Создание задачи аудита безопасности с параметрами по умолчанию
В разделе приведена инструкция для Kaspersky Endpoint Agent для Windows. Эта инструкция может быть частично или полностью неприменима к Kaspersky Endpoint Agent для Linux. Актуальную инструкцию для Kaspersky Endpoint Agent для Linux смотрите в справке решения, в составе которого вы используете программу: Kaspersky Anti Targeted Attack Platform или Kaspersky Managed Detection and Response.
Запуск задачи доступен только при наличии активного лицензионного ключа Kaspersky Industrial CyberSecurity for Nodes с лицензионным объектом ICS Audit.
Чтобы создать и настроить стандартную задачу аудита безопасности:
В главном окне Kaspersky Security Center Web Console перейдите в раздел Устройства → Задачи.
Нажмите на кнопку Добавить.
Запустится мастер создания задачи.
В раскрывающемся списке Программа выберите Kaspersky Endpoint Agent.
В раскрывающемся списке Тип задачи выберите Аудит безопасности.
Введите название задачи или оставьте название по умолчанию.
Выберите устройства, для которых будет назначена задача.
Нажмите на кнопку Далее.
На закладке Источник правил по умолчанию выбрано Пользовательская база правил из файла.
Нажмите на кнопку Импортировать базу правил из файла.
В открывшемся окне укажите архив с базой правил.
Вы можете загрузить только один архив, содержащий XML-файлы с OVAL- и XCCDF-правилами.
Совокупный размер архива не должен превышать 2 МБ.
Нажмите на кнопку ОК.
В разделе Источник правил отобразятся данные по загруженным правилам. По ссылкам Подробнее в полях Платформы и Продукты вы можете открыть окна со списками операционных систем и продуктов, которые упомянуты в правилах выбранного источника.
Внешние переменные – это отдельный XML-файл следующей структуры:
<oval_variables>
<variable id="oval:a:b:c:123" datatype="int" comment="Check user login">
<value>1</value >
</variable>
</oval_variables>
Внешние переменные используются в OVAL-правилах для подстановки в <external_variable>:
<external_variable id="oval:a:b:c:123" version="1" datatype="int" comment="Check user login" />
Файл с внешними переменными в формате XML должен быть упакован в ZIP-архив. Подпись для файла с внешними переменными не требуется.
Вы можете загрузить только один архив с OVAL-правилами и внешними переменными размером не более 6 МБ для Kaspersky Security Center Web Console версии ниже 13.2.571 либо без ограничений для Kaspersky Security Center Web Console версии 13.2.571 и выше. На стороне Kaspersky Endpoint Agent отсутствует проверка подстановки значения переменных.
Использование внешних переменных недоступно, если выбранный источник правил содержит XCCDF-правила.
Установите флажок Использовать данные с внешними переменными для пользовательских баз.
Нажмите на кнопку Импортировать внешние переменные из файла.
В открывшемся окне укажите путь к файлу с внешними переменными.
Нажмите на кнопку OK.
В разделе Область применения, если необходимо, измените режим проверки на уязвимости:
Раздел Область применения недоступен, если выбранный источник правил содержит XCCDF-правила.
Выберите один из режимов:
Проверять все уязвимости.
Kaspersky Endpoint Agent проверяет устройства, для которых назначена задача, на все уязвимости, описанные в правилах базы данных уязвимостей Kaspersky ICS CERT для АСУ ТП.
Проверять все уязвимости, кроме добавленных в список.
Kaspersky Endpoint Agent проверяет устройства, для которых назначена задача, на все уязвимости, описанные в правилах базы данных уязвимостей Kaspersky ICS CERT для АСУ ТП, кроме добавленных в список ниже.
Проверять уязвимости, добавленные в список.
Kaspersky Endpoint Agent проверяет устройства, для которых назначена задача, на уязвимости, добавленные в список ниже.
Если вы выбрали режим Проверять все уязвимости, кроме добавленных в список или Проверять уязвимости, добавленные в список, с помощью кнопок Добавить и Добавить в соответствии с условиями создайте список уязвимостей.
В разделе Дополнительно, если необходимо, определите статусы проверки по директивам, которые будут включаться в отчет задачи аудита безопасности:
Применение директив недоступно, если выбранный источник правил содержит XCCDF-правила.
Список директив загружается из выбранного источника правил для аудита безопасности.
Возможные варианты директив:
Compliance – проверка по этой директиве определяет, что конфигурационные настройки системы соответствуют политике безопасности.
Inventory – проверка по этой директиве определяет, что указанное в правилах программное или аппаратное обеспечение установлено в системе.
Miscellaneous – пользовательские проверки.
Patch – проверка по этой директиве определяет, что указанный в правилах патч установлен в системе.
Vulnerability – проверка по этой директиве определяет наличие в системе уязвимостей, указанных в правилах.
Результат проверки по директиве может иметь один из статусов:
True – положительный результат проверки.
False – отрицательный результат проверки.
Unknown – неопределенный результат проверки, когда проверка проведена, явных ошибок не обнаружено, но вынести точное решение не удалось.
Error – выполнение проверки завершилось ошибкой.
Not evaluated – решение в отношении проверки не принято, но не вследствие ошибки. Например, не удалось вычислить объем второго раздела на жестком диске, поскольку второй раздел отсутствует.
Not applicable – условия проверки не могут быть применены к выбранной области проверки. Например, для уязвимости задано применение для 64-разрядной операционной системы, а проверка осуществляется на 32-разрядной операционной системе.
С помощью переключателей напротив каждой директивы определите статусы проверки по директивам, которые будут отображаться в отчете задачи аудита безопасности.
Если переключатель напротив статуса директивы включен, результат проверки по правилам директивы с этим статусом будет отображаться в отчете задачи аудита безопасности.
По умолчанию переключатели включены для статусов True и False для всех директив.
В разделе Расширенные параметры, если необходимо, настройте параметры записи в журнал событий о выполнении задачи: