Jump to content
nmb

KES 11. Перестали приходить сообщения об обнаружении вредоносных объектов с KSC 10

Recommended Posts

Доброго времени суток!

В Kaspersky Security Center у нас настроена рассылка писем о событии "Обнаружен возможно зараженный объект", т.е. при обнаружении на АРМ вредоносного объекта на группу рассылки приходит уведомление.

После обновления Kaspersky Endpoint Security до версии 11.0.0.6499 письма о событии приходить перестали, судя по всему агент администрирования не передает информацию на сервер.

 

При этом на Сервере администрирования (Версия KSC 10.5.1781):

- в Событиях сервера никакого события о сработке на тестовый вирус нет;

- в свойствах АРМ, на котором произошла сработка на тестовый вирус, никакого события нет;

- информация об удалении зараженных объектов отображается только в Резервном хранилище;

- пробные сообщения в группу рассылки приходят.

 

На рабочей станции (Версия KES 11.0.0.6499, Версия агента администрирования 10.5.1781):

- файл удаляется;

- в Хранилище появляется информация об удалении файла.

 

На рабочую станцую пробовали ставить агент версии 10.4.343 – безрезультатно.

На KES 10.3.0.6294 с агентом 10.4.343 такой проблемы нет, все работает, как и ранее.

Share this post


Link to post

Здравствуйте,

Пожалуйста, приложите к своему отчвету отчет GSI с одной из машин, которая не передает информацию на сервер.

Спасибо!

Share this post


Link to post

У нас аналогичная проблема была. Проверьте события в KSC. Возможно в KSC какие либо ошибки есть и база данных событий переполнена.

После обновления KSC до версии 10.5 есть ошибки такого вида?

Цитата

 

Ошибка времени выполнения.

Ошибка времени выполнения: Database error occured: #1950 (8152) Generic db error: "8152 '{22001} String or binary data would be truncated.; String or binary data would be truncated.' LastStatement=' INSERT INTO #exefile_hst([md5],[wstrFileName],[strID],[binID],[wstrPath],[binPath],[tmFirstStart],[nTrustedGroupNumber],[binCertId]) VALUES(0xA8EDF12EE16B9173537EDE3B0FBF5F11, N'smss.exe', N'000000000000000b', 0x000000000000000B, N'C:\Windows\System32\...'"

Информация об ошибке: 1950/8152 (Generic db error: "8152 '{22001} String or binary data would be truncated.; String or binary data would be truncated.' LastStatement=' INSERT INTO #exefile_hst([md5],[wstrFileName],[strID],[binID],[wstrPath],[binPath],[tmFirstStart],[nTrustedGroupNumber],[binCertId]) VALUES(0xA8EDF12EE16B9173537EDE3B0FBF5F11, N'smss.exe', N'000000000000000b', 0x000000000000000B, N'C:\Windows\System32\...'"), .\db_inneradoconnectionimpl.cpp, 333.

 

 

Share this post


Link to post

Добрый день.

Та же проблема.

Со всех рабочих станций с установленными:
Агент 10.5.1781
Антивирус 11.0.0.6499
Отсутствуют сообщения от антивируса на сервере.
Тестовый вирус удаляется и помещается в хранилище локально и на сервере.
Локальный лог ведется. На сервере сообщения отсутствуют.

Замена агента на 10.4.343 картины не меняет.
При замене антивируса на 10.3.0.6294 сообщения на сервере появляются.

Утверждается, что в других группах, а там другие политики, сообщения на сервер идут. Помогите, пожалуйста, разобраться.
Политики приложены. Отчет GSI выложу чуть позже.

 

math_11.0.0_.klp

math_kln_.klp

Первая часть отчета GSI.

GSI6_MATHSRVKV2_usit_08_21_2018_16_58_11.7z.001

Share this post


Link to post

Здравствуйте,

Цитата

Локальный лог ведется. На сервере сообщения отсутствуют.

Присутствуют ли на локальном KES сообщения о тестовом вирусе?

Передаются ли какие-либо другие сообщения с этого хоста на сервер?

Спасибо!

Share this post


Link to post

Здравствуйте!

Локальный лог ведется. Сообщения о вирусе в нем есть. На сервере нет ни каких сообщений от антивируса с хоста.

Вирус попадает в хранилище и локально, и на сервер. Сообщения на сервер идут только от агента о старте и завершении задач.

 

Share this post


Link to post

Добрый день!

У нас проблема была в плагине KS for Windows Server 10.1, его снесли поставили версию 10.0. После установки плагина в политике в секции Log and Notifications кнопка "Исправить нотификации KSC".

Помогли решить проблему на потрале Kaspersky CompanyAccount.

Share this post


Link to post

Добрый день.
Ситуация другая.

Почтовые сообщения не при чем.

Более подробно.
У меня филиал, около 500 компьютеров, которые размещены в отдельной группе с подгруппами. Переводил их с 10.3.0.6294 на 11.0.0.6499.
Сначала выполнялась задача удаления предыдущей версии. Потом отдельная задача по установке новой версии. Проблему обнаружил не сразу. Было переведено на новую версию около 400 компьютеров. Ни с одного из них не было сообщений в логах от нового  антивируса.
При возвращении к прежней версии сообщения появлялись снова.
Администратор сервера сообщил, что в других группах этой проблемы нет.
Более того. Пару компьютеров перенесли в другую группу. Утверждается, что сообщения  от них при этом были. После возвращения их обратно - ни одного сообщения от них я не обнаружил.
Для тестирования ситуации использовался eicar.

Возникло подозрение на политики, которые здесь выложены. Я не нашел в них ничего, что бы могло запретить сообщения. Все известные мне параметры для передачи сообщений включены.

На большей части компьютеров восстановлена прежняя версия антивируса. И там проблем нет. Остался вопрос по тем компьютерам, где установлена новая версия.

Именно из-за них я и обратился сюда за помощью.
Что еще в этой ситуации можно сделать? Может еще какие параметры политик влияют на ситуацию?

Share this post


Link to post

Добрый день. 

 

Уточните, пожалуйста, как выполнялось обновление агента администрирования на компьютере ? 

Имя журнала:   Kaspersky Event Log
Источник:      klnagent
Дата:          20.08.2018 1:40:42
Код события:   1
Категория задачи:Отсутствует
Уровень:       Предупреждение
Ключевые слова:Классический
Пользователь:  Н/Д
Компьютер:     MATHSRVKV2.ad.pu.ru
Описание:
EventsProcessorProxy: #1266 Не удалось выполнить аутентификацию при соединении с '81.89.183.235:13000'.
 

Как проложена сеть до сервера ? 

Share this post


Link to post

Здравствуйте!

Агенты устанавливались двумя способами:
1. Задачей сервера с помощью агента предыдущей версии.
2. Пакетом автономной установки. На новые компьютеры, или на старые, после удаления агента предыдущей версии.

Сеть.
 В филиале несколько локальных сетей. Коммутаторы присутствуют во всех.
Все сети организации подключены к одному маршрутизатору. Маршрут до сервера всегда один и тот же. Один скачок.

Сообщения от агента до сервера доходят. Например сообщения о запуске и завершении задач.
Сообщения от антивируса 11.0.0.6499 не доходят до сервера никогда. Не зависимо от:
способа установки агента, входит компьютер в домен, или нет   из любой локальной сети филиала. От версии агента это тоже не зависит. Проверялось с агентом 10.4.343.

Ошибка аутентификации.
В сетевом взаимодействии между рабочими станциями и сервером иногда возникают сбои. Особенно это заметно на задачах обновления баз данных. Иногда из 200 одновременно запущенных задач обновления до 30 завершаются с ошибкой. Повторный запуск задачи для этих РС ситуацию исправляет. Закономерность, на каких именно РС возникает ошибка, не найдена. Случайным образом.
Причиной тому сеть, или недостаточная мощность сервера, от меня не видно.

Если бы пропадали отдельные сообщения на некоторых РС, то вопрос бы и не возникал. Но их нет совсем на всех РС.

 

Share this post


Link to post

Была ли политика KES11  конвертирована из предыдущей или построена с нуля ? 

Происходит ли данная проблема при работе с политикой KES11 созданной с настройками "по умолчанию" ?

 

Share this post


Link to post

Добрый день.

Политика KES11  конвертирована из предыдущей .

В одной из групп создал политику KES11 с настройками "по умолчанию"  и убрал наследование политики верхнего уровня.
Проблема сохраняется. Сообщения не приходят.  В том числе и о eicar .

Share this post


Link to post

Здравствуйте!

Конвертированые политики иногда могут некорректно работать, создайте пожалуйста новую политику и проверьте воспроизведение с ней.

Спасибо!

Share this post


Link to post
6 часов назад, nic55 сказал:

В одной из групп создал политику KES11 с настройками "по умолчанию"  и убрал наследование политики верхнего уровня.
Проблема сохраняется. Сообщения не приходят.  В том числе и о eicar .

Уже делал. Сейчас повторил. Отличия от "по умолчанию" - имя и снятый флажок наследовать с верхнего уровня.  Политика приложена.

Сообщений нет по прежнему.

Спасибо.

math_11.0.0_dflt.klp

Share this post


Link to post

Здравствуйте!

Уточните пожалуйста, это созданная заново политика или сконвертированная? 

Спасибо!

Share this post


Link to post

Здравствуйте!

Это политика созданная заново! НЕ конвертированная!

Share this post


Link to post

Здравствуйте,

Пожалуйста, приложите к своему ответу список установленных плагинов.

СпасибО!

Share this post


Link to post

Здравствуйте!

Плагинов к каким компонентам? И где его проще всего его взять?

Спасибо!

 

Share this post


Link to post

Список установленных плагинов вы можете найти здесь, нам необходим аналогичный скриншот

image.png

Спасибо!

Share this post


Link to post

Здравствуйте.

В локальном отчете KES есть сообщения об обнаружении вируса. Сам вирус есть в локальном хранилище и в хранилище на сервере.

Спасибо.

Share this post


Link to post

Добрый день. 

 

Уточните, пожалуйста,  выделить больше ресурсов серверу администрирования возможно ?

Share this post


Link to post

Не знаю!

Вопрос вне моей компетенции.  Им занимаются другие люди.

В подобных ситуациях мне предлагают искать проблемы у себя и исправлять их у себя. Что я и пытаюсь делать.

Спасибо!

 

Share this post


Link to post

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.


×
×
  • Create New...

Important Information

We use cookies to make your experience of our websites better. By using and further navigating this website you accept this. Detailed information about the use of cookies on this website is available by clicking on more information.