Перейти к содержанию

Как фильтрануть события ?

Foxnight
 Поделиться

Рекомендуемые сообщения

Foxnight Новичок

Foxnight

Опубликовано
Опубликовано

Добрый день, появился вопрос по поводу событий которые хранятся в журнале Безопасность Windows.

По коду событий 5140 можно определить кто пытался подключиться к шаре (с какого компа в сети и под чей УЗ)

очень много событий при подключении к общему ресурсу IPC$

image.png.b780ad45c9988f0f286d90a7a5ae12cd.png

в основном такие запросы идут от сервера KSC 

как я понимаю это или опрос сети или мониторинг активности или инвентаризация сети ...,

но так же они поступаю и от других ПК в сети на которых установлен KES 11.11-12.6 версии +агент администрирования 15.0 , возможно они работают как точки распространения в KSC

 

т.к. сканирование этого ресурса можно сопоставить с работой червя, которого мб по какой то причине каспер не смог уловить, как можно фильтрануть эти события и отсеять работу Касперского от левых подключений?

 

 

Ссылка на комментарий
Поделиться на другие сайты
En1gma Новичок

En1gma

Опубликовано
Опубликовано

Добрый день!

Думаю, будут разные порты и протоколы, можно попробовать фильтрануть по журналу пакетов на вашем сетевом оборудовании.

Если это невозможно, как вариант попробовать сличить этот журнал с журналом KSC, мониторинги, опросы и инвентаризации все должны валиться в журнал событий KSC. Если будут ещё какие-то события сверх того, значит есть подозрительная активность.

https://support.kaspersky.com/KSC/15.1/ru-RU/179949.htm

https://support.kaspersky.com/KSC/15.1/ru-RU/176094.htm

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • KeshaKost
      Система мониторинга событий информационной безопасности
      Автор KeshaKost
      Добрый день. На работе поставили задачу "Осуществить настройку правил системы мониторинга событий информационной безопасности путем внесения в правила корреляции событий следующих индикаторов компрометации (sha256, sha1, md5)" и дальше список хешей. Подскажите пожалуйста, как реализовать данную задачу, да этого никогда с таким не сталкивался.
    • Дмитро
      Отчет в KSC по насторенному событию
      Автор Дмитро
      KSC 14.2 из-под win настроена политика для пользовательских машин и в ней для сетевого экрана добавлено правило, в котором идет запись в отчет.
      По факту нужно отследить отработку это правила из под отчета.
      Какой корректно выбрать отчет (ну или построить свой), где возможно было увидеть статистику по добавленному правилу сетевого экрана?
      облазил офф документации но ясности нет а ждать ответа неимоверно долго
    • mallorik9
      здраствуйте не могу убрать ошибку в событиях Произошла ошибка DCOM "1068 и Служба "Системное приложение COM+" является зависимой от службы
      Автор mallorik9
      Здраствуйте не могу убрать ошибку в событиях заметил сегодня ПК начал тормозить долго грузится когда включаю в Просмотре событий ошибки 2 есть это так должно бить я не пойму помогите пожалуйста уже более 17к событий как это по исправлять 


    • Алексей Медек
      Уведомление о событиях с помощью исполняемого файла
      Автор Алексей Медек
      Доброго дня, у кого-нибудь есть пример как вызывать .BAT или .EXE для срабатывания 'Уведомление о событиях с помощью исполняемого файла' из раздела Уведомления Свойств сервера KSC 14.2 на Windows.
      Конкретная цель - отправлять уведомления в Telegram.
       

    • МаркМанагер
      Внести в правила корреляции событий индикаторы компрометации
      Автор МаркМанагер
      Здравствуйте. Имеется KSC 14.2. Необходимо внести в правила корреляции событий индикаторы компрометации. Нашел информацию, что нужно создать задачу "Поиск IOC". Создал, но там надо файл ioc и не понятно, как он формируется. Еще здесь на форуме нашел, что для данной задачи нужна лицензия не ниже "Optimum". Как быть, где найти нужную информацию? Может подскажите,  как еще можно внести индикаторы компрометации?
×
×
  • Создать...