Jump to content

akoh

Members
  • Content Count

    6
  • Joined

  • Last visited

About akoh

  • Rank
    Candidate

Recent Profile Visitors

93 profile views
  1. SIEM отработало событие, как компоненты защиты выключены, защита не работает! Как именно оно срабатывает, при выходе пользователя из системы или нет? Т.к. анализ всех событий показал, что и на активной машине событие отрабатывается как компоненты защиты выключены! Версия KSC 10 (3.0.6294)
  2. Всем привет! Подскажите, как отрабатывается данное событие в SIEM системе: Отрабатывается событие, когда пользователь зашёл в систему и вышел!! Подскажите кто может! Спасибо! Name : 000000d6 Message : Тип события: Компоненты защиты выключены Программа\Название: Kaspersky Endpoint Security 10 для Windows Программа\Путь: C:\Program Files (x86)\Kaspersky Lab\Kaspersky Endpoint Security 10 for Windows SP2\ Пользователь: NT AUTHORITY\система (Системный пользователь) Компонент: Управление защитой Результат\Описание: Защита не работает
  3. Ivan.Ponomarev Данное событие приходит на SIEM-систему, нормализуется и .... мы видим его таким, как я описал выше. Вопрос стоит в том, как понять, что именно он генерирует. Версия продукта: 10.3.0.6294 Спасибо!
  4. Всем привет! У меня возник такой вопрос, есть данное событие, которое светится как компоненты защиты выключены, как оно отрабатывается: 1. Сработает, когда выключен компьютер или отправлен на перезагрузку??? 2. Сработает, когда вручную отключим антивирус??? Сообщение данного события выглядит следующим образом. Message : Тип события: Компоненты защиты выключены Программа\Название: Kaspersky Endpoint Security 10 для Windows Программа\Путь: C:\Program Files (x86)\Kaspersky Lab\Kaspersky Endpoint Security 10 for Windows SP2\ Пользователь: NT AUTHORITY\система (Системный пользователь) Компонент: Управление защитой Результат\Описание: Защита не работает Спасибо.
  5. Добрый день! Подскажите пожалуйста, как отрабатывается это события KES 10 версии, или почему он генерирует данное событие? Есть сообщение, где он генерирует ID:процесса (они всегда разные). Message : Тип события: Создана резервная копия объекта Пользователь: ********* (Активный пользователь) Объект: D:\учеба.lnk Объект\Тип: Файл Объект\Путь: D:\ Объект\Название: учеба.lnk Результат\Описание: Создана резервная копия Результат\Тип: Троянская программа Результат\Название: Trojan.WinLNK.Runner.ea Результат\Степень угрозы: Высокая Результат\Точность: Точно 2 События, в чем различия?! Message : Тип события: Создана резервная копия объекта Программа\Название: Local Security Authority Process Программа\Путь: C:\Windows\System32\ Программа\ID процесса: 312 Пользователь: NT AUTHORITY\система (Системный пользователь) Компонент: Файловый Антивирус Результат\Описание: Создана резервная копия Результат\Тип: Троянская программа Результат\Название: Trojan-Ransom.Win32.Wanna.m Результат\Степень угрозы: Высокая Результат\Точность: Точно Объект: C:\Windows\mssecsvc.exe Объект\Тип: Файл Объект\Путь: C:\Windows\ Объект\Название: mssecsvc.exe Заранее спасибо!
×
×
  • Create New...

Important Information

We use cookies to make your experience of our websites better. By using and further navigating this website you accept this. Detailed information about the use of cookies on this website is available by clicking on more information.