Содержание
Создание задачи сбора форензики
Вы можете получить списки файлов, процессов и точек автозапуска с выбранных хостов Kaspersky Endpoint Agent для Windows. Для этого нужно создать задачу сбора форензики.
Чтобы создать задачу сбора форензики:
- В окне веб-интерфейса программы выберите раздел Задачи.
Откроется таблица задач.
- Нажмите на кнопку Добавить и в раскрывающемся списке Собрать данные выберите Форензика.
Откроется окно создания задачи.
- Задайте значения следующих параметров:
- Тип информации – тип собираемых данных. Установите флажок напротив одного, нескольких или всех параметров:
- Список процессов, если хотите получить список процессов, запущенных на хосте в момент выполнения задачи.
- Список точек автозапуска, если хотите получить список точек автозапуска.
В список точек автозапуска включаются данные о программах, добавленных в папку автозагрузки или зарегистрированных в разделах реестра Run, а также о программах, которые запускаются автоматически при загрузке хоста с Kaspersky Endpoint Agent и при входе пользователя в систему на указанных хостах.
- Список файлов, если хотите получить список файлов, хранящихся в выбранной папке или во всех папках хоста в момент выполнения задачи.
- Если вы установили флажок Список файлов, в блоке параметров Тип источника выберите один из вариантов:
- Все локальные диски, если вы хотите, чтобы в список файлов были включены файлы, хранящиеся во всех папках локальных дисков на момент выполнения задачи.
- Директория, если вы хотите, чтобы в список файлов были включены файлы, хранящиеся в указанной папке и следующих по пути папках диска на момент выполнения задачи.
- Если вы выбрали Директория, в поле Начальная директория укажите путь к папке, с которой начнется поиск файлов.
Вы можете использовать следующие префиксы:
- Системные переменные окружения.
- Пользовательские переменные окружения.
При использовании пользовательских переменных окружения в список файлов будет включена информация о файлах в папках всех пользователей, определивших указанные переменные окружения. Если пользовательские переменные окружения переопределяет системные, в список файлов будет включена информация о файлах в папках по значению системных переменных окружения.
- Хосты – IP-адрес или имя хоста, на который хотите назначить задачу.
Вы можете указать несколько хостов.
Задача получения сбора данных может быть назначена только на хосты с программой Kaspersky Endpoint Agent для Windows версии 3.10 и выше. Получение списка точек автозапуска доступно только на хостах с Kaspersky Endpoint Agent для Windows версии 3.12 и выше.
При необходимости вы можете указать следующие параметры поиска файлов в папках:
- Маска файла – маска файлов, которые должны быть включены в список файлов.
- Альтернативные потоки данных – флажок, включающий запись информации об альтернативных потоках данных в список файлов.
Если запрашиваемый файл связан с дополнительными потоками данных NTFS, в результате выполнения задачи вы получите все файлы потоков данных NTFS, с которыми связан запрашиваемый файл.
По умолчанию флажок установлен.
- Максимальный уровень вложенности – максимальный уровень вложенности папок, в которых программа будет искать файлы.
- Исключения – путь к папкам, в которых вы хотите запретить поиск информации о файлах.
- Описание – описание задачи.
- Тип информации – тип собираемых данных. Установите флажок напротив одного, нескольких или всех параметров:
- Нажмите на кнопку Добавить.
Задача сбора форензики будет создана. Задача запускается автоматически после создания.
В результате выполнения задачи программа помещает в Хранилище ZIP-архив, который содержит файл с выбранными данными. Если задача завершилась успешно, вы можете скачать архив на ваш локальный компьютер.
Для пользователей с ролью Аудитор функция создания задачи сбора форензики недоступна.
У пользователей с ролью Сотрудник службы безопасности нет доступа к задачам.