Перейти к содержанию

Внести в правила корреляции событий индикаторы компрометации


Рекомендуемые сообщения

МаркМанагер

Здравствуйте. Имеется KSC 14.2. Необходимо внести в правила корреляции событий индикаторы компрометации. Нашел информацию, что нужно создать задачу "Поиск IOC". Создал, но там надо файл ioc и не понятно, как он формируется. Еще здесь на форуме нашел, что для данной задачи нужна лицензия не ниже "Optimum". Как быть, где найти нужную информацию? Может подскажите,  как еще можно внести индикаторы компрометации?

Ссылка на сообщение
Поделиться на другие сайты

Здравствуйте, вы можете использовать готовые iOC файлы, например из Kaspersky OpenTIP, либо писать свои, используя https://support.kaspersky.com/help/KESWin/12.6/ru-RU/220828.htm

Ссылка на сообщение
Поделиться на другие сайты
22.07.2024 в 14:41, МаркМанагер сказал:

Здравствуйте. Имеется KSC 14.2. Необходимо внести в правила корреляции событий индикаторы компрометации. Нашел информацию, что нужно создать задачу "Поиск IOC". Создал, но там надо файл ioc и не понятно, как он формируется. Еще здесь на форуме нашел, что для данной задачи нужна лицензия не ниже "Optimum". Как быть, где найти нужную информацию? Может подскажите,  как еще можно внести индикаторы компрометации?

Добрый день, все верно для начало нужно активировать продукт KES с лицензией Optimum. 

image.png.dc54bed39db35649a9487447342be366.png

Ссылка на сообщение
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • zhenius123
      От zhenius123
      У нас ksc 15.1 стоит на debian. Пытаюсь состыковать его с Active Directory на Windows server 2019.
      Добавил  в "Обнаружение устройств и развертывание / Обнаружение устройств / Контроллеры доменов / Параметры опроса" ip адрес контроллера домена и учетную запись. 
      Жму "Начать опрос", пробегает зеленая полоска на 100 %, пропадает и никакой информации не появляется. 
      Нет никаких ошибок или сообщений. Как понять что происходит? Если ошибка, то где взять хотя бы информацию о том какая это ошибка?
      Контроллер домена пингуется и порты доступны.

    • tianddu
      От tianddu
      Добрый день, имеем учебное заведение, примерно 180 компов заведенных в AD. Распространяются GPO  С 1 сентября начали сталкиваться с такой проблемой:
      Студент жалуется на комп, смотрим, в нем майнер. Начинаем смотреть. В трее KES нет, в панели управления висит, при попытке удаления предлагает только удалить, причем запрашивает учетку для деактивации. Самой папки с касперским нет.  Разумеется стоит защита интерфейса паролем. Стоит блокировка удаления агента паролем, но скорее всего агента тоже нет на компе уже. Появилась локальная учетка с админ правами main с паролем 123456. Из интересного в одной из учеток main на рабочем столе нашли Rubeus с гитхаба. Бегло прочитав, выясняется, что можно достаточно легко сделать подмену билета и получить на локальном компе админ права.. Окей, ставим запрет на запуск CMD в любом виде, что просто командная строка, что выполнение скриптов. Один хрен продолжаем получать компы с такими проблемами. Пароли от локальных учеток на компах и пароли администратора доменного достаточно сложные, набор цифробукв.
      Есть подозрение все таки на студентов, так как есть классы только с дизайнерами и информатикой, а есть с программистами. Так вот страдают именно классы с программистами. Точнее можем уже сузить круг до конкретной группы с таким студентом. Интересует вопрос, как это может происходить? как защититься от такого? Возможно что загружаются с флешки например в winpe а потом сносят папку с касперским?
    • ГГеоргий
      От ГГеоргий
      Добрый день
      Речь и дет о связке KSC + KICS for Win
      уже не первый раз фиксируем следующую проблему -
      некоторые функции не настраиваются с KSC, однако настраиваются в локальной консоли управления KICS
      Впервые столкнулись с этой проблемой когда настраивали защиту usb устройств - при настройке с KSC, задача компонента не отрабатывает как нужно. Она запускается, и затем сразу завершается со статусом "успешно". Предположительно она должна находится в статусе "запущено" для контроля usb.
      Затем мы настраиваем всё то же самое с консоли локальной КИКСа - и получаем уже нужный нам результат. Задача переходит в состояние "выполняется" и блочит\пропускает флешки.
      Настройки абсолютно идентичные. KSC видит то, что мы на локальной делаем. Локальная тоже видит настройки которые мы на KSC делаем. То есть они буквально идентичны.
      Теперь столкнулись с такой же проблемой при задаче "контроль целостности на основе эталона"
      задача с KSC каждый раз запускается по новой (заново снимая перечень файлов)
      Вто время как задача с локальной консоли уже отрабатыывает хорошо - первый запуск снимает эталон, а второй уже мониторит изменения
      Как это должно работать?
      события эти были в разные дни и на разных уСкрины.zipстройствах, но проблема общая
      KSC всегда стоял на линукс а KICS на вин 10
    • ГГеоргий
      От ГГеоргий
      Добрый день!
      подскажите пожалуйста, как лучше реализовать следующий функционал - 
      Нам немобходимо чтобы создался перечень определенных приложений на армах в группах, и было разрешено открывать-запускать исключительно эти приложения.

      Проблемы с которыми мы столкнулись6
      На Linux можно создать Golden Image для этого, а в виндовой версии такого нет.
      При экспорте перечня программ из реестра приложений мы получаем csv или txt файлы, в то время как компонент "контроль приложений" принимает на импорт только xml.
      Вручную добавлять программы не вариант, тк их может быть очень много
      Через задачу "формирования правил контроля запуска программ" это тоже делается с трудом, тк там можно выбрать из уже запущенных программ, и из отчетов KSC, нам же необходимо скопом закинуть туда перечень
      И кроме того при формировании правил контроля запуска программ  в блоке "по завершении задачи" есть пункт "Экспортировать разрешающие правила в файл." Там необходимо указать полный путь к файлу xml (для экспорта) но как бы мы не указывали - получаем ошибку неверный путь. Подскажите что можно сделать? 
    • ГГеоргий
      От ГГеоргий
      В процессе локальной установки  КЕС на устройство, оно выключилось и включилось уже с синим экраном
      error code 0xc00000f 
       "The operating system couldnt be loaded because a critical driver  missing or contains error" File: \Windows\System32\DRIVERS\Klelam.sys.
      в Safemode зайти не удается - всё равно выкидывает ошибку
      точки восстановления нет
      что делать? 
      мы ставили на два идентичных устройства до этого - всё прошло успешно
       
×
×
  • Создать...