Настройка параметров задачи аудита безопасности с использованием пользовательской базы правил из хранилища Kaspersky Security Center
В разделе приведена инструкция для Kaspersky Endpoint Agent для Windows. Эта инструкция может быть частично или полностью неприменима к Kaspersky Endpoint Agent для Linux. Актуальную инструкцию для Kaspersky Endpoint Agent для Linux смотрите в справке решения, в составе которого вы используете программу: Kaspersky Anti Targeted Attack Platform или Kaspersky Managed Detection and Response.
Запуск задачи доступен только при наличии активного лицензионного ключа Kaspersky Industrial CyberSecurity for Nodes с лицензионным объектом ICS Audit.
Прежде чем приступить к настройке параметров задачи аудита безопасностиc использованием пользовательской базы из хранилища Kaspersky Security Center:
В Kaspersky Endpoint Agent можно только обновить установленный и развернутый пакет с пользовательской базой правил. Удалить пакет правил невозможно.
Чтобы настроить параметры задачи аудита безопасности c использованием пользовательской базы правил из хранилища Kaspersky Security Center:
В главном окне Kaspersky Security Center Web Console перейдите в раздел Устройства → Задачи.
Откройте окно настройки параметров задачи, нажав на имя задачи.
Выберите закладку Параметры программы.
В разделе Источник правил выберите Пользовательская база правил из хранилища Kaspersky Security Center.
Нажмите на кнопкуВыберите файл с правилами из пользовательской коллекции.
В октрывшемся окне выберите архив с базой правил.
Вы можете загрузить только один архив, содержащий XML-файлы с OVAL- и / или XCCDF-правилами.
Совокупный размер архива не должен превышать 2 МБ.
Нажмите на кнопку OK.
В разделе Источник правил отобразятся данные о загруженных правилах. По ссылкам Подробнее в полях Платформы и Продукты вы можете октрыть окна со списками операционных систем и продуктов, которые упомянуты в правилах выбранного источника.
Если необходимо, укажите отпечаток сертификата подписи пользовательской базы правил:
Если флажок Использовать отпечаток установлен и указан отпечаток, полученный через интерфейс командной строки Kaspersky Endpoint Agent, при выполнении задачи Kaspersky Security Center производит проверку отпечатка. Если отпечаток не совпадает с указанным в настройках задачи, выполнение задачи прерывается с ошибкой.
Если флажок Использовать отпечаток не установлен, Kaspersky Security Center не проверяет отпечаток.
В поле Отпечаток введите отпечаток, полученный через интерфейс командной строки.
Внешние переменные – это отдельный XML-файл следующей структуры:
<oval_variables>
<variable id="oval:a:b:c:123" datatype="int" comment="Check user login">
<value>1</value >
</variable>
</oval_variables>
Внешние переменные используются в OVAL-правилах для подстановки в <external_variable>:
<external_variable id="oval:a:b:c:123" version="1" datatype="int" comment="Check user login" />
Файл с внешними переменными в формате XML должен быть упакован в ZIP-архив. Подпись для файла с внешними переменными не требуется.
Вы можете загрузить только один архив с OVAL-правилами и внешними переменными размером не более 6 МБ для Kaspersky Security Center Web Console версии ниже 13.2.571 либо без ограничений для Kaspersky Security Center Web Console версии 13.2.571 и выше. На стороне Kaspersky Endpoint Agent отсутствует проверка подстановки значения переменных.
Использование внешних переменных недоступно, если выбранный источник содержит XCCDF-правила.
Установите флажок Использовать данные с внешними переменными для пользовательских баз.
Нажмите на кнопку Импортировать внешние переменные из файла.
В открывшемся окне укажите путь к файлу с внешними переменными.
Нажмите на кнопку OK.
В разделе Область применения, если необходимо, измените режим проверки на уязвимости:
Раздел Область применения недоступен, если выбранный источник правил содержит XCCDF-правила.
Выберите один из режимов:
Проверять все уязвимости.
Kaspersky Endpoint Agent проверяет устройства, для которых назначена задача, на все уязвимости, описанные в правилах базы данных уязвимостей Kaspersky ICS CERT для АСУ ТП.
Проверять все уязвимости, кроме добавленных в список.
Kaspersky Endpoint Agent проверяет устройства, для которых назначена задача, на все уязвимости, описанные в правилах базы данных уязвимостей Kaspersky ICS CERT для АСУ ТП, кроме добавленных в список ниже.
Проверять уязвимости, добавленные в список.
Kaspersky Endpoint Agent проверяет устройства, для которых назначена задача, на уязвимости, добавленные в список ниже.
Если вы выбрали режим Проверять все уязвимости, кроме добавленных в список или Проверять уязвимости, добавленные в список, с помощью кнопок Добавить и Добавить в соответствии с условиями создайте список уязвимостей.
В разделе Дополнительно, если необходимо, определите статусы проверки по директивам, которые будут включаться в отчет задачи аудита безопасности:
Применение директив недоступно, если выбранный источник правил содержит XCCDF-правила.
Список директив загружается из выбранного источника правил для аудита безопасности.
Возможные варианты директив:
Compliance – проверка по этой директиве определяет, что конфигурационные настройки системы соответствуют политике безопасности.
Inventory – проверка по этой директиве определяет, что указанное в правилах программное или аппаратное обеспечение установлено в системе.
Miscellaneous – пользовательские проверки.
Patch – проверка по этой директиве определяет, что указанный в правилах патч установлен в системе.
Vulnerability – проверка по этой директиве определяет наличие в системе уязвимостей, указанных в правилах.
Результат проверки по директиве может иметь один из статусов:
True – положительный результат проверки.
False – отрицательный результат проверки.
Unknown – неопределенный результат проверки, когда проверка проведена, явных ошибок не обнаружено, но вынести точное решение не удалось.
Error – выполнение проверки завершилось ошибкой.
Not evaluated – решение в отношении проверки не принято, но не вследствие ошибки. Например, не удалось вычислить объем второго раздела на жестком диске, поскольку второй раздел отсутствует.
Not applicable – условия проверки не могут быть применены к выбранной области проверки. Например, для уязвимости задано применение для 64-разрядной операционной системы, а проверка осуществляется на 32-разрядной операционной системе.
С помощью переключателей напротив каждой директивы определите статусы проверки по директивам, которые будут отображаться в отчете задачи аудита безопасности.
Если переключатель напротив статуса директивы включен, результат проверки по правилам директивы с этим статусом будет отображаться в отчете задачи аудита безопасности.
По умолчанию переключатели включены для статусов True и False для всех директив.
В разделе Дополнительно, если необходимо, настройте параметры записи в журнал событий о выполнении задачи: