Jump to content

SkyNezu

Members
  • Content Count

    29
  • Joined

  • Last visited

About SkyNezu

  • Rank
    Candidate

Recent Profile Visitors

The recent visitors block is disabled and is not being shown to other users.

  1. Задача сосотоит в том, чтобы отправлять в SIEM систему указанные выше типы событий в CEF-формате. Для этого мы хотим написать свой прокси класс для транспорта таких сообщений в свою SIEM. Версия KES 11.
  2. Добрый день! Приведите, пожалуйста, примеры сообщений в CEF-формате, которые отправляются в SIEM HP ARCSIGHT для следующих типов событий: 1) KLPRCI_TaskState 2) KLSRV_EVENT_HOSTS_NEW_DETECTED KLSRV_HOST_OUT_CONTROL KLSRV_INVISIBLE_HOSTS_REMOVED KLSRV_HOST_MOVED_WITH_RULE_EX KLSRV_HOST_STATUS_WARNING KLSRV_HOST_STATUS_CRITICAL 3) KLSRV_EV_LICENSE_CHECK_90 KLNAG_EV_DEVICE_ARRIVAL KLNAG_EV_INV_APP_INSTALLED KLNAG_EV_INV_APP_UNINSTALLED KLSRV_EV_SLAVE_SRV_CONNECTED KLAUD_EV_OBJECTMODIFY KLAUD_EV_SERVERCONNECT KLSRV_LICENSE_BLACKLISTED KLSRV_EV_SLAVE_SRV_DISCONNECTED KLPRCI_TaskState KLSRV_RUNTIME_ERROR KLNAG_EV_DEVICE_REMOVE KLNAG_EV_INV_CMPTR_APP_UNINSTALLED KLSRV_EV_LICENSE_CHECK_100_110 KLNAG_EV_INV_CMPTR_APP_INSTALLED KLSRV_UPD_BASES_UPDATED KLAUD_EV_ADMGROUP_CHANGED 4) GNRL_EV_SUSPICIOUS_OBJECT_FOUND GNRL_EV_WEB_URL_BLOCKED GNRL_EV_VIRUS_FOUND GNRL_EV_FULLSCAN_STATUS_NOTIFICATION GNRL_EV_OBJECT_DELETED GNRL_EV_PASSWD_ARCHIVE_FOUND
  3. Использовать отчет GSI возможности нет, к сожалению. Есть другой способ решить проблему?
  4. У меня есть несколько групп, в том числе и вложенные. Основная - Управляемые устройства\Group1. Не могу посмотреть сконвертированную активную политику. Сделал с нее неактивную копию - просмотр также недоступен. В Group1 есть вложенные группы, в них я также политики просмотреть не могу. В группе Group1 создал новую политику для KES 11. Просмотреть свойства могу. Есть еще группы - Управляемые устройства\Group1, Group2, Group3 и т.д. Group2 - просматриваю политики. Group3 - не могу просмотреть, та же ошибка. Group4 - не могу просмотреть, та же ошибка. Group5 - не могу просмотреть, та же ошибка. Group5 - не могу просмотреть, та же ошибка. Group6 - просматриваю политики.
  5. Добрый день. По рекомендации из предыдущей моей темы обновили KES до версии (11.0.0) (11.0.0.6499). Появились конвертированные политики. При попытке просмотреть параметры политики вышла ошибка (скрин прикрепил). Был скачан KSC10_KES11.zip на этой странице https://support.kaspersky.ru/9333. Не помогло. Обновил KSC до версии 10.5.1781. Тоже не помогло. И заметил еще одну особенность. В некоторых группах я могу просмотреть свойства политики, а в некоторых вот такая ошибка. В чем может быть проблема?
  6. Возможности обновить клиента в данный момент нет. И мне непонятна эта рекомендация. Базы обновлены, политики настроены на блокировку. Зачем обновлять клиента в этих случаях? Чем это мотивировано?
  7. Добрый день. Имеем: 1. Windows 8.1. 2. Kaspersky Endpoint Security 10 Service Pack 1 Maintenance Release 2 для Windows (10.2.5.3201) Событие 1. Файловыйц антивирус. Обнаружен вредоносный объект. Описание: Результат: Обнаружено: Trojan.JS.Miner.m Пользователь: domain\user (Инициатор) Объект: C:\users\user\appdata\local\google\chrome\user data\default\cache\f_00a725/packed Событие 2. Файловыйц антивирус. Лечение невозможно. Описание: Результат: Не вылечено: Trojan.JS.Miner.m Пользователь: domain\user (Активный пользователь) Объект: C:\users\user\appdata\local\google\chrome\user data\default\cache\f_00a725/packed Почему лечение стало невозможным? И как на такие события реагировать?
  8. В достаточно больших организациях, чтобы наказать человека нужно оформить кучу бумажек, потому что так построен бизнес-процесс. Это отнимает время. Именно этого и хочется избежать.
  9. Добрый день. Пользователи приносят на съемных носителях или качают из инета компьютерные игры, большинство из них установки не требует. Блокировать USB или инет не вариант. Блокировали по имени файла - научились переименовывать файлы, блокировали по хэш-сумме - приносят игру другой версии. Как запретить запуск игр? Может есть какие-то бэст практикс? Kaspersky Security Center - Версия: 10.3.407 Kaspersky Endpoint Security - Версия: 10.2.5.3201 (mr3)
  10. Спасибо, в отчете написал *Miner*. А если необходимо указать 2 или 3 значения? Может специалисты ЛК ответят по синтаксису более подробно?
  11. По некоторым причинам это очень неудобно. Что нужно написать в условии фильтрации поля "Обнаруженный объект" в отчете чтобы увидеть майнеры? И где можно прочитать про синтаксис этого поля? И можно ли указать сразу несколько значений, например, если мне нужны все worm и все ransom в одном отчете?
  12. Kaspersky Security Center - Версия: 10.3.407 Kaspersky Endpoint Security - Версия: 10.2.5.3201 (mr3)
  13. Добрый день. Популярная тема с майнингом не дает спокойно спать по ночам Хочу сделать отчет, где бы мне выводились все обнаруженные майнеры различных криптовалют. Как ЛК классифицирует данное ПО? Что нужно написать в условии фильтрации поля "Обнаруженный объект" в отчете? И где можно прочитать про синтаксис этого поля? И можно ли указать сразу несколько значений, например, если мне нужны все worm и все ransom в одном отчете?
×
×
  • Create New...

Important Information

We use cookies to make your experience of our websites better. By using and further navigating this website you accept this. Detailed information about the use of cookies on this website is available by clicking on more information.