Политики


Политика KES 12.2 для Linux Servers

Название политики:

Политика KES 12.2 Linux - Сервера (Linux)

Применение:

Для кого эта политика:

Компоненты

Kaspersky Security Network

Включен

Проверка по облачной базе Kaspersky

Защита от файловых угроз

Включен

Проверка файловой системы

Защита от веб-угроз

Включен

Зашита от веб-угроз, как бы это не звучало.

Защита от сетевых угроз

Включен

Firewall

Защита от шифрования

Включен

Защита файлов в локальных директориях с сетевым доступом по протоколам SMB/NFS от удаленного вредоносного шифрования

Поведенческий анализ

Включен

Анализ поведения

Detection and Response (KATA)

Выключен

EDR, MDR

Контроль приложений

Выключен

Контроль запускаемых приложений (черный и белый списки)

Контроль целостности системы

Включен

Контроль изменений файлов в системе, реестра и подключения к компьютеру внешних устройств

Контроль устройств

Выключен

Контроль подключенных и внешних устройств

Веб-контроль

Включен

Контроль доступа к веб-ресурсам

Проверка контейнеров

Включен

Проверка пространств имен и контейнеров в реальном времени

Интеграция с KUMA

Выключен

Интеграция с SIEM системой

Легкий агент

Выключен

Серверный вариант использования, с выносом активных компонентов на SVM сервер

 

Общие

Настройка событий

Настройка событий

 

Тип события

Время хранения на KSC

Отправка в SIEM

:drop_of_blood:  Критические события

Да :tick:  / Нет :cross: 

Нарушено лицензионное соглашение

30 дней

 

Базовая защита

Защита от файловых угроз

Выполнять рекомендованное действие над объектом на основе данных об уровне опасности угрозы, обнаруженной в файле, и возможности его лечения

Исключения защиты от файловых угроз

Название области исключения

Путь

Комментарий

Данные PG

/var/lib/postgresql/**/main/

 

WAL-файлы

/var/lib/postgresql/**/main/pg_wal/

 

Исполняемые файлы PG

/usr/lib/postgresql/**/bin/

 

Данные MySQL

/var/lib/mysql/

 

Сокет MySQL

/var/run/mysqld/mysql.sock

 

Сокет PG

/var/run/postgresql/.s.PGSQL.*

 

Данные Redis

/var/lib/redis/

 

RDB-файлы Redis

/var/lib/redis/dump.rdb

 

AOF-файлы Redis

/var/lib/redis/appendonly.aof

 

Сокет Redis

/var/run/redis/redis.sock

 

 Данные RabbitMQ

/var/lib/rabbitmq/

 

 Сокет RabbitMQ

/var/run/rabbitmq/

 

Данные Kafka

/var/lib/kafka/

 
     

Управление сетевым экраном

На серверах используется ufw, нет смысла дублировать его работу в Касперском

 

Защита от веб-угроз

Защита от сетевых угроз

Продвинутая защита

Kaspersky Security Network

Защита от шифрования

Анализ поведения

Detection and Response

Managed Detection and Response

Endpoint Detection and Response (KATA)

Network Detection and Response (KATA)

Контроль безопасности

Контроль приложений

Контроль Целостности системы

Контроль устройств

Веб-Контроль

Локальные задачи

Управление задачами

Проверка съемных дисков

Общие параметры

Параметры прокси-сервера

Параметры приложения

Параметры проверки контейнеров

Параметры сети

Глобальные исключения

Исключение памяти процессов

Параметры хранилищ

Интеграция с KUMA

Режим легкого агента

Профили политик

 

 

Политика KES для Windows 12.8 - Standard

Название политики:

Политика KES 12.8 - Рабочие станции Windows (Standard)

Применение:

Для кого эта политика:

Компоненты

Компонент

Статус

Описание

Kaspersky Security Network

Включен

Проверка по облачной базе Kaspersky

Поведенческий анализ

Включен

Анализ поведения приложений для обнаружения сложных угроз

Защита от экспплойтов

Включен

Защита от приложений, эксплуатирующих уязвимости в ПО

Предотвращение вторжений

Включен

Регулятор активности, совершаемую приложениями в системе

Откат вредоносных действий

Включен

Сбор информации о подозрительных действиях ПО, в рамках текущей и предыдущих сессий. Для возможности отмены совершенных приложением действий

Файловый антивирус

Включен

Проверка файловой системы

Веб Антивирус

Включен

Проверка HTTP/HTTPS-трафика

Почтовый антивирус

Включен

Анализ почтового трафика

Сетевой экран

Включен

Firewall

Защита от сетевых угроз

Включен

Защита от подозрительной сетевой активности

Защита от атак BadUSB

Выключен

Защита от использования USB-устройств, имитирующих поведение клавиатур

AMSI-защита

Включен

Antimalware Scan Interface от Microsoft (проверка скриптов PS и макросов MS Office)

Endpoint Detection and Response (KATA)

Выключен

EDR

Контроль приложений

Включен

Контроль запускаемых приложений (черный и белый списки)

Контроль устройств

Включен

Контроль подключенных и внешних устройств

Веб-контроль

Включен

Контроль доступа пользователей к веб-ресурсам

Контроль аномалий

Включен

Контроль действий, не характерных для компьютеров в сети на основе типичных сценариев вредоносной активности

Контроль целостности системы

Включен

Контроль изменений файлов в системе, реестра и подключения к компьютеру внешних устройств

Шифрование данных

Выключен

Общие настройки шифрования, полное шифрование дисков, внешних устройств и файлов

Интеграция с KUMA

Выключен

Интеграция с SIEM системой

Режим легкого агента

Выключен

Серверный вариант использования, с выносом активных компонентов на SVM сервер

Профили политики

Обсуждаемое

Привязка политики к компьютерам в соответствии с группами в AD

 

Общие

Настройка событий

Тип события

Время хранения на KSC

Отправка в SIEM

:drop_of_blood:  Критические события

Да :tick:  / Нет :cross: 

Нарушено лицензионное соглашение

30 дней

:cross:

Срок действия лицензии почти истек

Не хранить

:cross:

Базы повреждены или отсутствуют

Не хранить

:cross:

Базы сильно устарели

Не хранить

:cross:

Авто запуск приложения выключен

30 дней

:cross:

Ошибка активации

30 дней

:cross:

Обнаружена активная угроза. Требуется запуск процедуры лечения активного заражения.

30 дней

:cross:

Серверы KSN недоступны

30 дней

:cross:

Недостаточно места в хранилище карантина

30 дней

:cross:

Объект не восстановлен из карантина

30 дней

:cross:

Объект не удален из карантина

30 дней

:cross:

Приложение установило соединение с сайтом с недоверенным сертификатом

30 дней

:cross:

Возникла ошибка проверки зашифрованного соединения. Домен добавлен в список исключений

30 дней

:cross:

Достигнуто ограничение на количество событий, отправляемых в Kaspersky Security Center

15 дней

:cross:

Обнаружен вредоносный объект (локальные базы)

30 дней

:cross:

Обнаружен вредоносный объект (KSN)

30 дней

:cross:

Лечение невозможно

30 дней

:cross:

Невозможно удалить

30 дней

:cross:

Ошибка обработки

Не хранить

:cross:

Процесс завершен

30 дней

:cross:

Невозможно завершить процесс

Не хранить

:cross:

Остановлен переход на сайт

30 дней

:cross:

Открыта опасная ссылка

30 дней

:cross:

Обнаружена ранее открытая опасная ссылка

30 дней

:cross:

Действие процесса заблокировано

30 дней

:cross:

Адаптивный контроль аномалий: отключено срабатывание правил для учетных записей с неустановленным идентификатором безопасности (SID)

30 дней

:cross:

Клавиатура не авторизована

5 дней

:cross:

AMSI-запрос заблокирован

30 дней

:cross:

Сетевая активность запрещена

30 дней

:cross:

Обнаружена сетевая атака

30 дней

:cross:

Запуск приложения запрещен

30 дней

:cross:

Запрещенный процесс был запущен до старта KES

30 дней

:cross:

Контроль приложений: отключено срабатывание правил для учетных записей с неустановленным идентификатором безопасности (SID)

30 дней

:cross:

Доступ запрещен (локальные базы)

30 дней

:cross:

Доступ запрещен (KSN)

30 дней

:cross:

Веб-контроль: отключено срабатывание правил для учетных записей с неустановленным идентификатором безопасности (SID)

30 дней

:cross:

Операция с устройством запрещена

30 дней

:cross:

Сетевое соединение заблокировано

30 дней

:cross:

Контроль устройств: отключено срабатывание правил для учетных записей с неустановленным идентификатором безопасности (SID)

30 дней

:cross:

Ошибка обновления компонента

Не хранить

:cross:

Ошибка копирования обновлений компонента

Не хранить

:cross:

Локальная ошибка обновлений

Не хранить

:cross:

Сетевая ошибка обновлений

Не хранить

:cross:

Невозможен запуск двух задач одновременно

5 дней

:cross:

Ошибка проверки баз и модулей приложения

30 дней

:cross:

Ошибка взаимодействия с Kaspersky Security Center

30 дней

:cross:

Обновлены не все компоненты

30 дней

:cross:

Обновление завершено успешно, а копирование обновлений закончено с ошибкой

Не хранить

:cross:

Внутренняя ошибка задачи

Не хранить

:cross:

Ошибка установки патча

30 дней

:cross:

Ошибка отката патча

30 дней

:cross:

Ошибка применения правил шифрования / расшифровки файлов

Не хранить

:cross:

Ошибка шифрования / расшифровки файлов

Не хранить

:cross:

Заблокирован доступ к файлу

Не хранить

:cross:

Ошибка активации портативного режима

30 дней

:cross:

Ошибка деактивации портативного режима

30 дней

:cross:

Ошибка создания зашифрованного архива

30 дней

:cross:

Ошибка шифрования / расшифровки устройства

Не хранить

:cross:

Не удалось загрузить модуль шифрования

Не хранить

:cross:

Задача управления учетными записями Агента аутентификации завершилась с ошибкой

30 дней

:cross:

Политика не может быть применена

30 дней

:cross:

Обновление функциональности шифрования завершено с ошибкой

Не хранить

:cross:

Откат обновления функциональности шифрования завершен с ошибкой

Не хранить

:cross:

Сервер Kaspersky Anti Targeted Attack Platform недоступен

Не хранить

:cross:

Ошибка удаления объекта

30 дней

:cross:

Объект не помещен на карантин (Sandbox)

Не хранить

:cross:

Возникла внутренняя ошибка

30 дней

:cross:

Ошибка отправки задачи проверки в Sandbox пользователем

Не хранить

:cross:

Сертификат сервера Sandbox не действителен

Не хранить

:cross:

Узел Sandbox не доступен

Не хранить

:cross:

Обработка объекта в Sandbox завершилась ошибкой

Не хранить

:cross:

Превышена допустимая нагрузка на Sandbox

Не хранить

:cross:

IOC обнаружен

Не хранить

:cross:

Возникла ошибка при проверке лицензии Sandbox

Не хранить

:cross:

Ошибка создания задачи Sandbox

Не хранить

:cross:

Сертификат клиента Sandbox не действителен

Не хранить

:cross:

Не удалось сконвертировать сертификат клиента Sandbox

Не хранить

:cross:

Запрещен запуск объекта

30 дней

:cross:

Объект не заблокирован

30 дней

:cross:

Запуск объекта не заблокирован

30 дней

:cross:

Запуск процесса не заблокирован

30 дней

:cross:

Выполнение скрипта не заблокировано

30 дней

:cross:

Объект не помещен на карантин (EDR)

Не хранить

:cross:

Обнаружена возможная попытка взлома пароля с помощью подбора

30 дней

:cross:

Обнаружены признаки компрометации журналов Windows

30 дней

:cross:

Обнаружена подозрительная активность со стороны новой установленной службы

30 дней

:cross:

Обнаружена подозрительная аутентификация с явным указанием учетных записей

30 дней

:cross:

Обнаружены признаки атаки Kerberos forged PAC (MS14-068)

30 дней

:cross:

Обнаружены подозрительные изменения привилегированной группы Администраторы

30 дней

:cross:

Обнаружена подозрительная активность во время сетевого сеанса входа

30 дней

:cross:

Сработало правило Анализа журналов

30 дней

:cross:

Подозрительное событие повторяется слишком часто. Запущено формирование агрегированных событий.

30 дней

:cross:

Отчет о подозрительном событии за период агрегации

30 дней

:cross:

Анализ журналов: отключено срабатывание правил для учетных записей с неустановленным идентификатором безопасности (SID)

30 дней

:cross:

Ошибка подключения к серверу Kaspersky Anti Targeted Attack Platform

Не хранить

:cross:

Некорректный сертификат сервера Kaspersky Anti Targeted Attack Platform

Не хранить

:cross:

Некорректный сертификат агента на сервере Kaspersky Anti Targeted Attack Platform

Не хранить

:cross:

Обнаружено изменение файла или папки

30 дней

:cross:

Объект изменяется слишком часто. Запущено формирование агрегированных событий

30 дней

:cross:

Отчет об изменениях объекта за период агрегации

30 дней

:cross:

Область мониторинга содержит некорректные объекты

30 дней

:cross:

Попыток выполнения запрещенных действий с объектом слишком много. Запущено формирование агрегированных событий

30 дней

:cross:

Контроль целостности системы: отключено срабатывание правил для учетных записей с неустановленным идентификатором безопасности (SID)

30 дней

:cross:

Ошибка подключения к серверу NDR

Не хранить

:cross:

Некорректный сертификат сервера NDR

Не хранить

:cross:

Некорректный сертификат агента на сервере NDR

Не хранить

:cross:

Не удалось получить данные о проекте ПЛК

Не хранить

:cross:

Не удалось сравнить проект ПЛК с эталонным

Не хранить

:cross:

Отсутствуют доступные для подключения SVM

Не хранить

:cross:

Обнаружен вредоносный объект. Требуется запуск процедуры лечения активного заражения на шаблоне виртуальной машины

30 дней

:cross:

Ошибка подключения к серверу KUMA

Не хранить

:cross:

Некорректный сертификат сервера KUMA

Не хранить

:cross:

Некорректный сертификат агента на сервере KUMA

Не хранить

:cross:

Ваше устройство подключено к недоверенному Серверу администрирования. Обратитесь к администратору вашей организации

30 дней

:cross:

:cross:  Отказ функционирования

Да :tick:  / Нет :cross: 

Не удалось выполнить задачу

Не хранить

:cross:

Ошибка в настройках задачи. Настройки задачи не применены

30 дней

:cross:

Ошибка обработки (Контроль целостности системы)

30 дней

:cross:

:warning:  Предупреждение

Да :tick:  / Нет :cross: 

Срок действия лицензии скоро истекает

Не хранить

:cross:

Базы устарели

Не хранить

:cross:

Автоматическое обновление выключено

30 дней

:cross:

Самозащита приложения выключена

30 дней

:cross:

Компоненты защиты выключены

Не хранить

:cross:

Компьютер работает в безопасном режиме

Не хранить

:cross:

Есть необработанные файлы

Не хранить

:cross:

Применена групповая политика

Не хранить

:cross:

Задача остановлена

Не хранить

:cross:

Для завершения обновления необходимо перезапустить приложение

30 дней

:cross:

Необходима перезагрузка компьютера

30 дней

:cross:

Установлены не все компоненты приложения, которые позволяет использовать лицензия

10 дней

:cross:

Запущена процедура лечения активного заражения

30 дней

:cross:

Процедура лечения активного заражения завершена

30 дней

:cross:

Некорректный резервный ключ

10 дней

:cross:

Подписка скоро истекает

10 дней

:cross:

Объект не восстановлен из резервного хранилища

10 дней

:cross:

Обнаружена подозрительная сетевая активность

30 дней

:cross:

Защищенное соединение разорвано

10 дней

:cross:

Установлено соединение с сайтом с недоверенным сертификатом по решению пользователя

30 дней

:cross:

Участие в KSN выключено

30 дней

:cross:

Обработка приложением некоторых функций ОС отключена

30 дней

:cross:

В хранилище карантина скоро закончится место

30 дней

:cross:

Соединение разблокировано

10 дней

:cross:

Ошибка при удалении предыдущей версии приложения

10 дней

:cross:

Настройки операционной системы не позволяют контролировать доступ к сетям Wi-Fi

10 дней

:cross:

Не удалось установить обновление приложения

30 дней

:cross:

Невозможно создать резервную копию объекта

10 дней

:cross:

Объект не обработан

30 дней

:cross:

Объект зашифрован

30 дней

:cross:

Объект поврежден

30 дней

:cross:

Обнаружено легальное приложение, которое может быть использовано злоумышленниками для нанесения вреда компьютеру или данным пользователям (локальная база)

30 дней

:cross:

Обнаружено легальное приложение, которое может быть использовано злоумышленниками для нанесения вреда компьютеру или данным пользователям (KSN)

30 дней

:cross:

Объект удален

30 дней

:cross:

Объект вылечен

30 дней

:cross:

Откат выполнен

30 дней

:cross:

Запрещено

30 дней

:cross:

Ошибка авторизации клавиатуры

30 дней

:cross:

:information:  Информационное сообщение

Да :tick:  / Нет :cross: 

Самозащита ограничила доступ к защищаемому ресурсу

Не хранить

:cross:

Отчет очищен

Не хранить

:cross:

Групповая политика деактивированна

Не хранить

:cross:

Изменены настройки приложения

Не хранить

:cross:

Задача запущена

Не хранить

:cross:

Задача приостановлена

Не хранить

:cross:

Задача завершена

Не хранить

:cross:

Все компоненты приложения, которые допускает лицензия, установлены и работают в нормальном режиме

Не хранить

:cross:

Параметры подписки были изменены

Не хранить

:cross:

Подписка была продлена

Не хранить

:cross:

Объект восстановлен из резервного хранилища

Не хранить

:cross:

Ввод имени пользователя и пароля

Не хранить

:cross:

Получен доступ к защищаемой области

Не хранить

:cross:

Участие в KSN включено

Не хранить

:cross:

Серверы KSN недоступны

10 дней

:cross:

Приложение работает и обрабатывает данные в соответствии с местным законодательством и использует локальную инфраструктуру

Не хранить

:cross:

Объект восстановлен из карантина

10 дней

:cross:

Объект удален из карантина

10 дней

:cross:

Создана резервная копия объекта

10 дней

:cross:

Объект перезаписан вылеченной ранее копией

10 дней

:cross:

Обнаружен защищенный паролем архив

10 дней

:cross:

Информация об обнаруженном объекте

Не хранить

:cross:

Объект находится в списке разрешенных в Kaspersky Private Security Network

Не хранить

:cross:

Объект переименован

Не хранить

:cross:

Ссылка находится в списке разрешенных в Kaspersky Private Security Network

Не хранить

:cross:

Приложение помещено в группу доверенных приложений

10 дней

:cross:

Приложение помещено в группу с ограничениями

10 дней

:cross:

Сработал компонент Предотвращение вторжений

30 дней

:cross:

Файл восстановлен

10 дней

:cross:

Значение реестра восстановлено

10 дней

:cross:

Значение реестра удалено

10 дней

:cross:

Действие процесса пропущено

10 дней

:cross:

Клавиатура авторизована

Не хранить

:cross:

Сетевая активность разрешена

Не хранить

:cross:

Запуск приложения запрещен в тестовом режиме

Не хранить

:cross:

Запуск приложения разрешен в тестовом режиме

Не хранить

:cross:

Открыта разрешенная страница

Не хранить

:cross:

Операция с устройством разрешена

Не хранить

:cross:

Выполнена операция с файлом

Не хранить

:cross:

Выбран источник обновления

Не хранить

:cross:

Нет доступных обновлений

Не хранить

:cross:

Копирование обновлений успешно завершено

Не хранить

:cross:

Началось применение правил шифрования / расшифровки файлов

Не хранить

:cross:

Завершено применение правил шифрования / расшифровки файлов

Не хранить

:cross:

Загружен модуль шифрования

Не хранить

:cross:

Создана новая учетная запись Агента утентификации

Не хранить

:cross:

Удалена учетная запись Агента аутентификации

Не хранить

:cross:

Изменен пароль для учетной записи Агента аутентификации

Не хранить

:cross:

Успешная аутентификация в Агенте аутентификации

Не хранить

:cross:

Аутентификация в Агенте аутентификации завершилась с ошибкой

Не хранить

:cross:

Получен доступ к жесткому диску с помощью процедуры запроса доступа к зашифрованным устройствам

Не хранить

:cross:

Попытка получения доступа к жесткому диску с помощью процедуры запроса доступа к зашифрованным устройствам завершилась с ошибкой

Не хранить

:cross:

Учетная запись не добавлена. Такая учетная запись уже существует

Не хранить

:cross:

Учетная запись не изменена. Такая учетная запись не существует

Не хранить

:cross:

Учетная запись не удалена. Такая учетная запись не существует

Не хранить

:cross:

Обновление функциональности шифрования завершено успешно

Не хранить

:cross:

Откат обновления функциональности шифрования завершен успешно

Не хранить

:cross:

Не удалось удалить драйверы для компонента Шифрование диска Kaspersky из образа среды восстановления Windows

Не хранить

:cross:

Ключ восстановления для BitLocker изменен

Не хранить

:cross:

Пароль / PIN-код для BitLocker изменен

Не хранить

:cross:

Ключ восстановления BitLocker был сохранен на съемный диск

Не хранить

:cross:

Задачи с сервера Kaspersky Anti Targeted Attack Platform не обрабатываются

Не хранить

:cross:

Компонент Endpoint Sensor подключен к серверу

Не хранить

:cross:

Связь с сервером Kaspersky Anti Targeted Attack Platform восстановлена

Не хранить

:cross:

Задачи с сервера Kaspersky Anti Targeted Attack Platform обрабатываются

Не хранить

:cross:

Запуск клиентского приложения облачной службы разрешен

10 дней

:cross:

Доступ к облачной службе разрешен

10 дней

:cross:

Объект удален

30 дней

:cross:

Статистика задачи удаления

10 дней

:cross:

Объект помещен на карантин (Sandbox)

Не хранить

:cross:

Объект удален (Sandbox)

Не хранить

:cross:

Задача проверки успешно отправлена в Sandbox пользователем

Не хранить

:cross:

Запущен поиск IOC

Не хранить

:cross:

Завершен поиск IOC

Не хранить

:cross:

Объект помещен на карантин (Endpoint Detection and Response)

Не хранить

:cross:

Объект удален (Endpoint Detection and Response)

Не хранить

:cross:

Успешное подключение к серверу Kaspersky Anti Targeted Attack Platform

Не хранить

:cross:

Обнаружено изменение файла или папки

Не хранить

:cross:

Объект изменяется слишком часто. Запущено формирование агрегированных событий

15 дней

:cross:

Отчет об изменениях объекта за период агрегации

15 дней

:cross:

Область мониторинга содержит некорректные объекты

15 дней

:cross:

Снимок состояния системы создан

10 дней

:cross:

Снимок состояния системы обновлен

10 дней

:cross:

Успешное подключение к серверу NDR

Не хранить

:cross:

Подключение к Серверу интеграции было восстановлено

10 дней

:cross:

Соединение с SVM установлено

Не хранить

:cross:

Успешное подключение к серверу KUMA

10 дней

:cross:

Сервер администрирования, к которому подключено ваше устройство, стал доверенным

10 дней

:cross:

Ваше устройство подключено к новому доверенному Серверу Администрирования

10 дней

:cross:

Сервер администрирования, к которому подключено ваше устройство, перестал быть доверенным

10 дней

:cross:

Состав приложения успешно изменен

Не хранить

:cross:

Асинхронное обнаружение Sandbox

Не хранить

:cross:

Отчет о событиях облачной службы за период агрегации

10 дней

:cross:

Устройство подключено

Не хранить

:cross:

Устройство отключено

Не хранить

:cross:

Продвинутая защита

Kaspersky Security Network

Описание: Репутационная облачная база Лаборатории Касперского. В базе содержится информация о репутации файлов, интернет ресурсов, ПО.

Настройка KSN:

Настройки KSN Proxy

Анализ поведения

Описание: Анализ поведения приложений, и обнаружение сложных угроз, таких как приложения-вымогатели.

Действие при обнаружении вредоносной активности: Удалить

Защита папок общего доступа от внешнего шифрования:

Области защиты:

Защита от эксплойтов

Описание: Блокировка действий вредоносных приложений, которые используют уязвимости ПО

Защита от эксплойтов - включено

При обнаружении эксплойта

Защита памяти системных процессов

Предотвращение вторжений

Описание: Регистрация активности, совершаемой приложениями в системе, и регулировка деятельности приложений в зависимости от их статуса.

Предотвращение вторжений - включено

Права приложений и защищаемые ресурсы

Настройка прав приложений для политики (по умолчанию)

Приложение

Ограничения

Доверенные

Файлы и системный реестр - разрешено все

Права доступа к процессам и изменению системы - разрешено все

Сетевые правила - разрешено все

Слабые ограничения

Файлы и системный реестр - разрешено все

Права: (запрещено)

  • Изменение системных модулей (KnownDlls)
  • Доступ к камере
  • Доступ к устройству аудиозаписи

Сетевые правила - разрешено все

Сильные ограничения

Файлы и системный реестр:

Ресурс

Чтение

Запись

Удаление

Создание

Операционная система

:tick: 

:cross: 

:cross: 

:cross: 

Системные файлы

:tick: 

:cross: 

:cross: 

:cross: 

Настройки безопасности

:tick: 

:cross: 

:cross: 

:cross: 

Системные службы

:tick: 

:cross: 

:cross: 

:cross: 

Персональные данные

:tick: 

:tick: 

:tick: 

:tick: 

Файлы пользователя

:tick: 

:tick: 

:tick: 

:tick: 

Настройки приложений

:tick: 

:tick: 

:tick: 

:tick: 

Запрещены права:

  • Приостановка других процессов и потоков
  • Запуск драйвера
  • Внедрение кода
  • Изменение системных модулей (KnownDlls)
  • Низкоуровневый доступ к диску
  • Низкоуровневый доступ к файловой системе
  • Управление драйверами принтера
  • Создание службы
  • Открытие службы с правами на запись
  • Изменение конфигурации службы
  • Управление службой
  • Запуск службы
  • Удаление службы
  • Доступ к хранилищу паролей
  • Завершение работы Microsoft Windows
  • Доступ к камере
  • Доступ к устройствам аудиозаписи
  • Установка прав отладчика
  • Использование программных интерфейсов браузера
  • Использование программных интерфейсов системы (DNS)
  • Использование программных интерфейсов системы

Сетевые правила: Запрещено все

Не доверенные

Файлы и системный реестр - запрещено все

Права доступа к процессам и изменению системы - запрещено все

Сетевые правила - запрещено все

Защищаемые ресурсы

По умолчанию

Правила обработки приложений:

Откат вредоносных действийвключено

Базовая защита

Защита от файловых угроз

Описание: Проверка всех открываемых, запускаемых и сохраняемых файлов

Защита от веб-угроз

Описание: Проверяет входящий веб-трафик и предотвращает запуск опасных скриптов

·          

Защита от почтовых угроз

Описание: Проверка почты на наличие опасных объектов

Сетевой экран

Описание: Компонент фильтрует всю сетевую активность в соответствии с правилами

Приложение

Сеть

Группа

Разрешения

Доверенные

:tick: 

Доверенные

Файлы и системный реестр - разрешено все

Права доступа к процессам и изменению системы - разрешено все

Сетевые правила - разрешено все

Слабые ограничения

:tick: 

Слабые ограничения

Файлы и системный реестр - разрешено все

Права: (запрещено)

  • Изменение системных модулей (KnownDlls)
  • Доступ к камере
  • Доступ к устройству аудиозаписи

Сетевые правила - разрешено все

Сильные ограничения

:cross: 

Сильные ограничения

Файлы и системный реестр:

Ресурс

Чтение

Запись

Удаление

Создание

Операционная система

:tick: 

:cross: 

:cross: 

:cross: 

Системные файлы

:tick: 

:cross: 

:cross: 

:cross: 

Настройки безопасности

:tick: 

:cross: 

:cross: 

:cross: 

Системные службы

:tick: 

:cross: 

:cross: 

:cross: 

Персональные данные

:tick: 

:tick: 

:tick: 

:tick: 

Файлы пользователя

:tick: 

:tick: 

:tick: 

:tick: 

Настройки приложений

:tick: 

:tick: 

:tick: 

:tick: 

Запрещены права:

  • Приостановка других процессов и потоков
  • Запуск драйвера
  • Внедрение кода
  • Изменение системных модулей (KnownDlls)
  • Низкоуровневый доступ к диску
  • Низкоуровневый доступ к файловой системе
  • Управление драйверами принтера
  • Создание службы
  • Открытие службы с правами на запись
  • Изменение конфигурации службы
  • Управление службой
  • Запуск службы
  • Удаление службы
  • Доступ к хранилищу паролей
  • Завершение работы Microsoft Windows
  • Доступ к камере
  • Доступ к устройствам аудиозаписи
  • Установка прав отладчика
  • Использование программных интерфейсов браузера
  • Использование программных интерфейсов системы (DNS)
  • Использование программных интерфейсов системы

Сетевые правила: Запрещено все

Не доверенные

:cross: 

Не доверенные

Файлы и системный реестр - запрещено все

Права доступа к процессам и изменению системы - запрещено все

Сетевые правила - запрещено все

Включено

Сетевая служба

Настройки

Разрешение

Адрес

Включено

Запросы к серверу DNS по TCP

Исходящее TCP/53

:tick: 

Любые

Включено

Запросы к серверу DNS по UDP

Исходящее UDP/53

:tick: 

Любые

Включено

Отправка электронных писем

Исходящие TCP/25,465,143,993

:tick: 

Любые

Включено

Любая сетевая активность

any

:tick: 

Локальные сети

Включено

Любая сетевая активность

any

:tick: 

Доверенные сети

Включено

Сетевая активность для работы технологии удаленного рабочего стола

Входящие TCP/3389

:tick:

Доверенные сети

Включено

Соединения по протоколу TCP через локальные порты

Входящие TCP/135, 137, 138, 139, 445, 1110, 2869, 19780

:cross: 

Любые

Включено

Соединения по протоколу UDP через локальные порты

Входящие UDP/123, 135, 137, 138, 139, 445

:cross: 

Любые

Включено

Входящая активность по протоколу TCP

Входящие TCP

:tick:

Любые

Включено

Входящая активность по протоколу UDP

Входящие UDP

:tick:

Любые

Включено

Входящие ответы ICMP Destination Unreachable

Входящие ICMP

:tick:

Любые

Включено

Входящие пакеты ICMP Echo Reply

Входящие ICMP

:tick:

Любые

Включено

Входящие ответы ICMP Time Exceeded

Входящие ICMP

:tick:

Любые

Включено

Входящая активность по протоколу ICMP

Входящие ICMP

:cross: 

Любые

Включено

Входящие пакеты ICMPv6 Echo Request

Входящие ICMPv6

:cross: 

Любые

Включено

Входящие подключения на 445 SMB

Входящее TCP/445

:cross: 

Любые

Включено

Входящие подключения на 445 SMB

Входящее UDP/445

:cross: 

Любые

Важно заполнить!

Название

Статус

IP-адрес/Сеть


Локальная сеть



Публичная сеть



Доверенная сеть


Защита от сетевых угроз

Описание: Защита от опасной сетевой активности

Защита от атак BadUSB

Выключить

AMSI-защита

Описание: Проверка других приложений, таких как макросы Microsoft Office или скрипты PowerShell через интерфейс AMSI

Detection And Response

Endpoint Sensor

Выключено

Managed Detection and Response

Выключено

Endpoint Detection and Response (KATA)

Выключено

Network Detection and Response (KATA)

Выключено

Контроль безопасности

Анализ журналов

Описание: Мониторинг журналов Windows на предмет подозрительной активности

Контроль приложений - Нужен список

·          

Создать сетевую шару, исключительно для доступа KSC

Создать категорию приложений. Выбрать вариант "Категория, в которую входят исполняемые файлы приложений, копируемых в указанную папку, обрабатываются автоматически, и их метрики заносятся в категорию"

Указать это "Хранилище"

Положить в папку ПО :

Контроль устройств

Устройство

Доступ

Жесткие диски

:tick: 

Съемные диски

:tick:  

Локальные принтеры

:tick: 

Дискеты

:cross: 

CD/DVD-приводы

:cross: 

Модемы

:cross: 

Стримеры

:cross: 

Многофункциональные устройства

:tick:  

Устройства чтения смарт-карт

:tick:  

Widows CE USB ActiveSync устройства

:cross: 

Wi-Fi

:tick:  

Внешние сетевые адаптеры

:tick: 

Портативные устройства MTP

:tick:  

Bluetooth

:tick:  

Камеры и сканеры

:tick: 

Сетевые принтеры

:tick: 

Шины подключения

Инфракрасный порт

:cross: 

Последовательный порт

:tick: 

Параллельный порт

:tick: 

USB (Кроме мышей и клавиатур)

:tick: 

FireWire

:cross: 

PCMCIA

:cross: 

Веб-Контроль

Адаптивный контроль аномалий: Включить

Контроль целостности системы

Шифрование данных

Не используется 

Локальные задачи

Управление задачами

Проверка из контекстного меню

Проверка съемных дисков

Фоновая проверка

Режим легкого агента

Не используется 

Интеграция с KUMA

Выключить

Общие настройки

Настройки приложения

Настройки сети

Исключения и типы объектов

Отчеты и хранилище

Интерфейс

Профили политик

Нужно обсудить, будем-ли мы мапить группы AD на политики касперского, или просто будем пользоваться структурой Касперского.

Политика KES для Windows Server

Общие

Состояние политики - Активная политика

Наследование параметров

Настройка событий

 

Тип события

Время хранения на KSC

Отправка в SIEM

:drop_of_blood:  Критические события

Да :tick:  / Нет :cross: 

Обнаружен зараженный объект или объект другого типа

30 дней

 

Обнаружен объект, недоверенный в KSN

30 дней

 

Обнаружен возможно зараженный объект

30 дней

 

Обнаружена попытка шифрования

30 дней

 

Объект не вылечен

30 дней

 

Объект не удален

30 дней

 

Объект не обработан

30 дней

 

Ошибка установки объекта на удаление при перезагрузке

30 дней

 

Базы программы сильно устарели

30 дней

 

Срок действия лицензии истек

30 дней

 

Превышен максимальный размер резервного хранилища

30 дней

 

Превышен максимальный размер карантина

30 дней

 

Не применено обновление модулей

30 дней

 

Не удалось отозвать обновление модулей программы

30 дней

 

Не удалось выполнить откат последнего обновления баз программы

30 дней

 

Задача не запущена под указанной учетной записью

30 дней

 

Заблокировано соединение / Обнаружена почтовая угроза

30 дней

 

Ошибка подключения интерфейса управления к службам защиты

30 дней

 

Ошибка создания обработчика запросов на проверку объектов от сетевых хранилищ

30 дней

 

Ошибка регистрации устройства с Kaspersky Security 11.0.1 для Windows Server в качестве сервера антивирусной защиты для сетевого хранилища

30 дней

 

Превышено максимальное количество попыток восстановления соединения с сетевым хранилищем

30 дней

 

Сетевое хранилище разорвало связь с программой

30 дней

 

Ошибка соединения с сетевым хранилищем

30 дней

 

Запуск программы запрещен

30 дней

 

Обнаружено и запрещено недоверенное устройство

30 дней

 

Сетевой экран заблокировал соединение

30 дней

 

Сработало правило анализа журналов

30 дней

 

Обнаружена возможная попытка взлома пароля

30 дней

 

Обнаружены признаки компрометации журналов Windows

30 дней

 

В системе установлена новая служба

30 дней

 

Обнаружена подозрительная аутентификация с явным указанием учетных данных

30 дней

 

Обнаружены признаки атаки Kerberos forged PAC (MS14-068)

30 дней

 

Ищменена политика брандмауэра Windows

30 дней

 

Обнаружены подозрительные изменения привелигерованной группы Администраторы

30 дней

 

Обнаружена подозрительная активность во время сетевого сеанса входа

30 дней

 

Запрещенная файловая операция в контролируемой области

30 дней

 

Обнаружена и заблокирована попытка компрометации журнала USN

30 дней

 

Файловая система на указанном томе не поддерживается

30 дней

 

Ошибка модификации хранилища эталонов задачи Мониторинг целостности файлов

30 дней

 

Несовпадение хеша файлов с эталоном

30 дней

 

Файл, присутствующий в эталоне, удален

30 дней

 

Процесс терминирован: обнаружена попытка эксплуатации уязвимости

30 дней

 

Выполняется уязвимый процесс: обнаружен факт эксплуатации уязвимости

30 дней

 

:cross:  Отказ функционирования

Да :tick:  / Нет :cross: 

Внутренняя ошибка

30 дней

 

Не обновлено

30 дней

 

Нарушено Лицензионное соглашение

30 дней

 

Нарушено Лицензионное соглашение для задачи

30 дней

 

Базы программы повреждены

30 дней

 

Невозможно запустить задачу, область защиты пуста

30 дней

 

Ошибка сброса статуса устройства с Kaspersky Security 11.0.1 для Windows Server

30 дней

 

Запуск программы не обработан

Не хранить

 

Правило для файла не сформировано

30 дней

 

Не создан XML файл по сформированным правилам

30 дней

 

Не удалось отправить запрос в KSN

Не хранить

 

Целостность модулей программы нарушена

30 дней

 

Подключение устройства не обработано

30 дней

 

Мониторинг отключен для тома

30 дней

 

Ошибка соединения с сервером Syslog

30 дней

 

Ошибка отсылки события на сервер Syslog

30 дней

 

:warning:  Предупреждение

Да :tick:  / Нет :cross: 

Объект не проверен

Не хранить

 

Объект не помещен на карантин

30 дней

 

Объект не помещен в резервное хранилище

30 дней

 

Обнаружен объект

30 дней

 

Объект будет удален при перезагрузке

30 дней

 

Обнаружен возможно зараженный объект

30 дней

 

Проверка важных областей защищаемого устройства давно не выполнялась

30 дней

 

Базы программы устарели

30 дней

 

Срок действия лицензии скоро истечет

30 дней

 

Доступно плановое обновление модулей 

30 дней

 

Доступно критическое обновление модулей программы

30 дней

 

Обновление модулей программы должно быть отозвано

30 дней

 

Для завершения обновления требуется перезагрузить защищаемое устройство

30 дней

 

Превышен порог доступного пространства в резервном хранилище

30 дней

 

Превышен порог доступного пространства карантина

30 дней

 

Присоединенное сетевое хранилище дало команду завершить работу сервера антивирусной защиты

30 дней

 

Все присоединенные сетевые хранилища завершили работу, задача защиты сетевых хранилищ по протоколу RPC будет остановлена

30 дней

 

Только статистика: запуск программы запрещен

30 дней

 

Формирование правила по файлу не поддерживается

30 дней

 

Компьютер добавлен в список недоверенных

30 дней

 

Компьютер не добавлен в список недоверенных

30 дней

 

Ошибка регистрации в качестве FPolicy-сервера

30 дней

 

Только статистика: обнаружено недоверенное устройство

30 дней

 

Не запущена задача проверки по требованию для подключенного устройства

30 дней

 

Программа остановлена

30 дней

 

Не установлено соединение с KSN

30 дней

 

Подозрительная файловая операция в контролируемой области

30 дней

 

Появился файл, отсутствующий в эталоне

30 дней

 

Отсутствует соединение с клиентом Outlook

Не хранить

 

:information:  Информационное сообщение

Да :tick:  / Нет :cross: 

Объект вылечен

30 дней

 

Объект удален

30 дней

 

Объект помещен на карантин

30 дней

 

Объект заблокирован (Процесс терминирован)

30 дней

 

Объект обнаружен (выполняется уязвимый процесс)

30 дней

 

Объект помещен в резервное хранилище

30 дней

 

Уровень безопасности постоянной защиты изменен

30 дней

 

Проверка важных областей защищаемого устройства успешно завершена

30 дней

 

Программа запущена

Не хранить

 

Объект не проверен

Не хранить

 

Доступ к объекту разрешен

Не хранить

 

Доступ к объекту заблокирован

30 дней

 

Соединение разрешено / Письмо разрешено к загрузке

Не хранить

 

Инициирована сессия управления службами защиты через интерфейс

Не хранить

 

Установлено соединение с сетевым хранилищем

30 дней

 

Только статистика: обнаружено доверенное устройство

Не хранить

 

Только статистика: запоминающее устройство извлечено

Не хранить

 

Сетевой экран разрешил соединение

Не хранить

 

Программа будет разрешена к запуску как часть доверенного пакета установки

Не хранить

 

Обнаружено устройство

30 дней

 

Обнаружено устройство, подключенное к защищаемому устройству

30 дней

 

Разрешена файловая операция в контролируемой области

Не хранить

 

Хранилище эталонов задачи Мониторинг целостности файлов создано

30 дней

 

Отправлен запрос в KSN

Не хранить

 

Установлено соединение с KSN

Не хранить

 

Сформирован пакет статистики KSN

Не хранить

 

Компьютер исключен из списка недоверенных

Не хранить

 

Выполнена регистрация в качестве FPolicy-сервера

Не хранить

 

Параметры программы

Дополнительные возможности

Возможно имеет смысл убрать исключения для продуктов которые мы не используем, вроде MS Lync или MCMS  

Постоянная защита сервера

Постоянная защита файлов

Использование KSN

Защита трафика

·          

Защита от эксплойтов

Защита от сетевых угроз

Проверка скриптов

Контроль активности на серверах

Контроль запуска программ

Контроль устройств

Защита сетевых хранилищ

Защита RPC-подключаемых сетевых хранилищ

Защита ICAP-подключаемых сетевых хранилищ

Защита от шифрования для NetApp

Контроль активности в сети

Управление сетевым экраном

Защита от шифрования

Диагностика системы

Мониторинг файловых операций

Анализ журналов

Журналы уведомления

Журналы выполнения задач

Уведомления о событиях

Взаимодействие с сервером администрирования

Профили политики

Политика агента администрирования 12.8 Windows - Standard

Общие

Настройка событий

 

Тип события

Время хранения на KSC

Отправка в SIEM

:cross:  Отказ функционирования

Да :tick:  / Нет :cross: 

Ошибка при установке обновления

20 дней

 

Не удалось установить обновление стороннего производителя

20 дней

 

Не удалось установить обновления Центра обновления Windows

20 дней

 

:warning:  Предупреждение

Да :tick:  / Нет :cross: 

Возвращено предупреждение во время установки обновления модулей приложений

20 дней

 

Установка обновления стороннего ПО завершено с предупреждением

20 дней

 

Установка обновления стороннего программного обеспечения отложена

20 дней

 

Произошла проблема безопасности

20 дней

 

Прокси-сервер KSN был запущен. Не удалось проверить доступность KSN

20 дней

 

Информационное сообщение

Да :tick:  / Нет :cross: 

Обновление модулей приложений успешно установлено

Не хранить

 

Запущена установка обновления модулей приложений

Не хранить

 

Установлено приложение

20 дней

 

Приложение удалено

20 дней

 

Установлено наблюдаемое приложение

Не хранить

 

Удалено наблюдаемое приложение

Не хранить

 

Установлено стороннее приложение

Не хранить

 

Новое устройство добавлено

20 дней

 

Устройство удалено

Не хранить

 

Обнаружено новое устройство

Не хранить

 

Устройство авторизовано

Не хранить

 

Совместный доступ к рабочему столу Windows: файл был прочитан

Не хранить

 

Совместный доступ к рабочему столу Windows: файл был изменен

Не хранить

 

Совместный доступ к рабочему столу Windows: приложение было запущено

Не хранить

 

Совместный доступ к удаленному рабочему столу Windows: предоставлен

20 дней

 

Совместный доступ к рабочему столу Windows: завершен

20 дней

 

Обновление для приложений стороннего производителя установлено успешно

Не хранить

 

Запущена установка обновления стороннего ПО

20 дней

 

Прокси-сервер KSN был запущен. Проверка доступности KSN прошла успешно

Не хранить

 

Прокси-сервер KSN остановлен.

20 дней

 

Параметры

Хранилища

Обновления и уязвимости в приложениях

Управление перезагрузкой

Совместный доступ к рабочему столу Windows

Управление патчами и обновлениями

Подключения

Профили соединений - выключить

Расписание соединений

Точки распространения