Мониторинг kaspersky security center

[Maksat]

Цифры "Есть устройства со статусом отличным от OK" иногда переваливает две с половиной тысяч. Большинство из них пишет "давно не выполнялся поиск вирусов". Настроена задача, что бы раз в неделю выполнял сканирование по поиску вирусов. Данного периодичности (раз в неделю) достаточно согласно требованиям регулятора. Но мне приходится каждый день запускать задачу, что бы уменьшить количество красных устройств. Ито это мне снижает количество красных устройств на около 900, что плохо влияет на статистику работоспособности системы Касперского. 

Добавляю информацию:

На статусах устройств в самих группах выставлены 14 дней по умолчанию.
Если зайти во вкладку задачи на самих проблемных ПК через KSC, там как будто бы задача по сканированию выполнено (зелёная галочка на задаче по сканированию).

 

На проблемных хостах установлены продукты: 
Kaspersky Embedded Systems Security
Kaspersky Endpoint Security для Windows
Kaspersky Security для Windows Server

Галочка "Считать выполнение задачи проверкой важных областей" стоит на Embedded Systems Security и Security для Windows Server. На Endpoint Security для Windows такой галочки не нашел.

Насколько я понял, события не заблокированы в KSC. Для удостоверения информацией прикладываю скирншот: 

[ElvinE5]

Добрый день

Если честно из описания не понятно что именно вы пытаетесь сделать.

Мне понятно что задача поиск вирусов не выполняется (вроде как).

 

Было бы полезно узнать ваши версии продуктов - KSC, KES, KSWS. KSSE

какое общее количество устройств и используется ли авто распределение запуска задач (задержка) , так как может они не успевают отработать.

Спойлер

 

посмотрите расписание запуска вашей задачи проверки, не установлен ли там режим ВРУЧНУЮ

Спойлер

 

и проверьте что у вас установлено в этих пунктах ... по умолчанию там стоит проверять только во время простоя ... а это практически "никогда" в постоянно рабочей сети

Спойлер

 

 

про "зеленые галочки" это означает что задача групповая и применяется к этому устройству, а не то что она выполнилась.

Спойлер

 

На вашем скрине, системный раздел в который попадают частые события, которые система посчитала не нужными из за частого повторения ...то есть эти события не будут попадать в базу, вы множите удалить их, но добавить их сюда нельзя.

в решении вашей задачи этот раздел не поможет.

Изменено 20 декабря, 2022 пользователем ElvinE5

[Maksat]

Выше перечисленные пункты помогут нет, это рекомендации самого вендора. 

Версии: 

KSC-14

Агенты амнистирования -14

KES - 11.4,  11.5, 11.10 (Прошу не упирать весть вопрос на устаревшие версии, так как проблема имеется в том числе на 11.10) 

KESS - 2.3 (xp), 3.0

KSWS - 10.1, 11.0

 

В расписании задач в ручную не указано. Везде стоит по расписанию раз в неделю.   

 

Галочка "проверить только в момент простоя" не стоит.

 

Так же хотел добавить, что мы на данный момент не готовы  на 5000 устройствах обновлять версии. Для этого есть несколько своих причин. Как админ я понимаю что стоило бы актуализировать. Но ОДНО из причин, версии Каспера не  стабильны. в тесовых зонах куда мы ставили новые версии всегда работали с проблемами, то есть они не работали, он выключались и на консоли много устройств со статусом система безопасности не запущена. Это другой вопрос, по данному поводу и кейс заводили вендору и так далее. Но вендор к решению не пришел да и мы остались на старых версиях. Теперь проблема в том что во из 5000 - 2500 примерно пишет, что давно  не выполнялся поиск вирусов. 

Изменено 20 декабря, 2022 пользователем Maksat

[Goddeimos13]

4 минуты назад, Maksat сказал:

Так же хотел добавить, что мы на данный момент не готовы  на 5000 устройствах обновлять версии. Для этого есть несколько своих причин. Как админ я понимаю что стоило бы актуализировать. Но ОДНО из причин, версии Каспера не  стабильны. в тесовых зонах куда мы ставили новые версии всегда работали с проблемами, то есть они не работали, он выключались и на консоли много устройств со статусом система безопасности не запущена. Это другой вопрос, по данному поводу и кейс заводили вендору и так далее. Но вендор к решению не пришел да и мы остались на старых версиях. Теперь проблема в том что во из 5000 - 2500 примерно пишет, что давно  не выполнялся поиск вирусов. 

Так по факту что пишет в статистике? Полное сканирование проходит или нет?

[ElvinE5]

@Goddeimos13

и в событиях задачи на проблемном устройстве что сказано

Спойлер

 

 

и KESS 2.3 наверно лучше все таки обновить - если конечно там не Long Term реализация - https://support.kaspersky.ru/corporate/lifecycle#b2b.block0.kess2

Изменено 20 декабря, 2022 пользователем ElvinE5

[Maksat]

Задачи по обновлению баз сигнатур и сканированию имеют статус ожидает выполнения. 

 

Что то мешает выполнению задач? Или в чем может быть проблема  

[ElvinE5]

как я выше писал задачи могут иметь отложенный запуск

его можно задать вручную, также возможно у вас стоит остановка выполнения задачи по времени, и это мешает завершить проверку.

Спойлер

 

но это новый вопрос, а что с проблемными устройствами так и не понятно.

пришлите скины как вас просили выше, и если есть возможность прислать выгрузку задачи в формате *.klt что бы можно было посмотреть на настройки не дергая вас каждый раз.

 

так же на скрине видно что у вас 12 агент администрирования, при том что вы говорили что KSC 14, обновление агента не должно вызвать проблем на клиентском устройстве. обновите.

[Maksat]

Извините за дезинформацию. Да на половине стоит 14 агент на половине 12. 12 больше. Картинка в консоли такая  Во вложении экспортированные задачи  *.klt

 

Экспортированные задачи.7z

[ElvinE5]

Так ну тогда так

1. Добавляя задачи по обновлению баз из трех присланных вами для разных программ я получаю одну ...только для KES

 

Спойлер

 

то есть если это не ошибка при экспорте то у вас НЕТ задач для обновления баз KSWS и KESS - создайте их если это так ... для каждого продукта должна быть своя задача

Спойлер

 

2. Задача обновления для KES настроена по времени раз в 6 часов, при этом стоит пункт запускать пропущенные. Это на мой взгляд достаточно накладно и для устройств и для сервера ... то есть он будет запускать ее в каждые 6 часов не взирая на то что надо это или нет ... тем более при вашем количестве устройств, это будет вызывать нагрузку на сеть и сервер.

Спойлер

 

Посмотрите что у вас стоит в задаче "загрузка обновлений на сервер администрирования" ... попробуйте настроить так

Спойлер

 

и измените расписание задач для скачивания обновлений на клиентские устройства на такое ...

Спойлер

 

3. В задаче для проверки KES у вас стоит задержка запуска - можно попробовать убрать или вручную указать интервал, но думаю не сильно поможет.

Спойлер

 

в проверке для KESS тоже,  надо разобраться а наступает ли момент простоя на этих устройствах?

наверно можно отключить ... но аккуратно сначала на тестовой группе.

Спойлер

 

 

 

 

есть предположение что сервер просто не успевает обрабатывать запросы от всех устройств.

насколько я понимаю все они подключены к одному KSC, надеюсь что БД у вас SQL коммерческая а не Express, так как 5000+ устройств могут генерировать много событий. И это рекомендация вендера.

на вашем месте я начал бы задумывая об оптимизации работы сервер ...разделение устройств на подгруппы, возможно поднятие дополнительных KSC для филиалов и групп на медленном канале связи, а так же создание точек распространения.

если можно покажите настройки этих пунктов свойств сервера администрирования.

Спойлер

 

и настройки политик агента администрирования.

Спойлер

 

 

 

Изменено 20 декабря, 2022 пользователем ElvinE5

[Goddeimos13]

16 часов назад, ElvinE5 сказал:

Задача обновления для KES настроена по времени раз в 6 часов, при этом стоит пункт запускать пропущенные. Это на мой взгляд достаточно накладно и для устройств и для сервера ... то есть он будет запускать ее в каждые 6 часов не взирая на то что надо это или нет ... тем более при вашем количестве устройств, это будет вызывать нагрузку на сеть и сервер.

В своё время оттачивал у себя процесс обновления антивирусных баз. С ЛК обсуждал оптимальные настройки и пришли к выводу, что:

1. Загрузка в хранилище каждые 6 часов (0:00, 6:00, 12:00, 18:00). Чаще не стоит, так как сигнатуры в принципе чаще 6-ти часов не публикуются.

2. Установка обновлений на клиентах каждые 6 часов со сдвигом (1:00, 7:00, 13:00, 19:00).

3. Плюс сделал дополнительную задачу с автоматическим запуском по выборке "Databases are outdated" каждые 10 минут.

 

В результате таких настроек я вообще забыл про процесс обновления антивирусных баз. Раз в неделю поглядываю всё ли там зелёненькое)

 

[ElvinE5]

36 минут назад, Goddeimos13 сказал:

В своё время оттачивал у себя процесс обновления антивирусных баз. С ЛК обсуждал оптимальные настройки и пришли к выводу, что:

 

все весьма специфично ... для каждого объекта. Тут требуется время и эксперименты :)