Перейти к содержанию
Набор на стажировку в «Лабораторию Касперского»! Пробуй сам и зови друзей

KSMG и IOC

Вадимко

Автор Вадимко,
в Помощь по корпоративным продуктам

 Share Подписчики 0

Рекомендуемые сообщения

Вадимко

Вадимко 0

Опубликовано
Опубликовано

Добрый день всем!

Мы получаем индикаторы компрометации (IOC) в виде хэшей от Финцетра, НКЦИ и пр. в виде хэшей.

Ни в руководствах, ни на форуме не нашел ответа на вопрос, который заключается в следующем: везде описывают обновление KSMG с использованием сервера Касперского. Интересует, можно ли как-то ручками сформировать файл  (IOC) обновления KSMG  и засунуть в него хэш индикатора компрометации в виде хэша? Или такое не возможно для KSMG, но возможно например для KATA или для KES?

Ссылка на сообщение
Поделиться на другие сайты
ElvinE5

ElvinE5 72

Опубликовано
Опубликовано (изменено)

Насколько мне известно в KSMG подобное провернуть не удастся ...

добавить пользовательские IOC можно в КАТА - для детекта в трафике от сенсоров, и написать  правила для блокировки на клиентах (в KES).

Так же можно в KES, при наличии лицензии Optimum, создать задачу для поиска этих IOC на устройствах и правила запрета на запуск.

 

проверьте присланные вам хеш суммы на портале https://opentip.kaspersky.com

возможно они уже известны и добавлены в базы ЛК

 

 

 

 

Изменено пользователем ElvinE5
Ссылка на сообщение
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Подписчики 0
Перейти к списку тем

  • Похожий контент

    • Narkoib
      Правила корреляции
      От Narkoib
      Стоит KSC 14.2. Как добавить новые правила корреляции? Если можно, то полную инструкцию. 
    • wizzard
      Задача поиска IOC на linux
      От wizzard
      Приветствую всех!

      Дано: Kaspersky Security для бизнеса Стандартный.
      Сервер KSC v15  на CentOS, администрируется через web-консоль v15.0.136.
      KES v11.4 на разных linux, также установлены Агенты администрирования v14.
       
      Не пойму, завожу задачу «Поиск IOC», добавляю файл IOC, а она не запускается. Работает у кого такая задача на linux-машинах?
    • AndreyS
      KSMG 2.0 обновление MR1
      От AndreyS
      Всем привет! Сидим на версии 2.0.0.6478. Кто-то ставил уже обновление MR1 (2.0.1.6960) на кластер? Замечены ли проблемы?
    • keruihelpru
      KSMG 2.0 Настройка proxy protocol
      От keruihelpru
      Доброго времени суток.
       
      Есть haproxy для балансировки и reverse proxy, за ним ksmg. Столкнулся с проблемой, что в журналах (фильтрах и проч.), при получении входящего SMTP-трафика адресом отправителя указывается мой прокси-сервер, что явно не годится. Со стороны haproxy настроил proxy protocol для передачи информации об отправителе на ksmg, как тоже самое сделать на ksmg?
    • aleksandr.v
      KSMG. CEF-логи. Graylog. нет имени хоста в логе
      От aleksandr.v
      Добрый день.
      Используем KSMG версии 2.
      Подключили CFE-логирование на удаленный лог-сервер. В логах не видно имени машины с которой отправляются логи (поле "source" логируется как "KSMG:" ). При логировании локально в файл, к  KSMG: еще дописывается имя хоста (KSMG: hostname). На лог-сервере поднят штатный CFE-инпут (из коробки. на разный версиях грэйлога результат логирования одинаков).
      Не пойму в чем может быть причина такого логирования. Может кто подскажет причину и как ее исправить?
       
      ----- настройка rsyslog
      $ActionQueueFileName ForwardToSIEM
      $ActionQueueMaxDiskSpace 1g
      $ActionQueueSaveOnShutdown on
      $ActionQueueType LinkedList
      $ActionResumeRetryCount -1 .* @@:log-server.local:5555

      --- настройка event_logger.json.template
      "siemSettings": { "enabled": true, "facility": "Local2", "logLevel": "Info", }
       
×
×
  • Создать...