Перейти к содержанию

Система мониторинга событий информационной безопасности

KeshaKost

Автор KeshaKost
в Помощь по корпоративным продуктам

 Поделиться

Рекомендуемые сообщения

KeshaKost Новичок

KeshaKost

Опубликовано
Опубликовано (изменено)

Добрый день. На работе поставили задачу "Осуществить настройку правил системы мониторинга событий информационной безопасности путем внесения в правила корреляции событий следующих индикаторов компрометации (sha256, sha1, md5)" и дальше список хешей. Подскажите пожалуйста, как реализовать данную задачу, да этого никогда с таким не сталкивался.

Изменено пользователем KeshaKost
  • Like (+1) 1
Ссылка на комментарий
Поделиться на другие сайты
mike 1 Мудрец

mike 1

Опубликовано
Опубликовано

Здравствуйте, например, через контроль программ, который будет работать в режиме чёрного списка и соответствующей категории из списка хэшей. 

Ссылка на комментарий
Поделиться на другие сайты
KeshaKost Новичок

KeshaKost

Опубликовано
  • Автор
Опубликовано
1 минуту назад, mike 1 сказал:

Здравствуйте, например, через контроль программ, который будет работать в режиме чёрного списка и соответствующей категории из списка хэшей. 

Здравствуйте. Да, я уже начал делать это через "Контроль приложений", но есть несколько вопросов. При настройке правил с запрещенными хешами, отсутствует добавление sha1. И когда я внес все предоставленные мне хеши sha256 и md5, возникла данная ошибка "Категория содержит неподдерживаемое условие, основанное только на хеше MD5", и теперь я не могу даже выбрать данную категорию, что бы удалить ее или отредактировать.

 

 

 

 

image.thumb.png.e5552f6d226cecd6145135d47632c728.png
image.png.baf72a604df4cad7f0f89f46460b98f2.png

Ссылка на комментарий
Поделиться на другие сайты
mike 1 Мудрец

mike 1

Опубликовано
Опубликовано

Лучше с нуля создать новую категорию и внести только SHA256. Современные продукты быстрее работают с SHA256 нежели с MD5. 

Ссылка на комментарий
Поделиться на другие сайты
KeshaKost Новичок

KeshaKost

Опубликовано
  • Автор
Опубликовано
6 минут назад, mike 1 сказал:

Лучше с нуля создать новую категорию и внести только SHA256. Современные продукты быстрее работают с SHA256 нежели с MD5. 

А не подскажите как теперь избавиться от категорий с данной ошибкой?😄
image.thumb.png.3c6f23c92973344f5a6e26e50d26f573.png
 

Ссылка на комментарий
Поделиться на другие сайты
mike 1 Мудрец

mike 1

Опубликовано
Опубликовано
3 часа назад, KeshaKost сказал:

А не подскажите как теперь избавиться от категорий с данной ошибкой?😄

Через вебку особо не работаю, к сожалению. Если все хэши очистить, а потом удалить категорию, то удаляется? 

Ссылка на комментарий
Поделиться на другие сайты
  • 7 месяцев спустя...

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Foxnight
      Как фильтрануть события ?
      Автор Foxnight
      Добрый день, появился вопрос по поводу событий которые хранятся в журнале Безопасность Windows.
      По коду событий 5140 можно определить кто пытался подключиться к шаре (с какого компа в сети и под чей УЗ)
      очень много событий при подключении к общему ресурсу IPC$

      в основном такие запросы идут от сервера KSC 
      как я понимаю это или опрос сети или мониторинг активности или инвентаризация сети ...,
      но так же они поступаю и от других ПК в сети на которых установлен KES 11.11-12.6 версии +агент администрирования 15.0 , возможно они работают как точки распространения в KSC
       
      т.к. сканирование этого ресурса можно сопоставить с работой червя, которого мб по какой то причине каспер не смог уловить, как можно фильтрануть эти события и отсеять работу Касперского от левых подключений?
       
       
    • Дарья_Р
      Степень безопасности оплаты через безопасные платежи
      Автор Дарья_Р
      Добрый вечер!
      У меня следующий вопрос о степени защите персональных данных в антивирусе.
      Дело в том, что вчера я оплачивала страховку в "Ренессанс Страхование" через Сбер ID. 
      Страховой агент прислала мне ссылку для оплаты через сайт payecom.ru    
      Я открыла эту ссылку через безопасные платежи в Microsoft Edge и оплатила.
      Платеж прошел успешно, но меня смутил тот факт, что Сбербанк мне прислал предупреждение, что я открываю Сбер ID через не через их сайт, а сторонний.
      Я как-то решила, что Ренессанс уже 30 лет на рынке и не будет воровать мои деньги, поэтому оплатила, не раздумывая. Плюс была уставшая после работы.
      Но сейчас я понимаю, что, видимо, совершила глупость.
      Т.к. Ренессанс к сайту payecom.ru прямого отношения не имеет.
      Данные карт остались внутри этой платежной системы.
      Но я оплатила через Касперского - единственная надежда, что не обчистят как липку)
      Не знаю, что теперь делать...
      Поменять Сбер  ID невозможно -  только все счета закрыть и открыть заново.
      Насколько защита в антивирусе Касперский в таких ситуациях действительно серьезно защищает?
      И имеете ли вы какую-то информацию по этому платежному сайту payecom.ru?
      Ведь Касперский собирает подобную информацию.
      Если это сомнительный сайт по вашим данным, то дайте, пожалуйста, мне знать.
      Но известная страховая компания им пользуется вовсю...
      Или мне все-таки идти в Сбербанк и там с ними разбираться?
       
       
    • asmonekus
      [РЕШЕНО] Подозрение на заражение системы
      Автор asmonekus
      В какой-то момент заметила, что в истории поиска Windows начали появляться запросы, иногда даже на английском, которых я не делала, даже если компьютер был выключен. В истории запросов аккаунта Microsoft, который я использую на ПК, ничего подобного нет, плюс я сменила пароль и на всякий случай сделала выход со всех устройств через управление аккаунтом.
       
      Проводила проверку ПК и Kaspersky Virus Removal Tool, и Dr.Web CureIt!, и Kaspersky Premium – ничего не обнаружено. Запускала Avbr – почистил кеш и тоже ничего не обнаружил. Единственное, узнала, что Windows активирован KMSAuto (ПК был куплен в сборке с уже установленным ПО), но, насколько я с ним сталкивалась, он проблем каких-либо не доставлял.

      Никакого другого подозрительного поведения не обнаружила, все сайты как были доступны, так и остались. Лишней нагрузки тоже нет. Но эти рандомные запросы уж очень меня смущают.
      CollectionLog-2025.05.16-22.38.zip
    • Guffi
      Отправка уведомлений о событиях с помощью исполняемого файла
      Автор Guffi
      Всем привет! Прошу помощи. Проблема в следующем. Есть батник, который запускает скрипт на вывод уведомления по событию. Когда я прописываю путь к файлу и запускаю тестовое сообщение, то он выкидывает ошибку что файл запустить не удалось. 
      В чем может быть причина? Почему он не хочет запускать исполняемый файл?
       

    • sputnikk
      Безопасно ли пользоваться соседским Wi-Fi ?
      Автор sputnikk
      Wi-Fi запароленный, пацанов в семье нет, только девочки-школьницы. Подсоединил комп через свисток D-linк 2013 года утилитой Mediatek Wireless Utility.
       
      Я не был в интернете 5 дней. Украинцы пожгли железо местного провайдера и сети не будет ещё неделю, пришлось клянчить вай-фай у соседей, у них другой провайдер.  
      Железо Juniper, один коммутатор сейчас стоит 150к. Украинцам помогали индийцы через Австралию.
      Мобильного у меня нету.
       
      Сообщение от модератора Mark D. Pearlstone Тема перемещена из раздела "Компьютерная помощь"
×
×
  • Создать...