v
инцидент же генерируется именно по событиям, которые появились в касперском
Size: a a a
2020 April 06
IY
напрямую с хос тов не собираются данные, поэтому их не добавляли в систему
Источником события (event_src.host) у Касперского является рабочая станция на который обнаружена вредоносная активность
IY
А не сервер KSC
6
Вроде если есть событие с однозначно идентифицируемом хостом, то создается актив
IY
Вроде если есть событие с однозначно идентифицируемом хостом, то создается актив
В неуправляемых, да
6
@Virars в корреляции event_src.asset пустой судя по скрину, а в событиях есть такое значение?
v
ну по логике, если инцидент по теме вредоноса в каспере, то он должен быть в папке касперского, а не в папке актива хоста, можно как0то так сделать?
v
@Virars в корреляции event_src.asset пустой судя по скрину, а в событиях есть такое значение?
пусто
v
правила касперского коробочные
6
пусто
Тогда резолвер не может привязать данные с капера к однозначному активу. Данные собтия только к KSC и привяжутся, а не к хосту
v
Тогда резолвер не может привязать данные с капера к однозначному активу. Данные собтия только к KSC и привяжутся, а не к хосту
ну мне впринципе и надо, что бы к касперу)
6
ну мне впринципе и надо, что бы к касперу)
Тогда странно что не привязалось
6
Обновить набор правил не пробовали? ucs это делает автоматом если он настроен
6
Или можно попросить пакет отельно для загрузки
6
ну по логике, если инцидент по теме вредоноса в каспере, то он должен быть в папке касперского, а не в папке актива хоста, можно как0то так сделать?
Логика странная - вообще должно быть в обоих. KSC как транспорт события, узел как фактический источник
v
ну хотя бы где-то) заказчик привязывает руками, но это жестковато, инцедентом много сыпется иногда
v
и фильтровать без привязки неудобно
v
Обновить набор правил не пробовали? ucs это делает автоматом если он настроен
ucs нет в системе
v
возможно, это из-за устаревших правил?
6
ФСТЭковская старая версия?