Jump to content
Hazard78

KES, KCS и информативность событий

Recommended Posts

Приветствую всех!

Опущу долгое вступление о знакомстве с WannaCry... :rolleyes:

Проблема в следующем: при попытках распространения по сети, вредонос утыкался в KES и его компонент "Защита от сетевых атак", о чём специально обученные люди получали вполне информативные алерты следующего содержания:

Критическое событие

Kaspersky Endpoint Security 10 для Windows
10.2.5.3201

Task: Защита от сетевых атак
Time: 25 июля 2017 г. 10:35:32 (GMT+03:00)
Computer: [domain]\[computer]

Event Type: Обнаружена сетевая атака
Description: 'Тип события:     Обнаружена сетевая атака
Программа\Название:     Неизвестно
Пользователь:     [domain]\[user] (Активный пользователь)
Компонент:     Защита от сетевых атак
Результат\Описание:     Запрещено
Результат\Название:     Intrusion.Win.MS17-010.o
Объект:     TCP от [source_ip] на локальный порт 445
Объект\Тип:     Сетевой пакет
Объект\Название:     TCP от [source_ip] на локальный порт 445

После получения "рекомендации свыше" о включении блокировки локального 445 порта на вход по TCP, средствами сетевого экрана KES, ситуация в корне изменилась:

Критическое событие

Kaspersky Endpoint Security 10 для Windows
10.2.5.3201

Task: Сетевой экран
Time: 26 июля 2017 г. 14:08:16 (GMT+03:00)
Computer: [domain]\[computer]

Event Type: Сетевая активность запрещена
Description: 'Программа:     Kaspersky Endpoint Security 10 для Windows
Событие\Протокол:     TCP
Событие\Статус:     Запрещено
Пользователь:     [domain]\[user] (Активный пользователь)
Правило:     Блокировка 445 порта

Внимание, вопрос: каким образом теперь отличить легитимные события, блокируемые правилом, от активности зловреда? Ни в KES, ни в KSC, ни в журналах событий, более детальную информацию разглядеть не удалось :unsure:

Единственное решение, которое приходит в воспалённый мозг - отключить правило блокировки... Но это неправильное решение B)

KSC 10.4.343

KES 10.2.5.3201

Edited by Hazard78

Share this post


Link to post
37 минут назад, Hazard78 сказал:

После получения "рекомендации свыше" о включении блокировки локального 445 порта на вход по TCP, средствами сетевого экрана KES, ситуация в корне изменилась:

Добрый день, поделитесь плиз как закрыть 445 через KES или ссылку где посмотреть, тоже нужно )

Share this post


Link to post
22 минуты назад, Aazmandius сказал:

Добрый день, поделитесь плиз как закрыть 445 через KES или ссылку где посмотреть, тоже нужно )

В KSC: политика\сетевой экран\сетевые пакетные правила:

111.jpg.3b9ce25e959b03f1e46c69d9e0c66a4f.jpg

чтоб работало - его необходимо поставить выше разрешающих.

Если Вас интересует именно KES - там в локальных настройках, по аналогии.

Edited by Hazard78

Share this post


Link to post
16 hours ago, Hazard78 said:

Приветствую всех!

Опущу долгое вступление о знакомстве с WannaCry... :rolleyes:

Проблема в следующем: при попытках распространения по сети, вредонос утыкался в KES и его компонент "Защита от сетевых атак", о чём специально обученные люди получали вполне информативные алерты следующего содержания:

Критическое событие

Kaspersky Endpoint Security 10 для Windows
10.2.5.3201

Task: Защита от сетевых атак
Time: 25 июля 2017 г. 10:35:32 (GMT+03:00)
Computer: [domain]\[computer]

Event Type: Обнаружена сетевая атака
Description: 'Тип события:     Обнаружена сетевая атака
Программа\Название:     Неизвестно
Пользователь:     [domain]\[user] (Активный пользователь)
Компонент:     Защита от сетевых атак
Результат\Описание:     Запрещено
Результат\Название:     Intrusion.Win.MS17-010.o
Объект:     TCP от [source_ip] на локальный порт 445
Объект\Тип:     Сетевой пакет
Объект\Название:     TCP от [source_ip] на локальный порт 445

После получения "рекомендации свыше" о включении блокировки локального 445 порта на вход по TCP, средствами сетевого экрана KES, ситуация в корне изменилась:

Критическое событие

Kaspersky Endpoint Security 10 для Windows
10.2.5.3201

Task: Сетевой экран
Time: 26 июля 2017 г. 14:08:16 (GMT+03:00)
Computer: [domain]\[computer]

Event Type: Сетевая активность запрещена
Description: 'Программа:     Kaspersky Endpoint Security 10 для Windows
Событие\Протокол:     TCP
Событие\Статус:     Запрещено
Пользователь:     [domain]\[user] (Активный пользователь)
Правило:     Блокировка 445 порта

Внимание, вопрос: каким образом теперь отличить легитимные события, блокируемые правилом, от активности зловреда? Ни в KES, ни в KSC, ни в журналах событий, более детальную информацию разглядеть не удалось :unsure:

Единственное решение, которое приходит в воспалённый мозг - отключить правило блокировки... Но это неправильное решение B)

KSC 10.4.343

KES 10.2.5.3201

Здравствуйте,

дело в том, что мера как закрытие порта 445 отсутствует в рекомендациях ЛК по предотвращению заражения - http://support.kaspersky.ru/general/products/13698#protect

То есть если вы закрыли порт, то при обращении на него будет лишь регистрироваться событие компонентом "Файерволл" о блокировке траффика и более ничего.

До регистрации события компонентом защиты от сетевых атак дело не дойдёт.

Спасибо.

 

Share this post


Link to post

Раз KES детектит атаку от WannaCry, я бы не стал блокировать 445 порт. По умолчанию FW KES банит на час атакующий адрес. А дальше руками разбираться с компами, с которых идет атака. Я так ранее с kido разбирался. Шли и изымали из локалки компы, с которых шли атаки.

Share this post


Link to post
23 minutes ago, Dejavu72 said:

Раз KES детектит атаку от WannaCry, я бы не стал блокировать 445 порт. По умолчанию FW KES банит на час атакующий адрес. А дальше руками разбираться с компами, с которых идет атака. Я так ранее с kido разбирался. Шли и изымали из локалки компы, с которых шли атаки.

Спасибо, что поделились опытом.

 

Share this post


Link to post
1 час назад, Dmitry Eremeev сказал:

Здравствуйте,

дело в том, что мера как закрытие порта 445 отсутствует в рекомендациях ЛК по предотвращению заражения - http://support.kaspersky.ru/general/products/13698#protect

То есть если вы закрыли порт, то при обращении на него будет лишь регистрироваться событие компонентом "Файерволл" о блокировке траффика и более ничего.

До регистрации события компонентом защиты от сетевых атак дело не дойдёт.

Спасибо.

вот в этом и соль - возможно ли получить более информативные алерты, или, в крайнем случае, где-то посмотреть более детальную информацию о событии блокировки?

Share this post


Link to post
1 час назад, Dejavu72 сказал:

Раз KES детектит атаку от WannaCry, я бы не стал блокировать 445 порт. По умолчанию FW KES банит на час атакующий адрес. А дальше руками разбираться с компами, с которых идет атака. Я так ранее с kido разбирался. Шли и изымали из локалки компы, с которых шли атаки.

так и делали... до тех пор, пока не получили прямое распоряжение о блокировке порта. теперь необходимо как-то выкручиваться в этих условиях.

Share this post


Link to post

×
×
  • Create New...

Important Information

We use cookies to make your experience of our websites better. By using and further navigating this website you accept this. Detailed information about the use of cookies on this website is available by clicking on more information.