Настройка и запуск задачи аудита безопасности
28 ноября 2023
ID 231169
Запуск задачи доступен только при наличии активного лицензионного ключа Kaspersky Industrial CyberSecurity for Nodes с лицензионным объектом ICS Audit.
Вы можете настраивать и запускать задачу аудита безопасности через интерфейс командной строки для следующих источников правил:
- База данных уязвимостей Kaspersky ICS CERT для АСУ ТП;
- Конфигурации безопасности и соответствий стандартам для операционных систем;
- Пользовательская база правил из файла.
Чтобы настроить и запустить задачу аудита безопасности через интерфейс командной строки:
- На устройстве запустите интерпретатор командной строки (например, Command Prompt cmd.exe) с правами учетной записи локального администратора.
- С помощью команды
cd
перейдите в папку, где находится файл agent.exe.Например:
cd C:\Program Files (x86)\Kaspersky Lab\Endpoint Agent
- Нажмите на клавишу Enter.
- Введите команду:
agent.exe --scan-oval [--source={kl|kl-compl|file}] [--repository=show] [--path={<
полный путь и имя архива с OVAL-правилами
>|<
полный путь к папке, содержащей файлы с OVAL- и XCCDF-правилами
>}] [--external-vars=<
полный путь и имя ZIP-архива с внешними переменными
>] [--mode={all|exclude|include}] [--definitions=<
тип уязвимости_01
;
тип уязвимости_02
;
тип уязвимости_N
>] [--log={none|critical|warning|information|debug}] --result-path=<
путь к папке с отчетом
>
- Нажмите на клавишу Enter
Параметры команды для настройки и запуска задачи аудита безопасности
Параметр
Описание
--scan-oval
Обязательный параметр.
Запускает задачу аудита безопасности на устройстве.
--source
Определяет источник правил, которые необходимы для аудита безопасности.
Доступные значения:
kl
– база данных уязвимостей Kaspersky ICS CERT для АСУ ТП, входящая в поставку. Доступна для обращения через командную строку после успешного обновления баз и модулей Kaspersky Endpoint Agent.kl-compl
– конфигурации безопасности и соответствий стандартам для операционных систем, входящие в поставку. Доступны для обращения через командную строку после успешного обновления баз и модулей Kaspersky Endpoint Agent.file
– пользовательская база правил из файла.
Если значение параметра не указано, по умолчанию используется источник База данных уязвимостей Kaspersky ICS CERT для АСУ ТП (
--source=kl
).--repository
Параметр доступен, если в качестве источника правил выбраны конфигурации безопасности и соответствия стандартам для операционных систем (
--source=kl-compl
).Если параметр указан, то вместо выполнения задачи аудита безопасности Kaspersky Endpoint Agent сохраняет в папку отчета (определяется параметром
--result-path
) XML-файл, в котором перечислены названия имеющихся конфигураций безопасности.--path
Параметр передает путь к файлам с правилами для источника Пользовательская база правил из файла (
--source=file)
.Доступные значения параметра:
<
полный путь и имя архива с OVAL-правилами
>
– указывает полный путь и имя архива с XML-файлом с OVAL-правилами.<
полный путь к папке, содержащей файлы с OVAL- и XCCDF-правилами
>
– указывает полный путь к папке с XML-файлами с OVAL- и / или XCCDF-правилами.
OVAL- и XCCDF-правила должны быть сохранены в кодировке UTF-8 без BOM.
--external-vars
Параметр указывает полный путь и имя ZIP-архива с XML-файлом с внешними переменными для OVAL-правил.
Параметр доступен, если источник содержит только OVAL-правила.
--mode
Параметр определяет режим проверки на уязвимости.
Параметр доступен, если источник содержит только OVAL-правила.
Доступные значения параметра:
all
– выполняется проверка на все уязвимости, указанные в источнике.exclude
– выполняется проверка на уязвимости, указанные в источнике, кроме указанных с помощью параметра--definitions
.include —
выполняется проверка--definitions
.
Если значение параметра не задано, по умолчанию используется режим
all
.--definitions
Параметр определяет список типов уязвимостей, разделенных точкой с запятой, которые необходимо проверить или исключить из проверки.
Параметр доступен, если источник содержит только OVAL-правила.
Например:
oval:org.mitre.oval.test:def:998;oval:org.mitre.oval.test:def:999.
Используется совместно с параметром
--mode=include
или--mode=exclude
.--log
Параметр определяет режим записи в журнал событий о выполнении задачи.
Доступные значения:
none
– запись в журнал отключена;critical
– только критические события;warning
– критические и предупреждающие события;information
– критические, предупреждающие и информационные события;debug
– критические, предупреждающие, информационные и отладочные события.Если значение параметра не задано, по умолчанию используется режим
critical
.
Файл журнала в формате LOG сохраняется в папку, указанную с помощью параметра
--result-path
.--result-path
Обязательный параметр.
Параметр указывает путь к папке, куда будет записан отчет сканирования в формате XML. Имя файла содержит имя узла, дату и время выполнения задачи.
В эту же папку сохраняется журнал событий о выполнении задачи в формате LOG.
Если параметр не задан, выполнение задачи завершается с ошибкой.
Коды возврата команды --scan-oval
:
0
– команда выполнена успешно;1
– общая ошибка.
Если команда выполнена успешно (код 0
), в папке, указанной с помощью параметра --result-path
, создается отчет в формате XML и, если был определен параметр --log
, журнал событий о выполнении задачи в формате LOG.