Jump to content

Новые устройства в "нераспределенных"


Recommended Posts

Коллеги, кто-нибудь знает как автоматизировать выявление новых ПК, попавших в "нераспределенные"?
Каждый раз нырять в эту папку и выискивать новые ПК очень не удобно...
К сожалению ни в отчетах ни в запросах у KSC 13 ничего такого не нашел. В перечне событий такого события как появление нового ПК или попадание ПК в группу тоже нет, увы...
 

Link to comment
Share on other sites

4 минуты назад, АлексNN сказал:

В перечне событий такого события как появление нового ПК или попадание ПК в группу тоже нет, увы...

Похоже плохо искали.

В событиях KSC всё есть.

image.png.54ae0ff8c736c7b74b6549d18d970835.png

Link to comment
Share on other sites

54 минуты назад, Goddeimos13 сказал:

Похоже плохо искали.

В событиях KSC всё есть.

image.png.54ae0ff8c736c7b74b6549d18d970835.png

хм....любопытно...а где Вы это нашли? можно чуточку подробностей

 

Link to comment
Share on other sites

2 часа назад, АлексNN сказал:

Коллеги, кто-нибудь знает как автоматизировать выявление новых ПК, попавших в "нераспределенные"?

У меня встречный вопрос - а для какой цели интересуетесь? что-то сдается мне, что бы потом выполнить над ними какое-то действие, не просто для информации же? Самое простое - распределить их. Тогда вам сюда:

image.thumb.png.b60c49cf251dd9deee7c2f702b09e9a7.png

 

  • Like 1
Link to comment
Share on other sites

54 минуты назад, АлексNN сказал:

спасибо! теперь надо думать как это в журналах аудита KSC найти

Попробуйте создать выборку ...

Спойлер

image.thumb.png.48e270162720e091a9ce895aa5716400.png

и период вас интересующий ...

Спойлер

image.png.91060d795aa28acf2159ee49cdc7ffb4.png

 

или настройте себе отправку уведомление об этом событии на почту ...

Спойлер

image.thumb.png.59db136ce911f55f81538f8d7730f622.png

 

 

и как правильно говорит @Aftalik, ну нашли ... а дальше что ? 🙂

Edited by ElvinE5
  • Like 1
Link to comment
Share on other sites

15 минут назад, ElvinE5 сказал:

Попробуйте создать выборку ...

  Скрыть контент

image.thumb.png.48e270162720e091a9ce895aa5716400.png

и период вас интересующий ...

  Показать контент

image.png.91060d795aa28acf2159ee49cdc7ffb4.png

 

или настройте себе отправку уведомление об этом событии на почту ...

  Скрыть контент

image.thumb.png.59db136ce911f55f81538f8d7730f622.png

 

 

и как правильно говорит @Aftalik, ну нашли ... а дальше что ? 🙂

ну как нашли, сразу раскидать по нужным папкам) что бы был порядок и опять же в курсе быть, что появился новый ПК в сети

 

Link to comment
Share on other sites

11 минут назад, АлексNN сказал:

ну как нашли, сразу раскидать по нужным папкам)

Чем не устраивает мое решение с настройкой правил перемещения?

Link to comment
Share on other sites

интересно, а существует ли способ получения списка ПК в нераспределенных? Штатного не нашел... может к базе данных ksc запрос есть готовый?

Link to comment
Share on other sites

12 часов назад, ElvinE5 сказал:

Так ?

  Скрыть контент

image.png.9ee7ca06b9bc7bf7b80a8f12fadbe05a.png

 

неее))) это же ручками делается. От этого как раз и нужно уйти.
По идее в базе данных KSC должна быть хранимая процедура которая возвращает список не распределенных устройств. Типа sp_get_unallocated_devices() :)

 

В 25.01.2023 в 09:18, Goddeimos13 сказал:

Похоже плохо искали.

В событиях KSC всё есть.

image.png.54ae0ff8c736c7b74b6549d18d970835.png

К сожалению событие "new device has been detected" определяет не появление нового ПК в нераспределенных, а обнаружение на имеющихся ПК новый устройсв - как правило системные мониторы, флэшки, платы и прочая ерунда

Если нас читают из техподдержки, может они прекратят мучения и скажут как вызывать хранимку (или sql-запрос) в базе sql которая вернет список не распределенных? другого пути пока не вижу...

В 25.01.2023 в 12:23, Aftalik сказал:

Чем не устраивает мое решение с настройкой правил перемещения?

1)нужно фиксировать попавших в не распределенные
2)нет четких правил распределения какой ПК куда распределять.

Link to comment
Share on other sites

8 минут назад, АлексNN сказал:

К сожалению событие "new device has been detected" определяет не появление нового ПК в нераспределенных, а обнаружение на имеющихся ПК новый устройсв - как правило системные мониторы, флэшки, платы и прочая ерунда

Вы определенно запутались.

Событие KSC "New device has been detected." генерируется при появлении устройств в "Нераспределенных устройствах".

А то, о чём вы говорите - это событие агента "New device has been added."

Link to comment
Share on other sites

9 минут назад, АлексNN сказал:

1)нужно фиксировать попавших в не распределенные

Создайте выборку и отправку уведомлений, себе на почту, как я описывал выше

 

9 минут назад, АлексNN сказал:

нет четких правил распределения какой ПК куда распределять.

есть правила перемещения ... условия задаются вами, и их универсальность будет зависит только от вас.

Спойлер

image.thumb.png.184c88bbd904b3ddeae67a7d6ceed88d.png

 

Edited by ElvinE5
Link to comment
Share on other sites

8 минут назад, ElvinE5 сказал:

Создайте выборку и отправку уведомлений, себе на почту, как я описывал выше

 

есть правила перемещения ... условия задаются вами, и их универсальность будет зависит только от вас.

  Показать контент

image.thumb.png.184c88bbd904b3ddeae67a7d6ceed88d.png

 

Спасибо Вам за желание помочь, но такой вариант нам не подходит (( нужна процедура автоматического получения списка таких ПК. Дальнейшее распределение выполняется руками.

Link to comment
Share on other sites

так ... ну последняя попытка ... 😎

в системе есть предустановленная выборка "Новые устройства в сети, обнаруженные за последние 24 часа" (мельче нельзя к сожалению),

достаточно новые ?

Спойлер

image.thumb.png.d4188c500f0bd3cebc411c033be7dfec.png

 

 

54 минуты назад, АлексNN сказал:

нужна процедура автоматического получения списка таких ПК

получение кем или чем ? в каком виде вы себе это представляете ? где вы должны видеть этот список ?

Edited by ElvinE5
Link to comment
Share on other sites

5 минут назад, ElvinE5 сказал:

получение кем или чем ? в каком виде вы себе это представляете ? где вы должны видеть этот список ?

видимо в каком-то внешнем файле/базе:

1 час назад, АлексNN сказал:

как вызывать хранимку (или sql-запрос) в базе sql которая вернет список не распределенных

только зачем все это, при условии, что

58 минут назад, АлексNN сказал:

Дальнейшее распределение выполняется руками.

🤷‍♂️

Link to comment
Share on other sites

6 часов назад, ElvinE5 сказал:

так ... ну последняя попытка ... 😎

в системе есть предустановленная выборка "Новые устройства в сети, обнаруженные за последние 24 часа" (мельче нельзя к сожалению),

достаточно новые ?

  Показать контент

image.thumb.png.d4188c500f0bd3cebc411c033be7dfec.png

 

 

получение кем или чем ? в каком виде вы себе это представляете ? где вы должны видеть этот список ?

Получение чем, а именно  siem-системой которая получает необходимые данные. Поэтому вариант решений через кнопочки и интерфейс ну совсем не подходит (

 

неужели в такой продвинутой как KSC 13 системе нет api-интефейса который бы позволил сделать элементарный запрос??

Link to comment
Share on other sites

ну тогда интернируйте с SIEM ...этот функционал то есть ...

правда там от лицензии вашей зависит тип интеграции ...

Спойлер

image.thumb.png.6d068c1ad66ada846a130c6049bd2b5b.png

настройте интеграцию SysLog

Спойлер

image.png.ac76772395181aeef3800af6b46d823a.png

и выберите только те события что вас интересуют это событие

Спойлер

image.thumb.png.a617c7f839a5f1a0fa8bb1511289c1ac.png

так же можно из SQL напрямую выдрать данные ...есть инструкции ...но лучше запросите в компании аккаунт

https://companyaccount.kaspersky.com/account/login

 

и в принципе вот вам счастье ... 🙂

а то устроили тут ромашку (с)

 

Edited by ElvinE5
  • Like 1
Link to comment
Share on other sites

Please sign in to comment

You will be able to leave a comment after signing in



Sign In Now
 Share



×
×
  • Create New...

Important Information

We have placed cookies on your device to help make this website better. You can adjust your cookie settings, otherwise we'll assume you're okay to continue.