Jump to content
Sign in to follow this  
fexig

KSWS_10.1_Компонент Постоянная защита

Recommended Posts

Добрый день!

Произошло огромное количество срабатываний компонента Постоянная защита на один и тот же компонент.

Завел запрос в CompanyAccount INC000009913510, но тк среднее время обработки около 2 дней, прошу ускорить процесс обработки данного инцидента.

Форумчане, надеюсь и на Вашу помощь.

Появляется событие - Обнаружен возможно зараженный объект, далее Объект помещен в резервное хранилище. Данные события начали повторяться снова и снова и в течении 30 минут произошло огромное количество.

В н.вр. АВЗ выключена.

Прошу подсказать в чем проблема работы компонента?

Во вложении, события на устройстве. 

events.txt

Share this post


Link to post

Здравствуйте,

Есть ли возможность собрать трассировку KSWS во время генерации этих событий?

Также поможет, если Вы к запросу прикрепите содержимое вашей папки "c:\ProgramData\Kaspersky Lab\Kaspersky Security for Windows Server\10.1.1\Reports".

 

Share this post


Link to post
Только что, Oleg Bykov сказал:

Здравствуйте,

Есть ли возможность собрать трассировку KSWS во время генерации этих событий?

Файл удалили, АВ перезапустили и события перестали генерироваться и следовательно трассировку собрать нет возможности.

Share this post


Link to post
56 минут назад, fexig сказал:

Файл удалили, АВ перезапустили и события перестали генерироваться и следовательно трассировку собрать нет возможности.

Хорошо, а папку Reports можете приложить к запросу?

 

Share this post


Link to post

Папка Reports по пути ProgramData\Kaspersky Lab\Kaspersky Security for Windows Server\10.1 ?

Папка передана отдельным личным письмом.

Share this post


Link to post

В отчётах видно, что к файлу пытались получить доступ разные пользователи - в том числе по сети. Файл сложно упакован, возможно поэтому детект не завершился удалением объекта. А раз файл не удалился, к нему пытались получить доступ несколько раз

Может, нужно было установить настройку "Форсировать удаление родительского файла-контейнера при обнаружении вложенного зараженного или другого объекта, если изменение контейнера невозможно".

Точнее без трейсов KSWS или самого этого файла сказать невозможно.

Если можно, у меня ещё вопрос - в отчётах аудита видно, что с KSC по несколько раз в час приходит изменённая политика. Это результат какой-то человеческой деятельности, или так настроено окружение?

Share this post


Link to post

Спасибо.

Цитата

Может, нужно было установить настройку "Форсировать удаление родительского файла-контейнера при обнаружении вложенного зараженного или другого объекта, если изменение контейнера невозможно".

Где данная настройка устанавливается?

Цитата

Точнее без трейсов KSWS или самого этого файла сказать невозможно.

К сожалению (в моем случае все же к счастью), файл удалили и дальнейшего анализа выполнить не могу.

Цитата

Если можно, у меня ещё вопрос - в отчётах аудита видно, что с KSC по несколько раз в час приходит изменённая политика. Это результат какой-то человеческой деятельности, или так настроено окружение?

Не совсем понятно про что идет речь.

Если вы имеете ввиду, что в политику, отвечающую за сервер вносились изменения в период детекта, то это человеческая деятельность или вы имеете ввиду иные действия?

Share this post


Link to post
23 минуты назад, fexig сказал:

Где данная настройка устанавливается?

В настройках задачи, в свойствах области защиты - в Вашем случае у области "Мой компьютер". Насколько я помню, на вкладке "Действия".

Share this post


Link to post
В 07.12.2018 в 18:26, Oleg Bykov сказал:

В настройках задачи, в свойствах области защиты - в Вашем случае у области "Мой компьютер". Насколько я помню, на вкладке "Действия".

Здравствуйте,

Если смотреть логи событий, то отрабатывает не задача по поиску, а именно компонент политики (Постоянная защита файлов).

Однако, в политике - Постоянная защита сервера - Настройка - Область защиты - Мой Компьютер (Настроить) - Настройка - Действия - и выставить параметр Полностью удалять неизлечимый составной объект при обнаружении вложенного зараженного или другого объекта? Все верно?

Данный параметр будет отвечать за удаление полностью файла (составного), возможно зараженного объекта? 

т.е., в моей ситуации этот параметр бы помог?

Спасибо.

Share this post


Link to post
2 часа назад, fexig сказал:

Однако, в политике - Постоянная защита сервера - Настройка - Область защиты - Мой Компьютер (Настроить) - Настройка - Действия - и выставить параметр Полностью удалять неизлечимый составной объект при обнаружении вложенного зараженного или другого объекта? Все верно?

Данный параметр будет отвечать за удаление полностью файла (составного), возможно зараженного объекта? 

Да, всё верно.

2 часа назад, fexig сказал:

т.е., в моей ситуации этот параметр бы помог?

Без трассировок трудно утверждать со 100% уверенностью, но есть вероятность, что помог бы.

 

Share this post


Link to post

Хорошо, параметр выставил.

К сожалению, дальнейшие мероприятия сделать не могу, таким образом, закрываем.

Спасибо

Share this post


Link to post

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this  

×

Important Information

We use cookies to make your experience of our websites better. By using and further navigating this website you accept this. Detailed information about the use of cookies on this website is available by clicking on more information.