Автоматическое перемещение устройства между группами администрирования

[infobez_bez]

Здравствуйте
интересует такой вопрос:
Например есть группа администрирования "Карантин" - в ней 0 устройств, управляется политикой, которая ограничивает доступ в сеть, блокирована USB шина и т.д.
Есть группа администрирования " Не карантин" - в ней например 100 устройств, там своя политика.

 

В KSC, во вкладке "Устройства/Правила перемещения" - есть возможность настройки автоматического перемещения устройств между группами/ распределенными и нераспределенными устройствами. Для настройки перемещения есть условия сработки правила перемещения (теги, сеть, программы и т.д.).

Плюс есть вкладка Устройства/Выборки устройств - где собраны различные выборки, с защитой/без защиты, устаревшие базы, есть активные угрозы и т.д.

 

Хотелось бы выполнить настройку таким образом, чтобы при наличии на устройстве активных угроз оно автоматически перемещалось в группу администрирования "Карантин".

В правилах перемещения - условия похожего на "наличие активных угроз" - нет, перемещать по попаданию в выборку тоже нельзя, но появилась мысль зацепиться за теги, например, есть активная угроза -> назначается тег -> по тегу устройство автоматически перемещается в группу администрирования "карантин" и на него действует соответствующая политика. Но в тегах тоже ничего подходящего не смог найти.

 

Подскажите, можно ли выполнить настройку автоматического перемещения устройства между группами администрирования (или между политиками)  по наличию на устройстве активных угроз или нахождения вирусной активности? 
Используется KSC 14.2 для Windows

[mike 1]

Здравствуйте, здесь лучше посмотреть в сторону KEDR/KUMA. 

[infobez_bez]

В 23.05.2025 в 15:36, mike 1 сказал:

Здравствуйте, здесь лучше посмотреть в сторону KEDR/KUMA. 

Здравствуйте!
А средствами KES и/или KSC это можно как-то реализовать, не подскажете?

[mike 1]

Частично можно решить через одну политику и профиль политики в ней, но вот чтобы тег автоматически проставлялся и снимался думаю нет, если только руками будете проставлять. Можете ещё посмотреть в сторону KSC API. 

[infobez_bez]

В 26.05.2025 в 19:00, mike 1 сказал:

Частично можно решить через одну политику и профиль политики в ней, но вот чтобы тег автоматически проставлялся и снимался думаю нет, если только руками будете проставлять. Можете ещё посмотреть в сторону KSC API. 

Тег просто одна из идей, которая пришла
Если его проставлять руками, то как будто смысла нет, проще сразу переместить компьютер в соответствующую группу, а хочется автоматизировать это перемещение по наличию активных вирусных угроз

 

Попробуем покопать то, что вы перечислили, спасибо

[infobez_bez]

Еще раз здравствуйте. 
В продолжение темы выше - появилось другое решение, которое подходит даже больше, чем ранее рассуждал тут.

Это параметр "Вирусная атака" в свойствах сервера администрирования, т.е. при наступлении этого события на устройство применяется выбранная политика.

Но столкнулись с трудностями при воспроизведении этого сценария

Указаны все триггеры - один вирус в течении одной минуты.

Для всех типов антивирусов указаны соответствующие политики, которые должны активироваться

Затем скачали тестовую вредоносную программу eicar для проверки работоспособности продукта «Лаборатории Касперского».
При скачивании - антивирус ругнулся, но политика не применилась
При запуске задачи "поиск вредоносного ПО" тоже ругнулся, но политика не применилась

Появлялось окно "Лечение активного заражения" , политика не применилась

На сводке видим событие "Вирусная атака" , но политика на устройстве, на котором тестировали так и не применяется

Иными словами, все условия прописанные при настройке были, не однократно

Попробовали и на устройстве с ОС Windows и на устройстве с ОС Linux

Может кто-то сталкивался с таким? 

 

[mike 1]

Я думаю лучше в рамках официального тикета в техподдержку дальше разбираться. Заведите запрос через Kaspersky Company Account.