Перейти к содержанию

Получить список из раздела "Нераспределенные"

Alexander_nn

Автор Alexander_nn
в Помощь по корпоративным продуктам

 Поделиться

Рекомендуемые сообщения

Alexander_nn Новичок

Alexander_nn

Опубликовано
Опубликовано

В Kaspersky Security Center 14 есть группа 'нераспределенные'. Туда попадают ПК которые только ввели в домен, но еще не перенесли в нужную политику.
Задача: получить список ПК из этой группы без использования интерфейса самого KSC (sql-запрос к базе данных, события попадания в эту группу и тп.) чтобы автоматизированными средствами иметь возможность этот список получить.
 

Примечание: к сожалению в KSC не удалось найти события попадания в эту группу.
Возможно существует запрос или хранимая процедура в базе данных KSC которая позволит получить данный список.


Заранее благодарю за помощь.

Ссылка на комментарий
Поделиться на другие сайты
ElvinE5 Опытный

ElvinE5

Опубликовано
Опубликовано

 

5 часов назад, Alexander_nn сказал:

Примечание: к сожалению в KSC не удалось найти события попадания в эту группу.

 

Есть событие сервера администрирования которое так и называется "Найдено новое устройство"

Спойлер

2106362559_.thumb.png.cfab50e9d4941781a648c491ca5a9cd1.png

 

немного непонятна задача получения данного списка ... какая цель преследуется в итоге ? для чего вам этот список и почему именно важно получение его без KSC ?

можно настроить отправку этого события в SIEM по Syslog ... например... или просто на почту ответственному администратору ... но это не будет список ... это будет просто набор событий.

Ссылка на комментарий
Поделиться на другие сайты
Alexander_nn Новичок

Alexander_nn

Опубликовано
  • Автор
Опубликовано
6 часов назад, ElvinE5 сказал:

 

 

Есть событие сервера администрирования которое так и называется "Найдено новое устройство"

  Показать контент

2106362559_.thumb.png.cfab50e9d4941781a648c491ca5a9cd1.png

 

немного непонятна задача получения данного списка ... какая цель преследуется в итоге ? для чего вам этот список и почему именно важно получение его без KSC ?

можно настроить отправку этого события в SIEM по Syslog ... например... или просто на почту ответственному администратору ... но это не будет список ... это будет просто набор событий.

Цель простая - SIEM уведомит о необходимости переместить не распределенное устройство в группу администрирования.

Ссылка на комментарий
Поделиться на другие сайты
ElvinE5 Опытный

ElvinE5

Опубликовано
Опубликовано

ну если так просто

Об экспорте событий - https://support.kaspersky.com/KSC/14.2/ru-RU/151330_1.htm

или еще проще отправка уведомления на почту ...

 

Если хотите немного ускорить процесс, облегчить  рутину посмотрите на эти статьи ...
Правила перемещения устройств - https://support.kaspersky.com/KSC/14.2/ru-RU/155195.htm
Автоматическая установка программ на устройства группы администрирования - https://support.kaspersky.com/KSC/14.2/ru-RU/4626.htm

 

по сути можно настроить "механизм" так что новые устройства (без агента администрирования) будут при помощи правила перемещаться в специальную группу администрирования к которой привязана задача автоматическая установка агента администрирования.

после чего администратору остановится только разобрать"вновь прибывших", установить на них защитное решение, и определить в группу с необходимой политикой.

  • Like (+1) 1
Ссылка на комментарий
Поделиться на другие сайты
Alexander_nn Новичок

Alexander_nn

Опубликовано
  • Автор
Опубликовано
12 часов назад, ElvinE5 сказал:

ну если так просто

Об экспорте событий - https://support.kaspersky.com/KSC/14.2/ru-RU/151330_1.htm

или еще проще отправка уведомления на почту ...

 

Если хотите немного ускорить процесс, облегчить  рутину посмотрите на эти статьи ...
Правила перемещения устройств - https://support.kaspersky.com/KSC/14.2/ru-RU/155195.htm
Автоматическая установка программ на устройства группы администрирования - https://support.kaspersky.com/KSC/14.2/ru-RU/4626.htm

 

по сути можно настроить "механизм" так что новые устройства (без агента администрирования) будут при помощи правила перемещаться в специальную группу администрирования к которой привязана задача автоматическая установка агента администрирования.

после чего администратору остановится только разобрать"вновь прибывших", установить на них защитное решение, и определить в группу с необходимой политикой.

Спасибо! Очень полезная информация!

 

29.02.2024 в 14:02, ElvinE5 сказал:

Есть событие сервера администрирования которое так и называется "Найдено новое устройство"

  Показать контент

2106362559_.thumb.png.cfab50e9d4941781a648c491ca5a9cd1.png

 

немного непонятна задача получения данного списка ... какая цель преследуется в итоге ? для чего вам этот список и почему именно важно получение его без KSC ?

можно настроить отправку этого события в SIEM по Syslog ... например... или просто на почту ответственному администратору ... но это не будет список ... это будет просто набор событий.

К сожалению в описании событий Сервера администрирования (https://support.kaspersky.com/KSC/14/ru-RU/177083.htm) событие "Найдено новое устройство" не описано... (((

 

Наверное речь шла о событии ? "

Обнаружено новое устройство

4100

KLSRV_EVENT_HOSTS_NEW_DETECTED

"

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • alexchernobylov
      Зашифровали диски на уровне разделов
      Автор alexchernobylov
      Добрый день.
      Windows Server 2019
      Зашифрованы целые раздел с системой. Файловая система RAW. При включении появляется окно ввести пароль. Диски как будто зашифрованы BitLocker-ом.
      Один сервер скорее всего пробили по RDP, а второй сервер был без доступа по RDP и в другом домене (но на нем была виртуальная машина с RDP).
      Написал в телеграмм - просят 5000 долларов за восстановление 2 гипервизоров.
      Они спросили имя домена, серверов или их айпишники.
      Доступа к диску нет и файлы никакие не получить.
      Подскажите, пожалуйста, как справиться с данной заразой.


    • hiveliberty
      Шифровальщик зашифровал на уровне разделов
      Автор hiveliberty
      Доброго дня,
      Коллеги столкнулись вчера с интересным шифровальщиком

      Windows Server 2022
      Зашифрован целый раздел с системой. И судя по всему, даже не битлокером. Несколько отличается окно с предложением ввести пароль.
      С зашифрованного диска снял первые 4кб данных через dd с livecd debian.
      И тоже самое сделал для чисто установленной ос и тоже прикрепил для сравнения.
      Так же снял с загрузочного раздела BCD файл, который явно был изменён во время работы этой дряни.
      Файлы не исполняемые, но упаковал в архив с дефолтным паролем.
      Пробовал отправлять куски через Virustotal - ни одного срабатывания.
      Пока прикреплять не стал, согласно правилам)

      Доступа к диску, естественно, нет и файлы никакие не получить.
      Доступен только диск загрузчика и Recovery

      По большому счёту интересно, можно ли с этим что-то делать.
      И в целом, новое что-то?

      Коллеги связались с этими ребятами, те показали список файлов с паролями от каждого сервера.
      Те спросили имя домена, серверов или их айпишники.
      По имени домена предоставили список файлов с паролями, скрин.

    • juzvel
      BitLocker зашифрованы кроме системного раздела.
      Автор juzvel
      Добрый день. Зашифровались BitLocker'ом разделы, кроме системного. Диск смонтированный как папка не тронут(Это на другом ПК, с того хожу на этот по рдп). РДП открыт на нестандартном порту. Так же был изменен пароль пользователя, с этим разобрался. Шифрованых файлов на системном диске не обнаружил
      FRST.txtAddition.txtPLEASE READ.txt 
    • saha96
      Список пользователей при запуске
      Автор saha96
      Доброго времени суток! Кто может подсказать как вернуть список пользователей при запуске windows 10? На экране блокировки отображается 1 из 3 учёток.
    • crabcorner
      Не запускается Планировщик задач и раздел "Управление компьютером"
      Автор crabcorner
      Столкнулся с проблемой, подхватил самовостонавливающийся майнер делающий это через планировщик задач. Майнер успешно удалил через стороннюю утилиту заменяющею его, но оригинальная программа до сих пор не работает. Так же как выяснилось майнер заблокировал весь раздел "управление компьютером". И из-за этого доставляет мне большие проблемы. Помогите в восстановлении Планировщика и остального раздела.
×
×
  • Создать...