Перейти к содержанию

Автоматическое перемещение устройства между группами администрирования

infobez_bez
 Поделиться

Рекомендуемые сообщения

infobez_bez

infobez_bez

Опубликовано
Опубликовано

Здравствуйте
интересует такой вопрос:
Например есть группа администрирования "Карантин" - в ней 0 устройств, управляется политикой, которая ограничивает доступ в сеть, блокирована USB шина и т.д.
Есть группа администрирования " Не карантин" - в ней например 100 устройств, там своя политика.

 

В KSC, во вкладке "Устройства/Правила перемещения" - есть возможность настройки автоматического перемещения устройств между группами/ распределенными и нераспределенными устройствами. Для настройки перемещения есть условия сработки правила перемещения (теги, сеть, программы и т.д.).


Плюс есть вкладка Устройства/Выборки устройств - где собраны различные выборки, с защитой/без защиты, устаревшие базы, есть активные угрозы и т.д.

 

Хотелось бы выполнить настройку таким образом, чтобы при наличии на устройстве активных угроз оно автоматически перемещалось в группу администрирования "Карантин".


В правилах перемещения - условия похожего на "наличие активных угроз" - нет, перемещать по попаданию в выборку тоже нельзя, но появилась мысль зацепиться за теги, например, есть активная угроза -> назначается тег -> по тегу устройство автоматически перемещается в группу администрирования "карантин" и на него действует соответствующая политика. Но в тегах тоже ничего подходящего не смог найти.

 

Подскажите, можно ли выполнить настройку автоматического перемещения устройства между группами администрирования (или между политиками)  по наличию на устройстве активных угроз или нахождения вирусной активности? 
Используется KSC 14.2 для Windows

mike 1

mike 1

Опубликовано
Опубликовано

Здравствуйте, здесь лучше посмотреть в сторону KEDR/KUMA. 

infobez_bez

infobez_bez

Опубликовано
  • Автор
Опубликовано
В 23.05.2025 в 15:36, mike 1 сказал:

Здравствуйте, здесь лучше посмотреть в сторону KEDR/KUMA. 

Здравствуйте!
А средствами KES и/или KSC это можно как-то реализовать, не подскажете?

mike 1

mike 1

Опубликовано
Опубликовано

Частично можно решить через одну политику и профиль политики в ней, но вот чтобы тег автоматически проставлялся и снимался думаю нет, если только руками будете проставлять. Можете ещё посмотреть в сторону KSC API. 

infobez_bez

infobez_bez

Опубликовано
  • Автор
Опубликовано
В 26.05.2025 в 19:00, mike 1 сказал:

Частично можно решить через одну политику и профиль политики в ней, но вот чтобы тег автоматически проставлялся и снимался думаю нет, если только руками будете проставлять. Можете ещё посмотреть в сторону KSC API. 

Тег просто одна из идей, которая пришла
Если его проставлять руками, то как будто смысла нет, проще сразу переместить компьютер в соответствующую группу, а хочется автоматизировать это перемещение по наличию активных вирусных угроз

 

Попробуем покопать то, что вы перечислили, спасибо

  • 2 недели спустя...
infobez_bez

infobez_bez

Опубликовано
  • Автор
Опубликовано

Еще раз здравствуйте. 
В продолжение темы выше - появилось другое решение, которое подходит даже больше, чем ранее рассуждал тут.

Это параметр "Вирусная атака" в свойствах сервера администрирования, т.е. при наступлении этого события на устройство применяется выбранная политика.

Но столкнулись с трудностями при воспроизведении этого сценария

Указаны все триггеры - один вирус в течении одной минуты.

image.png.38e55f24e083792f073649de2417714c.png

Для всех типов антивирусов указаны соответствующие политики, которые должны активироваться

Затем скачали тестовую вредоносную программу eicar для проверки работоспособности продукта «Лаборатории Касперского».
При скачивании - антивирус ругнулся, но политика не применилась
При запуске задачи "поиск вредоносного ПО" тоже ругнулся, но политика не применилась

Появлялось окно "Лечение активного заражения" , политика не применилась

На сводке видим событие "Вирусная атака" , но политика на устройстве, на котором тестировали так и не применяется

Иными словами, все условия прописанные при настройке были, не однократно

Попробовали и на устройстве с ОС Windows и на устройстве с ОС Linux

Может кто-то сталкивался с таким? 

 

mike 1

mike 1

Опубликовано
Опубликовано

Я думаю лучше в рамках официального тикета в техподдержку дальше разбираться. Заведите запрос через Kaspersky Company Account. 

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • infobez_bez
      Настройка политики карантина/сохранение связи с сервером администрирования
      Автор infobez_bez
      Здравствуйте!

      Я настраиваю политику карантина для устройств под управлением Windows в KSC. При переносе устройства в эту политику у него должна блокироваться вся сетевая активность, кроме связи с сервером администрирования.

      Проблема:
      -В политике для Linux есть опция «Всегда добавлять разрешающее правило для портов агента администрирования», но в политике для Windows такой настройки нет.
      -Я пробовал добавлять сервер администрирования в доверенные узлы, но при этом разрешались и другие локальные службы, а нужно, чтобы работала только связь с KSC.
      -Также пытался вручную прописать правила в сетевом экране для портов агента (например, 13000, 14000 TCP/UDP), но это не сработало — устройство теряло связь с сервером.

      Вопрос:
      Как правильно настроить политику карантина для Windows, чтобы:
      -Устройство имело доступ только к серверу администрирования KSC.
      -Все остальные сетевые соединения (включая локальные службы) блокировались.
      -Устройство могло получать обновления политик (например, при выходе из карантина).
      -Нужна ли дополнительная настройка сетевого экрана или есть скрытые параметры, аналогичные функционалу для Linux?

      KSC 14.2
    • ACZ
      Нужна ли отдельная политика для серверов в KSC 14.2?
      Автор ACZ
      Добрый день! Не подскажите, требуется ли создавать отдельную политику для серверов в KSC 14.2? Основная политика для рабочих станций уже настроена и работает успешно. Подойдет ли она для серверов? И нужны ли какие то особые настройки политики именно для серверов?
       
      Kaspersky Security Center  "Лаборатория Касперского"  Версия: 14.2.0.26967
    • Dan4es
      Смена сервера администрирования
      Автор Dan4es
      Добрый день.
       
      Столкнулся с проблемой: пролез шифровальщик и зашифровал критичные данные для работы KSC (бд + бекап). Переустановил ОС, переустановил KSC, бд вынес на выделенный сервер. Адрес и dns имя сервера оставил прежним. Все устройства обнаружились, но все в статусе неизвестно. При выполнении задачи установка KES+Network Agent, задача останавливается на 50%. Как пере подключить все устройства обратно к этому серверу?

    • Dan4es
      Цикличный перезапуск KES 12.6.0.438 при запуске Outlook 2016
      Автор Dan4es
      Добрый день.
       
      Возникла проблема с цикличным перезапуском KES при открытии Outlook2016. Обе программы переустанавливал. Также пробовал на другом ПК с другой УЗ, поведение такое же. Клиенты под управлением KSC 14.2, KES 12.6.0.438. Скрин, примененной политики, прилагаю. Может кто сталкивался с таким поведением.





    • Andrey Aleksandrovich
      Удаление программы, запрещённой KL-категорией.
      Автор Andrey Aleksandrovich
      Всем добрый вечер, есть программа в KL-категории, которая запрещена. Об этом приходит уведомление. Через панель управления (у пользователя) не удаётся ее удалить, нет прав пишет. Что именно в политике отвечает за это? Уже все пересмотрел.
×
×
  • Создать...