Jump to content

hometools

Members
  • Content Count

    193
  • Joined

  • Last visited

1 Follower

About hometools

  • Rank
    Cadet
  1. А смысл этого алерта? В шаблоне указано "на компьютере %COMPUTER% (%HOST_IP%)" - логично бы говорить на каком компьютере это произошло, разве нет?
  2. Дополнительно упаковать в SFX архив с паролем? Как вариант - вы сами добавите ключи после инсталляции, например через средство удаленного доступа. Это исключит утечку ключа.
  3. Дополнительно про алерты на почту. Сегодня на почту пришел алерт о вирусной атаке. Настроено это в Отчеты и уведомления - вкладка Уведомления - Изменить параметры доставки уведомлений. Шаблон этой рассылки следующий: А вот и сам алерт: По факту событие произошло на клиентском управляемом компьютере, но письмо говорит, что оно произошло на сервере. Абсолютно не информативно и вводит в заблуждение. PS Про третий скриншот в старттопике вопрос актуален.
  4. Верно. Я также настраиваю, ибо "автоматически" - ни о чем не говорит, т.к. заранее неизвестно как поведет себя антивирус. Но настройками политик у нас сейчас занимается другой человек. Это вы про первый скриншот, видимо. В том и состоит мой вопрос - почему антивирус не вылечил или не удалил, раз все известно? Обнаружен зараженный объект - он должен быть обезврежен "автоматически", а не руками администратора. Или я не прав? Да, ситуэйшн одновременно и смешной, и печальный. Но вот бывает и так.
  5. Здравствуйте, спасибо за развернутый ответ! А если такие события появляются, когда в политике задано действие "автоматически" и файлы находятся на локальном диске (папка временных файлов пользователя)?
  6. Насколько я знаю, Ransom детектится уже достаточно давно. Версия, что Гугл знает, а антивирусы не знают - дикая какая-то. Два дня - это не много. Неделя - уже критически много. 172 тыс зашифрованных файла в течении более недели - дичь, которой не должны быть в принципе потому, что быть не должно. У KES ведь не только сигнатурный анализ. Помнится мне, ты даже настраивал что-то для анализа поведения исполняемых файлов - не получилось?
  7. В сентябре - относительно новый? Отчеты один раз в сутки - с графиками и не нужной непонятной инфой - это неинтересно. Нужны именно алерты - скачал сотрудник вирус, который не вылечен - алерт в почту AntivirusAdmin. Все остальное - вилами по воде. Все же хотелось бы услышать ответ и рекомендации от сотрудников ЛК.
  8. Коллеги, доброго времени суток! Объясните мне, пожалуйста, смысл в следующих отчетах. Отчет по шаблону "Отчет о вирусах", в фильтрах добавлена дата (последние 1 сутки). Файл по этому пути присутствует, на вирустотал не детектируется: 0 / 54. Как вижу я - это ложное срабатывание KES? Что с этим можно/нужно делать? Выборка компьютеров "Активные угрозы за последние сутки" со следующим фильтром: А вот и сама выборка: выдает, среди прочего, такие: неизвестный объект, не вылечено. Удаляю эти события из выборки, но они появляются снова через несколько часов. Таких компьютеров много, в отчеты попадают ежедневно - как на это реагировать и что делать - не ясно. Раньше как-то пытались разобраться с этим, но так и не смогли. А сейчас уже петух клюнул - поймали шифровальщик, который резвился больше недели (!!!) и Касперский никак не дал знать об активной угрозе. Сегодня пытался настроить уведомление на почту в случае обнаружения невылеченных активных угроз - и не нашел такого функционала. Есть только по расписанию раз в сутки. Как же так? Версии ПО - KES MR1, KSC MR1. Спасибо.
  9. Извините, но вы стартпост вообще читали? Ваши ответы не вяжутся ну совершенно никак. Статус "активна" появляется сразу, как только под этой под этой учеткой пользователь залогинился на ПК. Причем тут вообще блокировка учетной записи? Причем тут AD, если компьютеры вне домена?
  10. Коллеги, доброго времени суток! Имеется: Версия KSC: 10.1.249 a,b,c Версия Агента администрирования: 10.1.249 a,b,c Версия антивирусной программы: 10.2.1.23 a,b,c Имеется порядка 3,5К компьютеров вне домена (разбросаны по стране), управляются с одного KSC. Все компьютеры разлиты из одного образа, в котором только 2 учетные записи пользователя: admin и user. Естественно, что пользователи не знают пароль учетной записи admin и должны работать под учеткой user. Учетная запись admin используется только при начальной настройке оборудования ПК после разливки образа и более не используется. Но это не всегда так: утечки, взломы и т.д. имеют место быть. В отчете "Отчет по пользователям на компьютерах" у многих компьютеров указано, что обе учетные записи (user и admin) активны. Но ведь под под admin никто не работает уже несколько месяцев! Так как таких компьютеров в отчете 99%, то меня берут сомнения в корректности данного отчета. Отсюда вопросы: 1. Что значит "учетная запись активна"? 2. За какой период показывается статистика активности учетной записи? 3. Или действительно учетная запись admin реально активна, то есть ею пользуются? Вопрос важный, поскольку решается вопрос о возбуждении внутреннего расследования нарушения ИБ. Спасибо.
×
×
  • Create New...

Important Information

We use cookies to make your experience of our websites better. By using and further navigating this website you accept this. Detailed information about the use of cookies on this website is available by clicking on more information.