Перейти к содержанию

Регистрация событий подключения USB накопителей


Рекомендуемые сообщения

Доброго времени суток.

Почитал мануал, почитал гугл, нашел этот форум, может здесь помогут.

Почитал FAQ там не нашел ответа, если пропустил, сильно не пинайте.

Так и не нашел где именно можно найти логи по подключению USB устройств, то есть кто, когда, во сколько втыкал и что самое было бы интересно что копировали или какую информацию переносили, наврятли конечно Касперский обладает такими возможностями, но все же...

Версия KSC 14.2.0.26967

Ссылка на сообщение
Поделиться на другие сайты
8 минут назад, oit сказал:

В настройках политики в событиях есть такие параметры.

 

Не подскажете как точно они называются? И это я так понимаю должно быть "Информационное сообщение"?

Ссылка на сообщение
Поделиться на другие сайты

Информационное сообщение "Устройство подключено".

По копированию файлов - это не к касперу на самом деле.

Хотя маленькая доля инфы там бывает.

Ссылка на сообщение
Поделиться на другие сайты
2 минуты назад, oit сказал:

Информационное сообщение "Устройство подключено".

По копированию файлов - это не к касперу на самом деле.

Хотя маленькая доля инфы там бывает.

Спасибо большое, а как посмотреть сам лог файл? Я галочку поставил "хранить в журнале событий ОС на сервере", уведомления пока не настраивал, надо с логами разобраться...

Ссылка на сообщение
Поделиться на другие сайты
2 часа назад, setwolk сказал:

и что самое было бы интересно что копировали или какую информацию переносили, наврятли конечно Касперский обладает такими возможностями, но все же...

Этот вопрос лучше через DLP какую-нибудь решать.

26 минут назад, setwolk сказал:

Я галочку поставил "хранить в журнале событий ОС на сервере", уведомления пока не настраивал, надо с логами разобраться...

В Event логах Kaspersky Endpoint Security смотрите на сервере администрирования, либо на хосте (в зависимости как настроили логирование). 

  • Спасибо (+1) 1
Ссылка на сообщение
Поделиться на другие сайты

Есть еще стандартный "Отчет о файловых операциях на съемных дисках". Его можно задачей рассылать почтой.

  • Спасибо (+1) 1
Ссылка на сообщение
Поделиться на другие сайты
5 минут назад, mike 1 сказал:

Этот вопрос лучше через DLP какую-нибудь решать.

В Event логах Kaspersky Endpoint Security смотрите на сервере администрирования, либо на хосте (в зависимости как настроили логирование). 

Про DLP в курсе, пока денег не дают на него...решаем через то что есть на сегодняшний день.

Все нашел через события и далее по выборке...Спасибо!

5 минут назад, Sandor сказал:

Есть еще стандартный "Отчет о файловых операциях на съемных дисках". Его можно задачей рассылать почтой.

А вот тут ничего нет, хотя в событиях данные отображаются 

Ссылка на сообщение
Поделиться на другие сайты
4 минуты назад, setwolk сказал:

А вот тут ничего нет, хотя в событиях данные отображаются 

Для флешек в контроле устройств нужно логирование включить. 

Ссылка на сообщение
Поделиться на другие сайты
5 минут назад, mike 1 сказал:

Для флешек в контроле устройств нужно логирование включить. 

А где конкретно, в самом контроле нет не каких галочек..

96.png

Ссылка на сообщение
Поделиться на другие сайты
3 часа назад, mike 1 сказал:

Для флешек в контроле устройств нужно логирование включить. 

тут

Спойлер

1731516234_.thumb.png.653d1f85a10c31e8c0b7f466c17acf82.png

 

выберите "съемные носители" и эта опция станет доступна для редактирования

  • Like (+1) 1
Ссылка на сообщение
Поделиться на другие сайты
12 часов назад, ElvinE5 сказал:

тут

  Показать контент

1731516234_.thumb.png.653d1f85a10c31e8c0b7f466c17acf82.png

 

выберите "съемные носители" и эта опция станет доступна для редактирования

 

Спасибо Вам большое!

Ссылка на сообщение
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • user123
      От user123
      Добрый день! Прошу знающих людей подсказать по следующей проблеме. На данный момент установлен KSC14, SVM установлен на 6-ти нодах Hyper-V, часть серверов работают в легким агентом 5.2.  В рамках перехода на Linux, пытаюсь добавить в имеющуюся инфраструктуру SVM на кластере Proxmox VE состоящем из 3-х нод. В оснастке управления SVM отображаются существующие ноды на Hyper-V, при попытке добавить ноду на проксмоксе, выдает ошибку "Configuration with '3' nodes is not supported". Ни в какой документации я не нашел ограничения на количество нод. Собственно, вопрос. Конфигурации с каким количеством нод поддерживаются, или возможно, вопрос не в количестве нод, а я что-то делаю неправильно. Заранее благодарю за помощь
    • zimok
      От zimok
      Добрый день!
      Прошу подсказать, возможно у кого были подобные проблемы, но суть такая, имеется Kaspersky Security Center версии 14.2.0.26967, работающий под ОС Windows Server 2019, имеются управляемые устройства под ОС Linux (Ubuntu), на которые установлены и агенты администрирования и сами компоненты защиты Kaspersky endpoint security 12 for linux, версии 12.0.0.6672, агенты администрирования версии 15.0.0.12912. Агенты администрирования доступны и синхронизируются с KSC, подключение происходит, но вот сама суть проблемы в том, что на устройствах при выключенных компонентах защиты, допустим через тот же KSC, не получается запустить их обратно, то есть в разделе устройства "Программы" при попытке запустить компонент защиты, KSC очень долго думает, останавливая процесс в одном положении (скрин ниже) и после продолжительного времени, он сообщает о ошибке запуска, хотя повторюсь, остановить защиту удалось на этом же хосте ,но вот запустить нет, и агент администрирования также работает и синхронизируется. 
      Проблема в целом не на одном хосте, она массовая, в целом устройства не удается таким образом удаленно запустить компоненты защиты, может кто сталкивался и понимает хотя бы в каком направлении изучать проблему ? 
      Возможно KSC сам какие-либо патчи нужны или еще что, с точки зрения сети устройства в одной подсети, и в tcpdump трафика вижу общение по 13000 порту успешно.

      Прикладываю скриншот проблемы, когда нажимаю запуск и в каком положение останавливается. К слову пробовал через задачи и запускал "Запуск и остановка программы" результат по сути тот же, только там она просто висит в процессе и всё.


    • Technician6
      От Technician6
      Имеем корп сервер KSC14 - компьютеры видны, но в управляемых, когда переносишь их в нужную группу, они просто не переносятся и вываливается ошибка как на скрине.

       
      ни через веб интерфейс ни через консоль не переносится. Вопрос, как исправить?
    • ДмитрийХ
      От ДмитрийХ
      Добрый день.
      Подскажите решить такую проблему.
      Есть KSC и политики на 100 рабочих мест.
      Как разрешить определённому компу (стат ip) , работать по определенному порту (RDP или другой).
      Тк рабочие места под политикой, то тех поддержка рекомендует создавать профили , но мануал не помогает , нет синтаксиса тегов и тд (поддержка отвечает по 2-3 дня).
      Подскажите кто и как решал подобные проблемы .
    • Leliil
      От Leliil
      Добрый день, KSC 14, KES 11.8, агент администрирования установлен, windows 10
      На подконтрольных устройствах хочу применить локальную политику безопасности путем импорта файла в C:\Windows\System32\GroupPolicy\Machine\Microsoft\Windows NT\Audit
      Создал SFX архив, в нем .bat
      В архиве .bat и .csv, сперва локально проверил, ПКМ по файлу, запустить от имени администратора, работает
      Создаю инсталляционный пакет, указываю полученный SFX с расширением .exe, назначаю устройство для установки, но нет доступа в системные папки.
      Как-то можно победить?
×
×
  • Создать...