Kaspersky Security Center 14 Windows
14
Русский

Содержание

Уведомления о событиях

В этом разделе описано, как выбрать способ уведомления администратора о событиях на клиентских устройствах, а также как настроить параметры уведомления о событиях.

Кроме того, описано, как проверить распространение уведомлений о событиях с помощью тестового "вируса" Eicar.

В этом разделе

Настройка параметров уведомлений о событиях

Проверка распространения уведомлений

Уведомление о событиях с помощью исполняемого файла
В начало
[Topic 153722]

Настройка параметров уведомлений о событиях

Развернуть все | Свернуть все

Kaspersky Security Center позволяет выбирать способ уведомления для администратора о событиях на клиентских устройствах и настраивать параметры уведомлений:

  • Электронная почта. При возникновении события программа посылает уведомление на указанные адреса электронной почты. Вы можете настроить текст уведомления.
  • SMS. При возникновении события программа посылает уведомления на указанные номера телефонов. Вы можете настроить отправку SMS оповещений с помощью почтового шлюза.
  • Исполняемый файл. При возникновении события на устройстве, исполняемый файл запускается на рабочем месте администратора. С помощью исполняемого файла администратор может получать параметры произошедшего события.

Чтобы настроить параметры уведомлений о событиях на клиентских устройствах:

  1. В дереве консоли выберите узел с именем нужного вам Сервера администрирования.
  2. В рабочей области узла выберите закладку События.
  3. Перейдите по ссылке Настроить параметры уведомлений и экспорта событий и в раскрывающемся списке выберите значение Настроить параметры уведомлений.

    Откроется окно Свойства: События.

  4. В разделе Уведомление выберите способ уведомления (электронная почта, SMS, исполняемый файл для запуска) и настройте параметры уведомлений:
    • Электронная почта

      На закладке Электронная почта можно настроить уведомления о событиях по электронной почте.

      В поле Получатели (адреса электронной почты) укажите адреса электронной почты, на которые будут отправляться уведомления. В этом поле можно указать несколько адресов через точку с запятой.

      В поле SMTP-серверы укажите адреса почтовых серверов через точку с запятой. Вы можете использовать следующие значения параметра:

      • IPv4-адрес или IPv6-адрес;
      • Имя устройства в сети Windows (NetBIOS-имя);
      • DNS-имя SMTP-сервера.

      В поле Порт SMTP-сервера укажите номер порта подключения к SMTP-серверу. По умолчанию установлен порт 25.

      Если вы включите параметр Использовать DNS и MX поиск, вы сможете использовать несколько MX-записей IP-адреса для одного и того же DNS-имени SMTP-сервера. Одно DNS-имя может иметь несколько MX-записей с различными приоритетами полученных электронных писем. Сервер администрирования пытается отправлять уведомления по электронной почте на SMTP-сервер в порядке возрастания приоритета MX-записей. По умолчанию параметр выключен.

      Если вы включили параметр Использовать DNS и MX поиск и не разрешили использование параметров TLS, рекомендуется использовать параметры DNSSEC на вашем серверном устройстве в качестве дополнительной меры защиты при отправке уведомлений по электронной почте.

      Перейдите по ссылке Параметры, чтобы задать дополнительные параметры:

      • Тема (название темы электронного письма).
      • Адрес отправителя электронной почты.
      • Параметры ESMTP-аутентификации.

      Вы должны указать учетную запись для аутентификации на SMTP-сервере, если для SMTP-сервера включен параметр ESMTP-аутентификации.

      • Параметры TLS для SMTP-сервера:
        • Не использовать TLS

        Вы можете выбрать этот параметр, если хотите выключить шифрование сообщений электронной почты.

        • Использовать TLS, если поддерживается SMTP-сервером

        Вы можете выбрать этот параметр, если хотите использовать TLS для подключения к SMTP-серверу. Если SMTP-сервер не поддерживает TLS, Сервер администрирования подключает SMTP-сервер без использования TLS.

        • Всегда использовать TLS, проверить срок действия сертификата Сервера

        Вы можете выбрать этот параметр, если хотите использовать параметры TLS-аутентификации. Если SMTP-сервер не поддерживает TLS, Сервер администрирования не сможет подключиться к SMTP-серверу.

      Рекомендуется использовать этот параметр для защиты соединения с SMTP-сервером. Если вы выберете этот параметр, вы можете установить параметры аутентификации для TLS-соединения.

      Если вы решите использовать значение Всегда использовать TLS, для проверки срока действия сертификата Сервера, вы можете указать сертификат для аутентификации SMTP-сервера и выбрать, хотите ли вы разрешить подключение через любую версию TLS или только через TLS 1.2 или более поздние версии. Также вы можете указать сертификат для аутентификации клиента на SMTP-сервере.

      Вы можете указать параметры TLS для SMTP-сервера:

      • Выберите файл сертификата SMTP-сервера:

      Вы можете получить файл со списком сертификатов от доверенного центра сертификации и загрузить его на Сервер администрирования. Kaspersky Security Center проверяет, подписан ли сертификат SMTP-сервера также доверенным центром сертификации. Kaspersky Security Center не может подключиться к SMTP-серверу, если сертификат SMTP-сервера не получен от доверенного центра сертификации.

      • Выберите файл сертификата клиента:

      Вы можете использовать сертификат, полученный из любого источника, например, от любого доверенного центра сертификации. Вам нужно указать сертификат и его закрытый ключ, используя один из следующих типов сертификатов:

      • Сертификат X-509:

      Вам нужно указать файл с сертификатом и файл с закрытым ключом. Оба файла не зависят друг от друга. Порядок загрузки файлов не имеет значения. Когда оба файла загружены, необходимо указать пароль для расшифровки закрытого ключа. Пароль может иметь пустое значение, если закрытый ключ не зашифрован.

      • Контейнер с сертификатом в формате PKCS#12:

      Вам нужно загрузить один файл, содержащий сертификат и закрытый ключ сертификата. Когда файл загружен, тогда необходимо указать пароль для расшифровки закрытого ключа. Пароль может иметь пустое значение, если закрытый ключ не зашифрован.

      В поле Текст уведомления содержится стандартный текст уведомления о событии, отправляемый программой при возникновении события. Текст содержит подстановочные параметры, такие как имя события, имя устройства и имя домена. Текст сообщения можно изменить, добавив новые подстановочные параметры с подробными данными события. Список подстановочных параметров доступен по нажатию на кнопку справа от поля.

      Если текст уведомления содержит знак процента (%), его нужно указать его два раза подряд, чтобы сообщение было отправлено. Например, "Загрузка процессора составляет 100%%".

      Перейдите по ссылке Настроить ограничение количества уведомлений можно указать максимальное количество уведомлений, которое программа может отправлять за указанный интервал времени.

      Нажмите на кнопку Отправить тестовое сообщение можно проверить правильность настройки сообщений. Программа отправляет тестовые сообщения на указанные адреса электронной почты.

    • SMS

      На закладке SMS можно настроить отправку SMS-уведомлений о различных событиях на мобильный телефон. SMS-сообщения отправляются через почтовый шлюз.

      В поле Получатели (адреса электронной почты) укажите адреса электронной почты, на которые будут отправляться уведомления. В этом поле можно указать несколько адресов через точку с запятой. Уведомления доставляются на телефоны, номера которых связаны с указанными адресами электронной почты.

      В поле SMTP-серверы укажите адреса почтовых серверов через точку с запятой. Вы можете использовать следующие значения параметра:

      • IPv4-адрес или IPv6-адрес;
      • Имя устройства в сети Windows (NetBIOS-имя);
      • DNS-имя SMTP-сервера.

      В поле Порт SMTP-сервера укажите номер порта подключения к SMTP-серверу. По умолчанию установлен порт 25.

      Перейдите по ссылке Параметры, чтобы задать дополнительные параметры:

      • Тема (название темы электронного письма).
      • Адрес отправителя электронной почты.
      • Параметры ESMTP-аутентификации.

      Если необходимо, вы можете указать учетную запись для аутентификации на SMTP-сервере, если для SMTP-сервера включен параметр ESMTP-аутентификации.

      • Параметры TLS для SMTP-сервера

      Вы можете отключить использование TLS, использовать TLS, если SMTP-сервер поддерживает этот протокол, или вы можете принудительно использовать только TLS. Если вы решите использовать только TLS, вы можете указать сертификат для аутентификации SMTP-сервера и выбрать, хотите ли вы разрешить подключение через любую версию TLS или только через TLS 1.2 или более поздние версии. Также, если вы решили использовать только TLS, вы можете указать сертификат для аутентификации клиента на SMTP-сервере.

      • Выберите файл сертификата SMTP-сервера

      Вы можете получить файл со списком сертификатов от доверенного центра сертификации и загрузить его в Kaspersky Security Center. Kaspersky Security Center проверяет, подписан ли сертификат SMTP-сервера также доверенным центром сертификации. Kaspersky Security Center не может подключиться к SMTP-серверу, если сертификат SMTP-сервера не получен от доверенного центра сертификации.

      Вам нужно загрузить один файл, содержащий сертификат и закрытый ключ сертификата. Когда файл загружен, тогда необходимо указать пароль для расшифровки закрытого ключа. Пароль может иметь пустое значение, если закрытый ключ не зашифрован. В поле Текст уведомления содержится стандартный текст уведомления о событии, отправляемый программой при возникновении события. Текст содержит подстановочные параметры, такие как имя события, имя устройства и имя домена. Текст сообщения можно изменить, добавив новые подстановочные параметры с подробными данными события. Список подстановочных параметров доступен по нажатию на кнопку справа от поля.

      Если текст уведомления содержит знак процента (%), его нужно указать его два раза подряд, чтобы сообщение было отправлено. Например, "Загрузка процессора составляет 100%%".

      Перейдите по ссылке Настроить ограничение количества уведомлений можно указать максимальное количество уведомлений, которое программа может отправлять за указанный интервал времени.

      По кнопке Отправить тестовое сообщение проверьте, правильно ли настроены уведомления. Программа отправляет тестовые сообщения указанным получателям.

    • Исполняемый файл для запуска

      Если выбран этот способ уведомления, в поле ввода можно указать, какая программа будет запущена при возникновении события.

      При переходе по ссылке Настроить ограничение количества уведомлений можно указать максимальное количество уведомлений, которое программа может отправлять за указанный интервал времени.

      По нажатию на кнопку Отправить пробное сообщение можно проверить правильно ли настроены сообщения: программа отправляет тестовые сообщения на указанные адреса электронной почты.

  5. В поле Текст уведомления введите текст, который программа будет отправлять при возникновении события.

    Из раскрывающегося списка, расположенного справа от текстового поля, можно добавлять в сообщение подстановочные параметры с деталями события (например, описание события, время возникновения и прочее).

    Если текст уведомления содержит символ %, нужно указать его два раза подряд, чтобы сообщение было отправлено. Например, "Загрузка процессора составляет 100%%".

  6. По кнопке Отправить тестовое сообщение проверьте, правильно ли настроены уведомления.

    Программа отправляет тестовое уведомление указанному получателю.

  7. Нажмите на кнопку ОК, чтобы сохранить изменения.

В результате настроенные параметры уведомления распространяются на все события, происходящие на клиентских устройствах.

Можно изменить значения параметров уведомлений для определенных событий в разделе Настройка событий параметров Сервера администрирования, параметров политики или параметров программы.

См. также:

Обработка и хранение событий на Сервере администрирования

Сценарий: Мониторинг и отчеты
В начало
[Topic 4944]

Проверка распространения уведомлений

Для проверки распространения уведомлений о событиях используется уведомление об обнаружении тестового "вируса" Eicar на клиентских устройствах.

Чтобы проверить распространение уведомлений о событиях:

  1. Остановите задачу постоянной защиты файловой системы на клиентском устройстве и скопируйте тестовый "вирус" Eicar на клиентское устройство. Снова включите задачу постоянной защиты файловой системы.
  2. Запустите задачу проверки клиентских устройств для группы администрирования или набора устройств, в который входит клиентское устройство с "вирусом" Eicar.

    Если задача проверки настроена верно, в процессе ее выполнения тестовый "вирус" будет обнаружен. Если параметры уведомлений настроены верно, вы получите уведомление о найденном вирусе.

    В рабочей области узла Сервер администрирования на закладке События в выборке Последние события отобразится запись об обнаружении "вируса".

Тестовый "вирус" Eicar не содержит программного кода, который может навредить вашему устройству. При этом большинство программ безопасности компаний-производителей идентифицируют его как вирус. Загрузить тестовый "вирус" можно с официального веб-сайта организации EICAR.

В начало
[Topic 4834]

Уведомление о событиях с помощью исполняемого файла

Kaspersky Security Center позволяет с помощью запуска исполняемого файла уведомлять администратора о событиях на клиентских устройствах. Исполняемый файл должен содержать другой исполняемый файл с подстановочными параметрами события, которые нужно передать администратору (см. таблицу ниже).

Подстановочные параметры для описания события

Подстановочный параметр

Описание подстановочного параметра

%SEVERITY%

Уровень важности события. Возможные значения:

  • Информационное сообщение
  • Предупреждение
  • Сбой.
  • Критическое

%COMPUTER%

Имя устройства, на котором произошло событие.

Максимальная длина имени устройства равна 256 символов.

%DOMAIN%

Имя домена устройства, на котором произошло событие.

%EVENT%

Имя типа события.

Максимальная длина названия типа события равна 50 символов.

%DESCR%

Описание события.

Максимальная длина описания равна 1000 символов.

%RISE_TIME%

Время создания события.

%KLCSAK_EVENT_TASK_DISPLAY_NAME%

Название задачи.

Максимальная длина названия задачи равна 100 символов.

%KL_PRODUCT%

Название программы.

%KL_VERSION%

Номер версии программы.

%KLCSAK_EVENT_SEVERITY_NUM%

Код уровня важности события. Возможные значения:

  • 1 – Информационное сообщение.
  • 2 – Предупреждение.
  • 3 – Сбой.
  • 4 – Критическое.

%HOST_IP%

IP-адрес устройства, на котором произошло событие.

%HOST_CONN_IP%

IP-адрес соединения устройства, на котором произошло событие.

Пример:

Для уведомления о событии используется исполняемый файл (например, script1.bat), внутри которого запускается другой исполняемый файл (например, script2.bat) с подстановочным параметром %COMPUTER%. При возникновении события на устройстве администратора будет запущен файл script1.bat, который, в свою очередь, запустит файл script2.bat с параметром %COMPUTER%. В результате администратор получит имя устройства, на котором произошло событие.

В начало
[Topic 84509]