Настройка и запуск задачи аудита безопасности

Запуск задачи доступен только при наличии активного лицензионного ключа Kaspersky Industrial CyberSecurity for Nodes с лицензионным объектом ICS Audit.

Вы можете настраивать и запускать задачу аудита безопасности через интерфейс командной строки для следующих источников правил:

• База данных уязвимостей Kaspersky ICS CERT для АСУ ТП;
• Конфигурации безопасности и соответствий стандартам для операционных систем;
• Пользовательская база правил из файла.

Чтобы настроить и запустить задачу аудита безопасности через интерфейс командной строки:

1. На устройстве запустите интерпретатор командной строки (например, Command Prompt cmd.exe) с правами учетной записи локального администратора.
2. С помощью команды cd перейдите в папку, где находится файл agent.exe.

   Например: cd C:\Program Files (x86)\Kaspersky Lab\Endpoint Agent

3. Нажмите на клавишу Enter.
4. Введите команду:

   agent.exe --scan-oval [--source={kl|kl-compl|file}] [--repository=show] [--path={<полный путь и имя архива с OVAL-правилами>|<полный путь к папке, содержащей файлы с OVAL- и XCCDF-правилами>}] [--external-vars=<полный путь и имя ZIP-архива с внешними переменными>] [--mode={all|exclude|include}] [--definitions=<тип уязвимости_01;тип уязвимости_02;тип уязвимости_N>] [--log={none|critical|warning|information|debug}] --result-path=<путь к папке с отчетом>

5. Нажмите на клавишу Enter

   Параметры команды для настройки и запуска задачи аудита безопасности

   Параметр	Описание
   --scan-oval	Обязательный параметр. Запускает задачу аудита безопасности на устройстве.
   --source	Определяет источник правил, которые необходимы для аудита безопасности. Доступные значения: kl – база данных уязвимостей Kaspersky ICS CERT для АСУ ТП, входящая в поставку. Доступна для обращения через командную строку после успешного обновления баз и модулей Kaspersky Endpoint Agent. kl-compl – конфигурации безопасности и соответствий стандартам для операционных систем, входящие в поставку. Доступны для обращения через командную строку после успешного обновления баз и модулей Kaspersky Endpoint Agent. file – пользовательская база правил из файла. Если значение параметра не указано, по умолчанию используется источник База данных уязвимостей Kaspersky ICS CERT для АСУ ТП (--source=kl).
   --repository	Параметр доступен, если в качестве источника правил выбраны конфигурации безопасности и соответствия стандартам для операционных систем (--source=kl-compl). Если параметр указан, то вместо выполнения задачи аудита безопасности Kaspersky Endpoint Agent сохраняет в папку отчета (определяется параметром --result-path) XML-файл, в котором перечислены названия имеющихся конфигураций безопасности.
   --path	Параметр передает путь к файлам с правилами для источника Пользовательская база правил из файла (--source=file). Доступные значения параметра: <полный путь и имя архива с OVAL-правилами> – указывает полный путь и имя архива с XML-файлом с OVAL-правилами. <полный путь к папке, содержащей файлы с OVAL- и XCCDF-правилами> – указывает полный путь к папке с XML-файлами с OVAL- и / или XCCDF-правилами. OVAL- и XCCDF-правила должны быть сохранены в кодировке UTF-8 без BOM.
   --external-vars	Параметр указывает полный путь и имя ZIP-архива с XML-файлом с внешними переменными для OVAL-правил. Параметр доступен, если источник содержит только OVAL-правила.
   --mode	Параметр определяет режим проверки на уязвимости. Параметр доступен, если источник содержит только OVAL-правила. Доступные значения параметра: all – выполняется проверка на все уязвимости, указанные в источнике. exclude – выполняется проверка на уязвимости, указанные в источнике, кроме указанных с помощью параметра --definitions. include — выполняется проверка на уязвимости, которые указаны с помощью параметра --definitions. Если значение параметра не задано, по умолчанию используется режим all.
   --definitions	Параметр определяет список типов уязвимостей, разделенных точкой с запятой, которые необходимо проверить или исключить из проверки. Параметр доступен, если источник содержит только OVAL-правила. Например: oval:org.mitre.oval.test:def:998;oval:org.mitre.oval.test:def:999. Используется совместно с параметром --mode=include или --mode=exclude.
   --log	Параметр определяет режим записи в журнал событий о выполнении задачи. Доступные значения: none – запись в журнал отключена; critical – только критические события; warning – критические и предупреждающие события; information – критические, предупреждающие и информационные события; debug – критические, предупреждающие, информационные и отладочные события. Если значение параметра не задано, по умолчанию используется режим critical. Файл журнала в формате LOG сохраняется в папку, указанную с помощью параметра --result-path.
   --result-path	Обязательный параметр. Параметр указывает путь к папке, куда будет записан отчет сканирования в формате XML. Имя файла содержит имя узла, дату и время выполнения задачи. В эту же папку сохраняется журнал событий о выполнении задачи в формате LOG. Если параметр не задан, выполнение задачи завершается с ошибкой.

Коды возврата команды --scan-oval:

• 0 – команда выполнена успешно;
• 1 – общая ошибка.

Если команда выполнена успешно (код 0), в папке, указанной с помощью параметра --result-path, создается отчет в формате XML и, если был определен параметр --log, журнал событий о выполнении задачи в формате LOG.