Настройка параметров задачи аудита безопасности с использованием пользовательской базы правил из хранилища Kaspersky Security Center

Запуск задачи доступен только при наличии активного лицензионного ключа Kaspersky Industrial CyberSecurity for Nodes с лицензионным объектом ICS Audit.

Прежде чем приступить к настройке параметров задачи аудита безопасности c использованием пользовательской базы из хранилища Kaspersky Security Center:

Создайте отпечаток сертификата подписи пользовательской базы через интерфейс командной строки.
Вы можете использовать уже существующий отпечаток сертификата подписи пользовательской базы.
Создайте инсталляционный пакет Kaspersky Security Center с именем package.zip через интерфейс командной строки.
Создайте и запустите задачу установки инсталляционного пакета, указав для установки только Сервер администрирования, чтобы добавить архив package.zip с OVAL- и XCCDF-правилами, созданный на предыдущем шаге, в репозиторий Kaspersky Security Center.
В Kaspersky Endpoint Agent можно только обновить установленный и развернутый пакет с пользовательской базой правил. Удалить пакет правил невозможно.

Чтобы настроить параметры задачи аудита безопасности c использованием пользовательской базы правил из хранилища Kaspersky Security Center:

В главном окне Kaspersky Security Center Web Console перейдите в раздел Устройства → Задачи.
Откройте окно настройки параметров задачи, нажав на имя задачи.
Выберите закладку Параметры программы.
В разделе Источник правил выберите Пользовательская база правил из хранилища Kaspersky Security Center.
Нажмите на кнопку Выбрать файл из пользовательской коллекции.
В открывшемся окне выберите архив с базой правил.
Вы можете загрузить только один архив, содержащий XML-файлы с OVAL- и / или XCCDF-правилами.

Совокупный размер архива не должен превышать 2 МБ.
Нажмите на кнопку OK.
В разделе Источник правил отобразятся данные о загруженных правилах. По ссылкам Подробнее в полях Платформы и Продукты вы можете открыть окна со списками операционных систем и продуктов, которые упомянуты в правилах выбранного источника.
Если необходимо, укажите отпечаток сертификата подписи пользовательской базы правил:
1. Установите флажок Использовать отпечаток.
  Если флажок Использовать отпечаток установлен и указан отпечаток, полученный через интерфейс командной строки Kaspersky Endpoint Agent, при выполнении задачи Kaspersky Security Center производит проверку отпечатка. Если отпечаток не совпадает с указанным в настройках задачи, выполнение задачи прерывается с ошибкой.
  
  Если флажок Использовать отпечаток не установлен, Kaspersky Security Center не проверяет отпечаток.
2. В поле Отпечаток введите отпечаток, полученный через интерфейс командной строки.
Если необходимо, загрузите файл с внешними переменными:
Внешние переменные – это отдельный XML-файл следующей структуры:

<oval_variables>

<variable id="oval:a:b:c:123" datatype="int" comment="Check user login">

<value>1</value >

</variable>

</oval_variables>

Внешние переменные используются в OVAL-правилах для подстановки в <external_variable>:

<external_variable id="oval:a:b:c:123" version="1" datatype="int" comment="Check user login" />

Файл с внешними переменными в формате XML должен быть упакован в ZIP-архив. Подпись для файла с внешними переменными не требуется.

Вы можете загрузить только один архив с OVAL-правилами и внешними переменными размером не более 6 МБ для Kaspersky Security Center Web Console версии ниже 13.2.571 либо без ограничений для Kaspersky Security Center Web Console версии 13.2.571 и выше. На стороне Kaspersky Endpoint Agent отсутствует проверка подстановки значения переменных.

Использование внешних переменных недоступно, если выбранный источник правил содержит XCCDF-правила.
1. Установите флажок Использовать данные с внешними переменными для пользовательских баз.
2. Нажмите на кнопку Импортировать внешние переменные из файла.
3. В открывшемся окне укажите путь к файлу с внешними переменными.
4. Нажмите на кнопку OK.
В разделе Область применения, если необходимо, измените режим проверки на уязвимости:

Раздел Область применения недоступен, если выбранный источник правил содержит XCCDF-правила.
1. Выберите один из режимов:
  - Проверять все уязвимости.
    Kaspersky Endpoint Agent проверяет устройства, для которых назначена задача, на все уязвимости, описанные в правилах базы данных уязвимостей Kaspersky ICS CERT для АСУ ТП.
  - Проверять все уязвимости, кроме добавленных в список.
    Kaspersky Endpoint Agent проверяет устройства, для которых назначена задача, на все уязвимости, описанные в правилах базы данных уязвимостей Kaspersky ICS CERT для АСУ ТП, кроме добавленных в список ниже.
  - Проверять уязвимости, добавленные в список.
    Kaspersky Endpoint Agent проверяет устройства, для которых назначена задача, на уязвимости, добавленные в список ниже.
2. Если вы выбрали режим Проверять все уязвимости, кроме добавленных в список или Проверять уязвимости, добавленные в список, с помощью кнопок Добавить и Добавить в соответствии с условиями создайте список уязвимостей.
В разделе Расширенные параметры, если необходимо, определите статусы проверки по директивам, которые будут включаться в отчет задачи аудита безопасности:
Применение директив недоступно, если выбранный источник правил содержит XCCDF-правила.
1. Установите флажок Применять директивы.
  Список директив загружается из выбранного источника правил для аудита безопасности.
  
  Возможные варианты директив:
  - Compliance – проверка по этой директиве определяет, что конфигурационные настройки системы соответствуют политике безопасности.
  - Inventory – проверка по этой директиве определяет, что указанное в правилах программное или аппаратное обеспечение установлено в системе.
  - Miscellaneous – пользовательские проверки.
  - Patch – проверка по этой директиве определяет, что указанный в правилах патч установлен в системе.
  - Vulnerability – проверка по этой директиве определяет наличие в системе уязвимостей, указанных в правилах.
  Результат проверки по директиве может иметь один из статусов:
  - True – положительный результат проверки.
  - False – отрицательный результат проверки.
  - Unknown – неопределенный результат проверки, когда проверка проведена, явных ошибок не обнаружено, но вынести точное решение не удалось.
  - Error – выполнение проверки завершилось ошибкой.
  - Not evaluated – решение в отношении проверки не принято, но не вследствие ошибки. Например, не удалось вычислить объем второго раздела на жестком диске, поскольку второй раздел отсутствует.
  - Not applicable – условия проверки не могут быть применены к выбранной области проверки. Например, для уязвимости задано применение для 64-разрядной операционной системы, а проверка осуществляется на 32-разрядной операционной системе.
2. С помощью переключателей напротив каждой директивы определите статусы проверки по директивам, которые будут отображаться в отчете задачи аудита безопасности.
  Если переключатель напротив статуса директивы включен, результат проверки по правилам директивы с этим статусом будет отображаться в отчете задачи аудита безопасности.
  
  По умолчанию переключатели включены для статусов True и False для всех директив.
В разделе Расширенные параметры, если необходимо, настройте параметры записи в журнал событий о выполнении задачи:
1. Установите флажок Включить запись в журнал.
2. Выберите необходимый Уровень записи в журнал из списка.
  Журнал доступен в папке по умолчанию C:\Program Files\Kaspersky Lab\Kaspersky Security Center Web Console\logs.
  
  Доступны следующие уровни записи в журнал:
  - Критический уровень – только критические события;
  - Уровень предупреждений – только критические и предупреждающие события;
  - Информационный уровень – все критические, предупреждающие и информационные события;
  - Отладочный уровень – все критические, предупреждающие, информационные и отладочные события.
Нажмите на кнопку Сохранить, чтобы сохранить параметры задачи.

Вы можете запускать созданную задачу вручную или настроить автоматический запуск задачи по расписанию.

В начало