Перейти к содержанию

Как фильтрануть события ?

Foxnight
 Поделиться

Рекомендуемые сообщения

Foxnight

Foxnight

Опубликовано
Опубликовано

Добрый день, появился вопрос по поводу событий которые хранятся в журнале Безопасность Windows.

По коду событий 5140 можно определить кто пытался подключиться к шаре (с какого компа в сети и под чей УЗ)

очень много событий при подключении к общему ресурсу IPC$

image.png.b780ad45c9988f0f286d90a7a5ae12cd.png

в основном такие запросы идут от сервера KSC 

как я понимаю это или опрос сети или мониторинг активности или инвентаризация сети ...,

но так же они поступаю и от других ПК в сети на которых установлен KES 11.11-12.6 версии +агент администрирования 15.0 , возможно они работают как точки распространения в KSC

 

т.к. сканирование этого ресурса можно сопоставить с работой червя, которого мб по какой то причине каспер не смог уловить, как можно фильтрануть эти события и отсеять работу Касперского от левых подключений?

 

 

En1gma

En1gma

Опубликовано
Опубликовано

Добрый день!

Думаю, будут разные порты и протоколы, можно попробовать фильтрануть по журналу пакетов на вашем сетевом оборудовании.

Если это невозможно, как вариант попробовать сличить этот журнал с журналом KSC, мониторинги, опросы и инвентаризации все должны валиться в журнал событий KSC. Если будут ещё какие-то события сверх того, значит есть подозрительная активность.

https://support.kaspersky.com/KSC/15.1/ru-RU/179949.htm

https://support.kaspersky.com/KSC/15.1/ru-RU/176094.htm

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • scaramuccia
      Запрет установки WPS Office
      Автор scaramuccia
      Добрый день. Как в политике KSC сделать запрет пользователям на установку WPS Office? Я попробовал сделать критерий по значению в метадате файла - "WPS Office Setup", так себя обозначает установочный файл. Не помогло. 
      В пользователях, на которых распространяется запрет, выбрал "BULTIN\Users". Может надо делать запрет для всех, в этом дело?
    • Rgn
      Временный доступ к USB-накопителям
      Автор Rgn
      Добрый день, коллеги
      Уточните, пожалуйста, существует ли функционал в KSC временное открытие USB.
      Знаю что в KES можно направить фаил, после чего его направить на ответственного сотрудника, но этот вариант не очень подходит.
      Возможно ли в политике в разделе контроль устройств , в разделе доверенные устройства указать период предоставления доступа к USB-накопителям?  
    • Rgn
      Создание инсталяционного пакета KES + NetAgent
      Автор Rgn
      Добрый день, коллеги
      Сейчас формирую инсталиционный пакет для ОС Linux.
      Нашел на форуме подобный запрос, но ссылка не актуальна.
      Подскажите, с формированием инсталяционного пакета KES + NetAgent, как проходит данный процесс в KSC, тк скачал  отдельно агент и отдельно антивирус.
      а не понимаю как их смэтчить 
    • mamruc
      Не срабатывает политика KSC
      Автор mamruc
      Доброго!
      На рабочих станция с установленным KES 11.8.0.384 и 12.3.0.493 накатанаполитика контроля устройств (съемные диски - запрещать) см. скрины.
      Все работало прекрасно, но в определенный момент обнаружилось, что съемные диски работают!!! Политика применяется - все хорошо.
      Если зайти локально на рабочую станцию через KSC , что в политике вместо запрета стоит в зависимости от шины подключения см. скрин 4.  Если ручками поменять - все работает. 
      Кто сталкивался?  И почему это могло произойти...
      KSC 14





    • Rgn
      Какие порты должны быть открыты на МЭ
      Автор Rgn
      Добрый день, коллеги
      Подскажите  пожалуйста, какие порты должны быть открыты на межсетевом экране, чтобы KES получал обновления от KSC
×
×
  • Создать...