Настройка и запуск задачи аудита безопасности

В разделе приведена инструкция для Kaspersky Endpoint Agent для Windows. Эта инструкция может быть частично или полностью неприменима к Kaspersky Endpoint Agent для Linux. Актуальную инструкцию для Kaspersky Endpoint Agent для Linux смотрите в справке решения, в составе которого вы используете программу: Kaspersky Anti Targeted Attack Platform или Kaspersky Managed Detection and Response.

Запуск задачи доступен только при наличии активного лицензионного ключа Kaspersky Industrial CyberSecurity for Nodes с лицензионным объектом ICS Audit.

Вы можете настраивать и запускать задачу аудита безопасности через интерфейс командной строки для следующих источников правил:

Чтобы настроить и запустить задачу аудита безопасности через интерфейс командной строки:

  1. На устройстве запустите интерпретатор командной строки (например, Command Prompt cmd.exe) с правами учетной записи локального администратора.
  2. С помощью команды cd перейдите в папку, где находится файл agent.exe.

    Например: cd C:\Program Files (x86)\Kaspersky Lab\Endpoint Agent

  3. Нажмите на клавишу Enter.
  4. Введите команду:

    agent.exe --scan-oval [--source={kl|kl-compl|file}] [--repository=show] [--path={<полный путь и имя архива с OVAL-правилами>|<полный путь к папке, содержащей файлы с OVAL- и XCCDF-правилами>}] [--external-vars=<полный путь и имя ZIP-архива с внешними переменными>] [--mode={all|exclude|include}] [--definitions=<тип уязвимости_01;тип уязвимости_02;тип уязвимости_N>] [--log={none|critical|warning|information|debug}] --result-path=<путь к папке с отчетом>

  5. Нажмите на клавишу Enter

    Параметры команды для настройки и запуска задачи аудита безопасности

    Параметр

    Описание

    --scan-oval

    Обязательный параметр.

    Запускает задачу аудита безопасности на устройстве.

    --source

    Определяет источник правил, которые необходимы для аудита безопасности.

    Доступные значения:

    • kl – база данных уязвимостей Kaspersky ICS CERT для АСУ ТП, входящая в поставку. Доступна для обращения через командную строку после успешного обновления баз и модулей Kaspersky Endpoint Agent.
    • kl-compl – конфигурации безопасности и соответствий стандартам для операционных систем, входящие в поставку. Доступны для обращения через командную строку после успешного обновления баз и модулей Kaspersky Endpoint Agent.
    • file – пользовательская база правил из файла.

      Если значение параметра не указано, по умолчанию используется источник База данных уязвимостей Kaspersky ICS CERT для АСУ ТП (--source=kl).

    --repository

    Параметр доступен, если в качестве источника правил выбраны конфигурации безопасности и соответствия стандартам для операционных систем (--source=kl-compl).

    Если параметр указан, то вместо выполнения задачи аудита безопасности Kaspersky Endpoint Agent сохраняет в папку отчета (определяется параметром --result-path) XML-файл, в котором перечислены названия имеющихся конфигураций безопасности.

    --path

    Параметр передает путь к файлам с правилами для источника Пользовательская база правил из файла (--source=file).

    Доступные значения параметра:

    • <полный путь и имя архива с OVAL-правилами> – указывает полный путь и имя архива с XML-файлом с OVAL-правилами.
    • <полный путь к папке, содержащей файлы с OVAL- и XCCDF-правилами> – указывает полный путь к папке с XML-файлами с OVAL- и / или XCCDF-правилами.

    OVAL- и XCCDF-правила должны быть сохранены в кодировке UTF-8 без BOM.

    --external-vars

    Параметр указывает полный путь и имя ZIP-архива с XML-файлом с внешними переменными для OVAL‑правил.

    Параметр доступен, если источник содержит только OVAL-правила.

    --mode

    Параметр определяет режим проверки на уязвимости.

    Параметр доступен, если источник содержит только OVAL-правила.

    Доступные значения параметра:

    • all – выполняется проверка на все уязвимости, указанные в источнике.
    • exclude – выполняется проверка на уязвимости, указанные в источнике, кроме указанных с помощью параметра --definitions.
    • include — выполняется проверка на уязвимости, которые указаны с помощью параметра --definitions.

      Если значение параметра не задано, по умолчанию используется режим all.

    --definitions

    Параметр определяет список типов уязвимостей, разделенных точкой с запятой, которые необходимо проверить или исключить из проверки.

    Параметр доступен, если источник содержит только OVAL-правила.

    Например: oval:org.mitre.oval.test:def:998;oval:org.mitre.oval.test:def:999.

    Используется совместно с параметром --mode=include или --mode=exclude.

    --log

    Параметр определяет режим записи в журнал событий о выполнении задачи.

    Доступные значения:

    • none – запись в журнал отключена;
    • critical – только критические события;
    • warning – критические и предупреждающие события;
    • information – критические, предупреждающие и информационные события;
    • debug – критические, предупреждающие, информационные и отладочные события.

      Если значение параметра не задано, по умолчанию используется режим critical.

      Файл журнала в формате LOG сохраняется в папку, указанную с помощью параметра --result-path.

    --result-path

    Обязательный параметр.

    Параметр указывает путь к папке, куда будет записан отчет сканирования в формате XML. Имя файла содержит имя узла, дату и время выполнения задачи.

    В эту же папку сохраняется журнал событий о выполнении задачи в формате LOG.

    Если параметр не задан, выполнение задачи завершается с ошибкой.

Коды возврата команды --scan-oval:

Если команда выполнена успешно (код 0), в папке, указанной с помощью параметра --result-path, создается отчет в формате XML и, если был определен параметр --log, журнал событий о выполнении задачи в формате LOG.

См. также

Аудит безопасности

Запуск обновления баз или модулей Kaspersky Endpoint Agent
В начало