Создание задачи получения образа диска

Вы можете получить образ диска с выбранного хоста с компонентом Endpoint Agent для Windows. Для этого нужно создать задачу получения образа диска.

Файл, полученный в результате выполнения задачи, можно сохранить только в общем сетевом ресурсе.

Чтобы создать задачу получения образа диска:

1. В окне веб-интерфейса приложения выберите раздел Задачи.

   Откроется таблица задач.

2. Нажмите на кнопку Добавить и в раскрывающемся списке Собрать данные выберите Образ диска.

   Откроется окно создания задачи.

3. Задайте значения следующих параметров:
   1. Путь к общему ресурсу – путь к общему сетевому ресурсу.

      Вам нужно указать путь в формате Universal Naming Convention (UNC): \\server\share\path.

      Если последняя в пути папка с указанным именем отсутствует, Kaspersky Endpoint Agent создает ее. В случае неуспешного создания в веб-интерфейсе Kaspersky Anti Targeted Attack Platform отобразится ошибка.

   2. Имя пользователя – имя пользователя учетной записи для доступа к общему сетевому ресурсу.
   3. Пароль – пароль учетной записи для доступа к общему сетевому ресурсу.
   4. В блоке параметров Тип диска выберите один из вариантов:
      • Логический.
      • Физический.
   5. Если вы выбрали Логический, в поле Том введите букву диска без двоеточия и слеша или переменную %SystemDrive%.
   6. Если вы выбрали Физический, в поле Физический диск введите номер диска.
   7. Установите флажок Разбить файл на части, если вы хотите, чтобы при сохранении файл был разделен на несколько частей.
   8. Если вы установили флажок, в поле Размер части, ГБ укажите минимальный размер части сохраняемого файла.

      Минимальный размер части должен быть более одного гигабайта.

   9. Описание – описание задачи. Поле не является обязательным.
   10. Хост – IP-адрес или имя хоста, на который хотите назначить задачу.
4. Нажмите на кнопку Добавить.

Задача получения образа диска будет создана. Задача запускается автоматически после создания.

В результате выполнения задачи приложение помещает в общий сетевой ресурс архив, который содержит файл или файлы в формате EWF или RAW. Вы можете конвертировать файлы из формата RAW в формат EWF.

Если в роли компонента Endpoint Agent используется Kaspersky Endpoint Agent, вы можете назначить задачу только на хосты с Kaspersky Endpoint Agent для Windows версии 3.14 и выше.

Для пользователей с ролью Аудитор функция создания задач недоступна.

У пользователей с ролью Сотрудник службы безопасности нет доступа к задачам.

Конвертация файла из формата RAW в формат EWF

Kaspersky Endpoint Security сохраняет образ диска в формате RAW. Также файлы могут быть помещены в архив. Для конвертации файлов из формата RAW в формат EWF разработан специальный скрипт на языке Python. Скрипт постоянно выполняет поиск файлов в формате RAW в заданной папке. При обнаружении таких файлов скрипт автоматически конвертирует файлы в формат EWF.

Скрипт convert_to_ewf_monitor.py

Для работы скрипта на компьютере должно быть установлено следующее ПО:

• Библиотека для доступа к файлам Expert Witness Compression Format (EWF) – libewf.

  Библиотеке libewf является ПО с открытым кодом.

  Рекомендуется разместить файлы библиотеки и файл скрипта в одной папке.

• Интерпретатор Python.

Чтобы включить конвертацию файлов образов дисков:

1. Запустите интерпретатор командной строки.
2. Перейдите в папку, в которой расположен скрипт.
3. Выполните команду:

   py convert_to_ewf_monitor.py --source <full path to the source files folder> [additional settings]

   Параметры скрипта конвертации в EWF

   Параметр	Описание
   --source <full path to folder>	Полный путь к папке, в которой скрипт выполняет поиск исходных файлов. Скрипт также выполняет поиск файлов в подпапках по указанному пути. Это обязательный параметр.
   --destination <full path to folder>	Полный путь к папке, в которую скрипт сохраняет сконвертированные файлы. При этом структура папок сохраняется. По умолчанию скрипт сохраняет сконвертированные файлы в папке, которая указана для параметра source.
   --delete	Удаление исходных файлов после успешной конвертации. Если сконвертировать файлы не удалось, скрипт пропустит удаление исходных файлов, и вы сможете повторить попытку.
   --ewftool <full path to folder>	Полный путь к файлу ewfacquirestream.exe. Путь следует указывать с названием файла. По умолчанию скрипт пытается обнаружить файл ewfacquirestream.exe в папке, в которой расположен сам скрипт.
   --name_mask <regular expressions>	Регулярные выражения для поиска исходных файлов для конвертации. Вы можете использовать этот параметр, если вам нужно конвертировать отдельные файлы. По умолчанию скрипт выполняет поиск с помощью регулярного выражения ^diskdump_.
   --convert_single_dump	Поиск одного файла для конвертации. После успешной конвертации одного файла скрипт завершает свою работу.
   --workers_num <number of files>	Максимальное количество исходных файлов, которое скрипт может конвертировать одновременно. С помощью этого параметра вы можете оптимизировать производительность скрипта. По умолчанию скрипт может конвертировать до четырех файлов одновременно.
   --log_level <log level>	Уровень ведения журнала. По умолчанию скрипт ведет журнал DEBUG.
   --log_path <full path to folder>	Полный путь для сохранения файлов журнала. Путь следует указывать с названием файла журнала. По умолчанию скрипт показывает события в консоли интерпретатора.

В начало