Kaspersky security center 10 отчеты
На этом этапе требуется получить представление о программах, используемых на компьютерах локальной сети организации. Для этого рекомендуется собрать информацию о:
- Версиях операционных систем Microsoft Windows.
- Исполняемых файлах, которые запускаются при старте операционной системы. Определить, какие из этих исполняемых файлов являются системными, а какие исполняемые файлы имеют бизнес-значение.
- Производителях, чьи программы являются доверенными в локальной сети организации.
- Офисных программах, их версиях.
- Специализированных программах, разработанных в организации.
- Корпоративных стандартных пакетах программ, их составе.
- Хранилищах дистрибутивов в локальной сети организации.
Чтобы собрать информацию о программах, которые используются на компьютерах локальной сети организации, вы можете использовать данные, представленные в папках Реестр программ и Исполняемые файлы программ . Папки Реестр программ и Исполняемые файлы программ входят в состав папки Программы и уязвимости дерева консоли Kaspersky Security Center.
Папка Реестр программ содержит список программ, которые обнаружил на клиентских компьютерах установленный на них Агент администрирования.
Компонент программы Kaspersky Security Center, осуществляющий взаимодействие между Сервером администрирования и программами "Лаборатории Касперского", установленными на конкретном сетевом узле (рабочей станции или сервере). Данный компонент является единым для всех Windows-программ из состава продуктов компании. Для Novell-, Unix- и Mac-программ "Лаборатории Касперского" существуют отдельные версии Агента администрирования.
Папка Исполняемые файлы , содержит список исполняемых файлов, которые когда-либо запускались на клиентских компьютерах или были обнаружены в процессе работы задачи инвентаризации Kaspersky Endpoint Security.
Открыв окно свойств выбранной программы в папке Реестр программ или Исполняемые файлы программ , вы можете получить общую информацию о программе и информацию об исполняемых файлах программы, а также просмотреть список компьютеров, на которых установлена эта программа.
Отчеты в Kaspersky Security Center содержат информацию о состоянии управляемых устройств. Отчеты формируются на основании информации, хранящейся на Сервере администрирования.
Начиная с Kaspersky Security Center 11, для Kaspersky Security для Windows Server доступны следующие типы отчетов:
- отчет о статусе компонентов;
- отчет о запрещенных запусках;
- отчет о тестовых запрещенных запусках.
Подробную информацию о настройке и работе с отчетами Kaspersky Security Center см. в Справке Kaspersky Security Center.
Отчет о статусе компонентов Kaspersky Security для Windows Server
Вы можете контролировать состояние защиты всех устройств в сети и получать организованное представление о наборе компонентов на каждом устройстве.
В отчете для каждого компонента может отображаться одно из следующих состояний: Работает, Приостановлен, Остановлен, Неисправен, Не установлен, Запускается.
Состояние Не установлен относится к компонентам программы, а не к самой программе. Если программа не установлена, Kaspersky Security Center присваивает статус N/A (недоступно).
Можно создавать выборки компонентов и использовать фильтры, чтобы отображать сетевые устройства с определенным набором компонентов и их состояниями.
Подробную информацию о создании и использовании выборок см. в Справке Kaspersky Security Center.
Чтобы просмотреть статусы компонентов в параметрах программы, выполните следующие действия:
- В дереве Консоли администрирования Kaspersky Security Center разверните узел Управляемые устройства и выберите группу администрирования, для которой вы хотите настроить параметры программы.
- Выберите закладку Устройства и откройте окноПараметры программы .
- Выберите раздел Компоненты .
- Ознакомьтесь с таблицей состояния компонентов.
Чтобы просмотреть стандартный отчет Kaspersky Security Center, выполните следующие действия:
- В дереве Консоли администрирования выберите узел Сервер администрирования <Имя Сервера администрирования> .
- Выберите закладку Отчеты .
- Откройте Отчет о статусе компонентов программы двойным щелчком мыши.
Будет сформирован отчет.
- диаграмма;
- итоговая таблица с компонентами и суммарным количеством устройств в сети, на которых установлен каждый из компонентов, а также группы, к которым они принадлежат;
- детальная таблица, показывающая статус, версию, устройство и группу компонента.
Отчеты о запрещенных программах в активном и в тестовом режимах
По результатам выполнения задачи Контроль запуска программ можно сформировать два типа отчетов: отчет о запрещенных программах (если задача запущена в активном режиме) и отчет о запрещенных программах в тестовом режиме (если задача запущена в режиме Только статистика). В этих отчетах приведена информация о заблокированных программах на защищаемых устройствах сети. Каждый отчет формируется для всех групп администрирования и содержит данные обо всех программах "Лаборатории Касперского", установленных на защищаемых устройствах.
Чтобы просмотреть отчет о запрещенных программах в режиме Только статистика, выполните следующие действия:
- Запустите задачу Контроль запуска программ в режиме Только статистика.
- В дереве Консоли администрирования выберите узел Сервер администрирования <Имя Сервера администрирования> .
- Выберите закладку Отчеты .
- Откройте Отчет о запрещенных программах в режиме тестирования двойным щелчком мыши.
Будет сформирован отчет.
- диаграмма, показывающая 10 программ с самым большим количеством заблокированных запусков;
- итоговая таблица блокировок программ, содержащая имя исполняемого файла, причину и время блокировки, а также количество устройств, на которых произошла блокировка программ;
- детальная таблица, показывающая данные устройства, путь к файлу и причину блокировки.
Чтобы просмотреть отчет о запрещенных программах в активном режиме, выполните следующие действия:
- Запустите задачу Контроль запуска программ в режиме Активный.
- В дереве Консоли администрирования выберите узел Сервер администрирования <Имя Сервера администрирования> .
- Выберите закладку Отчеты .
- Откройте Отчет о запрещенных программах двойным щелчком мыши.
Будет сформирован отчет.
Отчет содержит те же разделы данных, что и отчет о запрещенных программах в тестовом режиме.
Как это ни странно, я нашёл на Хабре всего одну статью по данной тематике — и ту в песочнице и сильно незаконченную фактически содержащую в себе маленький кусочек чуть переделанной справки по продукту. Да и Google по запросу klakaut молчит.
Я не собираюсь рассказывать, как администрировать иерархию Kaspersky Security Center (далее по тексту KSC) из командной строки — мне это пока не понадобилось ни разу. Просто хочу поделиться некоторыми соображениями по поводу средств автоматизации с теми, кому это может понадобиться, и разберу один кейс, с которым мне пришлось столкнуться. Если тебе, %habrauser%, эта тема будет интересной — добро пожаловать под кат.
Исторически сложилось так, что в качестве средства антивирусной защиты на работе я предпочитаю продукты Лаборатории Касперского (далее ЛК). Причины и прочие священные войны личных мнений, пожалуй, оставим за кадром.
Естественно, хотелось бы централизованно развернуть, защитить, оградить и не пущать рисовать красивые графики, интегрироваться в существующие системы мониторинга и заниматься прочим перекладыванием работы с больной головы на здоровый сервер. И если с развёртыванием и защитой тут всё более или менее в порядке (у ЛК даже есть какие-то онлайн-курсы по продуктам), то с интеграцией уже сильно грустнее: в последней на текущий момент версии KSC 10.2.434 появилась интеграция аж с двумя SIEM: Arcsight и Qradar. На этом всё.
Для интеграции в что-то своё KSC предоставляет аж 2 интерфейса:
-
: в БД KSC есть ряд представлений с именами, начинающимися на «v_akpub_», из которых можно достать какую-то информацию о состоянии антивирусной защиты. : DCOM-объект, позволяющий скриптовать работу с KSC.
Минусы klakdb очевидны: чтобы напрямую обратиться к БД, нужно иметь к этой БД доступ, что приводит к необходимости лишних телодвижений по созданию правил доступа в межсетевых экранах, настройке прав доступа на серверах СУБД и прочему крайне неувлекательному времяпрепровождению. Ну и плюс мониторинг актуальности всех этих правил, естественно. Особенно интересно становится, когда имеется 20+ серверов — и все в разных филиалах, в каждом из которых свои администраторы.
klakaut в этом плане значительно более интересен: подключившись к корневому серверу иерархии, можно средствами самого KSC пройтись по оной иерархии и получить доступ ко всем нужным данным. Например, построить дерево серверов KSC с пометкой, кто из них живой, а кто нет, позапускать задачи, поперемещать компьютеры и вообще дать волю фантазии.
Минусы тоже есть, естественно: долго и сложно. Если нужно собрать какую-то статистику — нужно будет сначала долго писать скрипт, а потом долго ловить баги ждать, когда он отработает.
Естественно, никто не запрещает (по крайней мере, мне про это неизвестно) использовать оба механизма вместе: например, пройтись по иерархии серверов с помощью klakaut, получить полный список серверов KSC с информацией об используемых БД, а потом уже передать эту информацию в более другие средства автоматизации, которые удалят устаревшие правила из сетевых экранов, создадут новые, дадут разрешения на доступ и принесут кофе в постель отредактируют список источников данных в вашей системе мониторинга, которая, в свою очередь, опросит список и, обнаружив какие-нибудь девиации, с помощью klakaut сделает что-нибудь хорошее. Ну, или просто зарегистрирует инцидент в трекере. Тогда что-нибудь хорошее сделают администраторы в ручном режиме.
Воодушевлённый всеми этими соображениями, я написал свой первый скрипт:
И запустил его на сервере:
Если использовать js, эта ошибка не возникает. Интересно, почему.Открыв консоль KSC, я убедился, что с правами у меня всё в порядке.
К сожалению, KSC не логирует неудачные попытки входа. Переписка с вендором показала, что логирование неудачных попыток входа можно включить (это была отдельная увлекательная история, которая, кстати, ещё не закончилась), однако данная конкретная попытка в логи всё равно попадать отказалась.
Казалось бы, можно сделать вот так:
В этом случае никаких ошибок не будет, но указывать логин с паролем открытым текстом в скрипте мне не показалось замечательной идеей. Новая переписка с техподдержкой ЛК подарила мне следующую рекомендацию:
Необходимо выставить в настройках COM, на вкладке Default Properties:
Default Authentication Level: Packet
Default Impersonation Level: Delegate
Эта инструкция заставила работать исходный скрипт, но показалась мне сомнительной в плане безопасности, поэтому я решил покопать чуть глубже. После некоторого времени поисков нашёлся добрый человек, который подсказал мне, как задать указанные уровни проверки подлинности и олицетворения для конкретного объекта, а не разрешать всем и всё сразу:
Вот так скрипт никаких ошибок выдавать не стал. Первый квест пройден.
Вообще в боевой среде неплохо бы проверять при вызове EnableImpersonation возвращаемое значение на предмет ошибок, а не перенаправлять его в никуда, как это сделал я.Следующая задача: получить от KSC данные об используемой БД.
А вот тут всё сложно: документация о том, как это сделать, молчит. Исследование класса KlAkProxy ничего интересного не выявило, кроме параметра KLADMSRV_SERVER_HOSTNAME, который оказался идентификатором компьютера, на котором установлен KSC.
Перейдём тогда к компьютеру, для этого есть специальный класс KlAkHosts2. Для сокращения количества кода приведу только содержимое блока try:
Обратите внимание: переменная $Params, которую я использовал при подключении к KSC — экземпляр класса KlAkParams. А переменная $HostParams при, на мой взгляд, аналогичной функциональности, является экземпляром класса KlAkCollection. Почему используются разные классы — боюсь даже представить. Видимо, то, что SetAt принимает первым аргументом только целочисленные значения — очень принципиальный момент.
Данный код вернул значение «KSC», а значит, я на верном пути.
Метод GetHostInfo класса KlAkHosts2 достаточно хорошо задокументирован, но — не содержит нужной мне информации. Увы и ах. Зато есть метод GetHostSettings. Всё описание для которого сводится к следующему:
Давайте, заглянем внутрь:
Пробежавшись глазами по названиям секций, я решил просмотреть 85 и 87, поскольку остальные на нужное мне были не очень похожи.
Секция 85, судя по всему, отвечает за события и ныне нам неинтересна. А вот в 87 есть что-то, на что стоит обратить внимание:
Тут я воспользовался одним из предыдущих кейсов, где упоминалось, что нужные данные следует брать именно из KLSRV_CONNECTION_DATA (тогда я ещё не знал, что это вообще такое, просто отложилось).
Ну, вот, в общем-то, и всё. Данные об используемой БД получены. Квест пройден.
Наверное, ещё неплохо бы набросать скрипт для прохождения по иерархии серверов. Здесь ничего загадочного не оказалось, всё было вполне по документации. Я написал скрипт, который выбирает UID родителя, UID самого сервера, экземпляр СУБД и имя БД и выводит их в stdout через разделитель.
Стенд маленький, поэтому результат оказался не очень впечатляющим:
Естественно, чтобы превратить точку в актуальное имя сервера, придётся поколдовать с KlAkHosts2.GetHostInfo(), но это уже не столь страшно, просто ещё сколько-то кода.
Техподдержка ЛК, естественно, пугала меня тем, что структура SS_SETTINGS в следующих релизах KSC может поменяться, поэтому так лучше не делать. К сожалению, даже мой внутренний перфекционист считает, что скрипт нельзя просто написать и забыть: при смене версии используемого ПО его по-любому придётся тестировать и отлаживать. Так что пока пользуемся тем, что есть, а проблемы будем решать по мере поступления, благо, техника уже отработана.
Сегодня хочу поделиться опытом получения списка установленного программного обеспечения на компьютерах при помощи централизованной системы антивирусной защиты Kaspersky 10.
Если открыть данный раздел, то можно увидеть список ПО и количество компьютеров, на которых это ПО установлено. Правда, вот в чем возникла сложность, конкретный список компьютеров (их доменные имена) можно получить только по очереди для каждого экземпляра ПО. В общую сводную таблицу нельзя вывести колонку с именами компьютеров.
Все попытка найти решение в консоли управления потерпели неудачу, и ничего лучше, чем глянуть БД KSC 10, с целью определить, как он хранит информацию о ПО, придумано не было J
список всего программного обеспечения хранится в представлении:
[% Имя БД Касперского %].[dbo].[v_akpub_application]
Нам интересны следующие поля данного представления:
Список всех компьютеров, с их доменными именами хранится
[%Имя БД Касперского%].[ dbo ].[ v _ akpub _ host ]
Нам интересны следующие поля данного представления:
Фактически, для всех записей в представлении v _ akpub _ application необходимо добавить имя соответствующего компьютера из v _ akpub _ host , и можно начинать производить манипуляции по подсчету:
SELECT [BD].[dbo].[v_akpub_host].[wstrDisplayName],[BD].[dbo].[v_akpub_application].[nId]
,[BD].[dbo].[v_akpub_application].[wstrDisplayName] as SoftName
INNER JOIN [BD].[dbo].[v_akpub_host] ON [BD].[dbo].[v_akpub_application].[nHostId]=[BD].[dbo].[v_akpub_host].[nId]
Результат выполнения запроса я выгрузил в csv -файлик и загрузил в Splunk ,
Соответственно, таким образом можно получить список компьютеров для каждого экземпляра ПО. Может, кому пригодится J
Сегодня хочу поделиться опытом получения списка установленного программного обеспечения на компьютерах при помощи централизованной системы антивирусной защиты Kaspersky 10.
Если открыть данный раздел, то можно увидеть список ПО и количество компьютеров, на которых это ПО установлено. Правда, вот в чем возникла сложность, конкретный список компьютеров (их доменные имена) можно получить только по очереди для каждого экземпляра ПО. В общую сводную таблицу нельзя вывести колонку с именами компьютеров.
Все попытка найти решение в консоли управления потерпели неудачу, и ничего лучше, чем глянуть БД KSC 10, с целью определить, как он хранит информацию о ПО, придумано не было J
список всего программного обеспечения хранится в представлении:
[% Имя БД Касперского %].[dbo].[v_akpub_application]
Нам интересны следующие поля данного представления:
Список всех компьютеров, с их доменными именами хранится
[%Имя БД Касперского%].[ dbo ].[ v _ akpub _ host ]
Нам интересны следующие поля данного представления:
Фактически, для всех записей в представлении v _ akpub _ application необходимо добавить имя соответствующего компьютера из v _ akpub _ host , и можно начинать производить манипуляции по подсчету:
SELECT [BD].[dbo].[v_akpub_host].[wstrDisplayName],[BD].[dbo].[v_akpub_application].[nId]
,[BD].[dbo].[v_akpub_application].[wstrDisplayName] as SoftName
INNER JOIN [BD].[dbo].[v_akpub_host] ON [BD].[dbo].[v_akpub_application].[nHostId]=[BD].[dbo].[v_akpub_host].[nId]
Результат выполнения запроса я выгрузил в csv -файлик и загрузил в Splunk ,
Соответственно, таким образом можно получить список компьютеров для каждого экземпляра ПО. Может, кому пригодится J
Читайте также: