Jump to content
Kaspersky Support Forum

Карточка инцидента для файлового сервера

Amacclaellis

By Amacclaellis
in Kaspersky EDR Optimum

 Share

Recommended Posts

Amacclaellis

Amacclaellis

Posted
Posted (edited)

Добрый день. Такой вопрос. При установке Касперского для файловых серверов нет пункта EDR. Соответственно, нет возможности получить обогащенной карточки инцидента. Так вот, данный функционал работает только на рабочих станциях? Нужно ли что-то дополнительное ставить на сервер для отображения карточки инцидента? 

image.thumb.jpeg.fb98304a4a525e7a9d56acda1b7c0fb9.jpeg 

image.thumb.jpeg.06f3eedf0edb5ced28cf8ee0d05fd4c3.jpeg

Срабочих станций карточки формируются нормально

image.thumb.jpeg.114b5e63c63bae5c646a86bfe8bf8896.jpeg

Заранее спасибо за ответ. 

Edited by Amacclaellis
ElvinE5

ElvinE5

Posted
Posted (edited)

Добрый день

вот справка на продукту https://support.kaspersky.com/KEDR_Optimum/2.3/ru-RU/216855.htm

если вы используете для защиты серверов KSWS 11.0.1 - установите дополнительно Endpoint Agent 3.13 (сейчас) и настройте политику для него.

Если на сервер установлен KES 11.11 (для рабочих станций, например) и вы указали установку соответствующего компонента в интсталяционном пакете перед развертыванием, то EA дополнительно ставить не надо.

 

карточка может не строится если нечего строить, события где есть заполненная карточка имеют ссылку "Обогащенный", возможно в вашем случаи там просто нечем "обогащать".

 

upd: это англоязычный раздел форума :), русский ниже по списку .. наверно надо перенести тему ...или админов попросить это сделать.

Edited by ElvinE5
Amacclaellis

Amacclaellis

Posted
  • Author
Posted
23 минуты назад, ElvinE5 сказал:

Добрый день

вот справка на продукту https://support.kaspersky.com/KEDR_Optimum/2.3/ru-RU/216855.htm

если вы используете для защиты серверов KSWS 11.0.1 - установите дополнительно Endpoint Agent 3.13 (сейчас) и настройте политику для него.

Если на сервер установлен KES 11.11 (для рабочих станций, например) и вы указали установку соответствующего компонента в интсталяционном пакете перед развертыванием, то EA дополнительно ставить не надо.

 

карточка может не строится если нечего строить, события где есть заполненная карточка имеют ссылку "Обогащенный", возможно в вашем случаи там просто нечем "обогащать".

Большое спасибо за ответ) Сейчас попробую)

24 минуты назад, ElvinE5 сказал:

upd: это англоязычный раздел форума :), русский ниже по списку .. наверно надо перенести тему ...или админов попросить это сделать.

Ой, прошу прощения за мою невнимательность ^^'. Впервые на форуме. Обратился за помощью к модераторам)

ElvinE5

ElvinE5

Posted
Posted (edited)

Дополнительно обнаружил следующие. ?

если в инсталяционном пакете KSWS 11.0.1 установить вот эту галочку (ранее не замечал :)) то после развертывания на сервере, EA будет установлен, правда в моем пакете был "вшит" EA 3.10, но возможность есть установить разом. Не нашел об этом записей в справке ... если проглядел ткните пожалуйста.

image.png.8164f2a3f5eff9a52bd979f994d73865.png

 

image.thumb.png.8b9fce5d037ae9e3362dfd17802ec09a.png

 

?

Edited by ElvinE5
Amacclaellis

Amacclaellis

Posted
  • Author
Posted
В 25.11.2022 в 18:38, ElvinE5 сказал:

Дополнительно обнаружил следующие. ?

если в инсталяционном пакете KSWS 11.0.1 установить вот эту галочку (ранее не замечал :)) то после развертывания на сервере, EA будет установлен, правда в моем пакете был "вшит" EA 3.10, но возможность есть установить разом. Не нашел об этом записей в справке ... если проглядел ткните пожалуйста.

Так-с, KEA последней версии установлен, однако на файловом сервере по прежнему не выдает карточку инцидента. Я пробовал пропустить через него вирус, однако все осталось также ?

ElvinE5

ElvinE5

Posted
Posted (edited)

политику настроили отдельно для EA ?

upd: задачи обновления тоже.

при прогоне этого же вредоноса на KES 11 - карточка формируется ?

но, на вашем месте я бы так не рисковал ?

есть специальная сборка синтетического вируса которая должна строить карточку ... специально для Optimum

к сожалению не могу поделится, запросите помощи через компани аккаунт - https://companyaccount.kaspersky.com

файл называется - sw_test.exe

 

Edited by ElvinE5
Amacclaellis

Amacclaellis

Posted
  • Author
Posted
14 минут назад, ElvinE5 сказал:

политику настроили отдельно для EA ?

upd: задачи обновления тоже.

Немного зависаю ?

А подскажите, какие политики и задачи необходимо настроить? Необходимо ли настраивать политику MDR?

 

18 минут назад, ElvinE5 сказал:

при прогоне этого же вредоноса на KES 11 - карточка формируется ?

Да, на рабочих станциях карточка формируется. На файловом сервере все та же ошибка:

"не удалось создать карточку инцидента.

19 минут назад, ElvinE5 сказал:

есть специальная сборка синтетического вируса которая должна строить карточку ... специально для Optimum

к сожалению не могу поделится, запросите помощи через компани аккаунт - https://companyaccount.kaspersky.com

файл называется - sw_test.exe

Как раз данной сборкой и пользовался ^^'

Amacclaellis

Amacclaellis

Posted
  • Author
Posted

Если я правильно понимаю, политика endpoint  связана с MDR, для которой необходимо приобретение другой лицензии? Или я что то не так делаю? ?

ElvinE5

ElvinE5

Posted
Posted

MDR нет, у вас лицензии нет ... %) с Optimum не совместима.

задача, обновления баз и модулей EA, и прорвете что сам EA ключ получил.

ну в политике не так много всего проверти пункты.

 

 

image.png.46d4ec6eaff12eec561c5670eea5340d.pngimage.thumb.png.9464081498b08ecd60d136b3b4a8f1b3.png

 

image.png.6ed3ad529abcc59658e601c392ac22ad.png

ElvinE5

ElvinE5

Posted
Posted
6 минут назад, Amacclaellis сказал:

Если я правильно понимаю, политика endpoint  связана с MDR

нет, вернее не только ?

политика для работы EA с возможностью интеграции с KATA или KICS например, ну и MDR тоже

Amacclaellis

Amacclaellis

Posted
  • Author
Posted
45 минут назад, ElvinE5 сказал:

MDR нет, у вас лицензии нет ... %) с Optimum не совместима.

задача, обновления баз и модулей EA, и прорвете что сам EA ключ получил.

ну в политике не так много всего проверти пункты.

fb1ed418-ee1d-49cb-8245-d2945d51a253.thumb.jpg.4318eb971a6416923a3374fd8955393c.jpg

Отсутствуют параметры KSN и Серверы сбора телеметрии ?

ElvinE5

ElvinE5

Posted
Posted (edited)

Интересно, может плагин криво лег. Попробуйте удалить и переставить. Или попробуйте через web плагин.

параметры отображения консоли не влияют вроде, у себя потыкал, активация сервера тоже не должна влиять. EA я так понимаю 3.13 и плагин к нему соответствующий ?

Edited by ElvinE5
Amacclaellis

Amacclaellis

Posted
  • Author
Posted
19 минут назад, ElvinE5 сказал:

Интересно, может плагин криво лег. Попробуйте удалить и переставить. Или попробуйте через web плагин.

параметры отображения консоли не влияют вроде, у себя потыкал, активация сервера тоже не должна влиять. EA я так понимаю 3.13 и плагин к нему соответствующий ?

e990d956-3eaa-4aa9-9b17-b968f340aefe.thumb.jpg.93e7bd25175ebb4b8a406c04fe59d7a3.jpg

ElvinE5

ElvinE5

Posted
Posted

у меня все на месте ... ?

image.png.84fc54d54c4c7a2fcb23fee2de61cb78.png

Amacclaellis

Amacclaellis

Posted
  • Author
Posted
24 минуты назад, ElvinE5 сказал:

у меня все на месте ... ?

image.png.84fc54d54c4c7a2fcb23fee2de61cb78.png

Тогда еще страннее ?. Можно ли что то еще сделать?(

ElvinE5

ElvinE5

Posted
Posted (edited)

ну вы политику то проверили в веб консоли ? плагин в MMC переустановили и проверили ?

тогда в компании аккаунт ... я пока не придумал из за чего подобное может происходить

Edited by ElvinE5

Please sign in to comment

You will be able to leave a comment after signing in



Sign In Now
 Share
Go to topic listing


×
×
  • Create New...