Jump to content
Kaspersky Support Forum

Обнаружена подозрительная сетевая активность

Goddeimos13

By Goddeimos13
in Kaspersky Endpoint Security для бизнеса

 Share

Recommended Posts

Goddeimos13

Goddeimos13

Posted
Posted

День добрый!

Кто-нибуть знает логику работы KES в результате которой появляются события "Обнаружена подозрительная сетевая активность" ("Suspicious network activity detected")?

Начал следить за этими событиями. В день формируются примерно по 100 событий (2000 устройств).

Реагирует на легетимные сервисы, например mapi.exchange.net, либо когда админ сканирует что-то в сети.

Как-то можно эти подозрения сетевой активности конфигурировать? Например добавлять исключения для адресов/хостов. Что-то не нашёл этого в политике.

KES 11.8 / KSC 13.2

Firewall и Network Threat Protection в политике KES отключены.

image.thumb.png.fe185d92fbc2b26c40ffbee3e14d0d04.png

Demiad

Demiad

Posted
Posted

Лучше всего на последней версии KES собрать трассировку при возникновении событий, GSI с событиями, отправить в поддержку. Тогда будет ответ что именно происходило.

maximum

maximum

Posted
Posted
23 часа назад, Demiad сказал:

Лучше всего на последней версии KES собрать трассировку при возникновении событий, GSI с событиями, отправить в поддержку. Тогда будет ответ что именно происходило.

Думаю, что коллега знает что такое обращаться в службу поддержки ЛК, по этому и задаёт вопрос здесь.

У меня был случай, когда сами устройства с установленным агентом генерировали сетевую активность на какое-либо одно из 700+ устройств с установленным агентом. Последний расценивал это как сетевая атака.

Техническая поддержка так и не смогла выйти за рамки шаблонных вопросов и ответов.

 

Считаю, что не надо каждый раз посылать в техподдержку, надо развивать надо сообщество, у которого, к сожалению, скорость нахождения решения выше, чем у специалистом службы поддержки ЛК.

 

  • Like 1
Goddeimos13

Goddeimos13

Posted
  • Author
Posted
1 час назад, maximum сказал:

Думаю, что коллега знает что такое обращаться в службу поддержки ЛК, по этому и задаёт вопрос здесь.

У меня был случай, когда сами устройства с установленным агентом генерировали сетевую активность на какое-либо одно из 700+ устройств с установленным агентом. Последний расценивал это как сетевая атака.

Техническая поддержка так и не смогла выйти за рамки шаблонных вопросов и ответов.

 

Считаю, что не надо каждый раз посылать в техподдержку, надо развивать надо сообщество, у которого, к сожалению, скорость нахождения решения выше, чем у специалистом службы поддержки ЛК.

 

В прицнипе можно и самому пошерстить трассировки и поискать что там происходит на машине, когда генерируется событие. Муторно, долго, но иногда это даже быстрее чем дождаться ответ от ТП ЛК)))

Roman Andreev

Roman Andreev

Posted
Posted

Аналогичная ситуация. Написали свою программу, которая обрабатывает множество текстовых файлов. Теперь при её работе всегда генерится множество этих событий. Программа только для внутреннего пользования, на сторону я её не отдам. Чем мне здесь может помочь поддержка? Как решать проблему - непонятно...

Please sign in to comment

You will be able to leave a comment after signing in



Sign In Now
 Share
Go to topic listing


×
×
  • Create New...