Jump to content

Обнаружена подозрительная сетевая активность


Recommended Posts

День добрый!

Кто-нибуть знает логику работы KES в результате которой появляются события "Обнаружена подозрительная сетевая активность" ("Suspicious network activity detected")?

Начал следить за этими событиями. В день формируются примерно по 100 событий (2000 устройств).

Реагирует на легетимные сервисы, например mapi.exchange.net, либо когда админ сканирует что-то в сети.

Как-то можно эти подозрения сетевой активности конфигурировать? Например добавлять исключения для адресов/хостов. Что-то не нашёл этого в политике.

KES 11.8 / KSC 13.2

Firewall и Network Threat Protection в политике KES отключены.

image.thumb.png.fe185d92fbc2b26c40ffbee3e14d0d04.png

Link to comment
Share on other sites

Лучше всего на последней версии KES собрать трассировку при возникновении событий, GSI с событиями, отправить в поддержку. Тогда будет ответ что именно происходило.

Link to comment
Share on other sites

23 часа назад, Demiad сказал:

Лучше всего на последней версии KES собрать трассировку при возникновении событий, GSI с событиями, отправить в поддержку. Тогда будет ответ что именно происходило.

Думаю, что коллега знает что такое обращаться в службу поддержки ЛК, по этому и задаёт вопрос здесь.

У меня был случай, когда сами устройства с установленным агентом генерировали сетевую активность на какое-либо одно из 700+ устройств с установленным агентом. Последний расценивал это как сетевая атака.

Техническая поддержка так и не смогла выйти за рамки шаблонных вопросов и ответов.

 

Считаю, что не надо каждый раз посылать в техподдержку, надо развивать надо сообщество, у которого, к сожалению, скорость нахождения решения выше, чем у специалистом службы поддержки ЛК.

 

  • Like 1
Link to comment
Share on other sites

1 час назад, maximum сказал:

Думаю, что коллега знает что такое обращаться в службу поддержки ЛК, по этому и задаёт вопрос здесь.

У меня был случай, когда сами устройства с установленным агентом генерировали сетевую активность на какое-либо одно из 700+ устройств с установленным агентом. Последний расценивал это как сетевая атака.

Техническая поддержка так и не смогла выйти за рамки шаблонных вопросов и ответов.

 

Считаю, что не надо каждый раз посылать в техподдержку, надо развивать надо сообщество, у которого, к сожалению, скорость нахождения решения выше, чем у специалистом службы поддержки ЛК.

 

В прицнипе можно и самому пошерстить трассировки и поискать что там происходит на машине, когда генерируется событие. Муторно, долго, но иногда это даже быстрее чем дождаться ответ от ТП ЛК)))

Link to comment
Share on other sites

Аналогичная ситуация. Написали свою программу, которая обрабатывает множество текстовых файлов. Теперь при её работе всегда генерится множество этих событий. Программа только для внутреннего пользования, на сторону я её не отдам. Чем мне здесь может помочь поддержка? Как решать проблему - непонятно...

Link to comment
Share on other sites

Please sign in to comment

You will be able to leave a comment after signing in



Sign In Now


×
×
  • Create New...