Настройка параметров задачи Аудит безопасности

Здесь приведена информация для Kaspersky Endpoint Agent для Windows. Эта информация может быть частично или полностью неприменима к Kaspersky Endpoint Agent для Linux. Полную информацию о Kaspersky Endpoint Agent для Linux смотрите в справке решения, в составе которого вы используете программу: Kaspersky Anti Targeted Attack Platform или Kaspersky Managed Detection and Response.

Запуск задачи доступен только при наличии активного лицензионного ключа Kaspersky Industrial CyberSecurity for Nodes с лицензионным объектом ICS Audit.

Прежде чем приступить к настройке параметров задачи Аудит безопасности, необходимо выполнить следующие условия:

1. Создать сертификат подписи через интерфейс командной строки Kaspersky Endpoint Agent.

   Также вы можете использовать уже существующий сертификат подписи.

2. Создать инсталляционный пакет Kaspersky Security Center с именем package.zip через интерфейс командной строки Kaspersky Endpoint Agent.
3. Создать и выполнить задачу установки инсталляционного пакета, указав для установки только Сервер администрирования, чтобы добавить архив package.zip с OVAL-правилами, созданный ранее через интерфейс командной строки Kaspersky Endpoint Agent, в репозиторий Kaspersky Security Center.

   В Kaspersky Endpoint Agent можно только обновить установленный и развернутый пакет с пользовательской базой OVAL-правил. Возможность удаления пакета не предусмотрена.

4. Создать задачу Аудит безопасности или перейти к настройке параметров уже созданной задачи.

Чтобы настроить параметры задачи Аудит безопасности:

1. В главном окне Kaspersky Security Center Web Console перейдите в раздел Устройства → Задачи.
2. Откройте окно настройки параметров задачи, нажав на имя задачи.
3. Выберите закладку Параметры программы.
4. В разделе Источник выберите Пользовательские базы из репозитория KSC, нажмите Выбрать OVAL-файл из коллекции пользовательских баз и выберите подходящий файл из списка. Нажмите ОК, чтобы подтвердить свой выбор.
5. В зависимости от своих потребностей, установите флажок Использовать отпечаток и в появившемся поле укажите отпечаток, полученный через интерфейс командной строки Kaspersky Endpoint Agent.

   Если в параметрах задачи Аудит безопасности установлен флажок Использовать отпечаток и указан отпечаток, полученный через интерфейс командной строки Kaspersky Endpoint Agent, при выполнении задачи Kaspersky Security Center производит проверку отпечатка. Если отпечаток не совпадает с указанным в настройках задачи, выполнение задачи прерывается с ошибкой.

   Если флажок Использовать отпечаток не установлен, Kaspersky Security Center не проверяет отпечаток.

6. Для загрузки файла с внешними переменными установите флажок Использовать данные с внешними переменными для пользовательских баз и нажмите Импортировать внешние переменные из файла.
   

   Внешние переменные – это отдельный XML-файл следующей структуры:

   <oval_variables>

   <variable id="oval:a:b:c:123" datatype="int" comment="Check user login">

   <value>1</value >

   </variable>

   </oval_variables>

   Внешние переменные используются в OVAL-правилах для подстановки в <external_variable>:

   <external_variable id="oval:a:b:c:123" version="1" datatype="int" comment="Check user login" />

   Файл с внешними переменными в формате XML должен быть упакован в ZIP-архив. Подпись для файла с внешними переменными не требуется.

   Вы можете загрузить только один архив размером не более 6 МБ для Kaspersky Security Center Web Console версии ниже 13.2.571 либо без ограничений для Kaspersky Security Center Web Console версии 13.2.571 и выше. На стороне Kaspersky Endpoint Agent отсутствует проверка подстановки значения переменных.

   После выбора источника правил, на закладке Источник отображаются данные по OVAL-правилам, загруженным администратором Kaspersky Security Center на сервер.

7. В разделе Область применения для опции Запустить задачу сканирования в соответствии с выбранным режимом выберите действие:
   • Сканировать все уязвимости
   • Сканировать уязвимости, кроме исключений из следующего списка

     Чтобы создать список уязвимостей для сканирования, используйте опцию Добавить или Добавить в соответствии с условиями в зависимости от желаемой степени детализации параметров. В открывшемся окне Задать параметры области проверки отображаются доступные из заданного источника OVAL-правила, которые можно использовать для создания списка.

   • Сканировать только уязвимости, указанные в следующем списке

     Чтобы создать список уязвимостей для сканирования, используйте опцию Добавить или Добавить в соответствии с условиями в зависимости от желаемой степени детализации параметров. В открывшемся окне Задать параметры области проверки отображаются доступные из заданного источника OVAL-правила, которые можно использовать для создания списка.

   Нажмите Сохранить, чтобы сохранить и применить выбранные настройки.

8. В разделе Дополнительно выберите соответствующие опции с учетом своих требований:
   • Установите флажок Применять директивы и задайте Параметры директив.

     Используя переключатели, вы можете выбрать директивы, необходимые для отчета. Список директив загружается из выбранного источника OVAL-правил.

     Доступные значения:

     • Compliance – проверка этой категории определяет, что конфигурационные настройки системы соответствуют политике безопасности.
     • Inventory – проверка этой категории определяет, что указанное в OVAL-правилах программное или аппаратное обеспечение установлено в системе.
     • Miscellaneous – пользовательские проверки.
     • Patch – проверка этой категории определяет, что указанный в OVAL-правилах патч установлен в системе.
     • Vulnerability – проверка этой категории определяет наличие в системе уязвимостей, указанных в OVAL-правилах.

     Необходимые для отчета флажки, которые возвращают каждый тип директив. Этот список статичный и не зависит от источника OVAL-правил:

     • True – означает положительный результат проверки уязвимости.
     • False – означает отрицательный результат проверки уязвимости.
     • Unknown – означает неопределенный результат проверки уязвимости, когда проверка проведена, явных ошибок не обнаружено, но вынести точное решение не удалось.
     • Error – означает, что выполнение проверки уязвимости завершилось ошибкой.
     • Not evaluated – означает, что решение в отношении уязвимости не принято, но не вследствие ошибки. Например, не удалось вычислить объем второго раздела на жестком диске, поскольку второй раздел отсутствует.
     • Not applicable – означает, что заданная категория не может применена для выбранной области проверки, потому что требования не соответствуют ожидаемым. Например, для уязвимости задано применение для 64-разрядной операционной системы, а проверка осуществляется на 32-разрядной операционной системе.

     По умолчанию установлены флажки для результатов типа True и False для всех директив. Вы можете настраивать фильтрацию по своему усмотрению.

   • Установите флажок Включить запись в журнал и выберите необходимый Уровень записи в журнал из списка.

     Журнал доступен в папке по умолчанию C:\Program Files\Kaspersky Lab\Kaspersky Security Center Web Console\logs.

     Доступны следующие уровни записи в журнал:

     • critical – только критические события;
     • warning – только критические и предупреждающие события;
     • information – все критические, предупреждающие и информационные события;
     • debug – все критические, предупреждающие, информационные и отладочные события.

   Нажмите Сохранить, чтобы сохранить и применить выбранные настройки.

   Вы можете запускать созданную задачу вручную или настроить автоматический запуск задачи по расписанию.

В начало