Перейти к содержанию

KSC 13.2: массовое событие с неизвестными названиями


Рекомендуемые сообщения

Опубликовано

Добрый день.

Прилетело вот такое неизвестное счастье, как на скриншотах.

Запускал отчет о сетевых атаках на KSC 13.2. На одно устройство приходится порядка 50-60 таких атак. Причем на другие устройства приходит сетевая атака Mac Spoofing Attatck.

Связанная ли данная сетевая атака с Mac Spoofing Attatck и можно ли как-то идентифицировать устройство, с которого это рассылается? Так как адрес 192.168.0.1. не используется в сети.

Снимок.PNG

Снимок2.PNG

Снимок3.PNG

Снимок4.PNG

Снимок5.PNG

Снимок6.PNG

Опубликовано

В свойствах ПК в событии может подробнее написано - посмотрите

Опубликовано
25.01.2022 в 17:55, oit сказал:

В свойствах ПК в событии может подробнее написано - посмотрите

Вот, что пишет в свойствах ПК, но понять не могу, откуда взялся этот IP и судя по коммутаторам таких маков в сети не было.

20220126_115744.jpg

20220126_115749.jpg

Опубликовано

У нас была ситуация, что на МП в биосе вшит этот ip и из-за урезанной версии Биоса его нельзя было убрать. И судя по тому, что первые 4 октета совпадают на маке, у вам аналогичная ситуация. Тоже МП виновата одного производителя.

Боюсь, что тут только mac spoofing отключать

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • dsa
      Автор dsa
      Добрый день!
      Подскажите пожалуйста, в результате чего на сервере KSC создается следующее информационное сообщение:
      Аудит (модификация объектов)
      Важность: Информационное событие
      Программа: Сервер администрирования
      Устройство: Сервер администрирования
      Группа: Группа устройства, на котором добавлена задача
      Описание: "Активные угрозы": пользователь "DOMAIN\Admin_account" добавил задачу "Проверить" для объектов на устройстве "Имя устройства".
       
      Администратор не добавлял никаких задач. Как произошло событие? Что за задача "Проверить"?
    • Дмитро
      Автор Дмитро
      KSC 14.2 из-под win настроена политика для пользовательских машин и в ней для сетевого экрана добавлено правило, в котором идет запись в отчет.
      По факту нужно отследить отработку это правила из под отчета.
      Какой корректно выбрать отчет (ну или построить свой), где возможно было увидеть статистику по добавленному правилу сетевого экрана?
      облазил офф документации но ясности нет а ждать ответа неимоверно долго
    • MicroSkittles
      Автор MicroSkittles
      Добрый день.
      В ksc 14 в политике настроен параметр веб-контроль с доступом по белым адресам, все работает идеально, однако события устройства забиваются уведомлением доступ запрещен задача веб-контроль, можно ли исключить это из списка события?
      В настройках уведомлений в политике отключить всё напротив параметра веб-контроль, где еще проверить?

       
      Сообщение от модератора kmscom Тема перемещена из раздела Помощь по персональным продуктам
    • d_kid
      Автор d_kid
      При выборке событий "Критические события" в журнале выходят подобные ошибки:
      Статус устройства 'pc' изменился на 'Критический': Заканчивается или закончился срок действия лицензии.
      Обратил внимание, что подобные ошибки выходят у тех, у кого в лицензии-свойства-устройства Дата действителен до стоит 01.01.1970, хотя ключ распространял сразу на все машины. Как это исправить?

    • Dicto
      Автор Dicto
      Доброго времени суток.
      Возникла такая проблема, не возможно подключиться к консоли управления сервером(web нет). Проверил службы, служба (kladminserver) Сервер администрирования Kaspersky Security Center не запускается, если и запускается то не больше минуты, Все равно консоль не доступна. Пробовал использовать другую учетку через замену УЗ, не помогло. Логи говорят про удаление и перестановку сервера(на этом и других форумах говорят это не помогло) Ошибки начали появляться в логах KEL 07.04.23. Пользовательский KES пишет что сервер не доступен с 31.03.23. В логах на эту тему есть 3 записи от 05.04.23 такого характера : Database error occurred: #1950 (-2147467259) Generic db error: " 'Истекло время ожидания входа{HYT00};' LastStatement='ADODB.Connection'" после 07.04.23 пошли такие записи Database error occurred: #1950 (-2147467259) Generic db error: " 'Истекло время ожидания входа{HYT00};' LastStatement='ADODB.Connection'".
      Все это дело крутится на Win Server 2008 R2. Я в первые столкнулся с данной проблемой, и опыта в работе еще очень мало. Много уже облазил форумов и статей, но пока ни к чему не пришел. Может попробовать с бэкапа восстановиться до начала проблем? Хз в общем.
       

×
×
  • Создать...