Работа с информацией о хостах с компонентом Endpoint Agent

Приложение, выступающее в роли компонента Endpoint Agent, устанавливается на отдельные компьютеры (далее также "хосты"), входящие в IT-инфраструктуру организации. Приложение осуществляет постоянное наблюдение за процессами, запущенными на этих хостах, открытыми сетевыми соединениями и изменяемыми файлами.

Пользователи с ролью Старший сотрудник службы безопасности, Сотрудник службы безопасности, Аудитор, Локальный администратор и Администратор могут оценить регулярность получения данных с хостов с компонентом Endpoint Agent, на закладке Endpoint Agents окна веб-интерфейса сервера Central Node в рамках тех тенантов, к данным которых у них есть доступ. Если вы используете

режим распределенного решения

Двухуровневая иерархия серверов с установленными компонентами Central Node, в которой выделяется главный сервер управления – Primary Central Node (PCN) и подчиненные серверы – Secondary Central Node (SCN).

Двухуровневая иерархия серверов с установленными компонентами Central Node, в которой выделяется главный сервер управления – Primary Central Node (PCN) и подчиненные серверы – Secondary Central Node (SCN).

Двухуровневая иерархия серверов с установленными компонентами Central Node, в которой выделяется главный сервер управления – Primary Central Node (PCN) и подчиненные серверы – Secondary Central Node (SCN).

Двухуровневая иерархия серверов с установленными компонентами Central Node, в которой выделяется главный сервер управления – Primary Central Node (PCN) и подчиненные серверы – Secondary Central Node (SCN).

Двухуровневая иерархия серверов с установленными компонентами Central Node, в которой выделяется главный сервер управления – Primary Central Node (PCN) и подчиненные серверы – Secondary Central Node (SCN).

мультитенантности

Режим работы, при котором Kaspersky Anti Targeted Attack Platform используется для защиты инфраструктуры нескольких организаций или филиалов одной организации одновременно.

Режим работы, при котором Kaspersky Anti Targeted Attack Platform используется для защиты инфраструктуры нескольких организаций или филиалов одной организации одновременно.

Режим работы, при котором Kaspersky Anti Targeted Attack Platform используется для защиты инфраструктуры нескольких организаций или филиалов одной организации одновременно.

Режим работы, при котором Kaspersky Anti Targeted Attack Platform используется для защиты инфраструктуры нескольких организаций или филиалов одной организации одновременно.

Режим работы, при котором Kaspersky Anti Targeted Attack Platform используется для защиты инфраструктуры нескольких организаций или филиалов одной организации одновременно.

Пользователи с ролью Локальный администратор и Администратор могут настроить отображение регулярности получения данных с хостов с компонентом Endpoint Agent в рамках тех тенантов, к данным которых у них есть доступ.

В случае возникновения подозрительной сетевой активности пользователь с ролью Старший сотрудник службы безопасности может изолировать от сети любой из хостов с компонентом Endpoint Agent в рамках тех тенантов, к данным которых у него есть доступ. При этом соединение между сервером с компонентом Central Node и хостом с компонентом Endpoint Agent не будет прервано.

Для оказания поддержки при неполадках в работе компонента Endpoint Agent специалисты Службы технической поддержки могут попросить вас в отладочных целях выполнить следующие действия (в том числе в режиме Technical Support Mode):

• Активировать функциональность получения расширенной диагностической информации.
• Изменить параметры отдельных компонентов приложения.
• Изменить параметры хранения и отправки получаемой диагностической информации.
• Настроить перехват и сохранение в файл сетевого трафика.

Специалисты Службы технической поддержки сообщат вам необходимую для выполнения перечисленных действий информацию (описание последовательности шагов, изменяемые параметры, конфигурационные файлы, скрипты, дополнительные возможности командной строки, отладочные модули, специализированные утилиты и так далее), а также состав получаемых в отладочных целях данных. Полученная расширенная диагностическая информация сохраняется на компьютере пользователя. Автоматическая пересылка полученных данных в "Лабораторию Касперского" не выполняется.

Перечисленные выше действия должны выполняться только под руководством специалистов Службы технической поддержки по полученным от них инструкциям. Самостоятельное изменение параметров работы приложения способами, не описанными в настоящем руководстве, может привести к замедлению и сбоям в работе операционной системы, снижению уровня защиты компьютера, а также к нарушению доступности и целостности обрабатываемой информации.

Выбор тенанта для работы в разделе Endpoint Agents

Если вы используете режим распределенного решения и мультитенантности, перед началом работы в разделе Endpoint Agents вам нужно выбрать тенанты, данные по которым вас интересуют.

Чтобы выбрать тенант для работы в разделе Endpoint Agents:

1. В верхней части меню веб-интерфейса приложения нажмите на стрелку рядом с названием тенанта.
2. В раскрывшемся списке выберите тенант.

Отобразятся данные по выбранному вами тенанту. Если вы хотите изменить тенант, вам нужно повторить действия по выбору тенанта.

Просмотр таблицы хостов c компонентом Endpoint Agent на отдельном сервере Central Node

Таблица хостов с компонентом Endpoint Agent находится в разделе Endpoint Agents окна веб-интерфейса приложения.

В таблице могут отображаться следующие данные:

• Количество хостов и показатели активности компонента Endpoint Agent:
  • Критическое бездействие – количество хостов, от которых последние данные были получены очень давно.
  • Предупреждение – количество хостов, от которых последние данные были получены давно.
  • Нормальная активность – количество хостов, от которых последние данные были получены недавно.
• Хост – имя хоста с компонентом Endpoint Agent.
• Серверы – имена серверов, к которым подключен хост с компонентом Endpoint Agent.

  Поле отображается, если вы используете режим распределенного решения и мультитенантности.

• IP – IP-адрес компьютера, на который установлен компонент Endpoint Agent.
• ОС – версия операционной системы, установленной на компьютере с компонентом Endpoint Agent.
• Версия – версия приложения, которое используется в роли компонента Endpoint Agent.
• Активность – показатель активности компонента Endpoint Agent. Может принимать следующие значения:
  • Нормальная активность – хосты, от которых последние данные были получены недавно.
  • Предупреждение – хосты, от которых последние данные были получены давно.
  • Критическое бездействие – хосты, от которых последние данные были получены очень давно.
• Последнее подключение – дата и время последнего подключения компонента Endpoint Agent к серверу Central Node.

По ссылке в столбцах таблицы раскрывается список, в котором вы можете выбрать одно из следующих действий:

• Добавить в фильтр.
• Исключить из фильтра.
• Скопировать значение в буфер.

Просмотр информации о хосте

Чтобы просмотреть информацию о хосте с компонентом Endpoint Agent:

1. В окне веб-интерфейса приложения выберите раздел Endpoint Agents.
2. Выберите хост, информацию о котором вы хотите просмотреть.

Откроется окно с информацией о хосте.

Окно содержит следующую информацию:

• В разделе Хост:
  • Имя – имя хоста с компонентом Endpoint Agent.
  • IP – IP-адрес хоста, на который установлен компонент Endpoint Agent.
  • ОС – версия операционной системы на хосте, на который установлен компонент Endpoint Agent.
  • Сервер – имя сервера SCN или PCN. Отображается только в режиме распределенного решения и мультитенантности.
• В разделе Endpoint Agent:
  • Версия – версия приложения, которое используется в роли компонента Endpoint Agent.
  • Активность – показатель активности компонента Endpoint Agent. Может иметь следующие значения:
    • Нормальная активность – хосты, от которых последние данные были получены недавно.
    • Предупреждение – хосты, от которых последние данные были получены давно.
    • Критическое бездействие – хосты, от которых последние данные были получены очень давно.
  • Подключен к серверу – имя сервера, Central Node, SCN или PCN, к которому подключен хост.
  • Последнее подключение – время последнего соединения с сервером Central Node, SCN или PCN.
  • Лицензия – состояние лицензионного ключа приложения, которое используется в роли компонента Endpoint Agent.

По ссылкам с именем хоста и его IP-адресом доступно следующее действие: Скопировать значение в буфер.

Фильтрация и поиск хостов с компонентом Endpoint Agent по имени хоста

Чтобы отфильтровать или найти хосты с компонентом Endpoint Agent по имени хоста:

1. В окне веб-интерфейса приложения выберите раздел Endpoint Agents.

   Откроется таблица хостов.

2. По ссылке Хост откройте окно настройки фильтрации.
3. Если вы хотите, чтобы отобразились только изолированные хосты, установите флажок Показывать только изолированные Endpoint Agents.
4. В раскрывающемся списке выберите один из следующих операторов фильтрации:
   • Содержит.
   • Не содержит.
5. В поле ввода укажите один или несколько символов имени хоста.
6. Если вы хотите добавить условие фильтрации по другому критерию, нажмите на кнопку и выполните действия по указанию условия фильтрации.
7. Если вы хотите удалить условие фильтрации, нажмите на кнопку справа от поля.
8. Нажмите на кнопку Применить.

Окно настройки фильтрации закроется.

В таблице отобразятся только хосты, соответствующие заданным вами условиям.

Вы можете использовать несколько фильтров одновременно.

Фильтрация и поиск хостов с компонентом Endpoint Agent, изолированных от сети

Чтобы отфильтровать или найти хосты с компонентом Endpoint Agent, изолированные от сети:

1. В окне веб-интерфейса приложения выберите раздел Endpoint Agents.

   Откроется таблица хостов.

2. По ссылке Хост откройте окно настройки фильтрации.
3. Установите флажок Показывать только изолированные Endpoint Agents.
4. Нажмите на кнопку Применить.

Окно настройки фильтрации закроется.

В таблице отобразятся только хосты, соответствующие заданным вами условиям.

Вы можете использовать несколько фильтров одновременно.

Фильтрация и поиск хостов с компонентом Endpoint Agent по именам серверов PCN и SCN

Если вы используете режим распределенного решения и мультитенантности, вы можете отфильтровать или найти хосты с компонентом Endpoint Agent по именам серверов PCN и SCN, к которым подключены эти хосты.

Чтобы отфильтровать или найти хосты с компонентом Endpoint Agent по именам серверов PCN и SCN:

1. В окне веб-интерфейса приложения выберите раздел Endpoint Agents.

   Откроется таблица хостов.

2. По ссылке Серверы откройте окно настройки фильтрации.
3. Установите флажки рядом с теми именами серверов, по которым вы хотите отфильтровать или найти хосты с компонентом Endpoint Agent.
4. Нажмите на кнопку Применить.

Окно настройки фильтрации закроется.

В таблице отобразятся только хосты, соответствующие заданным вами условиям.

Вы можете использовать несколько фильтров одновременно.

Фильтрация и поиск хостов с компонентом Endpoint Agent по IP-адресу компьютера

Чтобы отфильтровать или найти хосты с компонентом Endpoint Agent по IP-адресу компьютера, на котором установлено приложение:

1. В окне веб-интерфейса приложения выберите раздел Endpoint Agents.

   Откроется таблица хостов.

2. По ссылке IP откройте окно настройки фильтрации.
3. В раскрывающемся списке выберите один из следующих операторов фильтрации:
   • Содержит.
   • Не содержит.
4. В поле ввода укажите один или несколько символов IP-адреса компьютера. Вы можете ввести IP-адрес компьютера или маску подсети в формате IPv4 (например, 192.0.0.1 или 192.0.0.0/16).
5. Если вы хотите добавить условие фильтрации по другому критерию, нажмите на кнопку и выполните действия по указанию условия фильтрации.
6. Если вы хотите удалить условие фильтрации, нажмите на кнопку справа от поля.
7. Нажмите на кнопку Применить.

Окно настройки фильтрации закроется.

В таблице отобразятся только хосты, соответствующие заданным вами условиям.

Вы можете использовать несколько фильтров одновременно.

Фильтрация и поиск хостов с компонентом Endpoint Agent по версии операционной системы на компьютере

Чтобы отфильтровать или найти хосты с компонентом Endpoint Agent по версии операционной системы, установленной на компьютере:

1. В окне веб-интерфейса приложения выберите раздел Endpoint Agents.

   Откроется таблица хостов.

2. По ссылке ОС откройте окно настройки фильтрации.
3. В раскрывающемся списке выберите один из следующих операторов фильтрации:
   • Содержит.
   • Не содержит.
4. В поле ввода укажите один или несколько символов версии операционной системы.
5. Если вы хотите добавить условие фильтрации по другому критерию, нажмите на кнопку и выполните действия по указанию условия фильтрации.
6. Если вы хотите удалить условие фильтрации, нажмите на кнопку справа от поля.
7. Нажмите на кнопку Применить.

Окно настройки фильтрации закроется.

В таблице отобразятся только хосты, соответствующие заданным вами условиям.

Вы можете использовать несколько фильтров одновременно.

Фильтрация и поиск хостов с компонентом Endpoint Agent по версии компонента

Вы можете отфильтровать хосты по версии приложения, которое используется в роли компонента Endpoint Agent.

Чтобы отфильтровать или найти хосты с компонентом Endpoint Agent по версии компонента:

1. В окне веб-интерфейса приложения выберите раздел Endpoint Agents.

   Откроется таблица хостов.

2. По ссылке Версия откройте окно настройки фильтрации.
3. В раскрывающемся списке выберите один из следующих операторов фильтрации:
   • Содержит.
   • Не содержит.
4. В поле ввода укажите один или несколько символов версии приложение, которое используется в роли компонента Endpoint Agent.
5. Если вы хотите добавить условие фильтрации по другому критерию, нажмите на кнопку и выполните действия по указанию условия фильтрации.
6. Если вы хотите удалить условие фильтрации, нажмите на кнопку справа от поля.
7. Нажмите на кнопку Применить.

Окно настройки фильтрации закроется.

В таблице отобразятся только хосты, соответствующие заданным вами условиям.

Вы можете использовать несколько фильтров одновременно.

Фильтрация и поиск хостов с компонентом Endpoint Agent по их активности

Чтобы отфильтровать или найти хосты с компонентом Endpoint Agent по их активности:

1. В окне веб-интерфейса приложения выберите раздел Endpoint Agents.

   Откроется таблица хостов.

2. По ссылке Активность откройте окно настройки фильтрации.

   Установите флажки рядом с одним или несколькими показателями активности:

   • Нормальная активность, если вы хотите найти хосты, от которых последние данные были получены недавно.
   • Предупреждение, если вы хотите найти хосты, от которых последние данные были получены давно.
   • Критическое бездействие, если вы хотите найти хосты, от которых последние данные были получены очень давно.
3. Нажмите на кнопку Применить.

Окно настройки фильтрации закроется.

В таблице отобразятся только хосты, соответствующие заданным вами условиям.

Вы можете использовать несколько фильтров одновременно.

Быстрое создание фильтра хостов с компонентом Endpoint Agent

Чтобы быстро создать фильтр хостов с компонентом Endpoint Agent:

1. В окне веб-интерфейса приложения выберите раздел Endpoint Agents.

   Откроется таблица хостов.

2. Выполните следующие действия по быстрому добавлению условий фильтрации в создаваемый фильтр:
   1. Наведите курсор мыши на ссылку с тем значением столбца таблицы, которое вы хотите добавить в качестве условия фильтрации.
   2. Нажмите на левую клавишу мыши.

      Откроется список действий над значением.

   3. В открывшемся списке выберите одно из следующих действий:
      • Добавить в фильтр, если вы хотите включить это значение в условие фильтрации.
      • Исключить из фильтра, если вы хотите исключить это значение из условия фильтрации.

3. Если вы хотите добавить несколько условий фильтрации в создаваемый фильтр, выполните действия по быстрому добавлению каждого из условий фильтрации в создаваемый фильтр.

В таблице отобразятся только хосты, соответствующие заданным вами условиям.

Сброс фильтра хостов с компонентом Endpoint Agent

Чтобы сбросить фильтр хостов с компонентом Endpoint Agent по одному или нескольким условиям фильтрации:

1. В окне веб-интерфейса приложения выберите раздел Endpoint Agents.
2. Нажмите на кнопку справа от того заголовка столбца таблицы, условия фильтрации по которому вы хотите сбросить.

   Если вы хотите сбросить несколько условий фильтрации, выполните действия по сбросу каждого из условий фильтрации.

Выбранные фильтры будут сброшены.

В таблице отобразятся только хосты, соответствующие заданным вами условиям.

Настройка показателей активности компонента Endpoint Agent

Пользователи с ролью Локальный администратор и Администратор могут определить, какой период бездействия приложения, которое используется в роли компонента Endpoint Agent, считать нормальной, низкой и очень низкой активностью, а также настроить показатели активности приложения. Пользователям с ролью Аудитор доступен только просмотр параметров показателей активности приложения. Пользователи с ролью Старший сотрудник службы безопасности и Сотрудник службы безопасности могут просмотреть показатели активности приложения в столбце Активность таблицы хостов с компонентом Endpoint Agent в разделе Endpoint Agents окна веб-интерфейса приложения.

Чтобы настроить показатели активности компонента Endpoint Agent, выполните следующие действия:

1. Войдите в веб-интерфейс приложения под учетной записью Локальный администратор, Администратор или Старший сотрудник службы безопасности.
2. В окне веб интерфейса приложения выберите раздел Параметры, подраздел Endpoint Agents.
3. В полях под названием раздела введите количество дней бездействия хостов с компонентом Endpoint Agent, которое вы хотите отображать как Предупреждение и Критическое бездействие.
4. Нажмите на кнопку Применить.

Показатели активности компонента Endpoint Agent будут настроены.

Удаление хостов с компонентом Endpoint Agent

Чтобы удалить один или несколько хостов из таблицы Endpoint Agents:

1. В окне веб-интерфейса приложения выберите раздел Endpoint Agents.
2. Установите флажки рядом с одним или несколькими хостами, которые вы хотите удалить. Вы можете выбрать все хосты, установив флажок в строке с заголовками столбцов.

   В нижней части окна отобразится панель управления.

3. Нажмите на кнопку Удалить.
4. В открывшемся окне подтверждения действия нажмите на кнопку Да.

Выбранные хосты будут удалены из таблицы Endpoint Agents.

При удалении хостов в веб-интерфейсе Kaspersky Anti Targeted Attack Platform происходят следующие изменения:

• Для удаленного хоста нельзя создать задачу, правило запрета и правило сетевой изоляции.
• Если для хоста ранее было создано правило запрета, при удалении этого хоста его имя в окне просмотра правила (поле Запрет для) будет скрыто. Правило продолжит действовать.

  При повторном подключении этого хоста к серверу Central Node имя хоста будет восстановлено в поле Запрет для и правило запрета снова будет на него распространяться.

• Если для хоста ранее было создано правило сетевой изоляции, оно продолжит действовать до истечения времени, указанного в правиле.

  При повторном подключении этого хоста к серверу Central Node правило снова будет распространяться на этот хост.

• Метаданные объектов, помещенных на карантин на удаленном хосте, удаляются из карантина Kaspersky Anti Targeted Attack Platform.

  При повторном подключении этого хоста к серверу Central Node метаданные объектов в карантине Kaspersky Anti Targeted Attack Platform не восстанавливаются. Вы можете избежать переполнения карантина на хосте, очистив его с помощью командной строки или через Kaspersky Security Center. Подробнее см. в справке приложения, которое используется в роли компонента Endpoint Agent.

• Если объект был помещен на карантин по задаче Поместить файл на карантин только на одном хосте и этот хост был удален, в окне просмотра задачи кнопка Восстановить все будет неактивна, так как восстановить файл на удаленном хосте нельзя.

Поиск событий по имени удаленного хоста остается доступным.

В начало

Автоматическое удаление неактивных хостов

Вы можете включать и отключать автоматическое удаление неактивных хостов из таблицы Endpoint Agents. Неактивными считаются хосты, которые не подключались к серверу Central Node в течение указанного вами времени.

Пользователи с ролью Аудитор могут просматривать параметры автоматического удаления неактивных хостов. Для пользователей с ролями Старший сотрудник службы безопасности и Сотрудник службы безопасности просмотр параметров недоступен.

Чтобы включить или отключить автоматическое удаление хостов из таблицы Endpoint Agents:

1. В окне веб-интерфейса приложения выберите раздел Параметры, подраздел Endpoint Agents.
2. В блоке параметров Автоматическое удаление неактивных хостов выполните следующие действия:
   • Если вы хотите включить функцию, переведите переключатель Удалять хосты в положение Включено.
   • Если вы хотите отключить функцию, переведите переключатель Удалять хосты в положение Выключено.
3. Если вы включили функцию, в поле Удалять после укажите количество дней, по истечении которых хосты, не подключавшиеся за это время к компоненту Central Node, будут считаться неактивными.

   Значение не может быть меньше 1 и больше 365.

Автоматическое удаление неактивных хостов будет включено или отключено.

Если значение, указанное в поле Удалять после, меньше значений, указанных в полях Предупреждение и / или Критическое бездействие блока параметров Индикаторы активности, хосты будут удалены раньше, чем в разделе Мониторинг отобразится предупреждение об их неактивности.

При удалении хостов в веб-интерфейсе Kaspersky Anti Targeted Attack Platform происходят следующие изменения:

• Для удаленного хоста нельзя создать задачу, правило запрета и правило сетевой изоляции.
• Если для хоста ранее было создано правило запрета, при удалении этого хоста его имя в окне просмотра правила (поле Запрет для) будет скрыто. Правило продолжит действовать.

  При повторном подключении этого хоста к серверу Central Node имя хоста будет восстановлено в поле Запрет для и правило запрета снова будет на него распространяться.

• Если для хоста ранее было создано правило сетевой изоляции, оно продолжит действовать до истечения времени, указанного в правиле.

  При повторном подключении этого хоста к серверу Central Node правило снова будет распространяться на этот хост.

• Метаданные объектов, помещенных на карантин на удаленном хосте, удаляются из карантина Kaspersky Anti Targeted Attack Platform.

  При повторном подключении этого хоста к серверу Central Node метаданные объектов в карантине Kaspersky Anti Targeted Attack Platform не восстанавливаются. Вы можете избежать переполнения карантина на хосте, очистив его с помощью командной строки или через Kaspersky Security Center. Подробнее см. в справке приложения, которое используется в роли компонента Endpoint Agent.

• Если объект был помещен на карантин по задаче Поместить файл на карантин только на одном хосте и этот хост был удален, в окне просмотра задачи кнопка Восстановить все будет неактивна, так как восстановить файл на удаленном хосте нельзя.

Поиск событий по имени удаленного хоста остается доступным.

В начало

Поддерживаемые интерпретаторы и процессы

Приложение Kaspersky Endpoint Agent контролирует запуск скриптов следующими интерпретаторами:

• cmd.exe;
• reg.exe;
• regedit.exe;
• regedt32.exe;
• cscript.exe;
• wscript.exe;
• mmc.exe;
• msiexec.exe;
• mshta.exe;
• rundll32.exe;
• runlegacycplelevated.exe;
• control.exe;
• explorer.exe;
• regsvr32.exe;
• wwahost.exe;
• powershell.exe;
• java.exe и javaw.exe (только при запуске с опцией –jar);
• InstallUtil.exe;
• msdt.exe;
• python.exe;
• ruby.exe;
• rubyw.exe.

Информация о процессах, контролируемых приложением Kaspersky Endpoint Agent, представлена в таблице ниже.

Процессы и расширения файлов, которые они открывают