Перейти к содержанию

Просмотр логов/Журнала событий в KCS11

kyznetsov5656

От kyznetsov5656
в Помощь по корпоративным продуктам

 Share

Рекомендуемые сообщения

kyznetsov5656 Новичок

kyznetsov5656

Опубликовано
Опубликовано (изменено)

Не могу найти возможность просмотреть действия пользователя в  сети подчиненной серверу администрирования после выявленной угрозы

Все компьютеры в сети контролируются KSC 11

Пользователь "Иванов" воспользовался флеш-носителем после проверки антивирусом.

В момент пользования флеш-носителя, была подключена второй флеш-носитель.

Касперский нашел вирус. На носителе был обнаружен Virus.Win32.Sality 

Вопрос! 

Как просмотреть журнал событий в KSC 11 для выяснения:

- Когда и какой флеш-носитель подключался?

- Когда и в какое время проводилась проверка на вирусы?

Примечания!!!

*При просмотре данных во вкладке "События" отображаются действия и сведения сутками ранее.

  Данные и сведения о действиях в момент инцидента - отсутствуют

 

 

 

Изменено пользователем kyznetsov5656
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • Алексей Медек
      Уведомление о событиях с помощью исполняемого файла
      От Алексей Медек
      Доброго дня, у кого-нибудь есть пример как вызывать .BAT или .EXE для срабатывания 'Уведомление о событиях с помощью исполняемого файла' из раздела Уведомления Свойств сервера KSC 14.2 на Windows.
      Конкретная цель - отправлять уведомления в Telegram.
       

    • МаркМанагер
      Внести в правила корреляции событий индикаторы компрометации
      От МаркМанагер
      Здравствуйте. Имеется KSC 14.2. Необходимо внести в правила корреляции событий индикаторы компрометации. Нашел информацию, что нужно создать задачу "Поиск IOC". Создал, но там надо файл ioc и не понятно, как он формируется. Еще здесь на форуме нашел, что для данной задачи нужна лицензия не ниже "Optimum". Как быть, где найти нужную информацию? Может подскажите,  как еще можно внести индикаторы компрометации?
    • KeshaKost
      Система мониторинга событий информационной безопасности
      От KeshaKost
      Добрый день. На работе поставили задачу "Осуществить настройку правил системы мониторинга событий информационной безопасности путем внесения в правила корреляции событий следующих индикаторов компрометации (sha256, sha1, md5)" и дальше список хешей. Подскажите пожалуйста, как реализовать данную задачу, да этого никогда с таким не сталкивался.
    • ska79
      Просмотр новичков форума
      От ska79
      Долго наблюдал- заметил следующее:
      Если пользователь регистрируется под никнеймом на английском языке, то с главной страницы форума невозможно открыть его профиль, если регистрация происходит с использованием кириллицы тогда открывается норм.
    • Иван Баженов
      [РАСШИФРОВАНО] Сотрудница при просмотре фото подцепила вирус который зашифровал файлы [hopeandhonest@smime.ninja].[94CECC88-67302ADD]
      От Иван Баженов
      Добрый день!
      Сервер  Win 2012 R2 был заражен вирусом smime.ninja. Машина была остановлена и восстановлена система из резервной копии. Файлы дополнительного F диска не резервировались и имеют рас название типа: Тортилья с курицей.jpg[hopeandhonest@smime.ninja].[94CECC88-67302ADD]
       
      Также в сервер была включена флеш карта которая была зашифрована и на неё был внедрён вирус. При включении данной флэш карты на другой ПК вирус был обезврежен McAfee и размещён системой в архивный каталог на диске C:\QUARANTINE   Приложить его вам не получилось из за лимита ограничения 12,7 МБ (13 324 899 байт)   Если он понадобится то можно скачать по ссылке с Гугл диска https://drive.google.com/file/d/18p6Lx6HrHlGkDUce6JQbuYtwEBzYMgWF/view?usp=share_link
       
      А также прикладываю файл ТТК.rar зашифрованных файлов с паролем virus
       
       
      ТТК.rar
×
×
  • Создать...