-
Похожий контент
-
От Виталий Чебыкин
Добрый день, хотел бы поинтересоваться почему после обновления версии в моем случае с KES 11.8 до 12.3 версия для Window, ПК просит перезагрузку? Хотя компьютер периодически выключается и включается но все равно требует перезагрузку. Можно ли как то включить обновление версии при выключении/включении ПК? как например это происходит с обновлениями Windows.
PS Стоит ли задача перед разработчиками о возможности обновлений при выключении/включении ПК?
-
От Timur644
Добрый день.
Очень нужна ваша помощь, я начинающий пользователь по программам ЛК.
Как в KES давать права пользователю на изменение категории программ?
Скриншоте видно:
-
От Timur644
Добрый день.
Как не давать пользователю просто выйти из KES?
Какие настройки изменить в KSC для этого?
-
От ГГеоргий
pdm:exploit.win32.generic
Здравствуйте
начиная с 1 го августа ловим сработки на нескольких наших группах.
первая группа - физические ПК с KES
вторая группа - виртуальные машины с KSLA
проблема появилась одновременно на всех устройствах
закономерность в сработках отследить трудно
ругается всегда на файл svchost
Описание из события на KES:
Описание результата: Обнаружено
Тип: Троянское приложение
Название: PDM:Exploit.Win32.Generic
Пользователь: NT AUTHORITY\LOCAL SERVICE (Системный пользователь)
Объект: C:\Windows\System32\svchost.exe
Причина: Поведенческий анализ
Дата выпуска баз: 02.08.2024 20:19:00
SHA256: 6FC3BF1FDFD76860BE782554F8D25BD32F108DB934D70F4253F1E5F23522E503
MD5: 7469CC568AD6821FD9D925542730A7D8
описание с KSLA (сначала "обнаружено" затем "запрещено")
Объект: C:\Windows\System32\svchost.exe
Результат: Запрещено: PDM:Exploit.Win32.Generic
Причина: Опасное действие
Пользователь: NT AUTHORITY\СИСТЕМА
откуда снимать трассировки и отчеты не ясно
все что нашли по зависимостям это именно одновременные сработки
на Virus total проверяли, ничего не нашли
KATA тоже показывает что все ок но угрозу это видит
ваш сайт проверки false positive тоже показывает что всё ок с подписью от microsoft
через ката видим
параметры запуска:
C:\\Windows\system32\svchost.exe -k localservice -p -s remoteregistry
файл C:\\Windows\System32\svchost.exe
по флагам похоже на удаленный доступ к реестру
подскажите куда копать?
false positive или нет?
На пк и виртуалках стоит Windows 10
KES 12.5 на физических
KSLA 5.2 на виртуалках
-
От МаркМанагер
Здравствуйте. Имеется KSC 14.2. Необходимо внести в правила корреляции событий индикаторы компрометации. Нашел информацию, что нужно создать задачу "Поиск IOC". Создал, но там надо файл ioc и не понятно, как он формируется. Еще здесь на форуме нашел, что для данной задачи нужна лицензия не ниже "Optimum". Как быть, где найти нужную информацию? Может подскажите, как еще можно внести индикаторы компрометации?
-
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти