Jump to content
Demiad

Вирусная атака без имени хоста [В процессе] [1575053] [Not a bug]

Recommended Posts

Номер сборки: 10.3.303

 

Шаги:

Включить оповещение на эл.почту о вирусной атаке (настройки стандартные):

post-454289-1453902756_thumb.png

Выполнить условия срабатывания оповещения на одном из управляемых хостов.

 

Результат:

На эл.почту поступит письмо без указания имени хоста на котором произошло событие, вместо него будет указан сервер администрирования:

"Событие "Вирусная атака" произошло на компьютере Сервер администрирования <TZ-KSC2> в домене %скрыл% 27 января 2016 г. 16:45:23 (GMT+03:00)

Вирусная атака"

 

Ожидаемый результат:

В тексте уведомления должен быть указан хост на котором произошло срабатывание условий обнаружения вирусной атаки.

 

 

Насколько помню на форуме была информация о данной баге и говорилось, что в новой версии её пофиксят. Найти не смог, возможно, в ветке предыдущего тестирования KSC было.

Share this post


Link to post

Здравствуйте,

 

Уточните, пожалуйста, в других отчетах или уведомлениях имя компьютера указано корректно?

 

Спасибо!

Share this post


Link to post

Сейчас проверить не могу. Ответьте пока на следующее:

Здравствуйте.

 

INC000003728509 - по созданному на основании инцидента багу 227530 на днях вынесен следующий вердикт: для события "Вирусная атака" by design не предсмотрено наличие таких полей, как название вируса или имя компьютера. В рамках инцидента можно создать запрос на доработку.<...>

В баге 227530 случайно не том же самом? Инцидент и баг не мой.

Share this post


Link to post

Наоборот к счастью, что это не та ошибка. На практике очень неудобно, что оповещения о вирусной атаке приходят без информации о том где сработало условие. Удобства никакого. Баги фиксят быстрее чем пожелания реализуют, поэтому хорошо.

 

Ответ на вопрос: "Что в других уведомлениях?":

Да, в других событиях имя хоста указывается.

Проверил так:

Для события: "Критическое событие": "Статус компьютера - "Критический""

также включил оповещение со стандартным шаблоном:

"Событие "%EVENT%" произошло на компьютере %COMPUTER% в домене %DOMAIN% %RISE_TIME%

%DESCR%"

(этот же шаблон и в событии вирусной атаки используется)

 

Пришло корректное оповещение:

"Событие "Статус компьютера - "Критический"" произошло на компьютере Сервер администрирования <TZ-KSC2> в домене %скрыл% 27 января 2016 г. 21:04:22 (GMT+03:00) Компьютер "DESKTOP-UU6KGU0" изменил свой статус на "Критический": найдено слишком много опасных объектов."

 

Отсюда можно сделать вывод, что

%COMPUTER% ("Компьютер-отправитель") - это всегда сам KSC (или, видимо, ещё подчинённый KSC);

%DESCR% ("Описание события") - текст описания самого события и в случае с событием "Вирусная атака" не содержит (не подставляет) информацию об имени хоста на котором событие возникло, а в случае с событием "Статус компьютера - "Критический"" в описание включили (подставляется) имя хоста-источника события.

 

Трассировка нужна?

Share this post


Link to post

Добрый день!

 

Да, давайте трассировку по описанному в первом посте сценарию.

 

Спасибо!

Share this post


Link to post

Трассировка с видео:

ftp://Demiad@data14.kaspersky-labs.com/t3..._2016-01-28.rar

Перед включением трассировок показываю:

- в "Вирусная атака" установлена опция "Антивирусы для рабочих станций и файлвых серверов", "Вирусов": "3", "в течение (мин):": "10";

- для события "Вирусная атака" включено оповещение "Уведомлять по электронной почте", настройки текста уведомления - стандартный шаблон. Нажимаю "Проверить";

- открываю почтовый клиент, показываю, что уведомления приходят.

Закрываю консоль KSC и больше не открываю.

С 35-й секунды включаю трассировки: сервера ksc, на тестовом хосте сетевого агента и KES 10.2.4.647.

Показываю в папке ранее созданные три файла EICAR.

Возобновляю защиту KES. Начинаю обращаться к файлам EICAR для их быстрого обнаружения. Файлы удаляются (попадают в "Резервное хранилище" KES).

Условия срабатывания отправки события "Вирусная атака" выполнены.

Открываю почтовый клиент, смотрю новые сообщения:

post-454289-1453928368_thumb.png

Имя ПК отсутствует.

Вместо "%DESCR%" в тексте присутствует лишь фраза "Вирусная атака".

Выключил все трассировки.

По KSC приложено два GSI, потому что на GSI 6.0.5.10 не собрало, ошибку выдавало и висло, на бете GSI 6.1.0.42 собрало корректно. Положил оба на всякий случай.

Share this post


Link to post
Трассировка с видео:

ftp://Demiad@data14.kaspersky-labs.com/t3..._2016-01-28.rar

Перед включением трассировок показываю:

- в "Вирусная атака" установлена опция "Антивирусы для рабочих станций и файлвых серверов", "Вирусов": "3", "в течение (мин):": "10";

- для события "Вирусная атака" включено оповещение "Уведомлять по электронной почте", настройки текста уведомления - стандартный шаблон. Нажимаю "Проверить";

- открываю почтовый клиент, показываю, что уведомления приходят.

Закрываю консоль KSC и больше не открываю.

С 35-й секунды включаю трассировки: сервера ksc, на тестовом хосте сетевого агента и KES 10.2.4.647.

Показываю в папке ранее созданные три файла EICAR.

Возобновляю защиту KES. Начинаю обращаться к файлам EICAR для их быстрого обнаружения. Файлы удаляются (попадают в "Резервное хранилище" KES).

Условия срабатывания отправки события "Вирусная атака" выполнены.

Открываю почтовый клиент, смотрю новые сообщения:

notifyviratt.png

Имя ПК отсутствует.

Вместо "%DESCR%" в тексте присутствует лишь фраза "Вирусная атака".

Выключил все трассировки.

По KSC приложено два GSI, потому что на GSI 6.0.5.10 не собрало, ошибку выдавало и висло, на бете GSI 6.1.0.42 собрало корректно. Положил оба на всякий случай.

 

Здравствуйте.

 

Событие "Вирусная атака" (Virus outbreak) срабатывает при превышении порога не на каком-то конкретном хосте, а в управляемой сети в целом. Возникновение достаточных условий на одной конкретной машине - частный случай такого срабатывания; само же событие всегда фиксируется самим Сервером администрирования Согласно разработчику, это задуманное поведение.

 

Для отслеживания порога заражений на конкретном хосте в KSC существует условие статуса "Обнаружено много вирусов".

 

Спасибо.

Share this post


Link to post

Не дочитал я окно справки по разделу "Вирусная атака" в свойствах KSC:

Вирусов [поле с количеством]

Количество вирусов, обнаруженных на управляемых компьютерах антивирусными программами этого типа (суммарно на всех клиентских компьютерах).

Так что вы совершенно правы и придраться не к чему. Спасибо за разъяснения.

Share this post


Link to post
Не дочитал я окно справки по разделу "Вирусная атака" в свойствах KSC:

 

Так что вы совершенно правы и придраться не к чему. Спасибо за разъяснения.

 

Спасибо за сотрудничество.

Share this post


Link to post

×
×
  • Create New...

Important Information

We use cookies to make your experience of our websites better. By using and further navigating this website you accept this. Detailed information about the use of cookies on this website is available by clicking on more information.