Перейти к содержанию
Летний корпоратив «Лаборатории Касперского» 2025. Как попасть?

Получить список из раздела "Нераспределенные"

Alexander_nn

Автор Alexander_nn
в Помощь по корпоративным продуктам

 Поделиться

Рекомендуемые сообщения

Alexander_nn Новичок

Alexander_nn

Опубликовано
Опубликовано

В Kaspersky Security Center 14 есть группа 'нераспределенные'. Туда попадают ПК которые только ввели в домен, но еще не перенесли в нужную политику.
Задача: получить список ПК из этой группы без использования интерфейса самого KSC (sql-запрос к базе данных, события попадания в эту группу и тп.) чтобы автоматизированными средствами иметь возможность этот список получить.
 

Примечание: к сожалению в KSC не удалось найти события попадания в эту группу.
Возможно существует запрос или хранимая процедура в базе данных KSC которая позволит получить данный список.


Заранее благодарю за помощь.

Ссылка на комментарий
Поделиться на другие сайты
ElvinE5 Опытный

ElvinE5

Опубликовано
Опубликовано

 

5 часов назад, Alexander_nn сказал:

Примечание: к сожалению в KSC не удалось найти события попадания в эту группу.

 

Есть событие сервера администрирования которое так и называется "Найдено новое устройство"

Спойлер

2106362559_.thumb.png.cfab50e9d4941781a648c491ca5a9cd1.png

 

немного непонятна задача получения данного списка ... какая цель преследуется в итоге ? для чего вам этот список и почему именно важно получение его без KSC ?

можно настроить отправку этого события в SIEM по Syslog ... например... или просто на почту ответственному администратору ... но это не будет список ... это будет просто набор событий.

Ссылка на комментарий
Поделиться на другие сайты
Alexander_nn Новичок

Alexander_nn

Опубликовано
  • Автор
Опубликовано
6 часов назад, ElvinE5 сказал:

 

 

Есть событие сервера администрирования которое так и называется "Найдено новое устройство"

  Показать контент

2106362559_.thumb.png.cfab50e9d4941781a648c491ca5a9cd1.png

 

немного непонятна задача получения данного списка ... какая цель преследуется в итоге ? для чего вам этот список и почему именно важно получение его без KSC ?

можно настроить отправку этого события в SIEM по Syslog ... например... или просто на почту ответственному администратору ... но это не будет список ... это будет просто набор событий.

Цель простая - SIEM уведомит о необходимости переместить не распределенное устройство в группу администрирования.

Ссылка на комментарий
Поделиться на другие сайты
ElvinE5 Опытный

ElvinE5

Опубликовано
Опубликовано

ну если так просто

Об экспорте событий - https://support.kaspersky.com/KSC/14.2/ru-RU/151330_1.htm

или еще проще отправка уведомления на почту ...

 

Если хотите немного ускорить процесс, облегчить  рутину посмотрите на эти статьи ...
Правила перемещения устройств - https://support.kaspersky.com/KSC/14.2/ru-RU/155195.htm
Автоматическая установка программ на устройства группы администрирования - https://support.kaspersky.com/KSC/14.2/ru-RU/4626.htm

 

по сути можно настроить "механизм" так что новые устройства (без агента администрирования) будут при помощи правила перемещаться в специальную группу администрирования к которой привязана задача автоматическая установка агента администрирования.

после чего администратору остановится только разобрать"вновь прибывших", установить на них защитное решение, и определить в группу с необходимой политикой.

  • Like (+1) 1
Ссылка на комментарий
Поделиться на другие сайты
Alexander_nn Новичок

Alexander_nn

Опубликовано
  • Автор
Опубликовано
12 часов назад, ElvinE5 сказал:

ну если так просто

Об экспорте событий - https://support.kaspersky.com/KSC/14.2/ru-RU/151330_1.htm

или еще проще отправка уведомления на почту ...

 

Если хотите немного ускорить процесс, облегчить  рутину посмотрите на эти статьи ...
Правила перемещения устройств - https://support.kaspersky.com/KSC/14.2/ru-RU/155195.htm
Автоматическая установка программ на устройства группы администрирования - https://support.kaspersky.com/KSC/14.2/ru-RU/4626.htm

 

по сути можно настроить "механизм" так что новые устройства (без агента администрирования) будут при помощи правила перемещаться в специальную группу администрирования к которой привязана задача автоматическая установка агента администрирования.

после чего администратору остановится только разобрать"вновь прибывших", установить на них защитное решение, и определить в группу с необходимой политикой.

Спасибо! Очень полезная информация!

 

29.02.2024 в 14:02, ElvinE5 сказал:

Есть событие сервера администрирования которое так и называется "Найдено новое устройство"

  Показать контент

2106362559_.thumb.png.cfab50e9d4941781a648c491ca5a9cd1.png

 

немного непонятна задача получения данного списка ... какая цель преследуется в итоге ? для чего вам этот список и почему именно важно получение его без KSC ?

можно настроить отправку этого события в SIEM по Syslog ... например... или просто на почту ответственному администратору ... но это не будет список ... это будет просто набор событий.

К сожалению в описании событий Сервера администрирования (https://support.kaspersky.com/KSC/14/ru-RU/177083.htm) событие "Найдено новое устройство" не описано... (((

 

Наверное речь шла о событии ? "

Обнаружено новое устройство

4100

KLSRV_EVENT_HOSTS_NEW_DETECTED

"

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • juzvel
      BitLocker зашифрованы кроме системного раздела.
      Автор juzvel
      Добрый день. Зашифровались BitLocker'ом разделы, кроме системного. Диск смонтированный как папка не тронут(Это на другом ПК, с того хожу на этот по рдп). РДП открыт на нестандартном порту. Так же был изменен пароль пользователя, с этим разобрался. Шифрованых файлов на системном диске не обнаружил
      FRST.txtAddition.txtPLEASE READ.txt 
    • saha96
      Список пользователей при запуске
      Автор saha96
      Доброго времени суток! Кто может подсказать как вернуть список пользователей при запуске windows 10? На экране блокировки отображается 1 из 3 учёток.
    • crabcorner
      Не запускается Планировщик задач и раздел "Управление компьютером"
      Автор crabcorner
      Столкнулся с проблемой, подхватил самовостонавливающийся майнер делающий это через планировщик задач. Майнер успешно удалил через стороннюю утилиту заменяющею его, но оригинальная программа до сих пор не работает. Так же как выяснилось майнер заблокировал весь раздел "управление компьютером". И из-за этого доставляет мне большие проблемы. Помогите в восстановлении Планировщика и остального раздела.
    • mistorwar
      DPC:MALWARE.URL и HOSTS:SUSPICIOUS.URL (Было расширение T-cashback в Яндекс браузерe, но от него вроде бы получилось отбиться)
      Автор mistorwar
      Основным симптомом наличия вируса стало постоянное открытие Chrome браузера с фишинговыми сайтами (клоны вк, whatsapp и почему-то bongacams). От T-Cashback вроде бы получилось избавиться, он больше не появляется в браузере, скорее всего заслуга CureIt. Изначально он находил 3 угроз, теперь только 2. chrome.exe c DPC:MALWARE.URL и hosts возможно HOSTS:SUSPICIOUS.URL. Но вот от них он избавиться не способен, hosts он умудряется "вылечить", но chrome.exe не может и при перезагрузке они снова появляются при проверке. Пока смогу прикрепить только отчет FRST, завтра при необходимости загружу Autologger.
      Addition.txtFRST.txt
      Ещё была такая особенность, что при уходе машины в спящий режим ПК отключался от интернета и очень неохотно подключался обратно, помогала только перезагрузка.
    • Константин Нездиминов
      Зашифрованы разделы
      Автор Константин Нездиминов
      Здравствуйте! В локальную сеть организации попал шифровальщик.  Шифрует только системный раздел с установленной ОС. Загрузочный раздел и раздел восстановления не зашифрованы.
      Никаких требований выкупа нет. Есть образ частично зашифрованного диска на 256 ГБ, если понадобится(первые 70 ГБ зашифрованы, дальше процесс почему-то прервался).
      Можно ли как нибудь помочь?
      Спасибо большое!
      Сделал копию первых 2000000 секторов и последних 2000000 секторов полностью зашифрованного диска в файл виртуального диска(https://dropmefiles.com/yWfs8)
×
×
  • Создать...