Kaspersky
Question

KSC Network Threat Protection exclusions

  • 21 October 2020
  • 15 replies
  • 197 views

Добрый день.

Есть консоль KSC 11. В политику в пункт Защита от сетевых угроз внесен IP адрес нашего дополнительного сканера сетевых угроз в исключения.

Однако мы продолжаем получать алерты от KSC вида:

Component:     Network Threat Protection

Result\Description:     Blocked

Object:     TCP from ….

 

Почему это происходит, если адрес добавлен в исключения и как нам это исправить?

 

 


15 replies

Userlevel 6
Badge +4

Вы же про политику KES в итоге говорите? 
Давайте проверим настройки компонента. Приложите скриншот раздела политики (IP рекомендую замазать).

Да, про политику.

Приложил скрин.

Userlevel 2
Badge

День добрый.

Из справки “список IP-адресов внешних компьютеров, сетевую активность которых компонент Защита от сетевых угроз не блокирует при обнаружении сетевой атаки.”

Полагаю, что внесение в исключение не отменяет обнаружение атаки, а влияет на попадание “атакующего” в список блокирования.

А как прекратить обнаружение для определенного IP?

Коллеги? Есть идеи по этому поводу? Поток алертов на почту во время проверки нашей сторонней системой просто невероятен.

Userlevel 6
Badge +4

@Trollhorn , я проверил ваш сценарий на последней бета-версии 11.5 KES. Там всё чётко, добавил в список исключений, блокировок “атакующего” хоста нет, событий об этом не записывается тоже (в справке так и написано).

Какая у версия KES у вас?

Проверьте ещё раз:

  • все замки в интерфейсе политик точно должны быть закрыты;
  • применение политики на хосте, желательно прям увидеть пришедшие параметры в интерфейс KES (если получится открыть);
  • корректность указанных IP и сети в исключении.

@Demiad итак, у нас есть: KSC сервер 11 версии, клиент KES 11.4.0.233

На клиенте я вижу в ветке Network Threat Protection исключения для IP адреса, с которого мы сканириуем сеть. => Политика доезжает на устройства.

Пробежался по политике - все замки похоже закрыты.

При добавлении IP в исключения, ПО автоматически добавляет для него маску \32

Надеюсь это верно.

Но в итоге мы имеем огромный поток писем...

Userlevel 6
Badge +4

@Trollhorn маска /32 означает, что IP (до слеша) является единственным, никакого диапазона нет.

Пока могу попросить ещё раз проверить IP из события с IP/32 в исключениях.

Сейчас проверю на 11.4, вдруг на нём баг такой.

@Demiad IP скопировал прям из события.

Userlevel 6
Badge +4

@Trollhorn , проверил на 11.4, тоже работает как надо. Указываю %IP%/32 - атака не фиксируется, убираю исключение - атака сразу же находится. Ещё как назло для вас на 11.4 событий об атаке записывает шесть вместо одного (либо быстрее блокирует) по сравнению с 11.5 бета.

Посоветовать остаётся ещё:

  • попробовать воспроизвести со сканированием с других устройств. Поставьте на “атакущий” ПК какой-нибудь сканер портов, просканируйте хост с KES. На первых же секундах должно заблокировать. Затем внесите в исключение и ещё раз проверьте.
  • Если и тут исключение работать не будет, тогда точно дорога в CompanyAccount. Сразу прикладывайте трассировку KES и GetSystemInfo с событиями ОС.
  • Для разнообразия досуга можно установить KES 11.5 бета, применится политика от 11.4 спокойно и проверите будет ли на нём то же самое.
     

События же полностью у вас выглядят так?
User :    nb\User
User type :    Active user
Component :    Network Threat Protection
Result description :    Blocked
Name :    Scan.Generic.PortScan.TCP
Object :    TCP from 192.168.1.2 at 192.168.1.3:5959
Additional :    192.168.1.3
Databases release date :    Today, 10/22/2020 9:43:00 AM

@Demiad , да, события выглядят так.

Я попробовал сделать п.1. Все то же самое. Алерты падают не зависимо от того в исключениях адрес или нет…

 

Userlevel 2
Badge

День добрый.

А если попробовать вывести из под политики подопытного клиента, настроить локально исключение и проверить воспроизведение проблемы? Полагаю, это позволит понять проблема в KES или в применении политики к данному клиенту.

В общем, обновил сервер до 12-й версии, а также установил патч, который дали в Company Account.

Сейчас правила (исключения) работают как положено.

Userlevel 2
Badge

Помогая Вам решать проблему как обычно не заметили самого главного))))) О совместимости KES11.4 только с KSC12 заявлено на странице поддержки (правда немного с опечатками). https://support.kaspersky.ru/kes11#requirements 

 

@tyazhelnikov , да, в Company Acc  сразу об этом сказали.)

Reply / Ответить