Kaspersky Security Center 云控制台
简体中文

目录

监控和报告

该部分描述了 Kaspersky Security Center 云控制台的监控和报告功能。这些功能给您一个基础架构、保护状态和统计信息的总览。

在 Kaspersky Security Center 云控制台部署之后或操作过程中,您可以配置监控和报告功能以适应您的需要。

在本部分中

方案:监控和报告

关于监控和报告的类型

控制板和小部件

报告

事件和事件分类

通知和设备状态

卡巴斯基公告

接收授权许可到期警告

Cloud Discovery
页顶
[Topic 165803]

方案:监控和报告

该部分提供在 Kaspersky Security Center 云控制台中配置监控和报告功能的方案。

先决条件

在您部署 Kaspersky Security Center 云控制台到组织网络中后,您可以开始监控它并生成其功能报告。

阶段

配置组织网络中的监控和报告分步骤进行:

  1. 配置设备状态切换

    熟悉取决于特定条件的设备状态设置。通过更改这些设置,您可以更改带有严重或警告重要级别的设备数量。当配置设备状态切换时,确保以下:

    • 新设置不与您组织的安全策略信息冲突。
    • 您可以及时对您组织网络中的重要安全事件做出反应。
  2. 配置客户端设备上的事件通知

    操作说明:配置客户端设备上的事件通知(通过电子邮件)

  3. 更改您的安全网络对病毒爆发事件的响应

    您可以在管理服务器属性中更改特定阈值。您还可以创建将被激活的更严格策略,或者创建将在发生此事件时运行的任务

  4. 查看您组织网络的安全状态

    说明:

  5. 定位不被保护的客户端设备

    说明:

  6. 检查客户端设备保护

    说明:

  7. 查看授权许可信息

    说明:

结果

完成方案后,您被通知您组织网络的保护,因此可以为进一步保护计划操作。

另请参阅:

关于监控和报告的类型

控制板和小部件

报告

事件和事件分类

通知和设备状态

卡巴斯基公告

接收授权许可到期警告

Cloud Discovery
页顶
[Topic 180118]

关于监控和报告的类型

组织网络的安全事件信息存储在管理服务器数据库。基于事件,Kaspersky Security Center 云控制台提供对于您组织网络的以下类型的监控和报告:

  • 控制板
  • 报告
  • 事件分类

控制板

控制板通过对信息进行图形显示来允许您监控您组织网络的安全趋势。

报告

报告功能允许您获取您组织网络的详细安全数字信息、保存该信息到文件、通过邮件发送它和打印它。

事件分类

事件分类提供了从管理服务器数据库中选择的指定事件集合的屏幕视图。这些事件集根据以下类别进行分组:

  • 按重要级别—严重事件功能失败警告信息事件
  • 按时间—最近事件
  • 按类型—用户请求审计事件

您可以基于 Kaspersky Security Center 云控制台界面上可以配置的设置创建和查看用户定义的事件分类。

另请参阅:

方案:监控和报告
页顶
[Topic 180005]

仪表板和小部件

本节包含有关仪表板和仪表板提供的小部件的信息。本节包括有关如何管理小部件和配置小部件设置的说明。

在本部分中

使用仪表板

添加小部件到仪表板

从仪表板隐藏小部件

移动小部件到仪表板

更改小部件尺寸或样子

更改小部件设置

关于仅仪表板模式

配置仅仪表板模式
页顶
[Topic 233381]

使用控制板

仪表板通过对信息进行图形显示来允许您监控您组织网络的安全趋势。

在 Kaspersky Security Center 云控制台的“监控和报告”区域中单击“控制板”可打开仪表板。

仪表板提供可以自定义的部件。您可以选择大量不同的部件,显示为饼图、表格、图表和列表。部件中显示的信息会自动更新,更新周期为一到两分钟。更新间隔根据不同部件而不同。您可以在任意时刻通过设置菜单在部件上手动刷新数据。

默认下,部件包含存储在管理服务器数据库中的所有事件的信息。

Kaspersky Security Center 云控制台具有以下类别的默认部件集:

  • 保护状态
  • 部署
  • 更新
  • 威胁统计
  • 其他

一些部件具有带链接的文本信息。您可以通过点击链接查看详细信息。

当配置仪表板时,您可以添加您需要的小部件隐藏您不需要的小部件更改小部件的大小或外观移动小部件以及更改它们的设置

另请参阅:

方案:监控和报告
页顶
[Topic 166064]

添加工具到控制板

要添加小部件到仪表板:

  1. 在主菜单中,转到“监控和报告 控制板”。
  2. 单击“添加或还原 Web 小部件”按钮。
  3. 在可用小部件列表,选择您要添加到仪表板的小部件。

    小部件按类别分组。要查看包含在类别中的小部件列表,点击类别名称旁边的臂章图标()。

  4. 单击“添加”按钮。

所选的小部件被添加到仪表板结尾。

您现在可以编辑所添加小部件的展示参数

另请参阅:

方案:监控和报告
页顶
[Topic 176350]

从控制板隐藏工具

要从仪表板隐藏小部件:

  1. 在主菜单中,转到“监控和报告”→“控制板”。
  2. 点击您要隐藏的小部件旁边的设置图标()。
  3. 选择隐藏 Web 小部件
  4. 在打开的“警告”窗口中,单击“确定”。

所选小部件被隐藏。稍后,您可以再次添加该小部件到仪表板

另请参阅:

方案:监控和报告
页顶
[Topic 176354]

移动工具到控制板

要移动小部件到仪表板:

  1. 在主菜单中,转到“监控和报告” → “控制板”。
  2. 点击您要移动的小部件旁边的设置图标()。
  3. 选择移动
  4. 点击您要移动小部件的地方。您仅可以选择其他小部件。

所选小部件的地方被清扫。

另请参阅:

方案:监控和报告
页顶
[Topic 176362]

更改小部件的大小或外观

对于显示图表的小部件,您可以更改其展示–线条图或线形图。对于一些小部件,您可以更改其大小:最小、中度或最大。

要更改小部件展示:

  1. 在主菜单中,转到“监控和报告” → “控制板”。
  2. 点击您要编辑的小组件旁边的设置图标()。
  3. 执行以下操作之一:
    • 要显示条形图形式的小组件,请选择“图表类型:线条”。
    • 要显示折线图形式的小组件,请选择“图表类型:线形”。
    • 要更改小组件占用的区域,请选择以下值之一:
      • 最小
      • 最小 (仅线条)
      • 中度 (饼图)
      • 中度 (线条图)
      • 最大

所选小部件的展示被更改。

另请参阅:

方案:监控和报告
页顶
[Topic 176369]

更改小部件设置

要更改小部件设置:

  1. 在主菜单中,转到“监控和报告 控制板”。
  2. 点击您要更改的小组件旁边的“设置”图标 ()。
  3. 选择显示设置
  4. 在打开的小部件设置窗口,更改所需的小部件设置。
  5. 单击“保存”保存设置。

所选小部件的设置被更改。

设置集合取决于特定小部件。以下是一些通用设置:

  • Web 小部件范围(小组件显示其信息的对象集)—例如,管理组或设备分类。
  • 选择任务(小组件显示其信息的任务)。
  • 时间间隔(在小组件中显示信息的时间间隔)—两个指定日期之间;从指定日期到当前日期;或从当前日期减去指定天数。
  • 设置状态为“严重”,如果这些被指定设置状态为“警告”,如果这些被指定(确定交通信号灯颜色的规则)。

更改小部件设置后,您可以手动刷新小部件上的数据。

要刷新小部件上的数据:

  1. 在主菜单中,转到“监控和报告” → “控制板”。
  2. 点击您要移动的工具旁边的设置图标()。
  3. 选择刷新

小部件上的数据得到刷新。

另请参阅:

方案:监控和报告
页顶
[Topic 176370]

关于仅仪表板模式

您可以为不管理网络但希望在 Kaspersky Security Center 云控制台中查看网络保护统计信息的员工(例如高层管理人员)配置“仅仪表板模式”。当用户启用此模式后,只会向用户显示带有一组预定义小部件的仪表板。因此,用户可以监视小部件中指定的统计信息,例如,所有受管理设备的保护状态、最近检测到的威胁数量或网络中最常见的威胁列表。

当用户在仅仪表板模式下工作时,将应用以下限制:

  • 主菜单不向用户显示,因此用户无法更改网络保护设置。
  • 用户不能对小部件执行任何操作,例如,添加或隐藏小部件。因此,您需要将用户需要的所有小部件都放在仪表板上并进行配置,例如,设置对象计数规则或指定时间间隔。

您不能为自己分配仅仪表板模式。如果要在此模式下工作,请联系系统管理员、受管理服务提供商 (MSP) 或在“常规功能:用户权限”功能区域中拥有“修改对象 ACL”权限的用户。

另请参阅:

配置仅仪表板模式
页顶
[Topic 229787]

配置仅仪表板模式

在开始配置仅仪表板模式之前,确保满足以下先决条件:

  • 您在“常规功能:用户权限”功能区域中拥有“修改对象 ACL”权限。如果您没有此权限,则用于配置模式的选项卡将缺失。
  • 您在“常规功能:基本功能”功能区域中拥有“读取”权限。

如果您的网络中安排了管理服务器层级,若要配置仅仪表板模式,请转到在用户 → 用户和角色 区域中用户和组选项卡上提供了用户账户的服务器。可以是主服务器或物理从属服务器。无法在虚拟服务器上调整模式。

要配置仅仪表板模式:

  1. 在主菜单中,转至用户和角色 → 用户和组,然后选择用户选项卡。
  2. 单击要使用小部件调整仪表板的用户账户名。
  3. 在打开的账户设置窗口中,选择“仪表板”选项卡。

    在打开的选项卡上,您和用户将看到相同的仪表板。

  4. 如果启用了“在仅仪表板模式下显示控制台”选项,则对切换按钮进行切换以将其禁用。

    启用此选项后,您也无法更改仪表板。禁用该选项后,您可以管理小部件。

  5. 配置仪表板外观。“仪表板”选项卡上准备的小部件级供具有可自定义账户的用户使用。用户不能更改小部件的任何设置或大小,也不能从仪表板添加或删除任何小部件。因此,请为用户调整好,以便用户可以查看网络保护统计信息。为此,在“仪表板”选项卡上,可以对小部件执行与在“监控和报告”→“控制板”区域中相同的操作:
  6. 对切换按钮进行切换以启用“在仅仪表板模式下显示控制台”选项。

    之后,只有仪表板可供用户使用。用户可以监视统计信息,但不能更改网络保护设置和仪表板外观。由于为您显示的仪表板与为用户显示的仪表板相同,您也无法更改仪表板。

    如果禁用该选项,则会为用户显示主菜单,因此用户可以在 Kaspersky Security Center 云控制台中执行各种操作,包括更改安全设置和小部件。

  7. 完成配置仅仪表板模式后,单击“保存”按钮。只有这样,准备好的仪表板才会显示给用户。
  8. 如果用户想要查看支持的卡巴斯基应用程序的统计信息并需要访问权限来执行此操作,请为用户配置权限。之后,卡巴斯基应用程序数据将在这些应用程序的小部件中显示给用户。

现在用户可以在自定义账户下登录 Kaspersky Security Center 云控制台并在仅仪表板模式下监视网络保护统计信息。

页顶
[Topic 229700]

报告

本节介绍如何使用报告、管理自定义报告模板、使用报告模板生成新报告以及创建报告交付任务。

在本部分中

使用报告

创建报告模板

查看和编辑报告模板属性

导出报告到文件

生成和浏览报告

创建报告发送任务

删除报告模板
页顶
[Topic 233382]

使用报告

报告功能允许您获取您组织网络的详细安全数字信息、保存该信息到文件、通过邮件发送它和打印它。

在 Kaspersky Security Center 云控制台的“监控和报告”区域中单击“报告”可打开报告。

默认下,报告包含 30 天内的信息。

Kaspersky Security Center 云控制台具有以下类别的默认报告集:

  • 保护状态
  • 部署
  • 更新
  • 威胁统计
  • 其他

您可以创建自定义报告模板编辑报告模板删除它们

您可以基于现有模板创建报告导出报告到文件创建报告传送任务

另请参阅:

方案:在没有管理服务器层级结构的情况下进行迁移

方案:监控和报告
页顶
[Topic 166065]

创建报告模板

要创建报告模板:

  1. 在主菜单中,转到“监控和报告”→“报告”。
  2. 单击添加

    程序将启动“新报告模板向导”。使用“下一步”按钮继续向导操作。

  3. 输入报告名称并选择报告类型。
  4. 在向导的“范围”步骤中,选择基于该报告模板,其数据会显示在报告中的客户端设备集合(管理组、设备分类、所选设备或所有网络设备)。
  5. 在向导的“报告周期”步骤中,指定报告期间。有以下可用值:
    • 在两个指定日期之间
    • 从指定日期到报告创建日期
    • 从报告创建日期减去指定天数,到报告创建日期

    该页对一些报告可能不显示。

  6. 单击“确定”关闭向导。
  7. 执行以下操作之一:
    • 单击“保存和运行”按钮以保存新报告模板并基于其运行报告。

      报告模板被保存。报告被生成。

    • 单击“保存”按钮保存新报告模板。

      报告模板被保存。

您可以使用新模板来生成和查看报告。

另请参阅:

方案:监控和报告
页顶
[Topic 176425]

查看和编辑报告模板属性

扩展所有 | 折叠所有

您可以查看和编辑报告模板的基本属性,例如,报告模板名称或显示在报告中的字段。

要查看和编辑报告模板属性:

  1. 在主菜单中,转到“监控和报告” → “报告”。
  2. 选中您要查看和编辑其属性的报告模板旁边的复选框。

    另外,您可以先生成报告,然后单击“编辑”按钮。

  3. 单击打开报告模板属性按钮。

    编辑报告 <报告名称>”窗口打开,其中已选择“常规”选项卡。

  4. 编辑报告模板属性:
    • 常规”选项卡:
      • 报告模板名称
      • 显示条目的最大数量

        如果启用该选项,显示在表格中的带有详细报告数据的条目数量不超过指定值。请注意,此选项不会影响将报告导出到文件时可包含在报告中的最大事件数。

        报告条目首先根据报告模板属性的字段 → 详细资料字段区域中指定的规则进行排序,然后仅保存第一个结果条目。带有详细报告数据的表头展示显示的条目数量和匹配其他报告模板设置的可用条目总数。

        如果禁用该选项,带有详细报告数据的表显示所有可用条目。我们不建议您禁用该选项。限制显示的报告条目数量降低数据库管理系统 (DBMS) 负载,也降低生成和导出报告的所需时间。一些报告包含太多条目。如果是这样,您可能难于阅读和分析所有。而且,您的设备可能在生成此报告时内存不够,进而您将无法查看报告。

        默认情况下已启用该选项。默认值是 1000。

        请注意,Kaspersky Security Center 云控制台界面最多可显示 2500 个条目。如果您需要查看更多数量的事件,请使用报告导出功能。

      • 单击“设置”按钮以更改为其创建报告的客户端设备集合。对于一些报告类型,按钮可能不可用。实际设置取决于创建报告模板时指定的设置。

      • 时间间隔

        单击“设置”按钮以修改报告周期。对于一些报告类型,按钮可能不可用。有以下可用值:

        • 在两个指定日期之间
        • 从指定日期到报告创建日期
        • 从报告创建日期减去指定天数,到报告创建日期
      • 包含来自从属和虚拟管理服务器的数据

        如果启用该选项,报告包含属于创建模板的管理服务器的从属和虚拟管理服务器的信息。

        如果您要仅从当前管理服务器查看数据,禁用该选项。

        默认情况下已启用该选项。

      • 嵌套级别

        报告包含位于当前管理服务器下小于或等于指定嵌套级别的从属和虚拟管理服务器的数据。

        默认值是 1。如果您必须从树中位于低级别的从属管理服务器接收信息,您可能要更改该值。

      • 数据等待间隔(分钟)

        在生成报告之前,创建报告模板的管理服务器等待从属管理服务器的数据指定分钟数。如果在该时间段后未从从属管理服务器接收到数据,报告依然运行。除了实际数据,报告还显示从缓存获取的数据(如果启用了“缓存从属管理服务器数据”选项),否则为 N/A(不可用)。

        默认值是 5 分钟。

      • 缓存从属管理服务器数据

        从属管理服务器定期传输数据到创建报告模板的管理服务器。传输的数据存储在缓存。

        如果在生成报告时当前管理服务器无法从从属管理服务器接收数据,报告显示从缓存接收的数据。数据传输到缓存的日期也被显示。

        启用该选项允许您查看从属管理服务器信息,即便实时数据无法被获取。然而,所显示数据可能过期。

        默认情况下已禁用该选项。

      • 缓存更新频率(小时)

        从属管理服务器定期传输数据到创建报告模板的管理服务器。您可以指定此时间段(以小时为单位)。如果指定 0 小时,则仅在生成报告时传输数据。

        默认值是 0。

      • 从从属管理服务器传输详细信息

        在生成的报告中,带有详细报告数据的表格包含创建报告模板的管理服务器的从属管理服务器的数据。

        启用该选项减慢报告生成并增加管理服务器之间的流量。然而,您可以在一个报告中查看所有数据。

        除了启用该选项,您可能想分析详细报告数据以检测故障从属管理服务器,然后仅为该故障管理服务器生成相同报告。

        默认情况下已禁用该选项。

    • 字段选项卡

      选择要显示在报告中的字段,使用“上移”按钮和“下移”按钮更改这些字段的顺序。使用“添加”按钮或“编辑”按钮指定是否报告中的信息必须排序并按照每个字段进行筛选。

      在“详细字段过滤器”区域中,还可以单击“转换过滤器”按钮以开始使用扩展筛选格式。通过这种格式可以使用逻辑或运算来组合各个字段中指定的筛选条件。单击该按钮后,“转换过滤器”面板在右侧打开。单击“转换过滤器”按钮以确认转换。您现在可以使用“详细资料字段”区域中的条件来定义转换的筛选器,这些条件通过逻辑或运算进行应用。

      将报告转换为支持复杂筛选条件的格式将使该报告与 Kaspersky Security Center 的早期版本(11 及更早版本)不兼容。此外,转换后的报告将不包含运行此类不兼容版本的从属管理服务器的任何数据。

  5. 单击“保存”保存设置。
  6. 关闭编辑报告<Report name>窗口。

更新的报告模板显示在报告模板列表。

另请参阅:

方案:监控和报告
页顶
[Topic 176428]

导出报告到文件

您可以将一份或多份报告保存为 XML、HTML 或 PDF。Kaspersky Security Center 云控制台允许您同时将最多 10 个报告导出为指定格式的文件。

要导出报告到文件:

  1. 在主菜单中,转到“监控和报告” → “报告”。
  2. 选择您要导出的报告。

    如果您选择超过 10 个报告,导出报告按钮将被禁用。

  3. 单击“导出报告”按钮。
  4. 在打开的窗口中,指定以下导出参数:
    • 文件名

      如果您选择导出一份报告,请指定报告文件名。

      如果您选择多个报告,报告文件名将与所选报告模板的名称一致。

    • 最大条目数

      指定报告文件中包含的最大条目数。默认值是 10,000。

    • 文件格式

      选择报告文件类型:XML、HTML 或 PDF。如果导出多个报告,所有选定的报告都会以指定格式保存为单独文件。

  5. 单击“导出报告”按钮。

报告以指定格式保存到文件。

另请参阅:

方案:监控和报告
页顶
[Topic 176429]

生成和浏览报告

要创建和查看报告,请执行以下操作:

  1. 在主菜单中,转到“监控和报告” → “报告”。
  2. 单击要用于创建报告的报告模板的名称。

将生成并显示使用所选模板的报告。

报告数据仅以英文显示,其他本地化版本不可用。

该报告将显示下列数据:

  • 在“概要”选项卡上:
    • 报告名称和类型、简要描述和报告时间段,以及为哪个设备组生成该报告的相关信息。
    • 图表显示最有代表性的报告数据。
    • 带有计算好的报告指示器的加固表格。
  • 在“详细资料”选项卡上,显示一个包含详细报告数据的表格。

另请参阅:

方案:更新第三方软件

方案:监控和报告
页顶
[Topic 176423]

创建报告发送任务

扩展所有 | 折叠所有

您可以创建传送所选报告的任务。

要创建报告传送任务:

  1. 在主菜单中,转到“监控和报告” → “报告”。
  2. 选择您要创建报告传送任务的报告模板旁边的复选框。
  3. 单击“创建传送任务”按钮。

    “新任务向导”启动。使用“下一步”按钮继续向导操作。

  4. 在向导的“新任务设置”步骤中,输入任务名称。

    默认名称为传送报告。如果已存在同名任务,则添加序列号 (<N>) 到任务名称中。

  5. 在向导的“报告配置”步骤中,指定以下设置:
    1. 要使用任务传送的报告模板。
    2. 报告格式:HTML、XLS 或 PDF。

      将报告转换为 PDF 需要 wkhtmltopdf 工具。选择 PDF 选项后,管理服务器会检查设备上是否安装了 wkhtmltopdf 工具。如果未安装该工具,应用程序将显示一条消息,提示必须在管理服务器设备上安装该工具。手动安装该工具,然后继续下一步。

    3. 报告是否使用电子邮件连同邮件通知设置一起发送。

      您最多可以指定 20 个电子邮件地址。要分隔电子邮件地址,请按 Enter 键。您还可以粘贴以逗号分隔的电子邮件地址列表,然后按 Enter 键。

  6. 在向导的“配置任务计划”步骤中,选择任务启动计划。

    有以下任务计划选项可用:

    • 手动

      任务不自动运行。您仅可以手动启动。

      默认情况下已选定该选项。

    • 每 N 分钟

      任务定期运行,按照指定分钟数间隔,从任务创建日期的指定时间开始。

      默认下,任务每 30 分钟运行一次,从当前系统时间开始。

    • 每 N 小时

      任务定期运行,按照指定小时数间隔,从指定的日期和时间开始。

      默认下,任务每 6 小时运行一次,从当前系统日期和时间开始。

    • 每 N 天

      任务定期运行,按照指定天数间隔。此外,您可以指定第一个任务运行的日期和时间。如果您为其创建任务的应用程序支持这些附加选项,则这些选项可用。

      默认下,任务每天运行一次,从当前系统日期和时间开始。

    • 每 N 星期

      任务定期运行,按照指定星期数间隔,从指定的星期和时间开始。

      默认下,任务每星期一于当前系统时间运行一次。

    • 每月

      任务定期运行,在指定月日的指定时间。

      在缺少指定日的月份,任务在最后一天运行。

      默认下,任务在每月的第一天运行,在当前系统时间。

    • 在指定的日期

      任务定期运行,在指定月日的指定时间。

      默认情况下,不选择任何月份中的日期。默认开始时间为 18:00。

    • 在检测到病毒爆发时

      任务在“病毒爆发”事件发生后运行。选择将监控病毒爆发的应用程序类型。有下列应用程序类型可用:

      • 用于工作站和文件服务器的反病毒
      • 用于周边防护的反病毒
      • 用于邮件系统的反病毒

      默认情况下选定所有应用程序类型。

      您可能想根据报告病毒爆发的安全应用程序类型运行不同的任务。此种情况下,删除您不需要的应用程序类型分类。

    • 在完成其他任务时

      当前任务在其他任务完成后启动。仅当两个任务被分配给同一设备时,此参数才有效。例如,您可能想使用“Turn on the device”选项运行开启设备任务,在它完成后,运行病毒扫描任务作为触发任务。

      您必须从表中选择触发任务以及该任务必须完成的状态(成功完成失败)。

      如有必要,您可以按如下方式搜索、排序和过滤表中的任务:

      • 在搜索栏中输入任务名称,即可根据名称搜索任务。
      • 单击排序图标可按名称对任务进行排序。

        默认情况下,任务按字母顺序升序排列。

      • 单击过滤器图标,在打开的窗口中按组过滤任务,然后单击应用按钮。
  7. 在向导的此步骤中,配置其他任务计划设置:
    • 在“任务计划”部分中,检查或重新配置先前选择的计划并设置时间间隔、月份或星期中的日期,设置病毒爆发条件或完成另一项任务作为启动任务的触发条件。如果选择了适用的计划,还可以在此部分指定开始时间。
    • 在“附加设置”部分,指定以下设置:
      • 运行错过的任务

        该选项决定在任务要启动时客户端设备在网络中不可见时任务的行为。

        如果启用该选项,系统将在下一次在客户端设备上运行 Kaspersky 应用程序时尝试启动任务。如果任务计划是“手动”、“一次”或“立即”,则设备在网络中变得可见后或包含在任务范围后,会立即启动任务。

        如果禁用此选项,则只有计划任务会在客户端设备上运行。对于“手动”、“一次”和“立即”计划,仅在网络上可见的客户端设备上运行任务。例如,您可能想为消耗资源的任务禁用该选项,您仅想在业余时间运行该任务。

        默认情况下已禁用该选项。

      • 使用任务启动自动随机延迟

        如果启用此选项,任务将在指定的时间间隔内随机在客户端设备上启动,即分布式任务启动。当计划任务运行时,分布式任务有助于避免客户端设备同时向管理服务器发出大量请求。

        当任务被创建时,根据任务中包含客户端设备的数量,分发启动时间被自动计算。然后,任务总是在计算的开始时间启动。然后当任务设置被编辑或者任务被手动启动时,计算的任务启动时间值被更改。

        如果该选项被禁用,任务根据计划在客户端设备上启动。

      • 使用任务启动自动随机延迟间隔

        如果启用此选项,任务将在指定的时间间隔内随机在客户端设备上启动。当计划任务运行时,分布式任务有助于避免客户端设备同时向管理服务器发出大量请求。

        如果该选项被禁用,任务根据计划在客户端设备上启动。

        默认情况下已禁用该选项。默认时间间隔为一分钟。

      • 如果任务运行超过该时间则停止

        在指定时间段过后,任务被自动停止,无论它是否完成。

        如果您想要中断或停止执行时间太长的任务,则启用该选项。

        默认情况下已禁用该选项。默认任务执行时间是 120 分钟。

  8. 在向导的“选择账户以运行任务”步骤中,指定用于运行任务的用户账户的凭据。
  9. 如果要在创建任务后修改其他任务设置,请在向导的“完成任务创建”步骤中启用“创建完成时打开任务详情”选项。
  10. 单击“完成”按钮创建任务并关闭向导。

    报告传送任务被创建。如果启用了“创建完成时打开任务详情”选项,任务设置窗口会打开。

另请参阅:

方案:监控和报告
页顶
[Topic 176430]

删除报告模板

要删除一个或几个报告模板:

  1. 在主菜单中,转到“监控和报告”→“报告”。
  2. 选择您要删除的报告模板旁边的复选框。
  3. 单击“删除”按钮。
  4. 在打开的窗口中,单击“确定”以确认您的选择。

所选报告模板被删除。如果这些报告模板被包含在报告传送任务中,它们也被从任务删除。

另请参阅:

方案:监控和报告
页顶
[Topic 176417][Topic 233383]

关于 Kaspersky Security Center 云控制台中的事件

Kaspersky Security Center 云控制台允许您接收受管理设备上安装的管理服务器和 Kaspersky 应用程序在操作期间发生的事件信息。事件信息保存在管理服务器数据库。您可以导出这些信息到外部 SIEM 系统。导出事件信息到外部 SIEM 系统使 SIEM 系统管理员可以快速响应发生在受管理设备或设备组上的安全系统事件。

按类型划分的事件

Kaspersky Security Center 云控制台中有以下类型的事件:

  • 常规事件。这些事件发生在所有受管理 Kaspersky 应用程序中。常规事件的一个示例是病毒爆发常规事件具有严格定义的语法和语义。常规事件用于报告和仪表板等方面。
  • 受管理 Kaspersky 应用程序特定事件。每个受管理 Kaspersky 应用程序都拥有自己的事件集。

按来源划分的事件

您可以在应用程序策略的“事件配置”选项卡上查看应用程序可以生成的事件的完整列表。对于管理服务器,您还可以在管理服务器属性中查看事件列表。

以下应用程序可以生成事件:

  • Kaspersky Security Center 云控制台组件:
  • 受管理的卡巴斯基应用程序

    有关受管理的卡巴斯基应用程序生成的事件的详细信息,请参阅相应应用程序的文档。

按重要性级别划分的事件

每个事件都有自己的重要级别。取决于发生的条件,一个事件可以被分配不同的重要级别。四个事件重要级别如下:

  • 严重事件指示发生了可能导致数据丢失、操作系统异常或严重错误的严重问题。
  • 功能失败指示在应用程序操作中或执行过程中发生了严重问题、错误或功能异常。
  • 警告是不严重的事件,但是也指示了今后可能发生的潜在问题。如果在事件发生后应用程序可以被恢复而不丢失数据或功能,则这些事件是警告级别。
  • 信息事件用于提示成功完成操作、应用程序的正常功能或完成了某过程。

每个事件都有一个存储期限,在这时间内您可以在 Kaspersky Security Center 云控制台中查看或修改。一些事件默认下不保存在管理服务器数据库,因为它们的存储期限是零。仅可以在管理服务器数据库中保存至少一天的事件可以被导出到外部系统。

另请参阅:

Kaspersky Security Center 云控制台组件事件

配置导出事件到 SIEM 系统
页顶
[Topic 151331]

Kaspersky Security Center 云控制台组件事件

每个 Kaspersky Security Center 云控制台组件都拥有自己的事件类型集。本节列出了 Kaspersky Security Center 云控制台管理服务器和网络代理中发生的事件类型。Kaspersky 应用程序中发生的事件类型不在此区域列出。

对于应用程序可以生成的每个事件,您可以在应用程序策略的事件配置选项卡上指定通知设置和存储设置。对于管理服务器,您还可以在管理服务器属性中查看和配置事件列表。如果想要一次为所有事件配置通知设置,请在管理服务器属性中配置常规通知设置

在本部分中

事件类型描述的数据结构

管理服务器事件

网络代理事件

另请参阅:

方案:监控和报告
页顶
[Topic 151336]

事件类型描述的数据结构

对于每个事件类型,它的显示名称、ID、字母码、描述和默认存储期限被提供。

  • 事件类型显示名称。该文本当您配置事件时和它们发生时被显示在 Kaspersky Security Center 云控制台中。
  • 事件类型 ID。该数码在您使用第三方工具分析事件时使用。
  • 事件类型(字母码)。当您使用 Kaspersky Security Center 云控制台数据库中提供的公共视图浏览​​和处理事件时,将使用此代码。
  • 描述。该文本包含事件发生的情况以及此种情况下您可以做的事。
  • 默认存储期限。这是事件存储在管理服务器数据库的天数,显示在管理服务器事件列表中。该时间段之后,事件被删除。如果事件存储期限值是 0,此类事件被检测但不显示在管理服务器事件列表。

另请参阅:

Kaspersky Security Center 云控制台组件事件
页顶
[Topic 181756][Topic 184666]

管理服务器严重事件

该表显示具有“严重”重要性级别的 Kaspersky Security Center 云控制台管理服务器事件。

对于应用程序可以生成的每个事件,您可以在应用程序策略的事件配置选项卡上指定通知设置和存储设置。对于管理服务器,您还可以在管理服务器属性中查看和配置事件列表。如果想要一次为所有事件配置通知设置,请在管理服务器属性中配置常规通知设置

管理服务器严重事件

事件类型显示名称

事件类型 ID

事件类型

描述

默认存储期限

已超过授权许可数量限制

4099

KLSRV_EV_LICENSE_CHECK_MORE_110

每天一次,Kaspersky Security Center 云控制台检查是否超过授权许可限制。

当管理服务器发现安装在客户端设备上的 Kaspersky 应用程序超过了授权许可限制,以及由单一授权许可覆盖的当前使用的授权许可单元数量超过了该授权许可覆盖的单元总数的 110%,则该类型的事件发生。

即便当该事件发生时,客户端设备是被保护的。

您可以通过以下方式响应事件:

  • 查看受管理设备列表。删除不在使用的设备。
  • 为更多设备提供授权许可(添加有效的激活码或密钥文件到管理服务器)。

Kaspersky Security Center 云控制台决定当超过授权许可限制时生成事件的规则

180 天

病毒爆发

26 (对于文件威胁防护)

GNRL_EV_VIRUS_OUTBREAK

当短时间内在若干受管理设备上检测到的恶意对象数量超过阈值时,该类型的事件发生。

您可以通过以下方式响应事件:

  • 您可以在管理服务器属性中配置阈值。
  • 您也可以创建严格策略以便被激活,或者创建任务以便在事件发生时运行。

180 天

病毒爆发

27 (对于邮件威胁防护)

GNRL_EV_VIRUS_OUTBREAK

当短时间内在若干受管理设备上检测到的恶意对象数量超过阈值时,该类型的事件发生。

您可以通过以下方式响应事件:

  • 您可以在管理服务器属性中配置阈值。
  • 您也可以创建严格策略以便被激活,或者创建任务以便在事件发生时运行。

180 天

病毒爆发

28 (对于防火墙)

GNRL_EV_VIRUS_OUTBREAK

当短时间内在若干受管理设备上检测到的恶意对象数量超过阈值时,该类型的事件发生。

您可以通过以下方式响应事件:

  • 您可以在管理服务器属性中配置阈值。
  • 您也可以创建严格策略以便被激活,或者创建任务以便在事件发生时运行。

180 天

设备已失去管理

4111

KLSRV_HOST_OUT_CONTROL

如果受管理设备在网络中可见,但指定时间未连接到管理服务器,则该类型的事件发生。

找到什么阻止了设备上网络代理的正常功能。可能的原因包括网络问题和从设备卸载网络代理。

180 天

设备状态是“严重”

4113

KLSRV_HOST_STATUS_CRITICAL

当受管理设备被分配严重状态时,该类型的事件发生。您可以配置设备状态被更改到严重的条件。

180 天

受限制功能模式

4130

KLSRV_EV_LICENSE_SRV_LIMITED_MODE

当 Kaspersky Security Center 云控制台开始用基本功能操作,没有“漏洞和补丁管理”和“移动设备管理”功能时,该类型的事件发生。

以下是事件发生的原因和正确响应:

  • 授权许可期限已过期。提供授权许可以使用 Kaspersky Security Center 云控制台的完整功能模式(添加有效的激活码或密钥文件到管理服务器)。
  • 管理服务器管理比授权许可限制更多的设备。从管理服务器的管理组移动设备到其他管理服务器的管理组(如果其他管理服务器的授权许可限制允许)。

180 天

授权许可即将过期

4129

KLSRV_EV_LICENSE_SRV_EXPIRE_SOON

商业授权许可的失效日期即将到来时,会发生此类事件。

Kaspersky Security Center 每天检查一次授权许可到期日期是否临近。此类型的事件在授权许可到期之前 30 天、15 天、5 天 和 1 天发布。该天数无法被更改。如果管理服务器在授权许可到期日之前的指定日期被关闭,则事件直到第二天才发布。

当商业授权许可到期时,Kaspersky Security Center 云控制台仅提供基本功能。

您可以通过以下方式响应事件:

180 天

MDM 证书已过期

4132

KLSRV_CERTIFICATE_EXPIRED

当移动设备管理的管理服务器证书过期时,会发生此类事件。

您需要更新过期的证书。

180 天

卡巴斯基应用程序模块更新已撤销

4142

KLSRV_SEAMLESS_UPDATE_REVOKED

如果无缝更新被 Kaspersky 技术专家撤销(这些更新显示“已撤销”状态),例如它们必须更新到新版本,则会发生该类型事件。该事件涉及 Kaspersky Security Center 云控制台补丁,但不涉及受管理 Kaspersky 应用程序的模块。事件提供无缝更新未被安装的原因。

180 天

审计:导出到 SIEM 失败

5130

KLAUD_EV_SIEM_EXPORT_ERROR

当由于与 SIEM 系统的连接错误而将事件导出到 SIEM 系统失败时,会发生此类事件。

180 天

另请参阅:

管理服务器事件

关于 Kaspersky Security Center 云控制台中的事件

管理服务器功能失败事件

管理服务器信息事件

管理服务器警告事件
页顶
[Topic 177080]

管理服务器功能失败事件

该表显示具有“功能失败”重要性级别的 Kaspersky Security Center 云控制台管理服务器事件。

对于应用程序可以生成的每个事件,您可以在应用程序策略的事件配置选项卡上指定通知设置和存储设置。对于管理服务器,您还可以在管理服务器属性中查看和配置事件列表。如果想要一次为所有事件配置通知设置,请在管理服务器属性中配置常规通知设置

管理服务器功能失败事件

事件类型显示名称

事件类型 ID

事件类型

描述

默认存储期限

已授权应用程序组之一的安装已超过限制

4126

KLSRV_INVLICPROD_EXCEDED

管理服务器定期生成该类型的事件(每小时)。如果您在 Kaspersky Security Center 云控制台中管理第三方应用程序的授权许可密钥,并且安装数量超过了第三方应用程序授权许可密钥所设置的限制,则会发生该类型事件。

您可以通过以下方式响应事件:

  • 查看受管理设备列表。从未使用第三方应用程序的设备上删除该应用程序。
  • 为更多设备使用第三方授权许可。

您可以使用已授权应用程序组的功能管理第三方应用程序的授权许可密钥。这是一组由满足您所设标准的第三方应用程序组成的授权应用程序群组。

180 天

轮询云段失败

4143

KLSRV_KLCLOUD_SCAN_ERROR

当管理服务器无法在云环境中轮询网段时,将发生此类事件。读取事件描述中的详细信息,并相应做出响应。

未存储

另请参阅:

管理服务器事件

管理服务器严重事件

管理服务器信息事件

管理服务器警告事件

关于 Kaspersky Security Center 云控制台中的事件
页顶
[Topic 177081]

管理服务器警告事件

该表显示具有“警告”重要性级别的 Kaspersky Security Center 云控制台管理服务器事件。

对于应用程序可以生成的每个事件,您可以在应用程序策略的事件配置选项卡上指定通知设置和存储设置。对于管理服务器,您还可以在管理服务器属性中查看和配置事件列表。如果想要一次为所有事件配置通知设置,请在管理服务器属性中配置常规通知设置

管理服务器警告事件

事件类型显示名称

事件类型 ID

事件类型

描述

默认存储期限

已超过授权许可数量限制

4098

KLSRV_EV_LICENSE_CHECK_100_110

每天一次,Kaspersky Security Center 云控制台检查是否超过授权许可限制。

当管理服务器发现安装在客户端设备上的 Kaspersky 应用程序超过了授权许可限制,以及由单一授权许可覆盖的当前使用的授权许可单元数量达到了该授权许可覆盖的单元总数的 100% 到 110%,则该类型的事件发生。

即便当该事件发生时,客户端设备是被保护的。

您可以通过以下方式响应事件:

  • 查看受管理设备列表。删除不在使用的设备。
  • 为更多设备提供授权许可(添加有效的激活码或密钥文件到管理服务器)。

Kaspersky Security Center 云控制台决定当超过授权许可限制时生成事件的规则

90 天

设备在网络上已长时间没有活动

4103

KLSRV_EVENT_HOSTS_NOT_VISIBLE

当受管理设备在一段时间内显示出不活动状态时,会发生此类事件。

这种情况通常发生在受管理设备已解除授权时。

您可以通过以下方式响应事件:

90 天

设备名称冲突

4102

KLSRV_EVENT_HOSTS_CONFLICT

当管理服务器将两台或更多受管理设备视为单台设备时,会发生此类事件。

虽然Kaspersky Security Center 云控制台中不支持克隆,如果您使用第三方工具进行克隆,该事件可能发生。为了避免此事件,当复制安装了网络代理的设备的镜像时,您必须满足以下建议:

  • 在参考设备上,停止网络代理服务并使用 -dupfix 参数运行 klmover 实用工具。在镜像捕获操作完成之前请避免任何网络代理服务的运行。
  • 请确保 klmover 实用程序将使用 -dupfix 参数运行(强制需求)在目标设备网络代理服务第一次运行之前,在镜像部署后的操作系统第一次启动时。

klmover 实用程序包含在网络代理安装包中。

如果捕获没有安装网络代理的设备的镜像,请在目标设备上进行镜像部署,然后部署网络代理。您必须使用设备的独立安装包提供对网络文件夹的访问权限。

90 天

设备状态是“警告”

4114

KLSRV_HOST_STATUS_WARNING

当受管理设备被分配警告状态时,该类型的事件发生。您可以配置设备状态被更改到警告的条件。

90 天

已授权应用程序组之一的安装即将达到限制

4127

KLSRV_INVLICPROD_FILLED

当已授权应用程序组中包含的第三方应用程序安装数量达到授权许可密钥属性中指定的最大允许值的 90% 时,将发生此类事件。

您可以通过以下方式响应事件:

  • 如果某些受管理设备上未使用第三方应用程序,请从这些设备中删除该应用程序。
  • 如果您预计第三方应用程序安装数量将在不久的将来超过允许的最大值,请考虑预先获取更多设备的第三方授权许可。

您可以使用已授权应用程序组的功能管理第三方应用程序的授权许可密钥。

90 天

证书已被请求

4133

KLSRV_CERTIFICATE_REQUESTED

当自动重新颁发移动设备管理证书失败时,将发生此类事件。

以下是事件的可能原因和对事件的适当响应:

  • 对禁用了“证书已被请求”选项的证书启动自动重新发布。这可能是由于在证书创建过程中发生的错误所致。可能需要手动重新颁发证书。
  • 如果使用与公钥基础结构的集成,则原因可能是用于与 PKI 集成和用于颁发证书的账户缺少 SAM-Account-Name 属性。查看账户属性。

90 天

证书已删除

4134

KLSRV_CERTIFICATE_REMOVED

当管理员删除了移动设备管理的任何类型的证书(通用、邮件、VPN)时,会发生此类事件。

删除证书后,通过此证书连接的移动设备将无法连接到管理服务器。

在调查与移动设备管理相关的故障时,此事件可能会有所帮助。

90 天

APNs 证书已过期

4135

KLSRV_APN_CERTIFICATE_EXPIRED

当 APNs 证书过期时,会发生此类事件。

您需要手动续订 APNs 证书并将其安装在 iOS MDM 服务器上。

90 天

APNs 证书即将过期

4136

KLSRV_APN_CERTIFICATE_EXPIRES_SOON

当 APNs 证书距离过期不到 14 天时,会发生此类事件。

当 APNs 证书过期时,您需要手动续订 APNs 证书并将其安装在 iOS MDM 服务器上。

我们建议您在过期日期前安排 APNs 证书续订。

90 天

发送 FCM 消息到移动设备失败

4138

KLSRV_GCM_DEVICE_ERROR

当移动设备管理配置为使用 Google Firebase Messaging (FCM) 连接到具有 Android 操作系统的受管理移动设备,并且 FCM 服务器无法处理从管理服务器收到的某些请求时,会发生此类事件。这意味着某些受管理移动设备不会收到推送通知。

读取事件描述详细信息中的 HTTP 代码,并相应做出响应。有关从 FCM 服务器收到的 HTTP 代码以及相关错误的更多信息,请参阅 Google Firebase 服务文档(参见“下游消息错误响应代码”一章)。

90 天

发送 FCM 消息到 FCM 服务器时发生 HTTP 错误

4139

KLSRV_GCM_HTTP_ERROR

当移动设备管理配置为使用 Google Firebase Messaging (FCM) 连接到具有 Android 操作系统的受管理移动设备,并且 FCM 服务器回复管理服务器请求的 HTTP 代码不是 200(正常)时,会发生此类事件。

以下是事件的可能原因和对事件的适当响应:

  • FCM 服务器端出现问题。读取事件描述详细信息中的 HTTP 代码,并相应做出响应。有关从 FMC 服务器收到的 HTTP 代码以及相关错误的更多信息,请参阅 Google Firebase 服务文档(参见“下游消息错误响应代码”一章)。
  • 代理服务器端出现问题(如果使用代理服务器)。读取事件详细信息中的 HTTP 代码,并相应做出响应。

90 天

发送 FCM 消息到 FCM 服务器失败

4140

KLSRV_GCM_GENERAL_ERROR

使用 Google Firebase Cloud Messaging HTTP 协议时,由于管理服务器端发生意外错误,而发生此类事件。

读取事件描述中的详细信息,并相应做出响应。

如果您自己找不到问题的解决方案,建议与 Kaspersky 技术支持联系。

90 天

到从属管理服务器的连接已中断

4116

KLSRV_EV_SLAVE_SRV_DISCONNECTED

当与从属管理服务器的连接中断时,会发生此类事件。

读取安装了从属管理服务器的设备上的操作系统日志,并相应做出响应。

90 天

到主管理服务器的连接已中断

4118

KLSRV_EV_MASTER_SRV_DISCONNECTED

当与主管理服务器的连接中断时,会发生此类事件。

读取安装了主管理服务器的设备上的操作系统日志,并相应做出响应。

90 天

审计:到 SIEM 服务器的连接测试失败

5120

KLAUD_EV_SIEM_TEST_FAILED

当 SIEM 服务器的自动连接测试失败时,会发生此类事件。

90 天

另请参阅:

管理服务器事件

关于 Kaspersky Security Center 云控制台中的事件

管理服务器严重事件

管理服务器功能失败事件

管理服务器信息事件
页顶
[Topic 177082]

管理服务器信息事件

该表显示具有“信息”重要性级别的 Kaspersky Security Center 云控制台管理服务器事件。

对于应用程序可以生成的每个事件,您可以在应用程序策略的事件配置选项卡上指定通知设置和存储设置。对于管理服务器,您还可以在管理服务器属性中查看和配置事件列表。如果想要一次为所有事件配置通知设置,请在管理服务器属性中配置常规通知设置

管理服务器信息事件

事件类型显示名称

事件类型 ID

事件类型

描述

默认存储期限

授权许可密钥的 90% 已经使用

4097

KLSRV_EV_LICENSE_CHECK_90

当管理服务器检测到安装在客户端设备上的 Kaspersky 应用程序快超过授权许可限制,以及由单一授权许可覆盖的当前使用的授权许可单元数量构成该授权许可覆盖的单元总数的 90%,则该类型的事件发生。

即使超出许可限制,客户端设备仍受到保护。

您可以通过以下方式响应事件:

  • 查看受管理设备列表。删除不在使用的设备。
  • 为更多设备提供授权许可(添加有效的激活码或密钥文件到管理服务器)。

Kaspersky Security Center 云控制台决定当超过授权许可限制时生成事件的规则

30 天

已检测到新设备

4100

KLSRV_EVENT_HOSTS_NEW_DETECTED

发现新的联网设备时,就会发生此类事件。

30 天

设备已被根据规则自动移动

4101

KLSRV_EVENT_HOSTS_NEW_REDIRECTED

当设备根据设备移动规则被分配到某个组时,会发生此类事件。

30 天

设备已从组中删除:长时间在网络中不活动

4104

KLSRV_INVISIBLE_HOSTS_REMOVED

当设备因处于非活动状态而被自动从组中删除时,会发生此类事件。

30 天

已授权应用程序组之一的安装即将超过限制(已经使用 95% 以上)

4128

KLSRV_INVLICPROD_EXPIRED_SOON

当已授权应用程序组中包含的第三方应用程序安装数量达到授权许可密钥属性中指定的最大允许值的 90% 时,将发生此类事件。

您可以通过以下方式响应事件:

  • 如果某些受管理设备上未使用第三方应用程序,请从这些设备中删除该应用程序。
  • 如果您预计第三方应用程序安装数量将在不久的将来超过允许的最大值,请考虑预先获取更多设备的第三方授权许可。

您可以使用已授权应用程序组的功能管理第三方应用程序的授权许可密钥。

30 天

找到了要发送至卡巴斯基以分析的文件

4131

KLSRV_APS_FILE_APPEARED

 

30 天

此移动设备上的 FCM 实例 ID 已被更改

4137

KLSRV_GCM_DEVICE_REGID_CHANGED

当设备上的 Firebase Cloud Messaging 令牌发生变化时,会发生此类事件。

有关 FCM 令牌轮换的信息,请参阅 Firebase 服务文档

30 天

更新已被成功复制到指定文件夹

4122

KLSRV_UPD_REPL_OK

当“将更新下载至管理服务器存储库”任务完成将文件复制到指定文件夹时,会发生此类事件。

30 天

到从属管理服务器的连接已建立

4115

KLSRV_EV_SLAVE_SRV_CONNECTED

有关详细信息,请参阅以下主题:创建管理服务器层级:添加从属管理服务器

30 天

到主管理服务器的连接已建立

4117

KLSRV_EV_MASTER_SRV_CONNECTED

 

30 天

数据库已更新

(在 Kaspersky Security Center 云控制台中,此事件类型仅适用于从属管理服务器。)

4144

KLSRV_UPD_BASES_UPDATED

当“将更新下载至管理服务器存储库”任务完成数据库更新时,会发生此类事件。

30 天

KSN 代理已启动。KSN 可用性检查已成功完成

7718

KSNPROXY_STARTED_CON_CHK_OK

 

30 天

KSN 代理已停止

7720

KSNPROXY_STOPPED

 

30 天

审计:到管理服务器的连接已建立

4147

KLAUD_EV_SERVERCONNECT

 

30 天

审计:对象已修改

4148

KLAUD_EV_OBJECTMODIFY

该事件追踪以下对象中的更改:

  • 管理组
  • 安全组
  • 用户
  • 任务
  • 任务
  • 策略
  • 服务器
  • 虚拟服务器

30 天

审计:对象状态已更改

4150

KLAUD_EV_TASK_STATE_CHANGED

例如,当任务以错误失败时会发生该事件。

30 天

审计:组设置已修改

4149

KLAUD_EV_ADMGROUP_CHANGED

安全组已被编辑时,会发生此类事件。

30 天

审计:已从管理服务器导入或导出加密密钥

5100

KLAUD_EV_DPEKEYSEXPORT

 

30 天

审计:到 SIEM 服务器的连接测试成功

5110

KLAUD_EV_SIEM_TEST_SUCCESS

 

30 天

另请参阅:

管理服务器事件
页顶
[Topic 177083]

网络代理事件

该部分包含管网络代理相关事件信息。

在本部分中

网络代理功能失败事件

网络代理警告事件

网络代理信息事件

另请参阅:

Kaspersky Security Center 云控制台组件事件
页顶
[Topic 184667]

网络代理功能失败事件

下表显示具有“功能失败”严重级别的 Kaspersky Security Center 网络代理事件。

对于应用程序可以生成的每个事件,您可以在应用程序策略的事件配置选项卡上指定通知设置和存储设置。如果想要一次为所有事件配置通知设置,请在管理服务器属性中配置常规通知设置

网络代理功能失败事件

事件类型显示名称

事件类型 ID

事件类型

描述

默认存储期限

更新安装错误

7702

KLNAG_EV_PATCH_INSTALL_ERROR

如果Kaspersky Security Center 云控制台组件自动更新和补丁未成功,则该类型的事件发生。事件不包含受管理 Kaspersky 应用程序的更新。

阅读事件描述。管理服务器上的 Windows 问题可能是该事件的原因。如果描述提到 Windows 配置的任何问题,解决该问题。

30 天

安装第三方软件更新失败

7697

KLNAG_EV_3P_PATCH_INSTALL_ERROR

如果“漏洞和补丁管理”和“移动设备管理”功能正在使用且第三方软件更新未成功,则该类型的事件发生。

检查到第三方软件的链接是否合法。阅读事件描述。

30 天

安装 Windows Update 更新失败

7717

KLNAG_EV_WUA_INSTALL_ERROR

如果 Windows 更新未成功,则该类型的事件发生。在网络代理策略中配置 Windows 更新。

阅读事件描述。在 Microsoft 知识库中查找错误。如果您无法自己解决问题,请联系 Microsoft 技术支持。

30 天

另请参阅:

网络代理警告事件

网络代理信息事件
页顶
[Topic 165484]

网络代理警告事件

下表显示具有“警告”严重级别的 Kaspersky Security Center 网络代理事件。

对于应用程序可以生成的每个事件,您可以在应用程序策略的事件配置选项卡上指定通知设置和存储设置。如果想要一次为所有事件配置通知设置,请在管理服务器属性中配置常规通知设置

网络代理警告事件

事件类型显示名称

事件类型 ID

事件类型

默认存储期限

在安装软件模块更新期间返回了警告

7701

KLNAG_EV_PATCH_INSTALL_WARNING

30 天

第三方软件更新安装已完成但存在警告

7696

KLNAG_EV_3P_PATCH_INSTALL_WARNING

30 天

第三方软件更新安装已延时

7698

KLNAG_EV_3P_PATCH_INSTALL_SLIPPED

30 天

发生了安全问题

549

GNRL_EV_APP_INCIDENT_OCCURED

30 天

KSN 代理已启动。检查 KSN 可用性失败

7718

KSNPROXY_STARTED_CON_CHK_FAILED

30 天

另请参阅:

网络代理功能失败事件

网络代理信息事件
页顶
[Topic 173538]

网络代理信息事件

下表显示具有“信息”严重级别的 Kaspersky Security Center 网络代理事件。

对于应用程序可以生成的每个事件,您可以在应用程序策略的事件配置选项卡上指定通知设置和存储设置。如果想要一次为所有事件配置通知设置,请在管理服务器属性中配置常规通知设置

网络代理信息事件

事件类型显示名称

事件类型 ID

事件类型

默认存储期限

软件模块更新已成功安装

7699

KLNAG_EV_PATCH_INSTALLED_SUCCESSFULLY

30 天

软件模块更新安装已启动

7700

KLNAG_EV_PATCH_INSTALL_STARTING

30 天

应用程序已安装

7703

KLNAG_EV_INV_APP_INSTALLED

30 天

应用程序已卸载

7704

KLNAG_EV_INV_APP_UNINSTALLED

30 天

已安装监控的应用程序

7705

KLNAG_EV_INV_OBS_APP_INSTALLED

30 天

已卸载监控的应用程序

7706

KLNAG_EV_INV_OBS_APP_UNINSTALLED

30 天

已安装第三方应用程序

7707

KLNAG_EV_INV_CMPTR_APP_INSTALLED

30 天

已添加新设备

7708

KLNAG_EV_DEVICE_ARRIVAL

30 天

设备已被删除

7709

KLNAG_EV_DEVICE_REMOVE

30 天

设备已被检测

7710

KLNAG_EV_NAC_DEVICE_DISCOVERED

30 天

设备已被授权

7711

KLNAG_EV_NAC_HOST_AUTHORIZED

30 天

Windows 桌面共享:文件已读取

7712

KLUSRLOG_EV_FILE_READ

30 天

Windows 桌面共享:文件已修改

7713

KLUSRLOG_EV_FILE_MODIFIED

30 天

Windows 桌面共享:应用程序已启动

7714

KLUSRLOG_EV_PROCESS_LAUNCHED

30 天

Windows 桌面共享:已启动

7715

KLUSRLOG_EV_WDS_BEGIN

30 天

Windows 桌面共享:已停止

7716

KLUSRLOG_EV_WDS_END

30 天

第三方软件更新已成功安装

7694

KLNAG_EV_3P_PATCH_INSTALLED_SUCCESSFULLY

30 天

第三方软件更新安装已开始

7695

KLNAG_EV_3P_PATCH_INSTALL_STARTING

30 天

KSN 代理已启动。KSN 可用性检查已成功完成

7719

KSNPROXY_STARTED_CON_CHK_OK

30 天

KSN 代理已停止

7720

KSNPROXY_STOPPED

30 天

另请参阅:

网络代理功能失败事件

网络代理警告事件
页顶
[Topic 173727]

使用事件分类

事件分类提供了从管理服务器数据库中选择的指定事件集合的屏幕视图。这些事件集根据以下类别进行分组:

  • 按重要级别—严重事件功能失败警告信息事件
  • 按时间—最近事件
  • 按类型—用户请求审计事件

您可以基于 Kaspersky Security Center 云控制台界面上可以配置的设置创建和查看用户定义的事件分类。

在 Kaspersky Security Center 云控制台的“监控和报告”区域中单击“事件分类”可使用事件分类。

默认下,事件分类包含 7 天内的信息。

Kaspersky Security Center 云控制台拥有默认的事件分类集:

  • 不同重要级别的事件:
    • 严重事件
    • 功能失败
    • 警告
    • 信息消息
  • 用户请求(受管理应用程序事件)
  • 最近事件(上周)
  • 审计事件

    在 Kaspersky Security Center 云控制台中,显示与工作区中的服务操作相关的审核事件。这些事件取决于卡巴斯基专家的行动。这些事件例如包括以下内容:管理服务器端口更改;管理服务器数据库备份;创建、修改和删除用户账户。

您也可以创建和配置附加用户定义分类。在用户定义分类中,您可以根据设备属性(设备名称、IP 范围和管理组)、根据事件类型和严重级别、根据应用程序和组件名称、以及根据时间间隔来筛选事件。也可以包含任务结果到搜索范围。您也可以单一搜索字段,可以输入一个词或几个词。所有属性(例如事件名称、描述、组件名称)中包含任意所输入词的事件被显示。

对于预定义和用户定义的分类,您可以限制显示事件的数量或者要搜索的记录的数量。两个选项都影响 Kaspersky Security Center 云控制台显示事件所花费的时间。数据库越大,过程越耗时。

您可以执行以下操作:

另请参阅:

设备分类

方案:监控和报告
页顶
[Topic 166234]

创建事件分类

要创建事件分类,请执行以下操作:

  1. 在主菜单中,转到“监控和报告”→“事件分类”。
  2. 单击添加
  3. 在打开的“新事件分类”窗口中,指定新事件分类的设置。在窗口中重复此操作。
  4. 单击“保存”保存设置。

    确认窗口打开。

  5. 要查看事件分类结果,请保持“转到分类结果”复选框为选中状态。
  6. 单击“保存”确认事件分类创建。

如果将“转到分类结果”复选框保持选中状态,将显示事件分类结果。否则,新事件分类出现在事件分类列表。

另请参阅:

方案:监控和报告
页顶
[Topic 176385]

编辑事件分类

要编辑事件分类:

  1. 在主菜单中,转到“监控和报告”→ “事件分类”。
  2. 选中您要编辑的事件分类旁边的复选框。
  3. 单击“属性”按钮。

    事件分类设置窗口打开。

  4. 编辑事件分类属性。

    对于预定义的事件分类,只能编辑以下选项卡上的属性:常规(除了分类名称)、时间访问权限

    对于用户定义分类,您可以编辑所有属性。

  5. 单击“保存”保存设置。

编辑的事件分类显示在列表。

另请参阅:

方案:监控和报告
页顶
[Topic 177708]

查看事件分类列表

要查看事件分类:

  1. 在主菜单中,转到“监控和报告”→“事件分类”。
  2. 选择您要启动的事件分类旁边的复选框。
  3. 执行以下操作之一:
    • 如果您要在事件分类结果中配置排序,做以下:
      1. 单击重新配置排序并开始按钮。
      2. 在显示的“重新配置事件分类排序”窗口中,指定排序设置。
      3. 单击分类的名称。
    • 否则,如果想要以事件在管理服务器上的顺序查看事件列表,请单击分类名称。

事件分类结果被显示。

另请参阅:

方案:监控和报告
页顶
[Topic 176415]

导出事件分类

Kaspersky Security Center 云控制台允许您将事件分类及其设置保存到 KLO 文件。您可以使用此 KLO 文件将保存的事件分类导入到 Kaspersky Security Center Windows 和 Kaspersky Security Center Linux。

请注意,您只能导出用户定义的事件分类。Kaspersky Security Center 云控制台默认集中的事件分类(预定义分类)无法保存到文件。

要导出事件分类:

  1. 在主菜单中,转到监控和报告 → 事件分类
  2. 选中您要导出的事件分类旁边的复选框。

    您不能同时导出多个事件分类。如果您选择了多个分类,导出按钮将被禁用。

  3. 单击“导出”按钮。
  4. 在打开的“另存为”窗口中,指定事件分类文件名和路径,然后单击保存按钮。

    仅当您使用 Google Chrome、Microsoft Edge 或 Opera 时,才会显示“另存为”窗口。如果您使用其他浏览器,则事件分类文件会自动保存在“下载”文件夹。

页顶
[Topic 236067]

导入事件分类

Kaspersky Security Center 云控制台允许您从 KLO 文件导入事件分类。KLO 文件包含导出的事件分类及其设置。

要导入事件分类:

  1. 在主菜单中,转到监控和报告 → 事件分类
  2. 单击导入按钮,然后选择要导入的事件分类文件。
  3. 在打开的窗口中,指定 KLO 文件的路径,然后单击“打开”按钮。请注意,您仅可选择一个事件分类文件。

    事件分类处理开始。

出现包含导入结果的通知。如果事件分类导入成功,您可以单击查看导入详细信息链接来查看事件分类属性。

成功导入后,事件分类会显示在分类列表中。事件分类的设置也会被导入。

如果新导入的事件分类与现有事件分类有相同的名称,则导入的分类在名称后会附加一个(<下一个序列号>)索引,例如:(1)(2)

页顶
[Topic 236654]

查看事件详情


要查看事件详情:

  1. 启动事件分类
  2. 点击所需事件的时间。

    事件属性”窗口打开。

  3. 在显示的窗口中,您可以做以下:
    • 查看关于所选事件的信息
    • 在事件分类结果中转到上一个事件和下一个事件
    • 转到发生事件的设备
    • 转到包含发生事件的设备的管理组
    • 对于任务相关事件,转到任务属性

另请参阅:

方案:监控和报告
页顶
[Topic 171287]

导出事件到文件

Kaspersky Security Center 云控制台可让您将事件分类中的事件保存到 TXT 文件。

要导出事件到文件:

  1. 启动事件分类
  2. 选择所需事件旁边的复选框。

    您还可以选择多个事件或整个事件分类。

  3. 单击“导出到文件”按钮。

所选事件被导出到 TXT 文件。

另请参阅:

方案:监控和报告
页顶
[Topic 178646]

从事件查看对象历史

从创建或修改支持修订管理的对象的事件,您可以切换到对象的修订历史。

要从事件查看对象历史:

  1. 启动事件分类
  2. 选择所需事件旁边的复选框。
  3. 单击修订历史按钮。

对象修订历史被打开。

另请参阅:

方案:监控和报告
页顶
[Topic 177727]

记录任务和策略事件信息

本节提供有关如何最大程度地减少 Kaspersky Security Center 云控制台数据库中存储的任务和策略的事件数量的建议。默认情况下,每 1000 台设备有 100,000 个事件。如果超过此限制,新事件将覆盖旧事件。结果,关键事件可能会消失。此外,名为“Events”的管理服务器警告事件超过了数据库中事件数的限制,事件已被删除。在这些情况下,我们建议您按照本节中的说明进行操作。

因此,您将提高执行与事件分析相关的方案的速度。此外,这些建议还可以帮助您降低关键事件被大量事件覆盖的风险。

默认情况下,每个任务和策略的属性可以用于存储所有任务执行和策略强制执行的相关事件。但是,如果任务频繁运行(例如,每周运行一次以上),则事件数量可能会太大,并且事件可能会淹没数据库。此种情况下,建议选择任务设置的两个选项中的一个:

  • 保存任务进度相关事件。此种情况下,Kaspersky Security Center 云控制台仅从运行任务的每个设备接收任务启动、进程和完成信息(成功、带有警告或错误)。
  • 仅保存任务执行结果。此种情况下,Kaspersky Security Center 云控制台仅从运行任务的每个设备接收任务完成信息(成功、带有警告或错误)。

如果策略为大数量设备定义(例如,多于 10,000 台),事件数量可能很大且事件可能溢出数据库。此种情况下,建议在策略设置中仅选择最关键的事件并启用它们的记录。建议您禁用所有其他事件的记录。

您也可以降低任务或策略相关事件的存储期限。任务相关事件和策略相关事件的默认期限分别是 7 天和 30 天。当更改事件存储期限时,请考虑您的组织采用的工作程序以及系统管理员用以分析每个事件的时间。

如果有关组任务中间状态更改的事件和有关应用策略的事件在 Kaspersky Security Center 云控制台数据库中的所有事件中占据很大份额,建议修改事件存储设置。

页顶
[Topic 159815]

删除事件

要删除一个或几个事件:

  1. 启动事件分类
  2. 选择所需事件旁边的复选框。
  3. 单击“删除”按钮。

所选事件被删除且无法恢复。

另请参阅:

方案:监控和报告
页顶
[Topic 178626]

删除事件分类

您仅可以删除用户定义的事件分类。预定义事件分类无法被删除。

要删除一个或几个事件分类:

  1. 在主菜单中,转到“监控和报告” → “事件分类”。
  2. 选择您要删除的事件分类旁边的复选框。
  3. 单击删除
  4. 在打开的窗口中,单击“确定”。

事件分类被删除。

另请参阅:

方案:监控和报告
页顶
[Topic 176418]

通知和设备状态

本节包含有关如何查看通知、配置通知传送、使用设备状态和启用更改设备状态的信息。

在本部分中

关于通知

配置设备状态切换

配置通知传送
页顶
[Topic 233384]

关于通知

Kaspersky Security Center 云控制台提供通过发送您认为重要的事件的通知来监控您的组织网络。对于任何事件,您都可以通过电子邮件配置通知。

在通过电子邮件接收通知时,您可以决定您对事件的响应。该响应必须是最适合您组织网络的响应。

另请参阅:

方案:监控和报告
页顶
[Topic 179103]

配置设备状态切换

您可以更改条件以将严重警告状态分配给设备。

要启用更改设备状态到严重

  1. 在主菜单中,转到“资产(设备)”→ “组层级”。
  2. 在打开的组列表中,单击包含您要更改其设备状态的组名称的链接。
  3. 在打开的属性窗口中,选择“设备状态”选项卡。
  4. 在左侧窗格中,选择“严重”。
  5. 在右侧窗格的“设置状态为“严重”,如果这些被指定”区域中,启用将设备切换为“严重”状态的条件。

    您只能更改未在父策略中锁定的设置。

  6. 在列表中选中条件旁边的单选按钮。
  7. 在列表的左上角,单击“编辑”按钮。
  8. 为所选条件设置所需的值。

    可以不为每个条件设置值。

  9. 单击“确定”。

满足指定条件时,受管理设备被分配严重状态。

要启用更改设备状态到警告

  1. 在主菜单中,转到“资产(设备)” → “组层级”。
  2. 在打开的组列表中,单击包含您要更改其设备状态的组名称的链接。
  3. 在打开的属性窗口中,选择“设备状态”选项卡。
  4. 在左侧窗格中,选择“警告”。
  5. 在右侧窗格的“设置状态为“警告”,如果这些被指定”区域中,启用将设备切换为“警告”状态的条件。

    您只能更改未在父策略中锁定的设置。

  6. 在列表中选中条件旁边的单选按钮。
  7. 在列表的左上角,单击“编辑”按钮。
  8. 为所选条件设置所需的值。

    可以不为每个条件设置值。

  9. 单击“确定”。

满足指定条件时,受管理设备被分配警告状态。

另请参阅:

通知和设备状态

关于设备状态

方案:监控和报告

方案:配置网络保护
页顶
[Topic 181770_1]

配置通知传送

您可以配置发生在 Kaspersky Security Center 云控制台中的事件的电子邮件通知。

要配置发生在 Kaspersky Security Center 云控制台中的事件的通知传送:

  1. 在主菜单,单击所需的管理服务器名称旁边的“设置”图标 ()。

    管理服务器属性窗口打开,常规选项卡被选中。

  2. 单击通知部分,然后在右侧窗格中定义电子邮件通知设置:

    收件人(电子邮件地址)

    Kaspersky Security Center 云控制台将向其发送通知的电子邮件地址。您可以在该字段指定多个地址,以分号分隔。

    您最多可以指定 24 个电子邮件地址。

  3. 单击“发送测试消息”按钮可让您检查是否正确配置了通知:应用程序发送测试通知到您指定的电子邮件地址。
  4. 单击“确定”按钮以关闭管理服务器属性窗口。

保存的通知传送设置被应用到在 Kaspersky Security Center 云控制台中发生的所有事件。

您可以在管理服务器设置、策略设置或应用程序设置的“事件配置“区域中覆盖某些事件的通知传送设置

另请参阅:

方案:监控和报告
页顶
[Topic 180968]

卡巴斯基公告

本节介绍如何使用、配置和禁用卡巴斯基公告。

在本部分中

关于 Kaspersky 公告

禁用 Kaspersky 公告
页顶
[Topic 233385]

关于 Kaspersky 公告

“Kaspersky 公告”区域(监控和报告 → Kaspersky 公告)提供与 Kaspersky Security Center 云控制台版本和受管理设备上安装的受管理应用程序相关的信息,让您了解最新动态。Kaspersky Security Center 云控制台会定期删除过时的公告并添加新信息来更新该区域中的信息。

Kaspersky Security Center 云控制台仅显示与当前连接的管理服务器和该管理服务器的受管理设备上安装的 Kaspersky 应用程序相关的 Kaspersky 公告。对于任何类型的管理服务器(主要、从属或虚拟)都单独显示公告。

如果多个管理员使用 Kaspersky Security Center 云控制台并且设置了不同的界面语言, Kaspersky Security Center 云控制台将以管理员使用的每种语言显示卡巴斯基公告。当您更改界面语言时,在您退出控制台然后再次登录后,所选语言的卡巴斯基公告会自动添加到该部分。

公告包括以下类型的信息:

  • 与安全相关的公告

    与安全相关的公告旨在使网络中安装的 Kaspersky 应用程序保持最新并具有完整功能。公告可能包括有关 Kaspersky 应用程序的关键更新、已发现漏洞的修复以及修复 Kaspersky 应用程序中的其他问题的方法的信息。默认情况下启用与安全相关的公告。如果您不想接收这些公告,可以禁用此功能

    您无法在 Kaspersky Security Center 云控制台试用模式下禁用与安全相关的公告。

    为了显示与您的网络保护配置相对应的信息,Kaspersky Security Center 云控制台会将数据发送到 Kaspersky 云服务器,并仅接收与网络中安装的 Kaspersky 应用程序有关的公告。您在创建公司工作区时接受的 Kaspersky Security Center 云控制台协议中描述了可以发送到服务器的数据集。

  • 营销公告

    营销公告包括您的 Kaspersky 应用程序的特别优惠信息、广告和 Kaspersky 新闻。默认情况下禁用营销公告。仅当启用卡巴斯基安全网络 (KSN) 时,才会收到此类公告。您可以通过禁用 KSN 来禁用营销公告

    为了仅向您显示可能对保护网络设备和日常任务有帮助的相关信息,Kaspersky Security Center 云控制台会将数据发送到 Kaspersky 云服务器并接收相应公告。KSN 声明的“处理的数据”部分中描述了可发送到服务器的数据集。

新信息根据重要性分为以下几个类别:

  1. 关键信息
  2. 重要新闻
  3. 警告
  4. 信息

当“Kaspersky 公告”区域中出现新信息时,Kaspersky Security Center 云控制台将显示一个与公告重要级别相对应的通知标签。您可以单击该标签以在“Kaspersky 公告”区域中查看此公告。

另请参阅:

禁用 Kaspersky 公告

关于 KSN
页顶
[Topic 210552]

禁用 Kaspersky 公告

Kaspersky 公告”区域(监控和报告 → Kaspersky 公告)提供与您的 Kaspersky Security Center 云控制台版本和受管理设备上安装的受管理应用程序相关的信息,让您了解最新动态。如果您不想接收 Kaspersky 公告,可以禁用此功能。

Kaspersky 包括两种类型的信息:与安全相关的公告和营销公告。您可以单独禁用每种类型的公告。

您无法在 Kaspersky Security Center 云控制台试用模式下禁用与安全相关的公告。

要禁用与安全相关的公告:

  1. 在主菜单,单击管理服务器名称旁边的“设置”图标 ()。

    管理服务器属性窗口将打开。

  2. 在“常规”选项卡上,选择“卡巴斯基通告”区域。
  3. 将开关按钮切换到“安全通告已禁用”位置。
  4. 单击“保存”按钮。

    Kaspersky 公告已禁用。

默认情况下禁用营销公告。仅当启用卡巴斯基安全网络 (KSN) 时,才会收到营销公告。您可以通过禁用 KSN 来禁用此类型的公告。

要禁用营销公告:

  1. 在主菜单,单击管理服务器名称旁边的“设置”图标 ()。

    管理服务器属性窗口将打开。

  2. 在“常规”选项卡上,选择“KSN 设置”区域。
  3. 禁用“我同意使用卡巴斯基安全网络”选项。
  4. 单击“保存”按钮。

    营销公告已禁用。

另请参阅:

关于 Kaspersky 公告
页顶
[Topic 210639]

接收授权许可到期警告

要将卡巴斯基网络安全解决方案标准版支持授权许可密钥添加到管理服务器:

  1. 在主菜单,单击管理服务器名称旁边的“设置”图标 ()。

    管理服务器属性窗口将打开。

  2. 在“常规”选项卡上,选择“授权许可密钥”区域。
  3. 单击选择
  4. 在打开的窗口中,选择您的授权许可并单击确定

    或者,如果未显示授权许可,您可以单击添加新授权许可密钥并使用您的激活码。

授权许可即添加到管理服务器存储库中。这使得管理服务器在授权许可期限到期前一天生成关键事件“授权许可即将到期” ,并在授权许可期限到期后生成关键事件“有限功能模式” 。如果需要,您可以配置通知传送

如果您将卡巴斯基网络安全解决方案标准版支持授权许可密钥添加到管理服务器存储库,则该授权许可将被视为在一台设备上使用。

另请参阅:

应用程序授权许可

方案:监控和报告
页顶
[Topic 195503]

Cloud Discovery

Kaspersky Security Center 云控制台允许您监控运行 Windows 的受管理设备上云服务的使用情况,并阻止对您认为不需要的云服务进行的访问。Cloud Discovery 跟踪用户通过浏览器和桌面应用程序访问这些服务的尝试。它还会对用户尝试通过未加密的连接(例如,使用 HTTP 协议)来访问云服务的活动进行跟踪。此功能可帮助您检测并阻止影子 IT 对云服务的使用。

仅当您购买了 Kaspersky Next 授权许可时,才可以使用 Cloud Discovery 功能。有关详细信息,请参阅授权许可和每项授权许可的最小设备数量

您可以启用 Cloud Discovery 功能,并选择要启用该功能的安全策略或配置文件。您也可以在每个安全策略或配置文件中单独启用或禁用该功能。对于您不想让用户访问的云服务,您可以阻止对这些云服务的访问。

为了能够阻止对不需要的云服务进行的访问,请确保满足以下先决条件:

  • 您使用的是 Kaspersky Endpoint Security 11.2 for Windows 或更高版本。该安全应用程序的较早版本仅允许您监控云服务的使用情况。
  • 您已购买 Kaspersky Next 授权许可,在该授权许可下,您能够阻止对不需要的云服务进行的访问。有关详细信息,请参阅 Kaspersky Next 帮助

Cloud Discovery 小部件和 Cloud Discovery 报告会显示有关成功和被阻止的云服务访问尝试的信息。该小部件还会显示每项云服务的风险级别。Kaspersky Security Center 云控制台从所有受安全策略或配置文件(已启用相关功能)保护的受管理设备中,获取有关云服务使用情况的信息。

在本部分中

使用小部件启用 Cloud Discovery

将 Cloud Discovery 小部件添加到仪表板

查看有关云服务使用情况的信息

云服务的风险级别

阻止对不需要的云服务进行的访问
页顶
[Topic 126963]

使用小部件启用 Cloud Discovery

Cloud Discovery 功能允许您从所有受安全策略保护的受管理设备(已启用相关功能)中,获取有关云服务使用情况的信息。您只能对 Kaspersky Endpoint Security for Windows 策略启用或禁用 Cloud Discovery。

可通过两种方式来启用 Cloud Discovery 功能:

  • 使用 Cloud Discovery 小部件。
  • 在 Kaspersky Endpoint Security for Windows 策略属性中。

    有关如何在 Kaspersky Endpoint Security for Windows 策略属性中启用 Cloud Discovery 功能的详细信息,请参阅 Kaspersky Endpoint Security for Windows 帮助中的 Cloud Discovery 部分。

请注意,您只能在 Kaspersky Endpoint Security for Windows 策略参数中禁用 Cloud Discovery 功能。

为了启用 Cloud Discovery,您必须在“常规功能:基本功能”功能区域中具有写入权限。

要使用 Cloud Discovery 小部件启用 Cloud Discovery 功能,请执行以下操作:

  1. 转到 Kaspersky Security Center 云控制台
  2. 在主菜单中,转到“监控和报告”→“控制板”。
  3. Cloud Discovery 小部件上,单击“启用”按钮。
  4. 在打开的“启用 Cloud Discovery”窗口中,选择要启用该功能的安全策略,然后单击“启用”按钮。

    以下策略设置将自动启用:将脚本注入到 Web 流量以与网页进行交互Web 会话监控加密连接扫描

Cloud Discovery 功能会启用,小部件会被添加到仪表板。

页顶
[Topic 138009]

将 Cloud Discovery 小部件添加到仪表板

您可以将 Cloud Discovery 小部件添加到仪表板,以监控受管理设备上云服务的使用情况。

如要将 Cloud Discovery 小部件添加到仪表板,您必须在“常规功能:基本功能”功能区域中具有写入权限。

要将 Cloud Discovery 小部件添加到仪表板,请执行以下操作:

  1. 转到 Kaspersky Security Center 云控制台
  2. 在主菜单中,转到“监控和报告”→“控制板”。
  3. 单击“添加或还原 Web 小部件”按钮。
  4. 在可用小部件列表中,单击“其他”类别旁边的箭头图标 ()。
  5. 选择 Cloud Discovery 小部件,然后单击“添加”按钮。

    如果 Cloud Discovery 功能被禁用,请按照“使用小部件启用 Cloud Discovery”部分中的说明进行操作。

所选的小部件会添加到仪表板的末端。

页顶
[Topic 274418]

查看有关云服务使用情况的信息

您可以查看 Cloud Discovery 小部件,其中会显示有关云服务访问尝试的信息。该小部件还会显示每项云服务的风险级别。Kaspersky Security Center 云控制台从所有受安全策略(已启用相关功能)保护的受管理设备中,获取有关云服务使用情况的信息。

在查看之前,请确保:

要查看 Cloud Discovery 小部件,请执行以下操作:

  1. 转到 Kaspersky Security Center 云控制台
  2. 在主菜单中,转到“监控和报告”→“控制板”。

    Cloud Discovery 小部件会显示在仪表板上。

  3. Cloud Discovery 小部件的左侧,选择云服务类别。

    小部件右侧的表格会显示在所选类别中用户最常尝试访问的最多五项服务。成功和被阻止的尝试均会计入尝试。

  4. 在小部件的右侧,选择特定服务。

    下方的表格会显示最常尝试访问该服务的最多十台设备。在此表中,您可以生成两种类型的报告:成功访问尝试报告和被阻止访问尝试报告。

    此外,您还可以在此表中阻止特定设备访问云服务

小部件会显示所请求的信息。

在显示的小部件中,您可以执行以下操作:

  • 继续转到“监控和报告”→“报告”部分以查看 Cloud Discovery 报告。
  • 阻止或允许访问所选的云服务。

仅当您购买了 Kaspersky Next 授权许可时,才可以使用 Cloud Discovery 功能。有关详细信息,请参阅授权许可和每项授权许可的最小设备数量

页顶
[Topic 123382]

云服务的风险级别

对于每项云服务,Cloud Discovery 都会为您提供风险级别。风险级别可帮助您确定不符合组织安全要求的服务。例如,在决定是否阻止对特定服务的访问时,您可能需要考虑风险级别。

免责声明:风险级别是一个估计指数,并不能说明云服务的质量或服务制造商的任何信息。风险级别只是卡巴斯基专家的建议。

云服务的风险级别显示在 Cloud Discovery 小部件和所有受监控云服务的列表中。

页顶
[Topic 222985]

阻止对不需要的云服务进行的访问

对于您不想让用户访问的云服务,您可以阻止对这些云服务的访问。您也可以允许对之前被阻止的云服务的访问。

您在决定是否阻止对特定服务的访问时,除其他考虑因素外,还可能需要考虑风险级别。

您可以在安全策略或配置文件中阻止或允许对云服务的访问。

可通过两种方法来阻止对不需要的云服务进行的访问:

  • 使用 Cloud Discovery 小部件。

    在这种情况下,您可以逐个阻止对服务的访问。

  • 在 Kaspersky Endpoint Security for Windows 策略属性中。

    在这种情况下,您可以逐个阻止对服务的访问,也可以一次性阻止整个类别。

    有关如何在 Kaspersky Endpoint Security for Windows 策略属性中启用 Cloud Discovery 功能的详细信息,请参阅 Kaspersky Endpoint Security for Windows 帮助中的 Cloud Discovery 部分。

要使用小部件阻止或允许对云服务的访问,请执行以下操作:

  1. 打开 Cloud Discovery 小部件,然后选择所需的云服务。
  2. 使用该服务的前 10 台设备面板中,找到要用于阻止或允许该服务的安全策略或配置文件。
  3. 在所需行的“策略或配置文件中的访问状态”列中,执行以下任一操作:
    • 要阻止该服务,请在下拉列表中选择“已阻止” 。
    • 要允许该服务,请在下拉列表中选择“允许”。
  4. 单击“保存”按钮。

安全策略或配置文件将会阻止或允许对所选服务的访问。

页顶
[Topic 139384]