Работа с информацией о хостах с Kaspersky Endpoint Agent

Программа Kaspersky Endpoint Agent устанавливается на отдельные компьютеры (далее также "хосты"), входящие в IT-инфраструктуру организации. Программа осуществляет постоянное наблюдение за процессами, запущенными на этих хостах, открытыми сетевыми соединениями и изменяемыми файлами.

Пользователи с ролью Старший сотрудник службы безопасности, Сотрудник службы безопасности, Аудитор, Локальный администратор и Администратор могут оценить регулярность получения данных с хостов, на которых установлена программа Kaspersky Endpoint Agent, на закладке Endpoint Agents окна веб-интерфейса программы в рамках тех тенантов, к данным которых у них есть доступ. Если вы используете

режим распределенного решения

Двухуровневая иерархия серверов с установленными компонентами Central Node, в которой выделяется главный сервер управления – Primary Central Node (PCN) и подчиненные серверы – Secondary Central Node (SCN).

Двухуровневая иерархия серверов с установленными компонентами Central Node, в которой выделяется главный сервер управления – Primary Central Node (PCN) и подчиненные серверы – Secondary Central Node (SCN).

Двухуровневая иерархия серверов с установленными компонентами Central Node, в которой выделяется главный сервер управления – Primary Central Node (PCN) и подчиненные серверы – Secondary Central Node (SCN).

мультитенантности

Режим работы, при котором Kaspersky Anti Targeted Attack Platform используется для защиты инфраструктуры нескольких организаций или филиалов одной организации одновременно.

Режим работы, при котором Kaspersky Anti Targeted Attack Platform используется для защиты инфраструктуры нескольких организаций или филиалов одной организации одновременно.

Режим работы, при котором Kaspersky Anti Targeted Attack Platform используется для защиты инфраструктуры нескольких организаций или филиалов одной организации одновременно.

Пользователи с ролью Локальный администратор и Администратор могут настроить отображение регулярности получения данных с хостов, на которых установлена программа Kaspersky Endpoint Agent, в рамках тех тенантов, к данным которых у них есть доступ.

В случае возникновения подозрительной сетевой активности пользователь с ролью Старший сотрудник службы безопасности может изолировать от сети любой из хостов с программой Kaspersky Endpoint Agent в рамках тех тенантов, к данным которых у него есть доступ. При этом соединение между сервером с компонентом Central Node и хостом с программой Kaspersky Endpoint Agent не будет прервано.

Для оказания поддержки при неполадках в работе программы Kaspersky Endpoint Agent специалисты Службы технической поддержки могут попросить вас в отладочных целях выполнить следующие действия (в том числе в режиме Technical Support Mode):

• Активировать функциональность получения расширенной диагностической информации.
• Изменить параметры отдельных компонентов программы.
• Изменить параметры хранения и отправки получаемой диагностической информации.
• Настроить перехват и сохранение в файл сетевого трафика.

Специалисты Службы технической поддержки сообщат вам необходимую для выполнения перечисленных действий информацию (описание последовательности шагов, изменяемые параметры, конфигурационные файлы, скрипты, дополнительные возможности командной строки, отладочные модули, специализированные утилиты и так далее), а также состав получаемых в отладочных целях данных. Полученная расширенная диагностическая информация сохраняется на компьютере пользователя. Автоматическая пересылка полученных данных в "Лабораторию Касперского" не выполняется.

Перечисленные выше действия должны выполняться только под руководством специалистов Службы технической поддержки по полученным от них инструкциям. Самостоятельное изменение параметров работы программы способами, не описанными в настоящем руководстве, может привести к замедлению и сбоям в работе операционной системы, снижению уровня защиты компьютера, а также к нарушению доступности и целостности обрабатываемой информации.

Просмотр таблицы хостов с Kaspersky Endpoint Agent на отдельном сервере Central Node

Таблица хостов с программой Kaspersky Endpoint Agent находится в разделе Endpoint Agents окна веб-интерфейса программы.

В таблице могут отображаться следующие данные:

• Количество хостов и показатели активности программы Kaspersky Endpoint Agent:
  • Критическое бездействие – количество хостов, от которых последние данные были получены очень давно.
  • Предупреждение – количество хостов, от которых последние данные были получены давно.
  • Нормальная активность – количество хостов, от которых последние данные были получены недавно.
• Хост – имя хоста с программой Kaspersky Endpoint Agent.
• Серверы – имя сервера, к которому подключен хост с программой Kaspersky Endpoint Agent.
• IP – IP-адрес хоста, на который установлена программа Kaspersky Endpoint Agent.
• ОС – версия операционной системы, установленной на компьютере с программой Kaspersky Endpoint Agent.
• Версия – версия установленной программы Kaspersky Endpoint Agent.
• Активность – показатель активности программы Kaspersky Endpoint Agent. Может принимать следующие значения:
  • Нормальная активность – хосты, от которых последние данные были получены недавно.
  • Предупреждение – хосты, от которых последние данные были получены давно.
  • Критическое бездействие – хосты, от которых последние данные были получены очень давно.

По ссылке с именем хоста раскрывается список, в котором вы можете выбрать одно из следующих действий:

• Добавить в фильтр.
• Исключить из фильтра.
• Выполнить задачи:
  • Завершить процесс.
  • Удалить файл.
  • Завершить по уникальному PID.
  • Получить файл.
  • Собрать форензику
  • Поместить файл на карантин.
  • Выполнить программу.
• Новое правило запрета.
• Изолировать от сети.
• Найти события.
• Найти обнаружения.
• Скопировать значение в буфер.

Список доступных действий зависит от типа (для Windows или Linux), версии и показателя активности Kaspersky Endpoint Agent.

По ссылке с IP-адресом раскрывается список, в котором вы можете выбрать одно из следующих действий:

• Добавить в фильтр.
• Исключить из фильтра.
• Найти обнаружения.
• Скопировать значение в буфер.

По ссылке в любом другом столбце таблицы раскрывается список, в котором вы можете выбрать одно из следующих действий:

• Добавить в фильтр.
• Исключить из фильтра.
• Скопировать значение в буфер.

Настройка отображения таблицы хостов с Kaspersky Endpoint Agent

Вы можете настроить отображение столбцов, а также порядок их следования в таблице хостов с Kaspersky Endpoint Agent.

Чтобы настроить отображение таблицы хостов с Kaspersky Endpoint Agent:

1. В окне веб-интерфейса программы выберите раздел Обнаружения.

   Откроется таблица обнаружений.

2. В заголовочной части таблицы нажмите на кнопку .
3. Отобразится окно Настройка таблицы.
4. Если вы хотите включить отображение столбца в таблице, установите флажок рядом с названием того параметра, который должен отображаться в таблице.

   Если вы не хотите, чтобы параметр отображался в таблице, снимите флажок.

   Должен быть установлен хотя бы один флажок.

5. Если вы хотите изменить порядок отображения столбцов в таблице, наведите курсор мыши на строку с нужным параметром, нажмите на кнопку и переместите строку с параметром в нужное место.
6. Если вы хотите восстановить параметры отображения таблицы по умолчанию, нажмите на ссылку По умолчанию.

Нажмите на кнопку Применить.Отображение таблицы хостов с Kaspersky Endpoint Agent будет настроено.

Просмотр информации о хосте

Чтобы просмотреть информацию о хосте c программой Kaspersky Endpoint Agent:

1. В окне веб-интерфейса программы выберите раздел Endpoint Agents.
2. Выберите хост, информацию о котором вы хотите просмотреть.

Откроется окно с информацией о хосте.

Окно содержит следующую информацию:

• Блок рекомендаций:
  • Обнаружения – ссылка, по которой открывается раздел Обнаружения с условием поиска, содержащим выбранный хост.
  • События – ссылка, по которой открывается раздел Поиск угроз с условием поиска, содержащим выбранный хост.
  • События, по которым сработали правила запрета – ссылка, по которой открывается раздел Поиск угроз с условием поиска, содержащим выбранный хост и тип события Правило запрета.

  Ссылка События, по которым сработали правила запрета не отображается в информации о хостах с программой Kaspersky Endpoint Agent для Linux.

• На закладке Сведения, в разделе Хост отображается следующая информация:
  • Имя – имя хоста с программой Kaspersky Endpoint Agent.
  • IP – IP-адрес хоста, на который установлена программа Kaspersky Endpoint Agent.
  • ОС – версия операционной системы хоста, на который установлена программа Kaspersky Endpoint Agent.
• На закладке Сведения, в разделе Endpoint Agent отображается следующая информация:
  • Версия – версия установленной программы Kaspersky Endpoint Agent.
• Активность – показатель активности программы Kaspersky Endpoint Agent. Может иметь следующие значения:
  • Нормальная активность – хосты, от которых последние данные были получены недавно.
  • Предупреждение – хосты, от которых последние данные были получены давно.
  • Критическое бездействие – хосты, от которых последние данные были получены очень давно.
• Сервер – имя сервера SCN или PCN. Отображается только в режиме распределенного решения и мультитенантности.
• Подключен к серверу – имя сервера Central Node.
• Последнее подключение – время последнего соединения с сервером Central Node, SCN или PCN.
• Лицензия – например, "OK".
• На закладке Правила запрета вы можете просмотреть, запуск или открытие файлов с какими MD5- или SHA256-хешами были запрещены на хосте. Отображается следующая информация:
  • Имя – имя файла.
  • Состояние – состояние правила запрета.
  • Хеш – алгоритм хеширования.

  Закладка Правила запрета не отображается в информации о хостах с программой Kaspersky Endpoint Agent для Linux.

• На закладке Задачи вы можете просмотреть, какие задачи были запущены на хосте. Отображается следующая информация:
  • Время создания – дата и время создания задачи.
  • Имя – название задачи.
  • Сведения – полный путь к файлу или потоку данных, для которого создана задача.
  • Состояние – статус выполнения задачи.

По ссылке с именем хоста раскрывается список, в котором вы можете выбрать одно из следующих действий:

• Выполнить задачи:
  • Завершить процесс.
  • Удалить файл.
  • Получить файл.
  • Собрать форензику.
  • Поместить файл на карантин.
  • Выполнить программу.
• Новое правило запрета.
• Изолировать от сети.
• Найти события.
• Найти обнаружения.
• Скопировать значение в буфер.

  Для хостов с программой Kaspersky Endpoint Agent для Linux в списке, который раскрывается по ссылке с именем хоста, отображаются только Получить файл, Выполнить программу, Найти события и Найти обнаружения.

По ссылке с IP-адресом раскрывается список, в котором вы можете выбрать одно из следующих действий:

• Найти обнаружения.
• Скопировать значение в буфер.

Фильтрация и поиск хостов с Kaspersky Endpoint Agent по имени хоста

Чтобы отфильтровать или найти хосты с программой Kaspersky Endpoint Agent по имени хоста:

1. В окне веб-интерфейса программы выберите раздел Endpoint Agents.

   Откроется таблица хостов.

2. По ссылке Хост откройте окно настройки фильтрации.
3. Если вы хотите, чтобы отобразились только изолированные хосты, установите флажок Показывать только изолированные Endpoint Agents.
4. В раскрывающемся списке выберите один из следующих операторов фильтрации:
   • Содержит.
   • Не содержит.
5. В поле ввода укажите один или несколько символов имени хоста.
6. Если вы хотите добавить условие фильтрации по другому критерию, нажмите на кнопку и выполните действия по указанию условия фильтрации.
7. Если вы хотите удалить условие фильтрации, нажмите на кнопку справа от поля.
8. Нажмите на кнопку Применить.

Окно настройки фильтрации закроется.

В таблице отобразятся только хосты, соответствующие заданным вами условиям.

Вы можете использовать несколько фильтров одновременно.

Фильтрация и поиск хостов с Kaspersky Endpoint Agent, изолированных от сети

Чтобы отфильтровать или найти хосты с программой Kaspersky Endpoint Agent, изолированные от сети:

1. В окне веб-интерфейса программы выберите раздел Endpoint Agents.

   Откроется таблица хостов.

2. По ссылке Хост откройте окно настройки фильтрации.
3. Установите флажок Показывать только изолированные Endpoint Agents.
4. Нажмите на кнопку Применить.

Окно настройки фильтрации закроется.

В таблице отобразятся только хосты, соответствующие заданным вами условиям.

Вы можете использовать несколько фильтров одновременно.

Фильтрация и поиск хостов с Kaspersky Endpoint Agent по именам серверов PCN и SCN

Если вы используете режим распределенного решения и мультитенантности, вы можете отфильтровать или найти хосты с программой Kaspersky Endpoint Agent по именам серверов PCN и SCN, к которым подключены эти хосты.

Чтобы отфильтровать или найти хосты с программой Kaspersky Endpoint Agent по именам серверов PCN и SCN:

1. В окне веб-интерфейса программы выберите раздел Endpoint Agents.

   Откроется таблица хостов.

2. По ссылке Серверы откройте окно настройки фильтрации.
3. Установите флажки рядом с теми именами серверов, по которым вы хотите отфильтровать или найти хосты с программой Kaspersky Endpoint Agent.
4. Нажмите на кнопку Применить.

Окно настройки фильтрации закроется.

В таблице отобразятся только хосты, соответствующие заданным вами условиям.

Вы можете использовать несколько фильтров одновременно.

Фильтрация и поиск хостов с Kaspersky Endpoint Agent по IP-адресу компьютера

Чтобы отфильтровать или найти хосты с программой Kaspersky Endpoint Agent по IP-адресу компьютера, на котором установлена программа:

1. В окне веб-интерфейса программы выберите раздел Endpoint Agents.

   Откроется таблица хостов.

2. По ссылке IP откройте окно настройки фильтрации.
3. В раскрывающемся списке выберите один из следующих операторов фильтрации:
   • Содержит.
   • Не содержит.
4. В поле ввода укажите один или несколько символов IP-адреса компьютера. Вы можете ввести IP-адрес компьютера или маску подсети в формате IPv4 (например, 192.0.0.1 или 192.0.0.0/16).
5. Если вы хотите добавить условие фильтрации по другому критерию, нажмите на кнопку и выполните действия по указанию условия фильтрации.
6. Если вы хотите удалить условие фильтрации, нажмите на кнопку справа от поля.
7. Нажмите на кнопку Применить.

Окно настройки фильтрации закроется.

В таблице отобразятся только хосты, соответствующие заданным вами условиям.

Вы можете использовать несколько фильтров одновременно.

Фильтрация и поиск хостов с Kaspersky Endpoint Agent по версии операционной системы на компьютере

Чтобы отфильтровать или найти хосты с программой Kaspersky Endpoint Agent по версии операционной системы, установленной на компьютере с программой Kaspersky Endpoint Agent:

1. В окне веб-интерфейса программы выберите раздел Endpoint Agents.

   Откроется таблица хостов.

2. По ссылке ОС откройте окно настройки фильтрации.
3. В раскрывающемся списке выберите один из следующих операторов фильтрации:
   • Содержит.
   • Не содержит.
4. В поле ввода укажите один или несколько символов версии операционной системы.
5. Если вы хотите добавить условие фильтрации по другому критерию, нажмите на кнопку и выполните действия по указанию условия фильтрации.
6. Если вы хотите удалить условие фильтрации, нажмите на кнопку справа от поля.
7. Нажмите на кнопку Применить.

Окно настройки фильтрации закроется.

В таблице отобразятся только хосты, соответствующие заданным вами условиям.

Вы можете использовать несколько фильтров одновременно.

Фильтрация и поиск хостов с Kaspersky Endpoint Agent по версии Kaspersky Endpoint Agent

Чтобы отфильтровать или найти хосты с программой Kaspersky Endpoint Agent по версии программы Kaspersky Endpoint Agent:

1. В окне веб-интерфейса программы выберите раздел Endpoint Agents.

   Откроется таблица хостов.

2. По ссылке Версия откройте окно настройки фильтрации.
3. В раскрывающемся списке выберите один из следующих операторов фильтрации:
   • Содержит.
   • Не содержит.
4. В поле ввода укажите один или несколько символов версии программы Kaspersky Endpoint Agent.
5. Если вы хотите добавить условие фильтрации по другому критерию, нажмите на кнопку и выполните действия по указанию условия фильтрации.
6. Если вы хотите удалить условие фильтрации, нажмите на кнопку справа от поля.
7. Нажмите на кнопку Применить.

Окно настройки фильтрации закроется.

В таблице отобразятся только хосты, соответствующие заданным вами условиям.

Вы можете использовать несколько фильтров одновременно.

Фильтрация и поиск хостов с Kaspersky Endpoint Agent по их активности

Чтобы отфильтровать или найти хосты с программой Kaspersky Endpoint Agent по их активности:

1. В окне веб-интерфейса программы выберите раздел Endpoint Agents.

   Откроется таблица хостов.

2. По ссылке Активность откройте окно настройки фильтрации.
3. Установите флажки рядом с одним или несколькими показателями активности программы Kaspersky Endpoint Agent:
   • Нормальная активность, если вы хотите найти хосты, от которых последние данные были получены недавно.
   • Предупреждение, если вы хотите найти хосты, от которых последние данные были получены давно.
   • Критическое бездействие, если вы хотите найти хосты, от которых последние данные были получены очень давно.
4. Нажмите на кнопку Применить.

Окно настройки фильтрации закроется.

В таблице отобразятся только хосты, соответствующие заданным вами условиям.

Вы можете использовать несколько фильтров одновременно.

Быстрое создание фильтра хостов с Kaspersky Endpoint Agent

Чтобы быстро создать фильтр хостов с программой Kaspersky Endpoint Agent:

1. В окне веб-интерфейса программы выберите раздел Endpoint Agents.

   Откроется таблица хостов.

2. Выполните следующие действия по быстрому добавлению условий фильтрации в создаваемый фильтр:
   1. Наведите курсор мыши на ссылку с тем значением столбца таблицы, которое вы хотите добавить в качестве условия фильтрации.
   2. Нажмите на левую клавишу мыши.

      Откроется список действий над значением.

   3. В открывшемся списке выберите одно из следующих действий:
      • Добавить в фильтр, если вы хотите включить это значение в условие фильтрации.
      • Исключить из фильтра, если вы хотите исключить это значение из условия фильтрации.

3. Если вы хотите добавить несколько условий фильтрации в создаваемый фильтр, выполните действия по быстрому добавлению каждого из условий фильтрации в создаваемый фильтр.

В таблице отобразятся только хосты, соответствующие заданным вами условиям.

Сброс фильтра хостов с Kaspersky Endpoint Agent

Чтобы сбросить фильтр хостов с программой Kaspersky Endpoint Agent по одному или нескольким условиям фильтрации:

1. В окне веб-интерфейса программы выберите раздел Endpoint Agents.
2. Нажмите на кнопку справа от того заголовка столбца таблицы, условия фильтрации по которому вы хотите сбросить.

   Если вы хотите сбросить несколько условий фильтрации, выполните действия по сбросу каждого из условий фильтрации.

Выбранные фильтры будут сброшены.

В таблице отобразятся только хосты, соответствующие заданным вами условиям.

Настройка показателей активности Kaspersky Endpoint Agent

Пользователи с ролью Локальный администратор и Администратор могут определить, какой период бездействия программы Kaspersky Endpoint Agent считать нормальной, низкой и очень низкой активностью, а также настроить показатели активности программы Kaspersky Endpoint Agent. Пользователям с ролью Аудитор доступен только просмотр параметров показателей активности программы Kaspersky Endpoint Agent. Пользователи с ролью Старший сотрудник службы безопасности и Сотрудник службы безопасности могут просмотреть показатели активности программы Kaspersky Endpoint Agent в столбце Активность таблицы хостов с Kaspersky Endpoint Agent в разделе Endpoint Agents окна веб-интерфейса программы.

Чтобы настроить показатели активности программы Kaspersky Endpoint Agent, выполните следующие действия:

1. Войдите в веб-интерфейс программы под учетной записью Локальный администратор, Администратор или Старший сотрудник службы безопасности.
2. В окне веб интерфейса программы выберите раздел Параметры, подраздел Endpoint Agents.
3. В полях под названием раздела введите количество дней бездействия хостов с программой Kaspersky Endpoint Agent, которое вы хотите отображать как Предупреждение и Критическое бездействие.
4. Нажмите на кнопку Применить.

Показатели активности программы Kaspersky Endpoint Agent будут настроены.

Поддерживаемые интерпретаторы и процессы

Программа Kaspersky Endpoint Agent контролирует запуск скриптов следующими интерпретаторами:

• cmd.exe;
• reg.exe;
• regedit.exe;
• regedt32.exe;
• cscript.exe;
• wscript.exe;
• mmc.exe;
• msiexec.exe;
• mshta.exe;
• rundll32.exe;
• runlegacycplelevated.exe;
• control.exe;
• explorer.exe;
• regsvr32.exe;
• wwahost.exe;
• powershell.exe;
• java.exe и javaw.exe (только при запуске с опцией –jar);
• InstallUtil.exe;
• msdt.exe;
• python.exe;
• ruby.exe;
• rubyw.exe.

Информация о процессах, контролируемых программой Kaspersky Endpoint Agent, представлена в таблице ниже.

Процессы и расширения файлов, которые они открывают