Kaspersky
Solved

KSWS 10.1 Сообщение о шифровании.

  • 5 April 2019
  • 6 replies
  • 255 views

Userlevel 3
Badge +1
День добрый.
При сработке защиты от шифрования в событиях фиксируется непонятное имя компьютера.
Версия KSWS10.1.1.746 (core3)

icon

Best answer by Oleg Bykov 5 April 2019, 12:30

Просто если бы это было реальное шифрование, то инфа о зараженном клиенте очень нужна для реагирования.

Уважаемая ТП возможно уже есть патч исправляющий данную проблему?




Здравствуйте,



Это действительно идентификатор Logon-сессии. KSWS делает маппинг в IP-адрес для этой Logon-сессии с помощью журнала Security Event Log. Чтобы маппинг происходил, нужно, чтобы в этот журнал логгировалось событие о сетевом логоне - если я не ошибаюсь, это события с ID 540. Если таких событий в WEL нет, то и преобразования Logon LUID в IP-адрес KSWS не сделает.
View original

6 replies

Userlevel 3
Badge +1
Спасибо, тему можно закрывать.
Деньд обрый.
Можете уточнить ID необходимого события для windows server 2008 R2


4624.
Userlevel 3
Badge +1
Деньд обрый.
Можете уточнить ID необходимого события для windows server 2008 R2
Просто если бы это было реальное шифрование, то инфа о зараженном клиенте очень нужна для реагирования.
Уважаемая ТП возможно уже есть патч исправляющий данную проблему?


Здравствуйте,

Это действительно идентификатор Logon-сессии. KSWS делает маппинг в IP-адрес для этой Logon-сессии с помощью журнала Security Event Log. Чтобы маппинг происходил, нужно, чтобы в этот журнал логгировалось событие о сетевом логоне - если я не ошибаюсь, это события с ID 540. Если таких событий в WEL нет, то и преобразования Logon LUID в IP-адрес KSWS не сделает.
Userlevel 3
Badge +1
Просто если бы это было реальное шифрование, то инфа о зараженном клиенте очень нужна для реагирования.
Уважаемая ТП возможно уже есть патч исправляющий данную проблему?
День добрый.
При сработке защиты от шифрования в событиях фиксируется непонятное имя компьютера.
Версия KSWS10.1.1.746 (core3)


Насколько я помню, это не имя компьютера, а идентификатор сессии, которая была заблокирована. Планировали в новых версиях доделать, но так и нет.

Reply