Тонкая настройка отчетов KSC 11 версия 2.0

[Alexey]

Все привет, уже была подобная тема с решенными вопросами, поэтому данную тему назвал версия 2.0 И вновь возник еще один интересный вопрос, имеется KSC 11.0.0.1131 стандартная защита рабочих станций агент+KES а так же agentless защита VM (безагентская защита) Я уже много чего попробовал в отчетах, поэтому перейду сразу к сути: у устройств, находящихся под безагентской защитой (посредством SVM) имеется интересный статус такой как "Защита выключена. Базы устарели" - как я предполагаю этот статус добывают сами SVM от устройств на которых натравлена политика по защите\или не натравлена. НО, в статусах устройств свойства KSC нет такого статуса "Защита выключена. Базы устарели" а есть другие РАЗДЕЛЬНЫЕ статусы как "Базы устарели" и "Защита выключена" Другими словами: статус устройств с агентским управлением отличается от статуса устройств с безагентским. В связи с этим вопрос и то что не получается: делаю выборку устройств, делаю отчет необходимый мне, и в этом отчете как бы нету критического статуса с "Защита выключена. Базы устарели" - с данным статусом устройства полностью отсутствуют, хотя в тесте выборки они присутствуют... Делаю просто отчет без выборки - и туда уже попадают все устройства скажем так и без агента и с агентом, и со всеми статусами.. но уже их практически невозможно разделить как нужно. Так же делаю предположение что статус безагентских устройств так как на них нет агента никак нельзя перепривязать и поменять тоесть "Защита выключена. Базы устарели" - всегда критический.

[Alexey]

Дополнение, первый скрин - отчет для всех управляемых и там есть статус искомый, второй отчет для выборки - и там уже нету данной причины добавление в отчет, в тоже время устройства с данным статусом - 100% есть... как это исправить? https://help.kaspersky.com/ksv/4.0/ru-RU/127579.htm ссылка на описание отчета о состоянии защиты

[Alexey]

В общем напишу свои выводы, до которых дошел. Статусы устройств, управляемых без агента KSC сообщают SVM, дак вот по видимому при указании непосредственно виртуальных машин посредством ip или fqdn имени KSC тупо сморит - что на них ничего нету..... (а на них ничего нету) и в отчет выдает ноль. Если же обращаться через группы устройств - происходит обращение к SVM и они уже сообщают правильные данные об VMs, которые им подконтрольны в данный момент - на каких есть защита на каких нет и т.п. Исходя из этого не всегда удобно сделать то что я хотел, тоесть ограничить выдаваемые данные защищенной машиной фактически нельзя кроме как фильтрами статусов устройств и фильтром в количестве 1 шт по типа устройства.

[Alexey]

Для тех кто следит за темой, в целом добился так или иначе положительного результата хоть и специфическими методами. Дак вот, в отчете "о состоянии защиты" в фильтрах есть интересное поле отчета называется "Последнее появление в сети". Дак вот, хосты, контролируемые SVM имеют в этом поле какое то значение - дату когда к ним обращалась SVM, на хостах же к которым не применена защита через секьюрити групп и политики защиты - ничего не имеют в этом статусе, точнее имеют N/A. Тем самым указав некую дату исходного появления в сети можно избавиться от всех машин с N/A тоесть, от всех незащищаемых машин... что и необходимо было. Есть один нюанс - если в NSX убрать группу хостов из зищиты, то вероятнее всего в отчете они останутся со статусом "без защиты". Тоесть способ не идеальный, но другого метода приблизиться к тому что я хотел я не нашел. Для себя тему закрыл, спасибо кто читал)))