Jump to content
Kaspersky Support Forum

Новые устройства в "нераспределенных"

АлексNN

By АлексNN
in Kaspersky Security Center

 Share

Recommended Posts

АлексNN

АлексNN

Posted
Posted

Коллеги, кто-нибудь знает как автоматизировать выявление новых ПК, попавших в "нераспределенные"?
Каждый раз нырять в эту папку и выискивать новые ПК очень не удобно...
К сожалению ни в отчетах ни в запросах у KSC 13 ничего такого не нашел. В перечне событий такого события как появление нового ПК или попадание ПК в группу тоже нет, увы...
 

Goddeimos13

Goddeimos13

Posted
Posted
  On 1/25/2023 at 6:13 AM, АлексNN said:

В перечне событий такого события как появление нового ПК или попадание ПК в группу тоже нет, увы...

Expand  

Похоже плохо искали.

В событиях KSC всё есть.

image.png.54ae0ff8c736c7b74b6549d18d970835.png

АлексNN

АлексNN

Posted
  • Author
Posted
  On 1/25/2023 at 6:18 AM, Goddeimos13 said:

Похоже плохо искали.

В событиях KSC всё есть.

image.png.54ae0ff8c736c7b74b6549d18d970835.png

Expand  

хм....любопытно...а где Вы это нашли? можно чуточку подробностей

 

АлексNN

АлексNN

Posted
  • Author
Posted

спасибо! теперь надо думать как это в журналах аудита KSC найти

Aftalik

Aftalik

Posted
Posted
  On 1/25/2023 at 6:13 AM, АлексNN said:

Коллеги, кто-нибудь знает как автоматизировать выявление новых ПК, попавших в "нераспределенные"?

Expand  

У меня встречный вопрос - а для какой цели интересуетесь? что-то сдается мне, что бы потом выполнить над ними какое-то действие, не просто для информации же? Самое простое - распределить их. Тогда вам сюда:

image.thumb.png.b60c49cf251dd9deee7c2f702b09e9a7.png

 

  • Like 1
ElvinE5

ElvinE5

Posted
Posted (edited)
  On 1/25/2023 at 7:59 AM, АлексNN said:

спасибо! теперь надо думать как это в журналах аудита KSC найти

Expand  

Попробуйте создать выборку ...

  Reveal hidden contents

и период вас интересующий ...

  Reveal hidden contents

 

или настройте себе отправку уведомление об этом событии на почту ...

  Reveal hidden contents

 

 

и как правильно говорит @Aftalik, ну нашли ... а дальше что ? ?

Edited by ElvinE5
  • Like 1
АлексNN

АлексNN

Posted
  • Author
Posted
  On 1/25/2023 at 8:53 AM, ElvinE5 said:

Попробуйте создать выборку ...

  Reveal hidden contents

и период вас интересующий ...

  Reveal hidden contents

 

или настройте себе отправку уведомление об этом событии на почту ...

  Reveal hidden contents

 

 

и как правильно говорит @Aftalik, ну нашли ... а дальше что ? ?

Expand  

ну как нашли, сразу раскидать по нужным папкам) что бы был порядок и опять же в курсе быть, что появился новый ПК в сети

 

Aftalik

Aftalik

Posted
Posted
  On 1/25/2023 at 9:10 AM, АлексNN said:

ну как нашли, сразу раскидать по нужным папкам)

Expand  

Чем не устраивает мое решение с настройкой правил перемещения?

АлексNN

АлексNN

Posted
  • Author
Posted

интересно, а существует ли способ получения списка ПК в нераспределенных? Штатного не нашел... может к базе данных ksc запрос есть готовый?

ElvinE5

ElvinE5

Posted
Posted

Так ?

  Reveal hidden contents

 

АлексNN

АлексNN

Posted
  • Author
Posted
  On 1/30/2023 at 2:40 AM, ElvinE5 said:

Так ?

  Reveal hidden contents

 

Expand  

неее))) это же ручками делается. От этого как раз и нужно уйти.
По идее в базе данных KSC должна быть хранимая процедура которая возвращает список не распределенных устройств. Типа sp_get_unallocated_devices() :)

 

  On 1/25/2023 at 6:18 AM, Goddeimos13 said:

Похоже плохо искали.

В событиях KSC всё есть.

image.png.54ae0ff8c736c7b74b6549d18d970835.png

Expand  

К сожалению событие "new device has been detected" определяет не появление нового ПК в нераспределенных, а обнаружение на имеющихся ПК новый устройсв - как правило системные мониторы, флэшки, платы и прочая ерунда

Если нас читают из техподдержки, может они прекратят мучения и скажут как вызывать хранимку (или sql-запрос) в базе sql которая вернет список не распределенных? другого пути пока не вижу...

  On 1/25/2023 at 9:23 AM, Aftalik said:

Чем не устраивает мое решение с настройкой правил перемещения?

Expand  

1)нужно фиксировать попавших в не распределенные
2)нет четких правил распределения какой ПК куда распределять.

Goddeimos13

Goddeimos13

Posted
Posted
  On 1/30/2023 at 7:24 AM, АлексNN said:

К сожалению событие "new device has been detected" определяет не появление нового ПК в нераспределенных, а обнаружение на имеющихся ПК новый устройсв - как правило системные мониторы, флэшки, платы и прочая ерунда

Expand  

Вы определенно запутались.

Событие KSC "New device has been detected." генерируется при появлении устройств в "Нераспределенных устройствах".

А то, о чём вы говорите - это событие агента "New device has been added."

ElvinE5

ElvinE5

Posted
Posted (edited)
  On 1/30/2023 at 7:28 AM, АлексNN said:

1)нужно фиксировать попавших в не распределенные

Expand  

Создайте выборку и отправку уведомлений, себе на почту, как я описывал выше

 

  On 1/30/2023 at 7:28 AM, АлексNN said:

нет четких правил распределения какой ПК куда распределять.

Expand  

есть правила перемещения ... условия задаются вами, и их универсальность будет зависит только от вас.

  Reveal hidden contents

 

Edited by ElvinE5
АлексNN

АлексNN

Posted
  • Author
Posted
  On 1/30/2023 at 7:36 AM, ElvinE5 said:

Создайте выборку и отправку уведомлений, себе на почту, как я описывал выше

 

есть правила перемещения ... условия задаются вами, и их универсальность будет зависит только от вас.

  Reveal hidden contents

 

Expand  

Спасибо Вам за желание помочь, но такой вариант нам не подходит (( нужна процедура автоматического получения списка таких ПК. Дальнейшее распределение выполняется руками.

ElvinE5

ElvinE5

Posted
Posted (edited)

так ... ну последняя попытка ... ?

в системе есть предустановленная выборка "Новые устройства в сети, обнаруженные за последние 24 часа" (мельче нельзя к сожалению),

достаточно новые ?

  Reveal hidden contents

 

 

  On 1/30/2023 at 7:46 AM, АлексNN said:

нужна процедура автоматического получения списка таких ПК

Expand  

получение кем или чем ? в каком виде вы себе это представляете ? где вы должны видеть этот список ?

Edited by ElvinE5
Aftalik

Aftalik

Posted
Posted
  On 1/30/2023 at 8:37 AM, ElvinE5 said:

получение кем или чем ? в каком виде вы себе это представляете ? где вы должны видеть этот список ?

Expand  

видимо в каком-то внешнем файле/базе:

  On 1/30/2023 at 7:26 AM, АлексNN said:

как вызывать хранимку (или sql-запрос) в базе sql которая вернет список не распределенных

Expand  

только зачем все это, при условии, что

  On 1/30/2023 at 7:46 AM, АлексNN said:

Дальнейшее распределение выполняется руками.

Expand  

?‍♂️

АлексNN

АлексNN

Posted
  • Author
Posted
  On 1/30/2023 at 8:37 AM, ElvinE5 said:

так ... ну последняя попытка ... ?

в системе есть предустановленная выборка "Новые устройства в сети, обнаруженные за последние 24 часа" (мельче нельзя к сожалению),

достаточно новые ?

  Reveal hidden contents

 

 

получение кем или чем ? в каком виде вы себе это представляете ? где вы должны видеть этот список ?

Expand  

Получение чем, а именно  siem-системой которая получает необходимые данные. Поэтому вариант решений через кнопочки и интерфейс ну совсем не подходит (

 

неужели в такой продвинутой как KSC 13 системе нет api-интефейса который бы позволил сделать элементарный запрос??

ElvinE5

ElvinE5

Posted
Posted (edited)

ну тогда интернируйте с SIEM ...этот функционал то есть ...

правда там от лицензии вашей зависит тип интеграции ...

  Reveal hidden contents

настройте интеграцию SysLog

  Reveal hidden contents

и выберите только те события что вас интересуют это событие

  Reveal hidden contents

так же можно из SQL напрямую выдрать данные ...есть инструкции ...но лучше запросите в компании аккаунт

https://companyaccount.kaspersky.com/account/login

 

и в принципе вот вам счастье ... ?

а то устроили тут ромашку (с)

 

Edited by ElvinE5
  • Like 1

Please sign in to comment

You will be able to leave a comment after signing in



Sign In Now
 Share
Go to topic listing


×
×
  • Create New...