Kaspersky Endpoint Agent

Настройка параметров задачи аудита безопасности с использованием пользовательской базы правил из хранилища Kaspersky Security Center

В разделе приведена инструкция для Kaspersky Endpoint Agent для Windows. Эта инструкция может быть частично или полностью неприменима к Kaspersky Endpoint Agent для Linux. Актуальную инструкцию для Kaspersky Endpoint Agent для Linux смотрите в справке решения, в составе которого вы используете программу: Kaspersky Anti Targeted Attack Platform или Kaspersky Managed Detection and Response.

Запуск задачи доступен только при наличии активного лицензионного ключа Kaspersky Industrial CyberSecurity for Nodes с лицензионным объектом ICS Audit.

Прежде чем приступить к настройке параметров задачи аудита безопасности c использованием пользовательской базы из хранилища Kaspersky Security Center:

1. Создайте отпечаток сертификата подписи пользовательской базы через интерфейс командной строки.

   Вы можете использовать уже существующий отпечаток сертификата подписи пользовательской базы.

2. Создайте инсталляционный пакет Kaspersky Security Center с именем package.zip через интерфейс командной строки.
3. Создайте и запустите задачу установки инсталляционного пакета, указав для установки только Сервер администрирования, чтобы добавить архив package.zip с OVAL- и XCCDF-правилами, созданный на предыдущем шаге, в репозиторий Kaspersky Security Center.

   В Kaspersky Endpoint Agent можно только обновить установленный и развернутый пакет с пользовательской базой правил. Удалить пакет правил невозможно.

Чтобы настроить параметры задачи аудита безопасности c использованием пользовательской базы правил из хранилища Kaspersky Security Center:

1. В главном окне Kaspersky Security Center Web Console перейдите в раздел Устройства → Задачи.
2. Откройте окно настройки параметров задачи, нажав на имя задачи.
3. Выберите закладку Параметры программы.
4. В разделе Источник правил выберите Пользовательская база правил из хранилища Kaspersky Security Center.
5. Нажмите на кнопку Выберите файл с правилами из пользовательской коллекции.
6. В октрывшемся окне выберите архив с базой правил.

   Вы можете загрузить только один архив, содержащий XML-файлы с OVAL- и / или XCCDF-правилами.

   Совокупный размер архива не должен превышать 2 МБ.

7. Нажмите на кнопку OK.

   В разделе Источник правил отобразятся данные о загруженных правилах. По ссылкам Подробнее в полях Платформы и Продукты вы можете октрыть окна со списками операционных систем и продуктов, которые упомянуты в правилах выбранного источника.

8. Если необходимо, укажите отпечаток сертификата подписи пользовательской базы правил:
   1. Установите флажок Использовать отпечаток

      Если флажок Использовать отпечаток установлен и указан отпечаток, полученный через интерфейс командной строки Kaspersky Endpoint Agent, при выполнении задачи Kaspersky Security Center производит проверку отпечатка. Если отпечаток не совпадает с указанным в настройках задачи, выполнение задачи прерывается с ошибкой.

      Если флажок Использовать отпечаток не установлен, Kaspersky Security Center не проверяет отпечаток.

      .
   2. В поле Отпечаток введите отпечаток, полученный через интерфейс командной строки.
9. Если необходимо, загрузите файл с
   внешними переменными

   

   Внешние переменные – это отдельный XML-файл следующей структуры:

   <oval_variables>

   <variable id="oval:a:b:c:123" datatype="int" comment="Check user login">

   <value>1</value >

   </variable>

   </oval_variables>

   Внешние переменные используются в OVAL-правилах для подстановки в <external_variable>:

   <external_variable id="oval:a:b:c:123" version="1" datatype="int" comment="Check user login" />

   Файл с внешними переменными в формате XML должен быть упакован в ZIP-архив. Подпись для файла с внешними переменными не требуется.

   Вы можете загрузить только один архив с OVAL-правилами и внешними переменными размером не более 6 МБ для Kaspersky Security Center Web Console версии ниже 13.2.571 либо без ограничений для Kaspersky Security Center Web Console версии 13.2.571 и выше. На стороне Kaspersky Endpoint Agent отсутствует проверка подстановки значения переменных.

   :

   Использование внешних переменных недоступно, если выбранный источник содержит XCCDF-правила.

   1. Установите флажок Использовать данные с внешними переменными для пользовательских баз.
   2. Нажмите на кнопку Импортировать внешние переменные из файла.
   3. В открывшемся окне укажите путь к файлу с внешними переменными.
   4. Нажмите на кнопку OK.
10. В разделе Область применения, если необходимо, измените режим проверки на уязвимости:

    Раздел Область применения недоступен, если выбранный источник правил содержит XCCDF-правила.

    1. Выберите один из режимов:
       • Проверять все уязвимости.

         Kaspersky Endpoint Agent проверяет устройства, для которых назначена задача, на все уязвимости, описанные в правилах базы данных уязвимостей Kaspersky ICS CERT для АСУ ТП.

       • Проверять все уязвимости, кроме добавленных в список.

         Kaspersky Endpoint Agent проверяет устройства, для которых назначена задача, на все уязвимости, описанные в правилах базы данных уязвимостей Kaspersky ICS CERT для АСУ ТП, кроме добавленных в список ниже.

       • Проверять уязвимости, добавленные в список.

         Kaspersky Endpoint Agent проверяет устройства, для которых назначена задача, на уязвимости, добавленные в список ниже.

    2. Если вы выбрали режим Проверять все уязвимости, кроме добавленных в список или Проверять уязвимости, добавленные в список, с помощью кнопок Добавить и Добавить в соответствии с условиями создайте список уязвимостей.
11. В разделе Дополнительно, если необходимо, определите статусы проверки по директивам, которые будут включаться в отчет задачи аудита безопасности:

    Применение директив недоступно, если выбранный источник правил содержит XCCDF-правила.

    1. Установите флажок
       Применять директивы

       

       Список директив загружается из выбранного источника правил для аудита безопасности.

       Возможные варианты директив:

       • Compliance – проверка по этой директиве определяет, что конфигурационные настройки системы соответствуют политике безопасности.
       • Inventory – проверка по этой директиве определяет, что указанное в правилах программное или аппаратное обеспечение установлено в системе.
       • Miscellaneous – пользовательские проверки.
       • Patch – проверка по этой директиве определяет, что указанный в правилах патч установлен в системе.
       • Vulnerability – проверка по этой директиве определяет наличие в системе уязвимостей, указанных в правилах.

       Результат проверки по директиве может иметь один из статусов:

       • True – положительный результат проверки.
       • False – отрицательный результат проверки.
       • Unknown – неопределенный результат проверки, когда проверка проведена, явных ошибок не обнаружено, но вынести точное решение не удалось.
       • Error – выполнение проверки завершилось ошибкой.
       • Not evaluated – решение в отношении проверки не принято, но не вследствие ошибки. Например, не удалось вычислить объем второго раздела на жестком диске, поскольку второй раздел отсутствует.
       • Not applicable – условия проверки не могут быть применены к выбранной области проверки. Например, для уязвимости задано применение для 64-разрядной операционной системы, а проверка осуществляется на 32-разрядной операционной системе.
       .
    2. С помощью переключателей напротив каждой директивы определите статусы проверки по директивам, которые будут отображаться в отчете задачи аудита безопасности.

       Если переключатель напротив статуса директивы включен, результат проверки по правилам директивы с этим статусом будет отображаться в отчете задачи аудита безопасности.

       По умолчанию переключатели включены для статусов True и False для всех директив.

12. В разделе Дополнительно, если необходимо, настройте параметры записи в журнал событий о выполнении задачи:
    1. Установите флажок Включить запись в журнал.
    2. Выберите необходимый Уровень записи в журнал

       Журнал доступен в папке по умолчанию C:\Program Files\Kaspersky Lab\Kaspersky Security Center Web Console\logs.

       Доступны следующие уровни записи в журнал:

       • Критический уровень – только критические события;
       • Уровень предупреждений – только критические и предупреждающие события;
       • Информационный уровень – все критические, предупреждающие и информационные события;
       • Отладочный уровень – все критические, предупреждающие, информационные и отладочные события.
       из списка.
13. Нажмите на кнопку Сохранить, чтобы сохранить параметры задачи.

Вы можете запускать созданную задачу вручную или настроить автоматический запуск задачи по расписанию.