Перейти к содержанию

Регистрация событий подключения USB накопителей


Рекомендуемые сообщения

Доброго времени суток.

Почитал мануал, почитал гугл, нашел этот форум, может здесь помогут.

Почитал FAQ там не нашел ответа, если пропустил, сильно не пинайте.

Так и не нашел где именно можно найти логи по подключению USB устройств, то есть кто, когда, во сколько втыкал и что самое было бы интересно что копировали или какую информацию переносили, наврятли конечно Касперский обладает такими возможностями, но все же...

Версия KSC 14.2.0.26967

Ссылка на комментарий
Поделиться на другие сайты

8 минут назад, oit сказал:

В настройках политики в событиях есть такие параметры.

 

Не подскажете как точно они называются? И это я так понимаю должно быть "Информационное сообщение"?

Ссылка на комментарий
Поделиться на другие сайты

Информационное сообщение "Устройство подключено".

По копированию файлов - это не к касперу на самом деле.

Хотя маленькая доля инфы там бывает.

Ссылка на комментарий
Поделиться на другие сайты

2 минуты назад, oit сказал:

Информационное сообщение "Устройство подключено".

По копированию файлов - это не к касперу на самом деле.

Хотя маленькая доля инфы там бывает.

Спасибо большое, а как посмотреть сам лог файл? Я галочку поставил "хранить в журнале событий ОС на сервере", уведомления пока не настраивал, надо с логами разобраться...

Ссылка на комментарий
Поделиться на другие сайты

2 часа назад, setwolk сказал:

и что самое было бы интересно что копировали или какую информацию переносили, наврятли конечно Касперский обладает такими возможностями, но все же...

Этот вопрос лучше через DLP какую-нибудь решать.

26 минут назад, setwolk сказал:

Я галочку поставил "хранить в журнале событий ОС на сервере", уведомления пока не настраивал, надо с логами разобраться...

В Event логах Kaspersky Endpoint Security смотрите на сервере администрирования, либо на хосте (в зависимости как настроили логирование). 

  • Спасибо (+1) 1
Ссылка на комментарий
Поделиться на другие сайты

5 минут назад, mike 1 сказал:

Этот вопрос лучше через DLP какую-нибудь решать.

В Event логах Kaspersky Endpoint Security смотрите на сервере администрирования, либо на хосте (в зависимости как настроили логирование). 

Про DLP в курсе, пока денег не дают на него...решаем через то что есть на сегодняшний день.

Все нашел через события и далее по выборке...Спасибо!

5 минут назад, Sandor сказал:

Есть еще стандартный "Отчет о файловых операциях на съемных дисках". Его можно задачей рассылать почтой.

А вот тут ничего нет, хотя в событиях данные отображаются 

Ссылка на комментарий
Поделиться на другие сайты

4 минуты назад, setwolk сказал:

А вот тут ничего нет, хотя в событиях данные отображаются 

Для флешек в контроле устройств нужно логирование включить. 

Ссылка на комментарий
Поделиться на другие сайты

5 минут назад, mike 1 сказал:

Для флешек в контроле устройств нужно логирование включить. 

А где конкретно, в самом контроле нет не каких галочек..

96.png

Ссылка на комментарий
Поделиться на другие сайты

3 часа назад, mike 1 сказал:

Для флешек в контроле устройств нужно логирование включить. 

тут

Спойлер

1731516234_.thumb.png.653d1f85a10c31e8c0b7f466c17acf82.png

 

выберите "съемные носители" и эта опция станет доступна для редактирования

  • Like (+1) 1
Ссылка на комментарий
Поделиться на другие сайты

12 часов назад, ElvinE5 сказал:

тут

  Показать контент

1731516234_.thumb.png.653d1f85a10c31e8c0b7f466c17acf82.png

 

выберите "съемные носители" и эта опция станет доступна для редактирования

 

Спасибо Вам большое!

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • Foxnight
      Автор Foxnight
      Добрый день, появился вопрос по поводу событий которые хранятся в журнале Безопасность Windows.
      По коду событий 5140 можно определить кто пытался подключиться к шаре (с какого компа в сети и под чей УЗ)
      очень много событий при подключении к общему ресурсу IPC$

      в основном такие запросы идут от сервера KSC 
      как я понимаю это или опрос сети или мониторинг активности или инвентаризация сети ...,
      но так же они поступаю и от других ПК в сети на которых установлен KES 11.11-12.6 версии +агент администрирования 15.0 , возможно они работают как точки распространения в KSC
       
      т.к. сканирование этого ресурса можно сопоставить с работой червя, которого мб по какой то причине каспер не смог уловить, как можно фильтрануть эти события и отсеять работу Касперского от левых подключений?
       
       
    • KeshaKost
      Автор KeshaKost
      Добрый день. На работе поставили задачу "Осуществить настройку правил системы мониторинга событий информационной безопасности путем внесения в правила корреляции событий следующих индикаторов компрометации (sha256, sha1, md5)" и дальше список хешей. Подскажите пожалуйста, как реализовать данную задачу, да этого никогда с таким не сталкивался.
    • Роман П.
      Автор Роман П.
      Добрый день.
       
      На одном из ПК возникла проблема с подключением к серверу администрирования через mmc-консоль администрирования.
      При попытке подключения выдает ошибку - неверный сертификат, показывая его отпечаток. Отпечаток сертификата действительно не совпадает с тем, что находится на сервере администрирования.

       
      1) При попытке повторного подключения, указываю "вручную" файл сертификата, который располагается на сервере администрирования в  C:\ProgramData\KasperskyLab\adminkit\1093\cert - статья О сертификатах Kaspersky Security Center
      Результат - аналогичен неверный сертификат.
      2) Исходя из статьи Решение проблем с узлами Сервера администрирования - зачищал файл сервера администрирования в %USERPROFILE%\AppData\Roaming\Microsoft\MMC\ 
      3) Заметил, что после того как запускаешь консоль и выдает эту ошибку, то в хранилище сертификатов certmgr.msc формируется этот "левый" сертификат.

      4) Его зачистка в хранилище сертификатов, а также же поиск  по отпечатку и удаление в реестре с последующей перезагрузкой ПК к результату не привели. По-прежнему - неверный сертификат.
      5) Переустанавливал агента и клиента Касперского. Также пытался производить подключение без установленного антивируса и агента.
       
      Вопросы: как исправить эту проблему? Как удалить этот непонятный сертификат и заставить сервер получить верный. 
       
    • andrew75
      Автор andrew75
      Если у вас есть лицензия на Kaspersky Secure Connection, то вы можете настроить VPN подключение в Linux к серверу KSC.
       
      Сначала нам нужно получить файл конфигурации для подключения к OVPN-серверу.
       
      1. Заходим в свой аккаунт на My Kaspersky, идем на вкладку "Безопасное соединение" и нажимаем кнопку "Создать конфигурацию".
       
      2. Выбираем протокол OpenVPN и нажимаем "Продолжить".
       
      3. Выбираем локацию. Можно выбрать только одну. Если захотите поменять, то нужно будет пересоздать конфигурацию. При этом предыдущая будет деактивирована. То есть использовать одновременно несколько локаций нельзя.
      Нажимаем кнопку "Продолжить".
       
      4. Теперь скачиваем файл конфигурации. Он называется credentials.ovpn
      Не забываем сохранить логин и пароль для подключения. Больше их вам не покажут. Если забыли сохранить, то придется пересоздавать конфигурацию.
       
      Теперь настроим OVPN подключение c использованием этой конфигурации на Linux
      Рассмотрим на примере Linux Mint 22.1
      Весь необходимый софт уже установлен в системе по умолчанию, поэтому ничего доустанавливать не надо.
       
      1. В трее нажимаем на иконку "Менеджер сетей" и выбираем "Параметры сети".
       
      2. Добавляем новое VPN подключение.
       
      3. Выбираем "Импортировать из файла"
       
      4. Находим наш файл конфигурации (credentials.ovpn) и нажимаем "Открыть".
       
      5. На вкладке "Идентификатор" меняем при желании имя соединения (по умолчанию будет credentials), вводим сохраненные логин и пароль и нажимаем "Добавить". Никаких других настроек менять не надо.
       
      6. В результате мы создали новое соединение VPN Kaspersky.
       
      7. Идем в "Менеджер сетей" и нажимаем движок "Подключить".
       
      8. Соединение установлено.
       
      9. Проверяем. Германия, Франкфурт.
       
      Как видите, все достаточно просто.
       
      Напоминаю. Использовать можно только одну локацию. Если нужна другая, то нужно создать новую конфигурацию OVPN. При этом старая конфигурация будет деактивирована. 
    • Pavlik02
      Автор Pavlik02
      Добрый день! Уже мучаюсь вторую неделю, может кто нибудь по пунктам помочь и объяснить. Есть политика, начал добавлять доверенные устройства, бывает вставлю флешку - ввожу ее индификатор- он находит ее при нажатии кнопки Обновить. Затем бывает вставлю флешку другую- нажимаю обновить- и все поле пустое ,хотя флешка вставлена. А у меня таких флешок 100 и из них уже 3 вот так не определились, пытался и серийный номер вставлять и звездочками с двух сторон-всеравно пустое поле. И даже когда выюираю имя компьютера и нажимаю обновить- он показывает оборудование этого компьютера, но без этой флешки.

×
×
  • Создать...