Jump to content
vsv87

Вопрос по отчету [Решено]

Recommended Posts

Доброго дня! Подскажите, вот есть такая рекомендация по защите от шифровальщиков для конкретных типов файлов (https://support.kaspersky.ru/10905). После ее реализации, компонент "Контроль активности программ" начинает блочить программы попадающие под правило в том числе и безвредные, и вот сам вопрос, как сформировать отчет в KSC, дабы видеть, что и на какой машине попало под блокировку?

Share this post


Link to post

Добрый день!

 

Вы можете сделать выборку по событиям в KSC, указав нужные вам события.

 

Спасибо!

Share this post


Link to post
Добрый день!

 

Вы можете сделать выборку по событиям в KSC, указав нужные вам события.

 

Спасибо!

 

Да в общем-то пробовал так. Отчет почему-то пустой. Что я упускаю из виду?

post-513501-1460019957_thumb.png

post-513501-1460020774_thumb.png

Edited by vsv87

Share this post


Link to post

Проверьте, пожалуйста, есть ли на сервере администрирования события, которые вы выделили?

Посмотрите какие похожие события были сгенерированы и добавьте их в выборку.

 

Спасибо!

Share this post


Link to post
Проверьте, пожалуйста, есть ли на сервере администрирования события, которые вы выделили?

Посмотрите какие похожие события были сгенерированы и добавьте их в выборку.

 

Спасибо!

 

Не знаю на сколько это похоже, отмечаю еще галочку на событие "Установлена программа". В отчетах начинает появляться отчеты по этому событию, но по событию "Сработало правило контроля программ" по прежнему нет ничего.

По первой части вопроса не совсем понял, имеется ввиду проверить в других выборках, которые присутствуют по умолчанию и которые нельзя удалить?

 

post-513501-1460034221_thumb.png

post-513501-1460034228_thumb.png

Share this post


Link to post

Имеется в виду проверить наличие данного события любых других выборках, напрмер "недавние события".

Share this post


Link to post
Имеется в виду проверить наличие данного события любых других выборках, напрмер "недавние события".

Нет к сожалению. От этого компонента нет отчетов.

Share this post


Link to post
Нет к сожалению. От этого компонента нет отчетов.

 

Здравствуйте.

 

Пожалуйста, убедитесь, что в свойствах активной политике в разделе "Интерфейс - Уведомления" для компонента Контроль активности программ включено логирование этого события (Сработало правило Контроля активности программ). Если первый флажок выставлен - проверьте, генерируются ли такие события в локальном логе (на хосте с KES, если открыть Отчеты для этого компонента).

 

Спасибо.

Share this post


Link to post
Здравствуйте.

 

Пожалуйста, убедитесь, что в свойствах активной политике в разделе "Интерфейс - Уведомления" для компонента Контроль активности программ включено логирование этого события (Сработало правило Контроля активности программ). Если первый флажок выставлен - проверьте, генерируются ли такие события в локальном логе (на хосте с KES, если открыть Отчеты для этого компонента).

 

Спасибо.

Добрый вечер!

 

Галки стоят на "Сохранять в локальном журнале" (скрин прилагаю), на KES'ах локально все логируется превосходно (второй скрин для примера).

Также пробовал ставить галку на "уведомлять по почте", для события "Сработало правило Контроля активности программ", в принципе работает, но у меня за 3 минуты 2000 сообщений упало, я честно боюсь выдержит ли почтовик. Потому и хотелось бы, чтобы данный отчет по данному событию целиком сливался в KES. Скажите просто ребят возможно ли это вообще. Если нет, так нет. Не буду Вас мучить)))) Вам и без меня работы хватает наверно. :ay:

post-513501-1460055310_thumb.png

post-513501-1460055581_thumb.png

Share this post


Link to post
Добрый вечер!

 

Галки стоят на "Сохранять в локальном журнале" (скрин прилагаю), на KES'ах локально все логируется превосходно (второй скрин для примера).

Также пробовал ставить галку на "уведомлять по почте", для события "Сработало правило Контроля активности программ", в принципе работает, но у меня за 3 минуты 2000 сообщений упало, я честно боюсь выдержит ли почтовик. Потому и хотелось бы, чтобы данный отчет по данному событию целиком сливался в KES. Скажите просто ребят возможно ли это вообще. Если нет, так нет. Не буду Вас мучить)))) Вам и без меня работы хватает наверно. :ay:

Здравствуйте!

 

На данный момент судя по вашим настройкам отчет сохраняется локально на компьютере с KES. Насколько я понимаю вам необходимо именно такое поведение?

 

Спасибо!

Share this post


Link to post
Здравствуйте!

 

На данный момент судя по вашим настройкам отчет сохраняется локально на компьютере с KES. Насколько я понимаю вам необходимо именно такое поведение?

 

Спасибо!

Здраствуйте!

 

Я хочу понять возможно ли такой же отчет перенаправить в KSC. И как это сделать если это возможно?

Share this post


Link to post
Добрый вечер!

 

Галки стоят на "Сохранять в локальном журнале" (скрин прилагаю), на KES'ах локально все логируется превосходно (второй скрин для примера).

Также пробовал ставить галку на "уведомлять по почте", для события "Сработало правило Контроля активности программ", в принципе работает, но у меня за 3 минуты 2000 сообщений упало, я честно боюсь выдержит ли почтовик. Потому и хотелось бы, чтобы данный отчет по данному событию целиком сливался в KES. Скажите просто ребят возможно ли это вообще. Если нет, так нет. Не буду Вас мучить)))) Вам и без меня работы хватает наверно. :ay:

Прошу прощения, вместо KES имел ввиду KSC. Чтобы отчет шел в KSC.

Share this post


Link to post

Здравствуйте,

 

Пожалуйста, воспользуйтесь стандартным отчетом о заблокированных запусках.

 

Спасибо!

Share this post


Link to post
Здравствуйте,

 

Пожалуйста, воспользуйтесь стандартным отчетом о заблокированных запусках.

 

Спасибо!

Здраствуйте! Если я Вас правильно понял, у меня этот отчет называется "Отчет о запрещенных запусках" (скрин1). Туда попадают проги для которых было сформировано правило в подветви "Категории программ" ветви "Управление программами"(скрин2). И затем я это правило включаю в свойствах политики для компонента "Контроль запуска программ"(скрин3). Но в этом случае получается что отчет будет целиком формироваться для компонента "Контроль запуска программ". А мне нужен отчет для компонента "Контроль активности программ". Кажется это разные вещи.

post-513501-1460108600_thumb.png

post-513501-1460108607_thumb.png

post-513501-1460108613_thumb.png

Edited by vsv87

Share this post


Link to post

Уточните, пожалуйста,хранение соответствующих событий у вас как настроено?

appprv.png

Share this post


Link to post
Уточните, пожалуйста,хранение соответствующих событий у вас как настроено?

Большое Вам спасибо. Залез в эту секцию, для события "Сработало правило контроля активности программ" стояло "не хранить", изменил на "7 дней". Отчет сразу посыпался. Вопрос Решен.

post-513501-1460117867_thumb.png

post-513501-1460117959_thumb.png

Edited by vsv87

Share this post


Link to post

Спасибо за информацию!

 

 

Пожалуйста, оцените оказанную помощь, используя опцию "Rating" в названии топика!

Share this post


Link to post

Добавлю, чтобы поставить точку в этом вопросе. Если в свойствах данной выборки событий в поле "Искать вхождения строки" прописать слово "запрещено", в отчет попадут именно события с результатом запрещено. Ну а дальше если приложение потенциально не зловредное добавляем в исключения или в доверенные в свойствах политики защиты. То бишь просматривая данный отчет, можно заранее исключить звонки от пользователей в офисе. Надеюсь кому-нибудь пригодится в работе.

post-513501-1460149565_thumb.png

Share this post


Link to post

×
×
  • Create New...

Important Information

We use cookies to make your experience of our websites better. By using and further navigating this website you accept this. Detailed information about the use of cookies on this website is available by clicking on more information.