Работа с информацией о хостах с Kaspersky Endpoint Agent

Программа Kaspersky Endpoint Agent устанавливается на отдельные компьютеры (далее также "хосты"), входящие в IT-инфраструктуру организации. Программа осуществляет постоянное наблюдение за процессами, запущенными на этих хостах, открытыми сетевыми соединениями и изменяемыми файлами.

Пользователи с ролью Старший сотрудник службы безопасности, Сотрудник службы безопасности, Аудитор, Локальный администратор и Администратор могут оценить регулярность получения данных с хостов, на которых установлена программа Kaspersky Endpoint Agent, на закладке Endpoint Agents окна веб-интерфейса программы в рамках тех тенантов, к данным которых у них есть доступ. Если вы используете

режим распределенного решения

Двухуровневая иерархия серверов с установленными компонентами Central Node, в которой выделяется главный сервер управления – Primary Central Node (PCN) и подчиненные серверы – Secondary Central Node (SCN).

Двухуровневая иерархия серверов с установленными компонентами Central Node, в которой выделяется главный сервер управления – Primary Central Node (PCN) и подчиненные серверы – Secondary Central Node (SCN).

Двухуровневая иерархия серверов с установленными компонентами Central Node, в которой выделяется главный сервер управления – Primary Central Node (PCN) и подчиненные серверы – Secondary Central Node (SCN).

Двухуровневая иерархия серверов с установленными компонентами Central Node, в которой выделяется главный сервер управления – Primary Central Node (PCN) и подчиненные серверы – Secondary Central Node (SCN).

Двухуровневая иерархия серверов с установленными компонентами Central Node, в которой выделяется главный сервер управления – Primary Central Node (PCN) и подчиненные серверы – Secondary Central Node (SCN).

Двухуровневая иерархия серверов с установленными компонентами Central Node, в которой выделяется главный сервер управления – Primary Central Node (PCN) и подчиненные серверы – Secondary Central Node (SCN).

мультитенантности

Режим работы, при котором Kaspersky Anti Targeted Attack Platform используется для защиты инфраструктуры нескольких организаций или филиалов одной организации одновременно.

Режим работы, при котором Kaspersky Anti Targeted Attack Platform используется для защиты инфраструктуры нескольких организаций или филиалов одной организации одновременно.

Режим работы, при котором Kaspersky Anti Targeted Attack Platform используется для защиты инфраструктуры нескольких организаций или филиалов одной организации одновременно.

Режим работы, при котором Kaspersky Anti Targeted Attack Platform используется для защиты инфраструктуры нескольких организаций или филиалов одной организации одновременно.

Режим работы, при котором Kaspersky Anti Targeted Attack Platform используется для защиты инфраструктуры нескольких организаций или филиалов одной организации одновременно.

Режим работы, при котором Kaspersky Anti Targeted Attack Platform используется для защиты инфраструктуры нескольких организаций или филиалов одной организации одновременно.

Пользователи с ролью Локальный администратор и Администратор могут настроить отображение регулярности получения данных с хостов, на которых установлена программа Kaspersky Endpoint Agent, в рамках тех тенантов, к данным которых у них есть доступ.

В случае возникновения подозрительной сетевой активности пользователь с ролью Старший сотрудник службы безопасности может изолировать от сети любой из хостов с программой Kaspersky Endpoint Agent в рамках тех тенантов, к данным которых у него есть доступ. При этом соединение между сервером с компонентом Central Node и хостом с программой Kaspersky Endpoint Agent не будет прервано.

Для оказания поддержки при неполадках в работе программы Kaspersky Endpoint Agent специалисты Службы технической поддержки могут попросить вас в отладочных целях выполнить следующие действия (в том числе в режиме Technical Support Mode):

• Активировать функциональность получения расширенной диагностической информации.
• Изменить параметры отдельных компонентов программы.
• Изменить параметры хранения и отправки получаемой диагностической информации.
• Настроить перехват и сохранение в файл сетевого трафика.

Специалисты Службы технической поддержки сообщат вам необходимую для выполнения перечисленных действий информацию (описание последовательности шагов, изменяемые параметры, конфигурационные файлы, скрипты, дополнительные возможности командной строки, отладочные модули, специализированные утилиты и так далее), а также состав получаемых в отладочных целях данных. Полученная расширенная диагностическая информация сохраняется на компьютере пользователя. Автоматическая пересылка полученных данных в "Лабораторию Касперского" не выполняется.

Перечисленные выше действия должны выполняться только под руководством специалистов Службы технической поддержки по полученным от них инструкциям. Самостоятельное изменение параметров работы программы способами, не описанными в настоящем руководстве, может привести к замедлению и сбоям в работе операционной системы, снижению уровня защиты компьютера, а также к нарушению доступности и целостности обрабатываемой информации.

Выбор тенанта для работы в разделе Endpoint Agents

Если вы используете режим распределенного решения и мультитенантности, перед началом работы в разделе Endpoint Agents вам нужно выбрать тенанты, данные по которым вас интересуют.

Чтобы выбрать тенант для работы в разделе Endpoint Agents:

1. В верхней части меню веб-интерфейса программы нажмите на стрелку рядом с названием тенанта.
2. В раскрывшемся списке выберите тенант.

Отобразятся данные по выбранному вами тенанту. Если вы хотите изменить тенант, вам нужно повторить действия по выбору тенанта.

Просмотр таблицы хостов c Kaspersky Endpoint Agent на отдельном сервере Central Node

Таблица хостов с программой Kaspersky Endpoint Agent находится в разделе Endpoint Agents окна веб-интерфейса программы.

Если вы используете отдельный сервер Central Node, не используете режим распределенного решения и мультитенантности, в таблице хостов с программой Kaspersky Endpoint Agent могут отображаться следующие данные:

• Количество хостов и показатели активности программы Kaspersky Endpoint Agent:
  • Критическое бездействие – количество хостов, от которых последние данные были получены очень давно.
  • Предупреждение – количество хостов, от которых последние данные были получены давно.
  • Нормальная активность – количество хостов, от которых последние данные были получены недавно.
• Хост – имя хоста с программой Kaspersky Endpoint Agent.
• IP – IP-адрес компьютера, на который установлена программа Kaspersky Endpoint Agent.
• ОС – версия операционной системы, установленной на компьютере с программой Kaspersky Endpoint Agent.
• Версия – версия установленной программы Kaspersky Endpoint Agent.
• Активность – показатель активности программы Kaspersky Endpoint Agent. Может принимать следующие значения:
  • Нормальная активность – хосты, от которых последние данные были получены недавно.
  • Предупреждение – хосты, от которых последние данные были получены давно.
  • Критическое бездействие – хосты, от которых последние данные были получены очень давно.

По ссылке в столбцах таблицы раскрывается список, в котором вы можете выбрать одно из следующих действий:

• Добавить в фильтр.
• Исключить из фильтра.
• Скопировать значение в буфер.

Просмотр таблицы хостов с Kaspersky Endpoint Agent в режиме распределенного решения и мультитенантности

Таблица хостов с программой Kaspersky Endpoint Agent находится в разделе Endpoint Agents окна веб-интерфейса программы.

Если вы используете режим распределенного решения и мультитенантности, в таблице содержится информация о хостах с программой Kaspersky Endpoint Agent, подключенных к PCN и всем серверам SCN. В таблице могут отображаться следующие данные:

• Количество хостов и показатели активности программы Kaspersky Endpoint Agent:
  • Критическое бездействие – количество хостов, от которых последние данные были получены очень давно.
  • Предупреждение – количество хостов, от которых последние данные были получены давно.
  • Нормальная активность – количество хостов, от которых последние данные были получены недавно.
• Хост – имя хоста с программой Kaspersky Endpoint Agent.
• Серверы – имена серверов, к которым подключен хост с программой Kaspersky Endpoint Agent.
• IP – IP-адрес компьютера, на который установлена программа Kaspersky Endpoint Agent.
• ОС – версия операционной системы, установленной на хосте с программой Kaspersky Endpoint Agent.
• Версия – версия установленной программы Kaspersky Endpoint Agent.
• Активность – показатель активности хоста с программой Kaspersky Endpoint Agent. Может принимать следующие значения:
  • Нормальная активность – хосты, от которых последние данные были получены недавно.
  • Предупреждение – хосты, от которых последние данные были получены давно.
  • Критическое бездействие – хосты, от которых последние данные были получены очень давно.

По ссылкам в столбцах таблицы раскрывается список, в котором вы можете выбрать одно из следующих действий:

• Добавить в фильтр.
• Исключить из фильтра.
• Скопировать значение в буфер.

Просмотр информации о хосте

Чтобы просмотреть информацию о хосте c программой Kaspersky Endpoint Agent:

1. В окне веб-интерфейса программы выберите раздел Endpoint Agents.
2. Выберите хост, информацию о котором вы хотите просмотреть.

Откроется окно с информацией о хосте.

Окно содержит следующую информацию:

• В разделе Хост:
  • Имя – имя хоста с программой Kaspersky Endpoint Agent.
  • IP – IP-адрес хоста, на который установлена программа Kaspersky Endpoint Agent.
  • ОС – версия операционной системы на хосте, на который установлена программа Kaspersky Endpoint Agent.
  • Сервер – имя сервера SCN или PCN. Отображается только в режиме распределенного решения и мультитенантности.
  • Имя сервера – имя сервера Central Node.
• В разделе Endpoint Agent:
  • Версия – версия установленной программы Kaspersky Endpoint Agent.
  • Активность – показатель активности программы Kaspersky Endpoint Agent. Может иметь следующие значения:
    • Нормальная активность – хосты, от которых последние данные были получены недавно.
    • Предупреждение – хосты, от которых последние данные были получены давно.
    • Критическое бездействие – хосты, от которых последние данные были получены очень давно.
  • Подключен к серверу – имя сервера, Central Node, SCN или PCN, к которому подключен хост.
  • Последнее подключение – время последнего соединения с сервером Central Node, SCN или PCN.
  • Лицензия – состояние лицензионного ключа программы Kaspersky Endpoint Agent.

Фильтрация и поиск хостов с Kaspersky Endpoint Agent по имени хоста

Чтобы отфильтровать или найти хосты с программой Kaspersky Endpoint Agent по имени хоста:

1. В окне веб-интерфейса программы выберите раздел Endpoint Agents.

   Откроется таблица хостов.

2. По ссылке Хост откройте окно настройки фильтрации.
3. Если вы хотите, чтобы отобразились только изолированные хосты, установите флажок Показывать только изолированные Endpoint Agents.
4. В раскрывающемся списке выберите один из следующих операторов фильтрации:
   • Содержит.
   • Не содержит.
5. В поле ввода укажите один или несколько символов имени хоста.
6. Если вы хотите добавить условие фильтрации по другому критерию, нажмите на кнопку и выполните действия по указанию условия фильтрации.
7. Если вы хотите удалить условие фильтрации, нажмите на кнопку справа от поля.
8. Нажмите на кнопку Применить.

Окно настройки фильтрации закроется.

В таблице отобразятся только хосты, соответствующие заданным вами условиям.

Вы можете использовать несколько фильтров одновременно.

Фильтрация и поиск хостов с Kaspersky Endpoint Agent, изолированных от сети

Чтобы отфильтровать или найти хосты с программой Kaspersky Endpoint Agent, изолированные от сети:

1. В окне веб-интерфейса программы выберите раздел Endpoint Agents.

   Откроется таблица хостов.

2. По ссылке Хост откройте окно настройки фильтрации.
3. Установите флажок Показывать только изолированные Endpoint Agents.
4. Нажмите на кнопку Применить.

Окно настройки фильтрации закроется.

В таблице отобразятся только хосты, соответствующие заданным вами условиям.

Вы можете использовать несколько фильтров одновременно.

Фильтрация и поиск хостов с Kaspersky Endpoint Agent по именам серверов PCN и SCN

Если вы используете режим распределенного решения и мультитенантности, вы можете отфильтровать или найти хосты с программой Kaspersky Endpoint Agent по именам серверов PCN и SCN, к которым подключены эти хосты.

Чтобы отфильтровать или найти хосты с программой Kaspersky Endpoint Agent по именам серверов PCN и SCN:

1. В окне веб-интерфейса программы выберите раздел Endpoint Agents.

   Откроется таблица хостов.

2. По ссылке Серверы откройте окно настройки фильтрации.
3. Установите флажки рядом с теми именами серверов, по которым вы хотите отфильтровать или найти хосты с программой Kaspersky Endpoint Agent.
4. Нажмите на кнопку Применить.

Окно настройки фильтрации закроется.

В таблице отобразятся только хосты, соответствующие заданным вами условиям.

Вы можете использовать несколько фильтров одновременно.

Фильтрация и поиск хостов с Kaspersky Endpoint Agent по IP-адресу компьютера

Чтобы отфильтровать или найти хосты с программой Kaspersky Endpoint Agent по IP-адресу компьютера, на котором установлена программа:

1. В окне веб-интерфейса программы выберите раздел Endpoint Agents.

   Откроется таблица хостов.

2. По ссылке IP откройте окно настройки фильтрации.
3. В раскрывающемся списке выберите один из следующих операторов фильтрации:
   • Содержит.
   • Не содержит.
4. В поле ввода укажите один или несколько символов IP-адреса компьютера. Вы можете ввести IP-адрес компьютера или маску подсети в формате IPv4 (например, 192.0.0.1 или 192.0.0.0/16).
5. Если вы хотите добавить условие фильтрации по другому критерию, нажмите на кнопку и выполните действия по указанию условия фильтрации.
6. Если вы хотите удалить условие фильтрации, нажмите на кнопку справа от поля.
7. Нажмите на кнопку Применить.

Окно настройки фильтрации закроется.

В таблице отобразятся только хосты, соответствующие заданным вами условиям.

Вы можете использовать несколько фильтров одновременно.

Фильтрация и поиск хостов с Kaspersky Endpoint Agent по версии операционной системы на компьютере

Чтобы отфильтровать или найти хосты с программой Kaspersky Endpoint Agent по версии операционной системы, установленной на компьютере с программой Kaspersky Endpoint Agent:

1. В окне веб-интерфейса программы выберите раздел Endpoint Agents.

   Откроется таблица хостов.

2. По ссылке ОС откройте окно настройки фильтрации.
3. В раскрывающемся списке выберите один из следующих операторов фильтрации:
   • Содержит.
   • Не содержит.
4. В поле ввода укажите один или несколько символов версии операционной системы.
5. Если вы хотите добавить условие фильтрации по другому критерию, нажмите на кнопку и выполните действия по указанию условия фильтрации.
6. Если вы хотите удалить условие фильтрации, нажмите на кнопку справа от поля.
7. Нажмите на кнопку Применить.

Окно настройки фильтрации закроется.

В таблице отобразятся только хосты, соответствующие заданным вами условиям.

Вы можете использовать несколько фильтров одновременно.

Фильтрация и поиск хостов с Kaspersky Endpoint Agent по версии Kaspersky Endpoint Agent

Чтобы отфильтровать или найти хосты с программой Kaspersky Endpoint Agent по версии программы Kaspersky Endpoint Agent:

1. В окне веб-интерфейса программы выберите раздел Endpoint Agents.

   Откроется таблица хостов.

2. По ссылке Версия откройте окно настройки фильтрации.
3. В раскрывающемся списке выберите один из следующих операторов фильтрации:
   • Содержит.
   • Не содержит.
4. В поле ввода укажите один или несколько символов версии программы Kaspersky Endpoint Agent.
5. Если вы хотите добавить условие фильтрации по другому критерию, нажмите на кнопку и выполните действия по указанию условия фильтрации.
6. Если вы хотите удалить условие фильтрации, нажмите на кнопку справа от поля.
7. Нажмите на кнопку Применить.

Окно настройки фильтрации закроется.

В таблице отобразятся только хосты, соответствующие заданным вами условиям.

Вы можете использовать несколько фильтров одновременно.

Фильтрация и поиск хостов с Kaspersky Endpoint Agent по их активности

Чтобы отфильтровать или найти хосты с программой Kaspersky Endpoint Agent по их активности:

1. В окне веб-интерфейса программы выберите раздел Endpoint Agents.

   Откроется таблица хостов.

2. По ссылке Активность откройте окно настройки фильтрации.
3. Установите флажки рядом с одним или несколькими показателями активности программы Kaspersky Endpoint Agent:
   • Нормальная активность, если вы хотите найти хосты, от которых последние данные были получены недавно.
   • Предупреждение, если вы хотите найти хосты, от которых последние данные были получены давно.
   • Критическое бездействие, если вы хотите найти хосты, от которых последние данные были получены очень давно.
4. Нажмите на кнопку Применить.

Окно настройки фильтрации закроется.

В таблице отобразятся только хосты, соответствующие заданным вами условиям.

Вы можете использовать несколько фильтров одновременно.

Быстрое создание фильтра хостов с Kaspersky Endpoint Agent

Чтобы быстро создать фильтр хостов с программой Kaspersky Endpoint Agent:

1. В окне веб-интерфейса программы выберите раздел Endpoint Agents.

   Откроется таблица хостов.

2. Выполните следующие действия по быстрому добавлению условий фильтрации в создаваемый фильтр:
   1. Наведите курсор мыши на ссылку с тем значением столбца таблицы, которое вы хотите добавить в качестве условия фильтрации.
   2. Нажмите на левую клавишу мыши.

      Откроется список действий над значением.

   3. В открывшемся списке выберите одно из следующих действий:
      • Добавить в фильтр, если вы хотите включить это значение в условие фильтрации.
      • Исключить из фильтра, если вы хотите исключить это значение из условия фильтрации.

3. Если вы хотите добавить несколько условий фильтрации в создаваемый фильтр, выполните действия по быстрому добавлению каждого из условий фильтрации в создаваемый фильтр.

В таблице отобразятся только хосты, соответствующие заданным вами условиям.

Сброс фильтра хостов с Kaspersky Endpoint Agent

Чтобы сбросить фильтр хостов с программой Kaspersky Endpoint Agent по одному или нескольким условиям фильтрации:

1. В окне веб-интерфейса программы выберите раздел Endpoint Agents.
2. Нажмите на кнопку справа от того заголовка столбца таблицы, условия фильтрации по которому вы хотите сбросить.

   Если вы хотите сбросить несколько условий фильтрации, выполните действия по сбросу каждого из условий фильтрации.

Выбранные фильтры будут сброшены.

В таблице отобразятся только хосты, соответствующие заданным вами условиям.

Настройка показателей активности Kaspersky Endpoint Agent

Пользователи с ролью Локальный администратор и Администратор могут определить, какой период бездействия программы Kaspersky Endpoint Agent считать нормальной, низкой и очень низкой активностью, а также настроить показатели активности программы Kaspersky Endpoint Agent. Пользователям с ролью Аудитор доступен только просмотр параметров показателей активности программы Kaspersky Endpoint Agent. Пользователи с ролью Старший сотрудник службы безопасности и Сотрудник службы безопасности могут просмотреть показатели активности программы Kaspersky Endpoint Agent в столбце Активность таблицы хостов с Kaspersky Endpoint Agent в разделе Endpoint Agents окна веб-интерфейса программы.

Чтобы настроить показатели активности программы Kaspersky Endpoint Agent, выполните следующие действия:

1. Войдите в веб-интерфейс программы под учетной записью Локальный администратор, Администратор или Старший сотрудник службы безопасности.
2. В окне веб интерфейса программы выберите раздел Параметры, подраздел Endpoint Agents.
3. В полях под названием раздела введите количество дней бездействия хостов с программой Kaspersky Endpoint Agent, которое вы хотите отображать как Предупреждение и Критическое бездействие.
4. Нажмите на кнопку Применить.

Показатели активности программы Kaspersky Endpoint Agent будут настроены.

Поддерживаемые интерпретаторы и процессы

Программа Kaspersky Endpoint Agent контролирует запуск скриптов следующими интерпретаторами:

• cmd.exe;
• reg.exe;
• regedit.exe;
• regedt32.exe;
• cscript.exe;
• wscript.exe;
• mmc.exe;
• msiexec.exe;
• mshta.exe;
• rundll32.exe;
• runlegacycplelevated.exe;
• control.exe;
• explorer.exe;
• regsvr32.exe;
• wwahost.exe;
• powershell.exe;
• java.exe и javaw.exe (только при запуске с опцией –jar);
• InstallUtil.exe;
• msdt.exe;
• python.exe;
• ruby.exe;
• rubyw.exe.

Информация о процессах, контролируемых программой Kaspersky Endpoint Agent, представлена в таблице ниже.

Процессы и расширения файлов, которые они открывают