Jump to content

Карточка инцидента для файлового сервера


Recommended Posts

Добрый день. Такой вопрос. При установке Касперского для файловых серверов нет пункта EDR. Соответственно, нет возможности получить обогащенной карточки инцидента. Так вот, данный функционал работает только на рабочих станциях? Нужно ли что-то дополнительное ставить на сервер для отображения карточки инцидента? 

image.thumb.jpeg.fb98304a4a525e7a9d56acda1b7c0fb9.jpeg 

image.thumb.jpeg.06f3eedf0edb5ced28cf8ee0d05fd4c3.jpeg

Срабочих станций карточки формируются нормально

image.thumb.jpeg.114b5e63c63bae5c646a86bfe8bf8896.jpeg

Заранее спасибо за ответ. 

Edited by Amacclaellis
Link to comment
Share on other sites

Добрый день

вот справка на продукту https://support.kaspersky.com/KEDR_Optimum/2.3/ru-RU/216855.htm

если вы используете для защиты серверов KSWS 11.0.1 - установите дополнительно Endpoint Agent 3.13 (сейчас) и настройте политику для него.

Если на сервер установлен KES 11.11 (для рабочих станций, например) и вы указали установку соответствующего компонента в интсталяционном пакете перед развертыванием, то EA дополнительно ставить не надо.

 

карточка может не строится если нечего строить, события где есть заполненная карточка имеют ссылку "Обогащенный", возможно в вашем случаи там просто нечем "обогащать".

 

upd: это англоязычный раздел форума :), русский ниже по списку .. наверно надо перенести тему ...или админов попросить это сделать.

Edited by ElvinE5
Link to comment
Share on other sites

23 минуты назад, ElvinE5 сказал:

Добрый день

вот справка на продукту https://support.kaspersky.com/KEDR_Optimum/2.3/ru-RU/216855.htm

если вы используете для защиты серверов KSWS 11.0.1 - установите дополнительно Endpoint Agent 3.13 (сейчас) и настройте политику для него.

Если на сервер установлен KES 11.11 (для рабочих станций, например) и вы указали установку соответствующего компонента в интсталяционном пакете перед развертыванием, то EA дополнительно ставить не надо.

 

карточка может не строится если нечего строить, события где есть заполненная карточка имеют ссылку "Обогащенный", возможно в вашем случаи там просто нечем "обогащать".

Большое спасибо за ответ) Сейчас попробую)

24 минуты назад, ElvinE5 сказал:

upd: это англоязычный раздел форума :), русский ниже по списку .. наверно надо перенести тему ...или админов попросить это сделать.

Ой, прошу прощения за мою невнимательность ^^'. Впервые на форуме. Обратился за помощью к модераторам)

Link to comment
Share on other sites

Дополнительно обнаружил следующие. 🙂

если в инсталяционном пакете KSWS 11.0.1 установить вот эту галочку (ранее не замечал :)) то после развертывания на сервере, EA будет установлен, правда в моем пакете был "вшит" EA 3.10, но возможность есть установить разом. Не нашел об этом записей в справке ... если проглядел ткните пожалуйста.

image.png.8164f2a3f5eff9a52bd979f994d73865.png

 

image.thumb.png.8b9fce5d037ae9e3362dfd17802ec09a.png

 

🙂

Edited by ElvinE5
Link to comment
Share on other sites

В 25.11.2022 в 18:38, ElvinE5 сказал:

Дополнительно обнаружил следующие. 🙂

если в инсталяционном пакете KSWS 11.0.1 установить вот эту галочку (ранее не замечал :)) то после развертывания на сервере, EA будет установлен, правда в моем пакете был "вшит" EA 3.10, но возможность есть установить разом. Не нашел об этом записей в справке ... если проглядел ткните пожалуйста.

Так-с, KEA последней версии установлен, однако на файловом сервере по прежнему не выдает карточку инцидента. Я пробовал пропустить через него вирус, однако все осталось также 🤔

Link to comment
Share on other sites

политику настроили отдельно для EA ?

upd: задачи обновления тоже.

при прогоне этого же вредоноса на KES 11 - карточка формируется ?

но, на вашем месте я бы так не рисковал 🙂

есть специальная сборка синтетического вируса которая должна строить карточку ... специально для Optimum

к сожалению не могу поделится, запросите помощи через компани аккаунт - https://companyaccount.kaspersky.com

файл называется - sw_test.exe

 

Edited by ElvinE5
Link to comment
Share on other sites

14 минут назад, ElvinE5 сказал:

политику настроили отдельно для EA ?

upd: задачи обновления тоже.

Немного зависаю 😅

А подскажите, какие политики и задачи необходимо настроить? Необходимо ли настраивать политику MDR?

 

18 минут назад, ElvinE5 сказал:

при прогоне этого же вредоноса на KES 11 - карточка формируется ?

Да, на рабочих станциях карточка формируется. На файловом сервере все та же ошибка:

"не удалось создать карточку инцидента.

19 минут назад, ElvinE5 сказал:

есть специальная сборка синтетического вируса которая должна строить карточку ... специально для Optimum

к сожалению не могу поделится, запросите помощи через компани аккаунт - https://companyaccount.kaspersky.com

файл называется - sw_test.exe

Как раз данной сборкой и пользовался ^^'

Link to comment
Share on other sites

MDR нет, у вас лицензии нет ... %) с Optimum не совместима.

задача, обновления баз и модулей EA, и прорвете что сам EA ключ получил.

ну в политике не так много всего проверти пункты.

 

 

image.png.46d4ec6eaff12eec561c5670eea5340d.pngimage.thumb.png.9464081498b08ecd60d136b3b4a8f1b3.png

 

image.png.6ed3ad529abcc59658e601c392ac22ad.png

Link to comment
Share on other sites

6 минут назад, Amacclaellis сказал:

Если я правильно понимаю, политика endpoint  связана с MDR

нет, вернее не только 🙂

политика для работы EA с возможностью интеграции с KATA или KICS например, ну и MDR тоже

Link to comment
Share on other sites

45 минут назад, ElvinE5 сказал:

MDR нет, у вас лицензии нет ... %) с Optimum не совместима.

задача, обновления баз и модулей EA, и прорвете что сам EA ключ получил.

ну в политике не так много всего проверти пункты.

fb1ed418-ee1d-49cb-8245-d2945d51a253.thumb.jpg.4318eb971a6416923a3374fd8955393c.jpg

Отсутствуют параметры KSN и Серверы сбора телеметрии 😶

Link to comment
Share on other sites

Интересно, может плагин криво лег. Попробуйте удалить и переставить. Или попробуйте через web плагин.

параметры отображения консоли не влияют вроде, у себя потыкал, активация сервера тоже не должна влиять. EA я так понимаю 3.13 и плагин к нему соответствующий ?

Edited by ElvinE5
Link to comment
Share on other sites

19 минут назад, ElvinE5 сказал:

Интересно, может плагин криво лег. Попробуйте удалить и переставить. Или попробуйте через web плагин.

параметры отображения консоли не влияют вроде, у себя потыкал, активация сервера тоже не должна влиять. EA я так понимаю 3.13 и плагин к нему соответствующий ?

e990d956-3eaa-4aa9-9b17-b968f340aefe.thumb.jpg.93e7bd25175ebb4b8a406c04fe59d7a3.jpg

Link to comment
Share on other sites

ну вы политику то проверили в веб консоли ? плагин в MMC переустановили и проверили ?

тогда в компании аккаунт ... я пока не придумал из за чего подобное может происходить

Edited by ElvinE5
Link to comment
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
 Share



×
×
  • Create New...

Important Information

We have placed cookies on your device to help make this website better. You can adjust your cookie settings, otherwise we'll assume you're okay to continue.