Ohne ende Logs durch Programm-Überwachung

[Jo_Sch]

Hallo zusammen!

 

Eben ist mir aufgefallen, dass ohne Ende Info-Logs (mehrere pro Sekunde) durch die Programm-Überwachung ausgelöst werden.

Ich behaupte einfach mal, dass jedes Mal wenn ein User auf einem Endgerät ein Programm startet, diese Logs erstellt werden. Und zwar nicht ein Log pro Programm, sondern 10-fach und mehr.

Ist das normal oder kann man die Logeinträge irgendwie beschränken?

Hier ein Beispiel:

 

Ereignistyp:     Die Komponente Programm-Überwachung wurde ausgelöst. Programm:     PROGRAMMNAME /  WEITEREINFOS Programm\Name:     programm.exe Programm\Pfad:     C:\Program Files (x86)\ORDNER Programm\Prozess-ID:     1234 Benutzer:     NETZ\username (Aktiver Benutzer) Komponente:     Programm-Überwachung Ergebnis\Beschreibung:     Erlaubt Ergebnis\Typ:     Zugriff auf Registrierung Ergebnis\Name:     Services_ImagePath Ergebnis\Bedrohungsstufe:     Niedrig Ergebnis\Genauigkeit:     Genau Aktion:     Erstellen Objekt:     hklm\SYSTEM\ControlSet001\Services\Tcpip\Parameters\ImagePath Objekt\Typ:     Registrierungsschlüssel Objekt\Pfad:     hklm\SYSTEM\ControlSet001\Services\Tcpip\Parameters\ImagePath Objekt\Name:     ImagePath Grund:     Services_ImagePath

[Grodomin]

Moin @Jo_Sch ,

an welcher Stelle bekommst du denn die Logs?

Habe durch meine Systeme geschaut und es nicht gefunden…

Benachrichtigungen kannst du ja an zwei Stellen anpassen:

1. in der Endpoint RIchlinie unter Konfiguration von Ereignissen / Eigenschaften
2. in der Endpoint Richtline unter Allgemeine Einstellungen / Benutzeroberfläche / Meldungen

Denke bei Dir wäre der 2. Punkt richtig.

 

MfG

[Jo_Sch]

Die Logs bekomme ich hier:

KSC / Administrationsserver / Ereignisse / Informative Ereignisse / Auswahl starten

Dort werden halt alle (?) Programme, die auf einem Client gestartet werden im Testmodus gestartet? Die Frage ist halt, ob das immer so ist, oder ich ich da eine unglückliche Konfiguration vorgenommen habe?!!?!?!

 

Unter 1. ist lediglich der Haken “In der Administrationsserver-DB speichern für 30 Tage” drin. Ich lasse mir bei 6 Warnungen zusätzlich Mails schicken.

 

Unter 2. ist fast alles bei “In lokalem Bericht speichern” angehakt. Ich denke, dass hier noch etwas optimiert werden könnte. Gibt es Standardeinstellungen oder Empfehlungen? Es sind schließlich “endlos” Optionen. *puh*

[Grodomin]

Fast Mahlzeit,

öhm joah - ich würde sagen du hast dir das System ganz schön geflutet 😂

Bei mir steht da nichts von Programmen die auf Endgeräten gestartet werden, obwohl die Programm-Überwachung aktiv ist…

Ich bin ein wenig über “ im Testmodus gestartet?” verwundert.
Die Programm-Überwachung hat doch gar keinen Test- / Lernmodus?

Deine Meldungen kommen doch von einem Client mit der aktullen KES, oder?

Mit den Default-Einstellungen vom KSC fährt man in der Regel nicht schlecht - je nach Größe des Unternehmens kann man sich auch an den Empfehlungen für Managed Service Provider (MSP) orientieren.

Siehe:  https://support.kaspersky.com/KSC/12/de-DE/155352.htm

unter “Beste Vorgehensweisen für Dienstanbieter“

[Jo_Sch]

Ja, die Meldungen kommen vom KES12.

 

Unter

In der Endpoint Richtline unter Allgemeine Einstellungen / Benutzeroberfläche / Meldungen

 

im Unterpunkt “Programmkontrolle” ist halt bei mir “Der Programmstart wurde im Testmodus verboten/erlaubt” angehakt gewesen. Habe das jetzt mal raus gemacht. Jetzt sollten weniger Logs kommen. Die anderen Optionen überprüfe ich auch mal.

Ob ich da irgendwann mal etwas zu euphorisch beim Häkchen setzen war?!?!?!!?

Was ist denn überhaupt dieser Testmodus?

Ich werde mir die verlinkte Anleitung mal antun. Danke dafür und auch für Deine Unterstützung, auch in dem anderen Thread.

Jetzt ist auf jeden Fall Licht ins Dunkel gekommen :-)

[alexcad]

Der Testmodus dient dazu benötigte Ausnahmen/Regeln zu identifizieren und zu testen, bevor die Programmkontrolle scharf geschaltet wird.

“Die Einstellungen der "Programmkontrolle" können im Testmodus überprüft werden. In diesem Modus führt Kaspersky Endpoint Security die folgenden Aktionen aus:

• Der Start von Programmen (auch von verbotenen Programmen) wird erlaubt.
• Beim Start eines verbotenen Programms wird eine entsprechende Benachrichtigung angezeigt und Informationen werden zum Bericht auf dem Benutzercomputer Informationen hinzugefügt.
• Daten über den Start verbotener Programme werden an Kaspersky Security Center gesendet.”

Siehe https://support.kaspersky.com/KESWin/11.4.0/de-DE/176742.htm

 

Grüße
Alex

[Jo_Sch]

OK, den Testmodus habe ich nun verstanden.

 

Aber jetztz kommt’s:

Wie ich oben schon geschrieben habe, habe ich unter den Richtlinien der jeweiligen Gruppen

Allgemeine Einstellungen / Benutzeroberfläche / Meldungen / Einstellungen /Programmkontrolle

die beiden Häkchen in der Rubrik “In lokalem Bericht speichern”

• Der Programmstart wurde im Testmodus verboten
• Der Programmstart wurde im Testmodus erlaubt

entfernt.

Trotzdem kommen weiterhin zu Hauf die Logs, die ich eingangs beschrieben habe.

OK, dann einfach das Modul “Programmüberwachung” deaktiviert, dann dürften die Log ja nicht mehr kommen.

Weit gefehlt. Die Logs kommen weiterhin.

Kann sich jemand darauf einen Reim machen? Wo kommen die ver****ten Logs her?

 

Hier nochmal ein Beispiel:

Ereignistyp:     Der Programmstart wurde im Testmodus erlaubt.
Objekt\Dateiname:     backgroundTaskHost.exe
Objekt\Dateiversion:     10.0.19041.1 (WinBuild.160101.0800)
Objekt\Programmname:     Microsoft® Windows® Operating System
Objekt\Dateipfad:     C:\Windows\System32\backgroundTaskHost.exe
Objekt\Quelle:     C:\Windows\System32\backgroundTaskHost.exe
Objekt\Hersteller:     Microsoft Corporation
Objekt\Hash:     <irgendeinHash>
KL-Kategorie\Name:     Golden Image\Operating Systems & Utilities\OS Components
KL-Kategorie\Quelle:     Lokale Datenbanken
Regel\Kategorie:     Standardmäßiges Verbot
Regel\Regeltyp:     Test

Ausgewählte Ereignisse: Eigenschaften
Programm: Kaspersky Endpoint Security für Windows (11.4.0)
Version: 11.4.0.233
Gerät: Gerätename
Gruppe: Gruppenname
Uhrzeit: Montag, 10. August 2020 09:16:33
Aufgabe: Programmkontrolle

 

 

EDIT:

Habe jetzt auch unter

Eigenschaften der Gruppe / Konfiguration von Ereignissen / Information / “Der Programmstart wurde im Testmodus erlaubt” auf “nicht gespeichert” gesetzt. Also kein Logging dieses Ereignisses.

Trotzdem gibt es weiterhin diese Logs.

Muss man den Administrationsserver einmal neu starten, damit diese Änderungen wirksam werden?

Es ist wirklich zum Verzweifeln…

 

EDIT2:

Jetzt kommen die Ereignisse seit ca. 20 min. nicht mehr. Vielleicht brauchte es etwas Zeit, bis die neue Einstellung sich durchgesetzt hat?!!? Ich beobachte mal weiter.

[Jo_Sch]

So, das Problem scheint gelöst zu sein. Die Logs kommen jetzt nicht mehr in der Fülle, wie vorher.

Danke für eure Unterstützung.

Gruß Jo_Sch