Перейти к содержанию

Система мониторинга событий информационной безопасности


Рекомендуемые сообщения

Опубликовано (изменено)

Добрый день. На работе поставили задачу "Осуществить настройку правил системы мониторинга событий информационной безопасности путем внесения в правила корреляции событий следующих индикаторов компрометации (sha256, sha1, md5)" и дальше список хешей. Подскажите пожалуйста, как реализовать данную задачу, да этого никогда с таким не сталкивался.

Изменено пользователем KeshaKost
  • Like (+1) 1
Опубликовано

Здравствуйте, например, через контроль программ, который будет работать в режиме чёрного списка и соответствующей категории из списка хэшей. 

Опубликовано
1 минуту назад, mike 1 сказал:

Здравствуйте, например, через контроль программ, который будет работать в режиме чёрного списка и соответствующей категории из списка хэшей. 

Здравствуйте. Да, я уже начал делать это через "Контроль приложений", но есть несколько вопросов. При настройке правил с запрещенными хешами, отсутствует добавление sha1. И когда я внес все предоставленные мне хеши sha256 и md5, возникла данная ошибка "Категория содержит неподдерживаемое условие, основанное только на хеше MD5", и теперь я не могу даже выбрать данную категорию, что бы удалить ее или отредактировать.

 

 

 

 

image.thumb.png.e5552f6d226cecd6145135d47632c728.png
image.png.baf72a604df4cad7f0f89f46460b98f2.png

Опубликовано

Лучше с нуля создать новую категорию и внести только SHA256. Современные продукты быстрее работают с SHA256 нежели с MD5. 

Опубликовано
6 минут назад, mike 1 сказал:

Лучше с нуля создать новую категорию и внести только SHA256. Современные продукты быстрее работают с SHA256 нежели с MD5. 

А не подскажите как теперь избавиться от категорий с данной ошибкой?😄
image.thumb.png.3c6f23c92973344f5a6e26e50d26f573.png
 

Опубликовано
3 часа назад, KeshaKost сказал:

А не подскажите как теперь избавиться от категорий с данной ошибкой?😄

Через вебку особо не работаю, к сожалению. Если все хэши очистить, а потом удалить категорию, то удаляется? 

  • 7 месяцев спустя...

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • NIkita0111
      Автор NIkita0111
      Добрый день! Возникла проблема с доступом к KSN на ПК без доступа в интернет. В KSC настроен KSNProxy, но это не помогает на стороне сервера висит ошибка, если смотреть на конечных точках, то компонент работает. В чем может быть проблема?
    • Nikolay.prim
      Автор Nikolay.prim
      Всем привет помогите решить проблему новичку, установил KSC 15.1 на сервер, пока разбирался с msi пакетом агента администрирования прошло дня 3 (с которым так и не разобрался)
      все это время спокойно заходил в консоль администрирования mmc и web, после чего больше не могу зайти как администратор, только как оператор. 
      Пишет что недостаточно прав для доступа к приложению. KSC устанавливал от имени локального администратора, сервер в домене. Сейчас как оператор входит под доменной учеткой.
      В группу KLAdmins добавлял локального администратора и доменную учетку не помогает. Выводил сервер домена, тоже результата нет. Как решить вопрос доступа администратору. 

    • Sergsob98
      Автор Sergsob98
      Доброго времени суток!
      У меня установлен сервер администрирования Kaspersky Security Center 15.2 на Linux, доступ к нему осуществляется через веб-интерфейс. Подскажите, где найти функцию Wake on LAN, чтобы можно было удалённо включать компьютеры? 
       
      Сообщение от модератора thyrex Перенесено из технического раздела
    • Анди25
      Автор Анди25
      День добрый,
       
      Сменился сервер и имя, из бэкап восстановил, но все сертификаты естественно указывают на прежний.
      Подскажите как сертификат сменить непосредственно на Kaspersky Security Center (не для работы мобильных клиентов и web, они легко меняются через mmc)
       
      Нашел описание по утилите klsetsrvcert, но чего-то не хватает, не проходит создание.
      "C:\Program Files (x86)\Kaspersky Lab\Kaspersky Security Center\klsetsrvcert.exe" -t C -i C:\0\klserver.cer -p testpass -o NoCA
    • Александр В. Л.
      Автор Александр В. Л.
      Здравствуйте. Имеется KSC 15.1 , в качестве БД используется MS SQLExpress 2022. Вроде, всё работает, но постоянно выскакивает ошибка задачи "Резервное копирование данных Сервера администрирования" :  
      База данных повреждена. Generic db error: "5030 'Не удалось монопольно заблокировать базу данных KAV для выполнения операции.{42000};' LastStatement='DBCC CHECKDB('KAV') WITH NO_INFOMSGS;'" Подскажите, пожалуйста, как это починить?
×
×
  • Создать...