быстрее, не ждать плановую), делаю поиск по группе в AD - вижу, что комп в неё появился, синхронизирую политику - доступ к USB открыт. Т.е. синхронизация с AD и по расписанию работает, и сам я её часто принудительно запускаю. На название переименованной группы это никак не влияет.
  20. Не совсем понял, последнюю версию чего я должен найти по указанной ссылке? Сервер KSC у меня версии 10.4.343. Устанавливал на чистый сервер, 7 апреля (по вашей ссылке дистрибутив от 5 апреля). Каких-то дистрибутивов патчей на странице я, к сожалению, найти не смог.
×
×
  • Create New...

Important Information

We use cookies to make your experience of our websites better. By using and further navigating this website you accept this. Detailed information about the use of cookies on this website is available by clicking on more information.