Jump to content
ZakharovAV

Получение ip адреса атакующего устройства при срабатывании события "Обнаружена сетевая атака"

Recommended Posts

Здравствуйте.

Имеется ПО Kaspersky Security center 10. Для предотвращения атак на сервера требуется автоматическая блокировка пакетов от потенциального злоумышленника на шлюзе. Весь необходимый инструмент мною подготовлен. Для корректного срабатывания необходимо знать его (атакующего) ip адрес. Данная информация находится в переменной %DESC%, но из-за достаточно большого объёма информации передать его как параметр (bat) файла не является возможным. Какое решение Вы предложите для решения поставленной задачи?

Edited by Захаров Алексей

Share this post


Link to post

Добрый день.

 

Уточните, пожалуйста, версии используемых продуктов, какое именно приложение отчитывается о блокировки атакующего, какое решение используется для блокировки IP адреса ? 

Share this post


Link to post

Используется Kaspersky Security Center 10 и Kaspersky Endpoint Security 11 для Windows. Отчитывается о сетевой атаке Kaspersy Endpoint Security (благодаря настройке "Обнаружена сетевая атака" в "Настройке событий"). Решение не сильно-таки влияет на процесс, так как имеется действующий механизм взаимодействия.

 

Share this post


Link to post

Вы можете написать скрипт вычленяющий из переменной необходимый адрес и подставлять уже оставшееся значение. 

Также обращаем внимание что на данном форуме мы решаем проблемы возникшие в следствии сбоя нашего продукта, помощь в настройке не входит в стандартную поддержку. 

Спасибо!

Share this post


Link to post
Цитата

Вы можете написать скрипт вычленяющий из переменной необходимый адрес и подставлять уже оставшееся значение. 

Проблема в том, что переменная %DESC% несёт в себе строковый список и передать параметром этот массив данных не представляется возможным.
К моему глубочайшему сожалению я не смог самостоятельно решить эту проблему, и поэтому обратился на официальный форум.

Цитата

Также обращаем внимание что на данном форуме мы решаем проблемы возникшие в следствии сбоя нашего продукта, помощь в настройке не входит в стандартную поддержку. 

Простите мне моё невежество, но я при беглом ознакомлением с правилами форума не обнаружил требования к посту. К тому же я считаю, что моя проблема - это не проблема настройки, а проблема функционала.
Не могли бы Вы ткнуть меня носом, где в последствии я смогу задавать подобные вопросы?

Edited by Захаров Алексей

Share this post


Link to post

Добрый день.

Правила поддержки продуктов, в том числе на форуме, более подробно описаны здесь: https://support.kaspersky.com/support/rules#ru_ru.block1

Для общения на любые другие темы, в том числе касающиеся лучших практик, настройки продукта, взаимодействия со сторонними решениями, существует форум фан-клуба.

Спасибо.

Share this post


Link to post
Цитата

Форум Лаборатории Касперского — это специальный канал, где поддержка предоставляется сообществом пользователей. Лаборатория Касперского предоставляет платформу для общения и обмена знаниями между экспертами и Пользователями, но не гарантирует, что все опубликованные на Форуме запросы будут разрешены.

То есть моя проблема на данный момент не решаема. Я правильно понял?

Share this post


Link to post

При настройке уведомлений с помощью запуска исполняемого файла в KSC возможно использование перечисленных в документе переменных (поля, общие для любых событий). IP-адрес атакующего компьютера — поле, специфичное для определенного типа событий, генерируемых KES; в рамках данного функционала KSC как самостоятельное значение не существует и является частью описания.

Спасибо.

Share this post


Link to post

Спасибо. Буду через обратную связь просить расширить данный функционал.

Share this post


Link to post

×
×
  • Create New...

Important Information

We use cookies to make your experience of our websites better. By using and further navigating this website you accept this. Detailed information about the use of cookies on this website is available by clicking on more information.