Перейти к содержанию

Система мониторинга событий информационной безопасности


Рекомендуемые сообщения

Добрый день. На работе поставили задачу "Осуществить настройку правил системы мониторинга событий информационной безопасности путем внесения в правила корреляции событий следующих индикаторов компрометации (sha256, sha1, md5)" и дальше список хешей. Подскажите пожалуйста, как реализовать данную задачу, да этого никогда с таким не сталкивался.

Изменено пользователем KeshaKost
  • Like (+1) 1
Ссылка на сообщение
Поделиться на другие сайты

Здравствуйте, например, через контроль программ, который будет работать в режиме чёрного списка и соответствующей категории из списка хэшей. 

Ссылка на сообщение
Поделиться на другие сайты
1 минуту назад, mike 1 сказал:

Здравствуйте, например, через контроль программ, который будет работать в режиме чёрного списка и соответствующей категории из списка хэшей. 

Здравствуйте. Да, я уже начал делать это через "Контроль приложений", но есть несколько вопросов. При настройке правил с запрещенными хешами, отсутствует добавление sha1. И когда я внес все предоставленные мне хеши sha256 и md5, возникла данная ошибка "Категория содержит неподдерживаемое условие, основанное только на хеше MD5", и теперь я не могу даже выбрать данную категорию, что бы удалить ее или отредактировать.

 

 

 

 

image.thumb.png.e5552f6d226cecd6145135d47632c728.png
image.png.baf72a604df4cad7f0f89f46460b98f2.png

Ссылка на сообщение
Поделиться на другие сайты

Лучше с нуля создать новую категорию и внести только SHA256. Современные продукты быстрее работают с SHA256 нежели с MD5. 

Ссылка на сообщение
Поделиться на другие сайты
6 минут назад, mike 1 сказал:

Лучше с нуля создать новую категорию и внести только SHA256. Современные продукты быстрее работают с SHA256 нежели с MD5. 

А не подскажите как теперь избавиться от категорий с данной ошибкой?😄
image.thumb.png.3c6f23c92973344f5a6e26e50d26f573.png
 

Ссылка на сообщение
Поделиться на другие сайты
3 часа назад, KeshaKost сказал:

А не подскажите как теперь избавиться от категорий с данной ошибкой?😄

Через вебку особо не работаю, к сожалению. Если все хэши очистить, а потом удалить категорию, то удаляется? 

Ссылка на сообщение
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • wizzard
      От wizzard
      Приветствую всех!

      Дано: Kaspersky Security для бизнеса Стандартный.
      Сервер KSC v15  на CentOS, администрируется через web-консоль v15.0.136.
      KES v11.4 на разных linux, также установлены Агенты администрирования v14.
       
      Не пойму, завожу задачу «Поиск IOC», добавляю файл IOC, а она не запускается. Работает у кого такая задача на linux-машинах?
    • Shas
      От Shas
      Доброго времени суток коллеги! Подскажите пожалуйста решение вопроса. Использую контроль запуска программ (белый список) Kaspersky Embedded Systems Security. Клиент 3.0. При блокировке запуска недоверенного приложения клиент отдает в SIEM хеш, вычисленный по алгоритму sha256. Можно ли где-то настроить, чтобы отдавал еще и md5, или только md5?
      Что интересно, если запустить тот же eicar, то в лог для SIEM попадает хеш и по алгоритму md5, и по алгоритму sha256, а вот если блокировка осуществлятеся только модулем "контроль запуска программ", то только sha256. Печально(((((
      Спасибо!
×
×
  • Создать...