Monitoraggio e generazione dei rapporti

Questa sezione illustra le funzionalità di monitoraggio e reportistica di Kaspersky Security Center. Queste funzionalità offrono una panoramica dell'infrastruttura, degli stati di protezione e delle statistiche.

Dopo la distribuzione di Kaspersky Security Center o durante l'esecuzione, è possibile configurare le funzionalità di monitoraggio e generazione dei rapporti in base alle esigenze.

Scenario: monitoraggio e generazione dei rapporti

Questa sezione fornisce uno scenario per la configurazione della funzionalità di monitoraggio e generazione dei rapporti in Kaspersky Security Center.

Prerequisiti

Dopo aver distribuito Kaspersky Security Center nella rete di un'organizzazione, è possibile iniziare a monitorarlo e generare rapporti sul relativo funzionamento.

Il monitoraggio e la generazione dei rapporti nella rete di un'organizzazione prevede diversi passaggi:

1. Configurazione del passaggio degli stati del dispositivo

   Acquisire familiarità con le impostazioni per gli stati del dispositivo in base a condizioni specifiche. Modificando queste impostazioni, è possibile modificare il numero di eventi con livelli di importanza Critico o Avviso. Durante la configurazione del passaggio degli stati del dispositivo, verificare quanto segue:

   • Le nuove impostazioni non sono in conflitto con i criteri di sicurezza delle informazioni dell'organizzazione.
   • Si è in grado di reagire tempestivamente agli eventi di sicurezza importanti nella rete dell'organizzazione.
2. Configurazione delle notifiche degli eventi nei dispositivi client

   Istruzioni dettagliate:

   Configurare la notifica (tramite e-mail, SMS o avviando un file eseguibile) degli eventi nei dispositivi client

3. Modifica della risposta della rete di sicurezza all'evento Epidemia di virus

   È possibile modificare le specifiche soglie nelle proprietà di Administration Server. È inoltre possibile creare un criterio più rigoroso da attivare o creare un'attività da eseguire quando si verifica l'evento.

4. Esecuzione delle azioni consigliate per le notifiche critiche e di avviso

   Istruzioni dettagliate:

   Eseguire le azioni consigliate per la rete dell'organizzazione

5. Analisi dello stato di sicurezza della rete dell'organizzazione

   Istruzioni dettagliate:

   • Esaminare il widget Stato protezione
   • Generare ed esaminare il Rapporto sullo stato della protezione
   • Generare ed esaminare il Rapporto sugli errori
6. Individuazione dei dispositivi client che non sono protetti

   Istruzioni dettagliate:

   • Esaminare il widget Nuovi dispositivi
   • Generare ed esaminare il Rapporto sulla distribuzione della protezione
7. Verifica della protezione dei dispositivi client

   Istruzioni dettagliate:

   • Generare ed esaminare i rapporti delle categorie Stato protezione e Statistiche delle minacce
   • Avviare ed esaminare la selezione eventi Critico
8. Valutazione e limitazione del carico di eventi nel database

   Le informazioni sugli eventi che si verificano durante il funzionamento delle applicazioni gestite vengono trasferite da un dispositivo client e registrate nel database di Administration Server. Per ridurre il carico su Administration Server, valutare e limitare il numero massimo di eventi che possono essere archiviati nel database.

   Istruzioni dettagliate:

   • Calcolo dello spazio del database
   • Limitazione del numero massimo di eventi
9. Analisi delle informazioni sulla licenza

   Istruzioni dettagliate:

   • Aggiungere il widget Utilizzo chiavi di licenza al dashboard ed esaminarlo
   • Generare ed esaminare il Rapporto sull'utilizzo delle chiavi di licenza

Risultati

Al termine dello scenario, si dispone di informazioni sulla protezione della rete dell'organizzazione e quindi è possibile pianificare le azioni per il miglioramento della protezione.

Informazioni sui tipi di monitoraggio e generazione dei rapporti

Le informazioni sugli eventi di sicurezza nella rete di un'organizzazione sono archiviate nel database di Administration Server. In base agli eventi, Kaspersky Security Center Web Console fornisce i seguenti tipi di monitoraggio e generazione dei rapporti nella rete dell'organizzazione:

• Dashboard
• Rapporti
• Selezioni eventi
• Notifiche

Dashboard

Il dashboard consente di monitorare le tendenze relative alla sicurezza nella rete dell'organizzazione fornendo una visualizzazione grafica delle informazioni.

Rapporti

La funzionalità Rapporti consente di ottenere informazioni numeriche dettagliate sulla sicurezza della rete dell'organizzazione, nonché di salvare le informazioni in un file, inviarlo tramite e-mail e stamparlo.

Selezioni eventi

Le selezioni eventi consentono di visualizzare i set denominati degli eventi selezionati dal database di Administration Server. Questi set di eventi sono raggruppati in base alle seguenti categorie:

• In base al livello di importanza: Eventi critici, Errori funzionali, Avvisi e Eventi informativi
• In base al tempo: Eventi recenti
• In base al tipo: Richieste utente e Eventi di controllo

È possibile creare e visualizzare le selezioni eventi definite dall'utente in base alle impostazioni disponibili per la configurazione nell'interfaccia di Kaspersky Security Center Web Console.

Notifiche

Le notifiche segnalano gli eventi e consentono di velocizzare le risposte a tali eventi eseguendo le azioni consigliate o le azioni che si ritengono appropriate.

Dashboard e widget

Questa sezione contiene informazioni sul dashboard e sui widget forniti dal dashboard. La sezione include istruzioni su come gestire i widget e configurare le impostazioni dei widget.

Utilizzo del dashboard

Il dashboard consente di monitorare le tendenze relative alla sicurezza nella rete dell'organizzazione fornendo una visualizzazione grafica delle informazioni.

Il dashboard è disponibile in Kaspersky Security Center Web Console, nella sezione Monitoraggio e generazione dei rapporti, facendo clic su Dashboard.

Il dashboard fornisce widget che possono essere personalizzati. È possibile scegliere tra numerosi widget diversi, presentati come grafici a torta o grafici ad anello, tabelle, grafici, grafici a barre ed elenchi. Le informazioni visualizzate nei widget vengono aggiornate automaticamente, il periodo di aggiornamento è di uno o due minuti. L'intervallo tra gli aggiornamenti varia per i diversi widget. È possibile aggiornare manualmente i dati in un widget in qualsiasi momento tramite il menu delle impostazioni.

Per impostazione predefinita, i widget includono informazioni su tutti gli eventi archiviati nel database di Administration Server.

Kaspersky Security Center Web Console dispone di un set predefinito di widget per le seguenti categorie:

• Stato protezione
• Distribuzione
• Aggiornamento
• Statistiche delle minacce
• Altro

Alcuni widget contengono informazioni di testo con collegamenti. È possibile visualizzare informazioni dettagliate facendo clic su un collegamento.

Quando si configura il dashboard, è possibile aggiungere i widget desiderati, nascondere i widget non necessari, modificare le dimensioni o l'aspetto dei widget, spostare i widget e modificarne le impostazioni.

Aggiunta di widget al dashboard

Per aggiungere widget al dashboard:

1. Nel menu principale accedere a Monitoraggio e generazione dei rapporti → Dashboard.
2. Fare clic sul pulsante Aggiungere o ripristinare widget Web.
3. Nell'elenco dei widget disponibili selezionare i widget che si desidera aggiungere al dashboard.

   I widget sono raggruppati per categoria. Per visualizzare l'elenco dei widget inclusi in una categoria, fare clic sull'icona della freccia di espansione () accanto al nome della categoria.

4. Fare clic sul pulsante Aggiungi.

I widget selezionati verranno aggiunti alla fine del dashboard.

Ora è possibile modificare la rappresentazione e i parametri dei widget aggiunti.

Occultamento di un widget dal dashboard

Per nascondere un widget visualizzato dal dashboard:

1. Nel menu principale accedere a Monitoraggio e generazione dei rapporti → Dashboard.
2. Fare clic sull'icona delle impostazioni () accanto al widget che si desidera nascondere.
3. Selezionare Nascondi widget Web.
4. Nella finestra Avviso visualizzata fare clic su OK.

Il widget selezionato verrà nascosto. In seguito, è possibile aggiungere nuovamente il widget al dashboard.

Spostamento di un widget nel dashboard

Per spostare un widget nel dashboard:

1. Nel menu principale accedere a Monitoraggio e generazione dei rapporti → Dashboard.
2. Fare clic sull'icona delle impostazioni () accanto al widget che si desidera spostare.
3. Selezionare Sposta.
4. Fare clic sul punto in cui si desidera spostare il widget. È possibile selezionare solo un altro widget.

Le posizioni dei widget selezionati vengono scambiate.

Modifica delle dimensioni o dell'aspetto del widget

Per i widget che visualizzano un grafico, è possibile modificarne la rappresentazione: un grafico a barre o un grafico a linee. Per alcuni widget è possibile modificare le dimensioni: Compatto, Medio o Massimo.

Per modificare la rappresentazione del widget:

1. Nel menu principale accedere a Monitoraggio e generazione dei rapporti → Dashboard.
2. Fare clic sull'icona delle impostazioni () accanto al widget che si desidera modificare.
3. Eseguire una delle seguenti operazioni:
   • Per visualizzare il widget come grafico a barre, selezionare Tipo di grafico: barre.
   • Per visualizzare il widget come grafico a linee, selezionare Tipo di grafico: linee.
   • Per modificare l'area occupata dal widget, selezionare uno dei valori:
     • Compatto
     • Compatto (solo barra)
     • Medio (grafico ad anello)
     • Medio (grafico a barre)
     • Massimo

La rappresentazione del widget selezionato verrà modificata.

Modifica delle impostazioni del widget

Per modificare le impostazioni di un widget:

1. Nel menu principale accedere a Monitoraggio e generazione dei rapporti → Dashboard.
2. Fare clic sull'icona delle impostazioni () accanto al widget che si desidera modificare.
3. Selezionare Mostra impostazioni.
4. Nella finestra delle impostazioni del widget visualizzata modificare le impostazioni del widget come richiesto.
5. Fare clic su Salva per salvare le modifiche.

Le impostazioni del widget selezionato verranno modificate.

Il set di impostazioni dipende dallo specifico widget. Di seguito sono riportate alcune delle impostazioni comuni:

• Ambito del widget Web (il set di oggetti per cui il widget visualizza informazioni), ad esempio un gruppo di amministrazione o una selezione dispositivi.
• Seleziona attività (l'attività per cui il widget visualizza informazioni).
• Intervallo (l'intervallo di tempo per cui le informazioni vengono visualizzate nel widget): tra le due date specificate, dalla data specificata al giorno corrente o dal giorno corrente meno il numero di giorni specificato al giorno corrente.
• Imposta su Critico se è specificato e Imposta su Avviso se è specificato (le regole che determinano il colore di un indicatore a semaforo).

Dopo aver modificato le impostazioni del widget, è possibile aggiornare manualmente i dati nel widget.

Per aggiornare i dati su un widget:

1. Nel menu principale accedere a Monitoraggio e generazione dei rapporti → Dashboard.
2. Fare clic sull'icona delle impostazioni () accanto al widget che si desidera spostare.
3. Selezionare Aggiorna.

I dati nel widget vengono aggiornati.

Informazioni sulla modalità Solo dashboard

È possibile configurare la modalità Solo dashboard per i dipendenti che non gestiscono la rete ma che desiderano visualizzare le statistiche di protezione della rete in Kaspersky Security Center (ad esempio un Top Manager). Con questa modalità abilitata, l'utente visualizza solo un dashboard con un set predefinito di widget. L'utente può quindi monitorare le statistiche specificate nei widget, ad esempio lo stato della protezione di tutti i dispositivi gestiti, il numero di minacce rilevate di recente o l'elenco delle minacce più frequenti nella rete.

Quando un utente usa la modalità Solo dashboard, vengono applicate le seguenti restrizioni:

• Il menu principale non viene mostrato all'utente, che non potrà quindi modificare le impostazioni di protezione della rete.
• L'utente non può eseguire alcuna azione con i widget, ad esempio aggiungerli o nasconderli. È pertanto necessario inserire tutti i widget necessari per l'utente nel dashboard e configurarli, ad esempio impostando la regola di conteggio degli oggetti o specificando l'intervallo di tempo.

Non è possibile assegnare a se stessi la modalità Solo dashboard. Se si desidera utilizzare questa modalità, contattare un amministratore di sistema, un MSP (Managed Service Provider) o un utente con il diritto Modifica elenchi di controllo degli accessi agli oggetti nell'area funzionale Caratteristiche generali: Autorizzazioni utente.

Configurazione della modalità Solo dashboard

Prima di iniziare a configurare la modalità Solo dashboard, assicurarsi che vengano soddisfatti i seguenti prerequisiti:

• L'utente dispone del diritto Modifica elenchi di controllo degli accessi agli oggetti nell'area funzionale Caratteristiche generali: Autorizzazioni utente. Se non si dispone di questo diritto, la scheda per la configurazione della modalità non sarà presente.
• L'utente ha il diritto Lettura nell'area funzionale Caratteristiche generali: Funzionalità di base.

Se nella rete è organizzata una gerarchia di Administration Server, per configurare la modalità Solo dashboard passare al Server in cui è disponibile l'account utente nella sezione Utenti e ruoli → Utenti. Può trattarsi di un server primario o di un server secondario fisico. Non è possibile regolare la modalità in un server virtuale.

Per configurare la modalità Solo dashboard:

1. Nel menu principale accedere a Utenti e ruoli → Utenti.
2. Fare clic sul nome dell'account utente per il quale si desidera modificare il dashboard con i widget.
3. Nella finestra delle impostazioni dell'account visualizzata selezionare la scheda Dashboard.

   Nella scheda aperta viene visualizzato lo stesso dashboard dell'utente.

4. Se l'opzione Visualizza la console in modalità Solo dashboard è abilitata, spostare l'interruttore per disabilitarla.

   Quando questa opzione è abilitata, non è nemmeno possibile modificare il dashboard. Dopo aver disabilitato l'opzione, è possibile gestire i widget.

5. Configurare l'aspetto del dashboard. Il set di widget preparato nella scheda Dashboard è disponibile per l'utente con l'account personalizzabile. L'utente non può modificare in alcun modo le impostazioni o le dimensioni dei widget, né aggiungere o rimuovere widget dal dashboard. È pertanto opportuno modificarli per l'utente, in modo che possa visualizzare le statistiche sulla protezione della rete. A tale scopo, nella scheda Dashboard è possibile eseguire con i widget le stesse azioni della sezione Monitoraggio e generazione dei rapporti → Dashboard:
   • Aggiungere nuovi widget al dashboard.
   • Nascondere i widget di cui l'utente non ha bisogno.
   • Spostare i widget in un ordine specifico.
   • Modificare le dimensioni o l'aspetto dei widget.
   • Modificare le impostazioni dei widget.
6. Spostare l'interruttore per abilitare l'opzione Visualizza la console in modalità Solo dashboard.

   Successivamente, sarà disponibile solo il dashboard per l'utente. Quest'ultimo può monitorare le statistiche ma non può modificare le impostazioni di protezione della rete e l'aspetto del dashboard. Poiché viene visualizzato lo stesso dashboard che appare all'utente, non è possibile modificarlo.

   Se si mantiene l'opzione disabilitata, viene visualizzato il menu principale per l'utente, in modo che possa eseguire varie azioni in Kaspersky Security Center, inclusa la modifica delle impostazioni di protezione e dei widget.

7. Fare clic sul pulsante Salva al termine della configurazione della modalità Solo dashboard. Solo successivamente l'utente visualizzerà il dashboard preconfigurato.
8. Se l'utente desidera visualizzare le statistiche delle applicazioni Kaspersky supportate e ha bisogno dei diritti di accesso per farlo, configurare i diritti per l'utente. Successivamente, l'utente può visualizzare i dati delle applicazioni Kaspersky nei widget di queste applicazioni.

Adesso l'utente può accedere a Kaspersky Security Center con l'account personalizzato e monitorare le statistiche di protezione della rete in modalità Solo dashboard.

Rapporti

Questa sezione descrive come utilizzare i rapporti, gestire i modelli di rapporti personalizzati, utilizzare i modelli di rapporti per generarne di nuovi e creare attività di distribuzione dei rapporti.

Utilizzo dei rapporti

La funzionalità Rapporti consente di ottenere informazioni numeriche dettagliate sulla sicurezza della rete dell'organizzazione, nonché di salvare le informazioni in un file, inviarlo tramite e-mail e stamparlo.

I rapporti sono disponibili in Kaspersky Security Center Web Console, nella sezione Monitoraggio e generazione dei rapporti, facendo clic su Rapporti.

Per impostazione predefinita, i rapporti includono informazioni relative agli ultimi 30 giorni.

Kaspersky Security Center dispone di un set predefinito di rapporti per le seguenti categorie:

• Stato protezione
• Distribuzione
• Aggiornamento
• Statistiche delle minacce
• Altro

È possibile creare modelli di rapporto personalizzati, modificare i modelli di rapporto ed eliminarli.

È possibile creare rapporti basati su modelli esistenti, esportare i rapporti in file e creare attività per l'invio dei rapporti.

Creazione di un modello di rapporto

Per creare un modello di rapporto:

1. Nel menu principale accedere a Monitoraggio e generazione dei rapporti → Rapporti.
2. Fare clic su Aggiungi.

   Verrà avviata la Creazione guidata nuovo modello di rapporto. Procedere con la procedura guidata utilizzando il pulsante Avanti.

3. Immettere il nome del rapporto e selezionare il tipo di rapporto.
4. Nel passaggio Ambito della procedura guidata selezionare il set di dispositivi client (gruppo di amministrazione, selezione dispositivi, dispositivi selezionati o tutti i dispositivi nella rete) per cui visualizzare i dati nei rapporti basati su questo modello di rapporto.
5. Nel passaggio Periodo di generazione del rapporto della procedura guidata specificare il periodo del rapporto. I valori disponibili sono i seguenti:
   • Tra le due date specificate
   • Dalla data specificata alla data di creazione del rapporto
   • Dalla data di creazione del rapporto meno il numero specificato di giorni alla data di creazione del rapporto

   Questa pagina potrebbe non essere visualizzata per alcuni rapporti.

6. Fare clic su OK per chiudere la procedura guidata.
7. Eseguire una delle seguenti operazioni:
   • Fare clic sul pulsante Salva ed esegui per salvare il nuovo modello di rapporto ed eseguire un rapporto basato su di esso.

     Il modello di rapporto verrà salvato. Il rapporto verrà generato.

   • Fare clic sul pulsante Salva per salvare il nuovo modello di rapporto.

     Il modello di rapporto verrà salvato.

È possibile utilizzare il nuovo modello per la creazione e la visualizzazione dei rapporti.

Visualizzazione e modifica delle proprietà dei modelli di rapporto

Espandi tutto | Comprimi tutto

È possibile visualizzare e modificare le proprietà di base di un modello di rapporto, ad esempio il nome del modello di rapporto o i campi visualizzati nel rapporto.

Per visualizzare e modificare le proprietà di un modello di rapporto:

1. Nel menu principale accedere a Monitoraggio e generazione dei rapporti → Rapporti.
2. Selezionare la casella di controllo accanto al modello di rapporto per cui si desidera visualizzare e modificare le proprietà.

   In alternativa, è possibile generare il rapporto e quindi fare clic sul pulsante Modifica.

3. Fare clic sul pulsante Apri proprietà del modello di rapporto.

   Verrà visualizzata la finestra Modifica del rapporto <Nome rapporto> con la scheda Generale selezionata.

4. Modificare le proprietà del modello di rapporto:
   • Scheda Generale:
     • Nome del modello di rapporto
     • Numero massimo di voci da visualizzare

       Se questa opzione è abilitata, il numero di voci visualizzate nella tabella con i dati dettagliati del rapporto non supera il valore specificato.

       Le voci nei rapporti vengono prima ordinate in base alle regole specificate nella sezione Campi → Campi dettagli delle proprietà del modello di rapporto, quindi vengono mantenute solo le prime voci risultanti. Il titolo della tabella con i dati dettagliati del rapporto mostra il numero di voci visualizzate e il numero totale di voci disponibili, corrispondenti alle altre impostazioni del modello di rapporto.

       Se questa opzione è disabilitata, la tabella con i dati dettagliati del rapporto conterrà tutte le voci disponibili. Non è consigliabile disabilitare questa opzione. La limitazione del numero di voci visualizzate nel rapporto consente di ridurre il carico sul sistema di gestione database (DBMS) e il tempo necessario per la creazione e l'esportazione del rapporto. Alcuni rapporti contengono un numero eccessivo di voci. In questi casi, potrebbe essere difficile leggerle e analizzarle tutte. Inoltre, nel dispositivo potrebbe verificarsi l'esaurimento della memoria durante la generazione di un rapporto e, in questo caso, non sarà possibile visualizzare il rapporto.

       Per impostazione predefinita, questa opzione è abilitata. Il valore predefinito è 1000.

     • Gruppo

       Fare clic sul pulsante Impostazioni per modificare il set di dispositivi client per cui viene creato il rapporto. Per alcuni tipi di rapporti, il pulsante potrebbe non essere disponibile. Le impostazioni effettive dipendono dalle impostazioni specificate durante la creazione del modello di rapporto.

     • Intervallo

       Fare clic sul pulsante Impostazioni per modificare il periodo del rapporto. Per alcuni tipi di rapporti, il pulsante potrebbe non essere disponibile. I valori disponibili sono i seguenti:

       • Tra le due date specificate
       • Dalla data specificata alla data di creazione del rapporto
       • Dalla data di creazione del rapporto meno il numero specificato di giorni alla data di creazione del rapporto
     • Includi i dati degli Administration Server secondari e virtuali

       Se questa opzione è abilitata, il rapporto include le informazioni ottenute dagli Administration Server secondari e virtuali subordinati all'Administration Server per cui viene creato il modello di rapporto.

       Disabilitare questa opzione per visualizzare solo i dati relativi all'Administration Server corrente.

       Per impostazione predefinita, questa opzione è abilitata.

     • Fino al livello di nidificazione

       Il rapporto include i dati degli Administration Server secondari e virtuali posizionati al di sotto dell'Administration Server corrente a un livello di nidificazione minore o uguale al valore specificato.

       Il valore predefinito è 1. È consigliabile modificare questo valore se è necessario recuperare informazioni da Administration Server secondari posizionati a livelli inferiori della struttura.

     • Intervallo di attesa dati (min.)

       Prima della generazione del rapporto, l'Administration Server per cui viene creato il modello di rapporto attende i dati dagli Administration Server secondari per il numero di minuti specificato. Se non viene ricevuto alcun dato da un Administration Server secondario al termine di questo periodo, il rapporto viene eseguito comunque. Anziché i dati effettivi, il rapporto mostra i dati recuperati dalla cache (se è abilitata l'opzione Salva nella cache i dati degli Administration Server secondari) oppure N/D (non disponibile) in caso contrario.

       Il valore predefinito è 5 (minuti).

     • Salva nella cache i dati degli Administration Server secondari

       Gli Administration Server secondari trasferiscono regolarmente i dati all'Administration Server per cui viene creato il modello di rapporto. I dati trasferiti vengono quindi archiviati nella cache.

       Se l'Administration Server corrente non riesce a ricevere i dati da un Administration Server secondario durante la generazione del rapporto, il rapporto mostra i dati recuperati dalla cache. Verrà anche visualizzata la data in cui i dati sono stati trasferiti nella cache.

       Se questa opzione è abilitata, è possibile visualizzare le informazioni dagli Administration Server secondari, anche se non è possibile recuperare i dati aggiornati. I dati visualizzati potrebbero tuttavia essere obsoleti.

       Per impostazione predefinita, questa opzione è disabilitata.

     • Frequenza di aggiornamento cache (ore)

       A intervalli regolari gli Administration Server secondari trasferiscono i dati all'Administration Server per cui viene creato il modello di rapporto. È possibile specificare questo periodo in ore. Se si specificano 0 ore, i dati vengono trasferiti solo al momento della generazione del rapporto.

       Il valore predefinito è 0.

     • Trasferisci informazioni dettagliate dagli Administration Server secondari

       Nel rapporto generato, la tabella con i dati dettagliati del rapporto include i dati ottenuti dagli Administration Server secondari dell'Administration Server per cui viene creato il modello di rapporto.

       L'abilitazione di questa opzione rallenta la generazione dei rapporti e aumenta il traffico tra gli Administration Server. È tuttavia possibile visualizzare tutti i dati in un solo rapporto.

       Anziché attivare questa opzione, può essere preferibile analizzare i dati dettagliati del rapporto per identificare un Administration Server secondario che presenta problemi e quindi generare lo stesso rapporto solo per tale Administration Server.

       Per impostazione predefinita, questa opzione è disabilitata.

   • Scheda Campi

     Selezionare i campi che verranno visualizzati nel rapporto e utilizzare i pulsanti Sposta su e Sposta giù per modificare l'ordine dei campi. Utilizzare il pulsante Aggiungi o Modifica per specificare se le informazioni nel rapporto devono essere ordinate e filtrate in base a ciascuno dei campi.

     Nella sezione Filtri di Campi dettagli è inoltre possibile fare clic sul pulsante Converti filtri per iniziare a utilizzare il formato di filtro esteso. Questo formato consente di combinare le condizioni di filtro specificate in vari campi utilizzando l'operatore logico OR. Dopo aver fatto clic sul pulsante, il pannello Converti filtri si aprirà a destra. Fare clic sul pulsante Converti filtri per confermare la conversione. Adesso è possibile definire un filtro convertito con condizioni dalla sezione Campi dettagli che vengono applicate utilizzando l'operatore logico OR.

     La conversione di un rapporto nel formato che supporta condizioni di filtro complesse renderà il rapporto incompatibile con le versioni precedenti di Kaspersky Security Center (11 e precedenti). Inoltre, il rapporto convertito non conterrà alcun dato degli Administration Server secondari che eseguono le versioni incompatibili.

5. Fare clic su Salva per salvare le modifiche.
6. Chiudere la finestra Modifica del rapporto <nome rapporto>.

Il modello di rapporto aggiornato verrà visualizzato nell'elenco dei modelli di rapporto.

Esportazione di un rapporto in un file

È possibile esportare un rapporto in un file XML, HTML o PDF.

Per esportare un rapporto in un file:

1. Nel menu principale accedere a Monitoraggio e generazione dei rapporti → Rapporti.
2. Selezionare la casella di controllo accanto al rapporto che si desidera esportare in un file.
3. Fare clic sul pulsante Esporta rapporto.
4. Nella finestra visualizzata modificare il nome del file del rapporto nel campo Nome. Per impostazione predefinita, il nome del file coincide con il nome del modello di rapporto selezionato.
5. Selezionare il tipo di file del rapporto: XML, HTML o PDF.
6. Fare clic sul pulsante Esporta rapporto.

   Il rapporto nel formato selezionato verrà scaricato nel dispositivo (nella cartella predefinita del dispositivo) o verrà visualizzata una finestra Salva con nome standard nel browser per consentire di salvare il file nella posizione desiderata.

Il rapporto verrà salvato nel file.

Generazione e visualizzazione di un rapporto

Per creare e visualizzare un rapporto:

1. Nel menu principale accedere a Monitoraggio e generazione dei rapporti → Rapporti.
2. Fare clic sul nome del modello di rapporto che si desidera utilizzare per creare un rapporto.

Verrà generato e visualizzato un rapporto che utilizza il modello selezionato.

I dati del rapporto vengono visualizzati in base alla localizzazione impostata per Administration Server.

Il rapporto include i seguenti dati:

• Nella scheda Riepilogo:
  • Nome e tipo di rapporto, breve descrizione e periodo di generazione del rapporto, oltre che informazioni sul gruppo di dispositivi per cui è stato generato il rapporto.
  • Grafico con i dati più significativi del rapporto.
  • Tabella consolidata con indicatori del rapporto calcolati.
• Nella scheda Dettagli viene visualizzata una tabella con dati dettagliati sul rapporto.

Creazione di un'attività di invio dei rapporti

È possibile creare un'attività per l'invio dei rapporti selezionati.

Per creare un'attività di invio dei rapporti:

1. Nel menu principale accedere a Monitoraggio e generazione dei rapporti → Rapporti.
2. [Facoltativo] Selezionare le caselle di controllo accanto ai modelli di rapporto per cui si desidera creare un'attività di invio dei rapporti.
3. Fare clic sul pulsante Nuova attività di invio rapporti.
4. Verrà avviata la Creazione guidata nuova attività. Procedere con la procedura guidata utilizzando il pulsante Avanti.
5. Nella prima pagina della procedura guidata immettere il nome dell'attività. Il nome predefinito è Invia rapporti (<N>), dove <N> è il numero progressivo dell'attività.
6. Nella pagina delle impostazioni dell'attività della procedura guidata specificare le seguenti impostazioni:
   1. Modelli di rapporti che devono essere inviati dall'attività. Se sono stati selezionati nel passaggio 2, ignorare questo passaggio.
   2. Formato del rapporto: HTML, XLS o PDF.
   3. Se i rapporti devono essere inviati tramite e-mail, insieme alle impostazioni di notifica tramite e-mail.
   4. Se i rapporti devono essere salvati in una cartella, se i rapporti salvati precedentemente in questa cartella devono essere sovrascritti e se deve essere utilizzato un account specifico per accedere alla cartella (per una cartella condivisa).
7. Se si desidera modificare altre impostazioni dell'attività dopo averla creata, nella pagina Completare la creazione dell'attività della procedura guidata abilitare l'opzione Apri i dettagli dell'attività al termine della creazione.
8. Fare clic sul pulsante Crea per creare l'attività e chiudere la procedura guidata.

   Verrà creata l'attività di invio dei rapporti. Se è stata abilitata l'opzione Apri i dettagli dell'attività al termine della creazione, verrà visualizzata la finestra delle impostazioni dell'attività.

Eliminazione di modelli di rapporto

Per eliminare uno o più modelli di rapporto:

1. Nel menu principale accedere a Monitoraggio e generazione dei rapporti → Rapporti.
2. Selezionare le caselle di controllo accanto ai modelli di rapporto che si desidera eliminare.
3. Fare clic sul pulsante Elimina.
4. Nella finestra visualizzata fare clic su OK per confermare la selezione.

I modelli di rapporto selezionati verranno eliminati. Se questi modelli di rapporto sono stati inclusi nelle attività di invio dei rapporti, verranno rimossi anche dalle attività.

Eventi e selezioni di eventi

Questa sezione fornisce informazioni sugli eventi e sulle selezioni di eventi, sui tipi di eventi che si verificano nei componenti di Kaspersky Security Center e sulla gestione del blocco degli eventi frequenti.

Informazioni sugli eventi di Kaspersky Security Center

Kaspersky Security Center consente di ricevere informazioni sugli eventi che si verificano durante l'esecuzione di Administration Server e delle applicazioni Kaspersky installate nei dispositivi gestiti. Le informazioni sugli eventi vengono salvate nel database di Administration Server.

Tipi di evento

In Kaspersky Security Center sono disponibili i seguenti tipi di eventi:

• Eventi generici. Questi eventi si verificano in tutte le applicazioni Kaspersky gestite. Un esempio di evento generico è l'Epidemia di virus. Gli eventi generici hanno sintassi e semantica rigorosamente definite. Gli eventi generici vengono ad esempio utilizzati nei rapporti e nei dashboard.
• Eventi specifici delle applicazioni gestiti da Kaspersky. Ogni applicazione Kaspersky gestita dispone di uno specifico set di eventi.

Origini eventi

Gli eventi possono essere generati dalle seguenti applicazioni:

• Componenti di Kaspersky Security Center:
  • Administration Server
  • Network Agent
  • Server per dispositivi mobili MDM iOS
  • Server per dispositivi mobili Exchange
• Applicazioni Kaspersky gestite

  Per i dettagli sugli eventi generati dalle applicazioni gestite da Kaspersky, consultare la documentazione dell'applicazione corrispondente.

È possibile visualizzare l'elenco completo degli eventi che possono essere generati da un'applicazione nella scheda Configurazione eventi nel criterio dell'applicazione. Per l'Administration Server, è inoltre possibile visualizzare l'elenco degli eventi nelle proprietà dell'Administration Server.

Livello di importanza degli eventi

Ogni evento dispone di uno specifico livello di importanza. In base alle condizioni in cui si verifica, a un evento possono essere assegnati diversi livelli di importanza. Esistono quattro livelli di importanza degli eventi:

• Un evento critico è un evento che indica la presenza di un problema critico che può determinare una perdita dei dati, un malfunzionamento o un errore critico.
• Un errore funzionale è un evento che indica la presenza di un problema grave, un errore o un malfunzionamento che si è verificato durante l'esecuzione dell'applicazione o di una procedura.
• Un avviso è un evento che non è necessariamente grave, ma indica comunque un potenziale problema futuro. La maggior parte degli eventi viene designata come avviso se l'applicazione può essere ripristinata senza perdite di dati o funzionalità importanti dopo che si sono verificati tali eventi.
• Un evento informativo è un evento che si verifica allo scopo di segnalare il completamento di un'operazione, il corretto funzionamento dell'applicazione o il completamento di una procedura.

Ogni evento ha un periodo di archiviazione definito, durante il quale può essere visualizzato o modificato in Kaspersky Security Center. Alcuni eventi non vengono salvati nel database di Administration Server per impostazione predefinita, poiché il relativo periodo di archiviazione definito è pari a zero. Solo gli eventi che verranno memorizzati nel database di Administration Server per almeno un giorno possono essere esportati in sistemi esterni.

Utilizzo di selezioni eventi

Le selezioni eventi consentono di visualizzare i set denominati degli eventi selezionati dal database di Administration Server. Questi set di eventi sono raggruppati in base alle seguenti categorie:

• In base al livello di importanza: Eventi critici, Errori funzionali, Avvisi e Eventi informativi
• In base al tempo: Eventi recenti
• In base al tipo: Richieste utente e Eventi di controllo

È possibile creare e visualizzare le selezioni eventi definite dall'utente in base alle impostazioni disponibili per la configurazione nell'interfaccia di Kaspersky Security Center Web Console.

Le selezioni eventi sono disponibili in Kaspersky Security Center Web Console, nella sezione Monitoraggio e generazione dei rapporti, facendo clic su Selezioni eventi.

Per impostazione predefinita, le selezioni eventi includono informazioni relative agli ultimi sette giorni.

Kaspersky Security Center dispone di un set predefinito di selezioni eventi (preimpostate):

• Eventi con diversi livelli di importanza:
  • Eventi critici
  • Errori funzionali
  • Avvisi
  • Eventi informativi
• Richieste utente (eventi delle applicazioni gestite)
• Eventi recenti (nell'ultima settimana)
• Eventi di controllo.

È inoltre possibile creare e configurare ulteriori selezioni definite dall'utente. Nelle selezioni definite dall'utente è possibile filtrare gli eventi in base alle proprietà dei dispositivi da cui hanno avuto origine (nomi dei dispositivi, intervalli IP e gruppi di amministrazione), per tipi di eventi e livelli di criticità, per nome dell'applicazione e del componente e per intervallo di tempo. È anche possibile includere i risultati delle attività nell'ambito della ricerca. È inoltre disponibile un semplice campo di ricerca, in cui è possibile digitare una o più parole. Vengono visualizzati tutti gli eventi che contengono una delle parole digitate in qualsiasi punto dei relativi attributi (come nome dell'evento, descrizione o nome del componente).

Sia per le selezioni predefinite che per quelle definite dall'utente, è possibile limitare il numero di eventi visualizzati o il numero di record da cercare. Entrambe le opzioni influiscono sul tempo richiesto da Kaspersky Security Center per visualizzare gli eventi. Più grande è il database, più tempo può richiedere il processo.

È possibile procedere come segue:

• Modificare le proprietà delle selezioni eventi
• Generare selezioni eventi
• Visualizzare i dettagli delle selezioni eventi
• Eliminare le selezioni eventi
• Eliminare gli eventi dal database di Administration Server

Creazione di una selezione eventi

Per creare una selezione eventi:

1. Nel menu principale accedere a Monitoraggio e generazione dei rapporti → Selezioni eventi.
2. Fare clic su Aggiungi.
3. Nella finestra Nuova selezione eventi visualizzata specificare le impostazioni della nuova selezione eventi. Eseguire tale operazione in una o più sezioni della finestra.
4. Fare clic su Salva per salvare le modifiche.

   Verrà visualizzata la finestra di conferma.

5. Per visualizzare i risultati della selezione eventi, mantenere selezionata la casella di controllo Vai al risultato della selezione.
6. Fare clic su Salva per confermare la creazione della selezione eventi.

Se è stata mantenuta selezionata la casella di controllo Vai al risultato della selezione, verranno visualizzati i risultati della selezione eventi. In caso contrario, la nuova selezione eventi verrà visualizzata nell'elenco delle selezioni eventi.

Modifica di una selezione eventi

Per modificare una selezione eventi:

1. Nel menu principale accedere a Monitoraggio e generazione dei rapporti → Selezioni eventi.
2. Selezionare la casella di controllo accanto alla selezione eventi che si desidera modificare.
3. Fare clic sul pulsante Proprietà.

   Verrà visualizzata una finestra delle impostazioni della selezione eventi.

4. Modificare le proprietà della selezione eventi.

   Per le selezioni di eventi predefinite, è possibile modificare solo le proprietà nelle seguenti schede: Generale (tranne il nome della selezione), Data/Ora e Diritti di accesso.

   Per le selezioni definite dall'utente, è possibile modificare tutte le proprietà.

5. Fare clic su Salva per salvare le modifiche.

La selezione eventi modificata verrà visualizzata nell'elenco.

Visualizzazione di un elenco di una selezione eventi

Per visualizzare una selezione eventi:

1. Nel menu principale accedere a Monitoraggio e generazione dei rapporti → Selezioni eventi.
2. Selezionare la casella di controllo accanto alla selezione eventi che si desidera avviare.
3. Eseguire una delle seguenti operazioni:
   • Se si desidera configurare l'ordinamento dei risultati della selezione eventi, effettuare le seguenti operazioni:
     1. Fare clic sul pulsante Riconfigura ordinamento e avvia.
     2. Nella finestra Riconfigurare l'ordinamento per la selezione eventi visualizzata specificare le impostazioni di ordinamento.
     3. Fare clic sul nome della selezione.
   • In caso contrario, se si desidera visualizzare l'elenco degli eventi in base all'ordinamento in Administration Server, fare clic sul nome della selezione.

Verranno visualizzati i risultati della selezione eventi.

Eliminazione di selezioni eventi

È possibile eliminare solo le selezioni eventi definite dall'utente. Le selezioni eventi predefinite non possono essere eliminate.

Per eliminare una o più selezioni eventi:

1. Nel menu principale accedere a Monitoraggio e generazione dei rapporti → Selezioni eventi.
2. Selezionare le caselle di controllo accanto alle selezioni eventi che si desidera eliminare.
3. Fare clic su Elimina.
4. Nella finestra visualizzata fare clic su OK.

La selezione eventi verrà eliminata.

Visualizzazione dei dettagli di un evento

Per visualizzare i dettagli di un evento:

1. Avviare una selezione eventi.
2. Fare clic sull'ora dell'evento desiderato.

   Verrà visualizzata la finestra Proprietà evento.

3. Nella finestra visualizzata è possibile eseguire le seguenti operazioni:
   • Visualizzare le informazioni sull'evento selezionato
   • Passare all'evento successivo e all'evento precedente nei risultati della selezione eventi
   • Passare al dispositivo in cui si è verificato l'evento
   • Passare al gruppo di amministrazione che include il dispositivo in cui si è verificato l'evento
   • Per un evento correlato a un'attività, passare alle proprietà dell'attività

Esportazione degli eventi in un file

Kaspersky Security Center consente di salvare gli eventi da una selezione di eventi in un file TXT.

Per esportare gli eventi in un file:

1. Avviare una selezione eventi.
2. Selezionare la casella di controllo accanto all'evento desiderato.

   È inoltre possibile selezionare più eventi o l'intera selezione di eventi.

3. Fare clic sul pulsante Esporta in un file.

L'evento selezionato verrà esportato in un file TXT.

Esportazione di eventi nei sistemi SIEM

Questa sezione descrive come configurare l'esportazione degli eventi nei sistemi SIEM.

Configurazione dell'esportazione di eventi nei sistemi SIEM

Kaspersky Security Center consente la configurazione con uno dei seguenti metodi: esportazione in qualsiasi sistema SIEM che utilizza il formato Syslog, esportazione in sistemi QRadar, Splunk, ArcSight SIEM che utilizzano i formati LEEF e CEF o esportazione di eventi in sistemi SIEM direttamente dal database di Kaspersky Security Center. Al termine di questo scenario, Administration Server invia automaticamente gli eventi al sistema SIEM.

Prerequisiti

Prima di avviare la configurazione dell'esportazione degli eventi in Kaspersky Security Center:

• Ulteriori informazioni sui metodi di esportazione degli eventi.
• Assicurarsi di disporre dei valori delle impostazioni di sistema.

È possibile eseguire i passaggi di questo scenario in qualsiasi ordine.

Il processo di esportazione degli eventi nel sistema SIEM prevede i seguenti passaggi:

• Configurazione del sistema SIEM per la ricezione di eventi da Kaspersky Security Center

  Istruzioni dettagliate: Configurazione dell'esportazione di eventi in un sistema SIEM

• Selezione degli eventi che si desidera esportare nel sistema SIEM:

  Istruzioni dettagliate:

  • Administration Console: Contrassegno degli eventi di un'applicazione Kaspersky per l'esportazione nel formato Syslog, Contrassegno di eventi generici per l'esportazione nel formato Syslog
  • Kaspersky Security Center Web Console: Contrassegno degli eventi di un'applicazione Kaspersky per l'esportazione nel formato Syslog, Contrassegno di eventi generali per l'esportazione nel formato Syslog
• Configurazione dell'esportazione degli eventi nel sistema SIEM utilizzando uno dei seguenti metodi:
  • Utilizzo dei protocolli TCP/IP, UDP o TLS su TCP.

    Istruzioni dettagliate:

    • Administration Console: Configurazione dell'esportazione di eventi nei sistemi SIEM
    • Kaspersky Security Center Web Console: Configurazione dell'esportazione di eventi nei sistemi SIEM
  • Utilizzo dell'esportazione di eventi direttamente dal database di Kaspersky Security Center. È disponibile un set di visualizzazioni pubbliche nel database di Kaspersky Security Center. È possibile trovare la descrizione di queste visualizzazioni pubbliche nel documento klakdb.chm.

Risultati

Dopo aver configurato l'esportazione degli eventi nel sistema SIEM, è possibile visualizzare i risultati dell'esportazione se sono stati selezionati gli eventi da esportare.

Prima di iniziare

Espandi tutto | Comprimi tutto

Durante la configurazione dell'esportazione automatica degli eventi in Kaspersky Security Center, è necessario specificare alcune impostazioni del sistema SIEM. È consigliabile verificare preventivamente queste impostazioni per la preparazione della configurazione di Kaspersky Security Center.

Per configurare l'invio automatico degli eventi in un sistema SIEM, è necessario conoscere le seguenti impostazioni:

• Indirizzo server del sistema SIEM

  L'indirizzo IP del server in cui è installato il sistema SIEM utilizzato attualmente. Verificare questo valore nelle impostazioni del sistema SIEM.

• Porta server del sistema SIEM

  Numero della porta utilizzato per stabilire la connessione tra Kaspersky Security Center e il server del sistema SIEM. Questo valore viene specificato nelle impostazioni di Kaspersky Security Center e nelle impostazioni del destinatario del sistema SIEM.

• Protocollo

  Protocollo utilizzato per il trasferimento dei messaggi da Kaspersky Security Center al sistema SIEM. Questo valore viene specificato nelle impostazioni di Kaspersky Security Center e nelle impostazioni del destinatario del sistema SIEM.

Informazioni sull'esportazione degli eventi

È possibile utilizzare l'esportazione degli eventi in sistemi centralizzati che gestiscono i problemi di protezione a livello tecnico e organizzativo, garantiscono servizi di monitoraggio della sicurezza e consolidano informazioni da diverse soluzioni. Si tratta di sistemi SIEM, che offrono analisi in tempo reale degli avvisi e degli eventi di protezione generati da applicazioni e hardware di rete o SOC (Security Operation Center).

Questi sistemi ricevono i dati da numerose origini, tra cui reti, sicurezza, server, database e applicazioni. I sistemi SIEM forniscono anche funzionalità per consolidare i dati monitorati ed evitare la perdita di eventi critici. Inoltre, questi sistemi eseguono analisi automatizzate di avvisi ed eventi correlati per inviare immediatamente agli amministratori una notifica dei problemi di protezione. Gli avvisi possono essere implementati tramite un dashboard o inviati tramite canali di terzi, ad esempio via e-mail.

Il processo di esportazione degli eventi da Kaspersky Security Center ai sistemi SIEM esterni coinvolge due parti: un mittente degli eventi (Kaspersky Security Center) e il destinatario di un evento (il sistema SIEM). Per eseguire l'esportazione degli eventi, è necessario configurare questa funzionalità nel sistema SIEM e in Kaspersky Security Center Administration Console. Non è importante quale lato viene configurato per primo. È possibile configurare la trasmissione degli eventi in Kaspersky Security Center, quindi configurare la ricezione degli eventi dal sistema SIEM o viceversa.

Metodi per l'invio degli eventi da Kaspersky Security Center

Esistono tre metodi per l'invio degli eventi da Kaspersky Security Center ai sistemi esterni:

• Invio degli eventi tramite il protocollo Syslog a qualsiasi sistema SIEM

  Utilizzando il protocollo Syslog è possibile inviare gli eventi che si verificano in Kaspersky Security Center Administration Server e nelle applicazioni Kaspersky installate nei dispositivi gestiti. Il protocollo Syslog è un protocollo standard per la registrazione dei messaggi. Può essere utilizzato per esportare gli eventi in qualsiasi sistema SIEM.

  A tale scopo, è necessario contrassegnare gli eventi che si desidera inoltrare al sistema SIEM. È possibile contrassegnare gli eventi in Administration Console o Kaspersky Security Center Web Console. Solo gli eventi contrassegnati verranno inoltrati al sistema SIEM. Se non è stato contrassegnato nulla, nessun evento verrà inoltrato.

• Invio degli eventi tramite i protocolli CEF e LEEF ai sistemi QRadar, Splunk e ArcSight

  È possibile utilizzare i protocolli CEF e LEEF per esportare eventi generali. Durante l'esportazione degli eventi tramite i protocolli CEF e LEEF, non si ha la possibilità di selezionare gli eventi specifici da esportare. Al contrario, vengono esportati tutti gli eventi generali. Per convertire gli eventi Kaspersky Security Center in eventi nei formati CEF e LEEF, è necessario utilizzare il file siem_conversion_rules.xml. Questo file contiene l'elenco degli attributi degli eventi Kaspersky Security Center e gli attributi corrispondenti degli eventi nei formati CEF e LEEF. Inoltre, il file siem_conversion_rules.xml contiene le regole per generare messaggi corrispondenti agli eventi. Questo file è incluso nel kit di distribuzione di Kaspersky Security Center.

  A differenza del protocollo Syslog, i protocolli CEF e LEEF non sono universali. I protocolli CEF e LEEF sono destinati ai sistemi SIEM appropriati (QRadar, Splunk e ArcSight). Di conseguenza, quando si sceglie di esportare gli eventi in uno di questi protocolli, utilizzare il parser richiesto per il sistema SIEM.

• Direttamente dal database di Kaspersky Security Center in qualsiasi sistema SIEM

  Questo metodo di esportazione degli eventi può essere utilizzato per ricevere gli eventi direttamente da visualizzazioni pubbliche del database tramite query SQL. I risultati di una query vengono salvati in un file XML che può essere utilizzato come input dei dati per un sistema esterno. Solo gli eventi disponibili nelle visualizzazioni pubbliche possono essere esportati direttamente dal database.

Ricezione degli eventi da parte del sistema SIEM

Il sistema SIEM deve ricevere e analizzare correttamente gli eventi ricevuti da Kaspersky Security Center. A tale scopo, è necessario configurare correttamente il sistema SIEM. La configurazione dipende dallo specifico sistema SIEM in uso. Sono comunque previsti diversi passaggi generali per la configurazione di tutti i sistemi SIEM, ad esempio la configurazione del ricevitore e del parser.

Informazioni sulla configurazione dell'esportazione di eventi in un sistema SIEM

Espandi tutto | Comprimi tutto

Il processo di esportazione degli eventi da Kaspersky Security Center ai sistemi SIEM esterni coinvolge due parti: un mittente degli eventi (Kaspersky Security Center) e il destinatario di un evento (il sistema SIEM). È necessario configurare l'esportazione degli eventi nel sistema SIEM e in Kaspersky Security Center.

Le impostazioni specificate nel sistema SIEM dipendono dal particolare sistema in uso. In genere, per tutti i sistemi SIEM è necessario impostare un ricevitore ed eventualmente un parser dei messaggi per l'analisi degli eventi ricevuti.

Configurazione del ricevitore

Per la ricezione degli eventi inviati da Kaspersky Security Center, è necessario impostare il ricevitore nel sistema SIEM. In generale, le seguenti impostazioni devono essere specificate nel sistema SIEM:

• Protocollo di esportazione o tipo di input

  Si tratta del protocollo di trasferimento dei messaggi, TCP/IP o UDP. Questo protocollo deve corrispondere al protocollo specificato in Kaspersky Security Center.

• Porta

  Numero di porta per la connessione a Kaspersky Security Center. Questa porta deve corrispondere alla porta specificata in Kaspersky Security Center.

• Protocollo dei messaggi o tipo di origine

  Protocollo utilizzato per esportare gli eventi nel sistema SIEM. Può essere uno dei protocolli standard: Syslog, CEF o LEEF. Il sistema SIEM seleziona il parser dei messaggi in base al protocollo specificato.

A seconda del sistema SIEM in uso, potrebbe essere necessario specificare alcune impostazioni aggiuntive del ricevitore.

La figura seguente mostra la schermata di configurazione del ricevitore in ArcSight.

Configurazione del ricevitore in ArcSight

Parser dei messaggi

Gli eventi esportati vengono inviati ai sistemi SIEM come messaggi. Questi messaggi devono essere analizzati correttamente per consentire l'utilizzo delle informazioni sugli eventi nel sistema SIEM. I parser dei messaggi fanno parte del sistema SIEM: vengono utilizzati per suddividere il contenuto del messaggio nei campi appropriati, ad esempio l'ID degli eventi, il livello di criticità, la descrizione, i parametri. Questo consente al sistema SIEM di elaborare gli eventi ricevuti da Kaspersky Security Center in modo che possano essere memorizzati nel database del sistema SIEM.

Contrassegno degli eventi per l'esportazione nei sistemi SIEM in formato Syslog

Dopo aver abilitato l'esportazione automatica degli eventi, è necessario selezionare gli eventi da esportare nel sistema SIEM esterno.

È possibile configurare l'esportazione degli eventi in formato Syslog in un sistema esterno in base alle seguenti condizioni:

• Contrassegno di eventi generali. Se si contrassegnano gli eventi da esportare in un criterio, nelle impostazioni di un evento o nelle impostazioni di Administration Server, il sistema SIEM riceverà gli eventi contrassegnati che si sono verificati in tutte le applicazioni gestite dal criterio specifico. Se sono stati selezionati eventi esportati nel criterio, non sarà possibile ridefinirli per una singola applicazione gestita da questo criterio.
• Contrassegno degli eventi per un'applicazione gestita. Se si contrassegnano gli eventi da esportare per un'applicazione gestita installata in un dispositivo gestito, il sistema SIEM riceverà solo gli eventi che si sono verificati nell'applicazione.

Informazioni sul contrassegno degli eventi per l'esportazione nel sistema SIEM in formato Syslog

Dopo aver abilitato l'esportazione automatica degli eventi, è necessario selezionare gli eventi da esportare nel sistema SIEM esterno.

È possibile configurare l'esportazione degli eventi in formato Syslog in un sistema esterno in base alle seguenti condizioni:

• Contrassegno di eventi generali. Se si contrassegnano gli eventi da esportare in un criterio, nelle impostazioni di un evento o nelle impostazioni di Administration Server, il sistema SIEM riceverà gli eventi contrassegnati che si sono verificati in tutte le applicazioni gestite dal criterio specifico. Se sono stati selezionati eventi esportati nel criterio, non sarà possibile ridefinirli per una singola applicazione gestita da questo criterio.
• Contrassegno degli eventi per un'applicazione gestita. Se si contrassegnano gli eventi da esportare per un'applicazione gestita installata in un dispositivo gestito, il sistema SIEM riceverà solo gli eventi che si sono verificati nell'applicazione.

Contrassegno degli eventi di un'applicazione Kaspersky per l'esportazione nel formato Syslog

Se si desidera esportare gli eventi che si sono verificati in un'applicazione gestita specifica installata nei dispositivi gestiti, contrassegnare gli eventi per l'esportazione nel criterio dell'applicazione. In questo caso, gli eventi contrassegnati vengono esportati da tutti i dispositivi inclusi nell'ambito del criterio.

Per contrassegnare gli eventi per l'esportazione per una singola applicazione gestita:

1. Nel menu principale accedere a Dispositivi → Criteri e profili.
2. Fare clic sul criterio dell'applicazione per cui si desidera contrassegnare gli eventi.

   Verrà visualizzata la finestra delle impostazioni del criterio.

3. Accedere alla sezione Configurazione eventi.
4. Selezionare le caselle di controllo accanto agli eventi che si desidera esportare in un sistema SIEM.
5. Fare clic sul pulsante Contrassegna per l’esportazione nel sistema SIEM utilizzando Syslog.

   È inoltre possibile contrassegnare un evento per l'esportazione nel sistema SIEM nella sezione Registrazione eventi visualizzata facendo clic sul collegamento dell'evento.

6. Un segno di spunta () viene visualizzato nella colonna Syslog dell'evento o degli eventi contrassegnati per l'esportazione nel sistema SIEM.
7. Fare clic sul pulsante Salva.

Gli eventi contrassegnati dell'applicazione gestita sono pronti per l'esportazione in un sistema SIEM.

È possibile contrassegnare quali eventi esportare in un sistema SIEM per un dispositivo gestito specifico. Se sono stati contrassegnati eventi esportati in precedenza in un criterio dell'applicazione, non sarà possibile ridefinire gli eventi contrassegnati per un singolo dispositivo gestito.

Per contrassegnare gli eventi per l'esportazione per un dispositivo gestito:

1. Nel menu principale accedere a Dispositivi → Dispositivi gestiti.

   Verrà visualizzato l'elenco dei dispositivi gestiti.

2. Fare clic sul collegamento con il nome del dispositivo desiderato nell'elenco dei dispositivi gestiti.

   Verrà visualizzata la finestra delle proprietà del dispositivo selezionato.

3. Accedere alla sezione Applicazioni.
4. Fare clic sul collegamento con il nome dell'applicazione desiderata nell'elenco delle applicazioni.
5. Accedere alla sezione Configurazione eventi.
6. Selezionare le caselle di controllo accanto agli eventi che si desidera esportare in SIEM.
7. Fare clic sul pulsante Contrassegna per l’esportazione nel sistema SIEM utilizzando Syslog.

   È inoltre possibile contrassegnare un evento per l'esportazione nel sistema SIEM nella sezione Registrazione eventi visualizzata facendo clic sul collegamento dell'evento.

8. Un segno di spunta () viene visualizzato nella colonna Syslog dell'evento o degli eventi contrassegnati per l'esportazione nel sistema SIEM.

D'ora in poi, Administration Server invia gli eventi contrassegnati al sistema SIEM se è configurata l'esportazione nel sistema SIEM.

Contrassegno di eventi generici per l'esportazione nel formato Syslog

È possibile contrassegnare gli eventi generici che Administration Server esporterà nei sistemi SIEM utilizzando il formato Syslog.

Per contrassegnare eventi generici per l'esportazione in un sistema SIEM:

1. Eseguire una delle seguenti operazioni:
   • Nel menu principale, fare clic sull'icona delle impostazioni () accanto al nome dell'Administration Server richiesto.
   • Nel menu principale, passare a Dispositivi → Criteri e profili, quindi fare clic sul collegamento di un criterio.
2. Nella finestra visualizzata accedere alla scheda Configurazione eventi.
3. Fare clic su Contrassegna per l’esportazione nel sistema SIEM utilizzando Syslog.

   È inoltre possibile contrassegnare un evento per l'esportazione nel sistema SIEM nella sezione Registrazione eventi visualizzata facendo clic sul collegamento dell'evento.

4. Un segno di spunta () viene visualizzato nella colonna Syslog dell'evento o degli eventi contrassegnati per l'esportazione nel sistema SIEM.

D'ora in poi, Administration Server invia gli eventi contrassegnati al sistema SIEM se è configurata l'esportazione nel sistema SIEM.

Informazioni sull'esportazione degli eventi tramite i formati CEF e LEEF

È possibile utilizzare i formati CEF e LEEF per esportare nei sistemi SIEM gli eventi generali, nonché gli eventi trasferiti dalle applicazioni Kaspersky ad Administration Server. Il set di eventi per l'esportazione è predefinito e non è possibile selezionare gli eventi da esportare. Prima di inviare eventi al sistema SIEM (QRadar, ArcSight o Splunk), è necessario interpretare gli eventi Kaspersky Security Center in eventi in formato CEF e LEEF utilizzando le regole specificate nel file siem_conversion_rules.xml.

Selezionare il formato di esportazione in base al sistema SIEM in uso. Nella tabella seguente sono elencati i sistemi SIEM e i formati di esportazione corrispondenti.

Formati di esportazione degli eventi in un sistema SIEM

• LEEF (Log Event Extended Format) - un formato di eventi personalizzato per IBM Security QRadar SIEM. QRadar può integrare, identificare ed elaborare gli eventi LEEF. Gli eventi LEEF devono utilizzare la codifica dei caratteri UTF-8. Informazioni dettagliate sul protocollo LEEF sono disponibili in IBM Knowledge Center.
• CEF (Common Event Format) è uno standard aperto per la gestione dei registri che migliora l'interoperabilità delle informazioni relative alla sicurezza ottenute da diversi dispositivi e applicazioni di rete e di protezione. CEF consente di utilizzare un formato comune per il registro eventi, permettendo di integrare e aggregare facilmente i dati per l'analisi da un sistema di gestione aziendale. Gli eventi CEF devono utilizzare la codifica dei caratteri UTF-8.

L'esportazione automatica significa che Kaspersky Security Center invii gli eventi generali al sistema SIEM. L'esportazione automatica degli eventi viene avviata subito dopo essere stata abilitata. In questa sezione viene descritto in dettaglio come abilitare l'esportazione automatica degli eventi.

Informazioni sull'esportazione degli eventi utilizzando il formato Syslog

È possibile utilizzare il formato Syslog per esportare nei sistemi SIEM gli eventi che si verificano in Administration Server e in altre applicazioni Kaspersky installate nei dispositivi gestiti.

Syslog è un protocollo standard per la registrazione dei messaggi. Consente una separazione tra il software che genera i messaggi, il sistema che li archivia e il software che li segnala e li analizza. Ogni messaggio dispone di un codice che indica il tipo di software che ha generato il messaggio e di un livello di criticità.

Il formato Syslog è definito dai documenti RFC (Request for Comments) pubblicati da Internet Engineering Task Force (standard Internet). Per l'esportazione degli eventi da Kaspersky Security Center nei sistemi esterni viene utilizzato lo standard RFC 5424.

In Kaspersky Security Center è possibile configurare l'esportazione degli eventi per i sistemi esterni tramite il formato Syslog.

Il processo di esportazione comprende due passaggi:

1. Abilitazione dell'esportazione automatica degli eventi. In questo passaggio Kaspersky Security Center viene configurato in modo da inviare gli eventi al sistema SIEM. Kaspersky Security Center inizia a inviare gli eventi subito dopo l'abilitazione dell'esportazione automatica.
2. Selezione degli eventi da esportare nel sistema esterno. In questo passaggio è possibile selezionare gli eventi da esportare nel sistema SIEM.

Configurazione di Kaspersky Security Center per l'esportazione degli eventi nel sistema SIEM

Espandi tutto | Comprimi tutto

Questo articolo descrive come configurare l'esportazione degli eventi nei sistemi SIEM.

Prima di inviare eventi al sistema SIEM (QRadar, ArcSight o Splunk), è necessario interpretare gli eventi Kaspersky Security Center in eventi in formato CEF e LEEF utilizzando le regole specificate nel file siem_conversion_rules.xml.

Per configurare l'esportazione nei sistemi SIEM in Kaspersky Security Center Web Console:

1. Nel menu principale accedere a Impostazioni della console → Integrazione.
2. Nella scheda Integrazione selezionare la sezione SIEM.
3. Fare clic sul collegamento Impostazioni.

   Si aprirà la sezione Esporta impostazioni.

4. Specificare le impostazioni nella sezione Esporta impostazioni:
   • Indirizzo server del sistema SIEM

     L'indirizzo IP del server in cui è installato il sistema SIEM utilizzato attualmente. Verificare questo valore nelle impostazioni del sistema SIEM.

   • Porta del sistema SIEM

     Numero della porta utilizzato per stabilire la connessione tra Kaspersky Security Center e il server del sistema SIEM. Questo valore viene specificato nelle impostazioni di Kaspersky Security Center e nelle impostazioni del destinatario del sistema SIEM.

   • Protocollo

     Selezionare il protocollo da utilizzare per il trasferimento dei messaggi al sistema SIEM. È possibile selezionare il protocollo TCP, UDP o TLS su TCP.

     Specificare le seguenti impostazioni TLS se si seleziona il protocollo TLS su TCP:

     • Autenticazione server

       Nel campo Autenticazione server, è possibile selezionare i valori Certificati affidabili o Impronte digitali SHA:

       • Certificati affidabili. È possibile ricevere una catena di certificati completa (incluso il certificato root) da un'autorità di certificazione (CA) attendibile e caricare il file in Kaspersky Security Center. Kaspersky Security Center verifica se anche la catena di certificati del server di sistema SIEM è firmata da un'autorità di certificazione attendibile o meno.

         Per aggiungere un certificato attendibile, fare clic sul pulsante Cerca il file dei certificati CA, quindi caricare il certificato.

       • Impronte digitali SHA. È possibile specificare le identificazioni personali SHA1 dell'intera catena di certificati del sistema SIEM (incluso il certificato root) in Kaspersky Security Center. Per aggiungere un'identificazione personale SHA1, immetterla nel campo Identificazioni personali, quindi fare clic sul pulsante Aggiungi.

       Utilizzando l'impostazione Aggiungi autenticazione client, è possibile generare un certificato per autenticare Kaspersky Security Center. Pertanto, verrà utilizzato un certificato autofirmato emesso da Kaspersky Security Center. In questo caso, è possibile utilizzare sia un certificato attendibile che un'impronta digitale SHA per autenticare il server di sistema SIEM.

     • Aggiungi nome soggetto/nome alternativo soggetto

       Il nome del soggetto è un nome di dominio per il quale viene ricevuto il certificato. Kaspersky Security Center non può connettersi al server di sistema SIEM se il nome di dominio del server di sistema SIEM non corrisponde al nome del soggetto del certificato del server di sistema SIEM. Tuttavia, il server di sistema SIEM può modificare il proprio nome di dominio se il nome è stato modificato nel certificato. In questo caso, è possibile specificare i nomi dei soggetti nel campo Aggiungi nome soggetto/nome alternativo soggetto. Se uno dei nomi dei soggetti specificati corrisponde al nome del soggetto del certificato di sistema SIEM, Kaspersky Security Center convalida il certificato del server di sistema SIEM.

     • Aggiungi autenticazione client

       Per l'autenticazione del client, è possibile inserire il certificato o generarlo in Kaspersky Security Center.

       • Inserire il certificato. È possibile utilizzare un certificato ricevuto da qualsiasi origine, ad esempio da qualsiasi autorità di certificazione attendibile. È necessario specificare il certificato e la relativa chiave privata utilizzando uno dei seguenti tipi di certificato:
         • Certificato X.509 PEM. Caricare un file con un certificato nel campo File con certificato e un file con una chiave privata nel campo File con la chiave. Entrambi i file non dipendono l'uno dall'altro e l'ordine di caricamento dei file non è significativo. Quando entrambi i file sono stati caricati, specificare la password per la decodifica della chiave privata nel campo Verifica password o certificato. La password può avere un valore vuoto se la chiave privata non è codificata.
         • Certificato X.509 PKCS12. Caricare un singolo file che contenga un certificato e la relativa chiave privata nel campo File con certificato. Quando il file viene caricato, specificare la password per la decodifica della chiave privata nel campo Verifica password o certificato. La password può avere un valore vuoto se la chiave privata non è codificata.
       • Genera chiave. È possibile generare un certificato autofirmato in Kaspersky Security Center. Di conseguenza, Kaspersky Security Center archivia il certificato autofirmato generato ed è possibile passare la parte pubblica del certificato o l'impronta digitale SHA1 al sistema SIEM.
   • Formato dei dati

     È possibile selezionare i formati del registro di sistema, CEF o LEEF, a seconda dei requisiti del sistema SIEM.

   Se si seleziona il formato Syslog, è necessario specificare:

   • Dimensione massima del messaggio di evento in byte

     Specificare la dimensione massima (in byte) di un messaggio inviato al sistema SIEM. Ciascun evento viene inviato in un messaggio. Se la durata effettiva di un messaggio è superiore al valore specificato, il messaggio viene troncato e può verificarsi una perdita di dati. Le dimensioni predefinite sono 2048 byte. Questo campo è disponibile solo se è stato selezionato il formato del registro di sistema nel campo Protocollo.

5. Spostare l'opzione sulla posizione Esporta automaticamente gli eventi nel database del sistema SIEM Abilitato.
6. Fare clic sul pulsante Salva.

L'esportazione nel sistema SIEM è configurata.

Esportazione degli eventi direttamente dal database

È possibile recuperare gli eventi direttamente dal database di Kaspersky Security Center senza dover utilizzare l'interfaccia di Kaspersky Security Center. È possibile eseguire direttamente le query sulle visualizzazioni pubbliche e recuperare i dati degli eventi o creare le proprie visualizzazioni sulla base delle visualizzazioni pubbliche esistenti e configurarle in modo che recuperino i dati necessari.

Visualizzazioni pubbliche

Per maggiore praticità, è disponibile un set di visualizzazioni pubbliche nel database di Kaspersky Security Center. È possibile trovare la descrizione di queste visualizzazioni pubbliche nel documento klakdb.chm.

La visualizzazione pubblica v_akpub_ev_event contiene un set di campi che rappresentano i parametri degli eventi nel database. Nel documento klakdb.chm è inoltre possibile trovare informazioni sulle visualizzazioni pubbliche che corrispondono ad altre entità di Kaspersky Security Center, ad esempio dispositivi, applicazioni o utenti. È possibile utilizzare queste informazioni nelle query.

Questa sezione contiene le istruzioni per l'esecuzione di una query SQL tramite l'utilità klsql2 e un esempio di query.

Per creare query SQL o visualizzazioni di database, è anche possibile utilizzare qualsiasi altro programma per l'utilizzo dei database. Le informazioni su come visualizzare i parametri per la connessione al database di Kaspersky Security Center, ad esempio il nome istanza e il nome database, sono indicate nella sezione corrispondente.

Esecuzione di una query SQL tramite l'utilità klsql2

Questo articolo descrive come scaricare e utilizzare l'utilità klsql2 e come eseguire una query SQL utilizzando questa utilità.

Per utilizzare l'utilità klsql2:

1. Individuare l'utilità klsql2 nella cartella di installazione di Kaspersky Security Center. Il percorso di installazione predefinito è <Disco>:\Programmi (x86)\ Kaspersky Lab\ Kaspersky Security Center. Non utilizzare le versioni dell'utilità klsql2 destinate alle versioni precedenti di Kaspersky Security Center.
2. Creare un file con l'estensione .sql in qualsiasi editor di testo e posizionare il file nella stessa cartella con l'utilità.
3. Nel file .sql creato, digitare la query SQL desiderata e salvare il file.
4. Nel dispositivo in cui è installato Kaspersky Security Center Administration Server digitare nella riga di comando il seguente comando per eseguire la query SQL dal file .sql e salvare i risultati nel file result.xml:

   klsql2 -i src.sql -u <username> -p <password> -o result.xml

   dove <nome utente> e <password> sono le credenziali dell'account utente che ha accesso al database.

5. Se richiesto, inserire account utente e password dell'account utente che ha accesso al database.
6. Aprire i file result.xml creati per visualizzare i risultati della query SQL.

È possibile modificare il file .sql e creare qualsiasi query SQL sulle visualizzazioni pubbliche. Eseguire la query SQL dalla riga di comando e salvare i risultati in un file.

Esempio di una query SQL nell'utilità klsql2

Questa sezione fornisce un esempio di query SQL, eseguita tramite l'utilità klsql2.

Il seguente esempio illustra il recupero degli eventi che si sono verificati nei dispositivi negli ultimi sette giorni e la visualizzazione degli eventi ordinati in base all'ora in cui si sono verificati. Gli eventi più recenti vengono visualizzati per primi.

Visualizzazione del nome del database di Kaspersky Security Center

Se si desidera accedere al database di Kaspersky Security Center tramite gli strumenti di gestione database SQL Server, MySQL o MariaDB, è necessario conoscere il nome del database per connettersi dall'editor degli script SQL.

Per visualizzare il nome del database di Kaspersky Security Center:

1. Nel menu principale, fare clic sull'icona delle impostazioni () accanto al nome dell'Administration Server richiesto.

   Verrà visualizzata la finestra delle proprietà di Administration Server.

2. Nella scheda Generale, selezionare la sezione Dettagli del database corrente.

Il nome del database è specificato nel campo Nome database. Utilizzare il nome del database per fare riferimento al database nelle query SQL.

Visualizzazione dei risultati dell'esportazione

È possibile controllare il completamento della procedura di esportazione degli eventi. A tale scopo, controllare se i messaggi con gli eventi esportati vengono ricevuti dal sistema SIEM.

Se gli eventi inviati da Kaspersky Security Center vengono ricevuti e analizzati correttamente dal sistema SIEM, la configurazione su entrambi i lati è stata eseguita correttamente. In caso contrario, controllare le impostazioni specificate in Kaspersky Security Center rispetto alla configurazione del sistema SIEM.

La figura seguente illustra gli eventi esportati in ArcSight. Ad esempio, il primo evento è un evento critico di Administration Server: "Lo stato del dispositivo è Critico".

La rappresentazione degli eventi esportati nel sistema SIEM varia in base al sistema SIEM in uso.

Esempio di eventi

Visualizzazione della cronologia di un oggetto da un evento

Da un evento di creazione o di modifica di un oggetto che supporta la gestione delle revisioni, è possibile passare alla cronologia delle revisioni dell'oggetto.

Per visualizzare la cronologia di un oggetto da un evento:

1. Avviare una selezione eventi.
2. Selezionare la casella di controllo accanto all'evento desiderato.
3. Fare clic sul pulsante Cronologia revisioni.

Verrà aperta la cronologia delle revisioni dell'oggetto.

Eliminazione di eventi

Per eliminare uno o più eventi:

1. Avviare una selezione eventi.
2. Selezionare le caselle di controllo accanto agli eventi desiderati.
3. Fare clic sul pulsante Elimina.

Gli eventi selezionati verranno eliminati e non potranno essere ripristinati.

Impostazione del periodo di archiviazione per un evento

Kaspersky Security Center consente di ricevere informazioni sugli eventi che si verificano durante l'esecuzione di Administration Server e delle applicazioni Kaspersky installate nei dispositivi gestiti. Le informazioni sugli eventi vengono salvate nel database di Administration Server. Potrebbe essere necessario archiviare alcuni eventi per un periodo più o meno lungo di quanto specificato dai valori predefiniti. È possibile modificare le impostazioni predefinite del periodo di archiviazione per un evento.

Se non si è interessati all'archiviazione di alcuni eventi nel database di Administration Server, è possibile disabilitare l'impostazione appropriata nel criterio di Administration Server e nel criterio dell'applicazione Kaspersky o nelle proprietà di Administration Server (solo per gli eventi di Administration Server). Ciò consentirà di ridurre il numero dei tipi di eventi nel database.

Più lungo è il periodo di archiviazione per un evento, più velocemente il database raggiunge la capacità massima. Tuttavia, un periodo di archiviazione più lungo per un evento consente di eseguire le attività di monitoraggio e generazione dei rapporti per un periodo superiore.

Per impostare il periodo di archiviazione per un evento nel database di Administration Server:

1. Nel menu principale accedere a Dispositivi → Criteri e profili.
2. Fare clic sul nome del criterio desiderato.

   È possibile selezionare un criterio per un'applicazione Kaspersky gestita, Network Agent o Administration Server. Per Administration Server, è inoltre possibile configurare il periodo di archiviazione degli eventi facendo clic sull'icona delle impostazioni () accanto al nome dell'Administration Server desiderato.

3. Selezionare la scheda Configurazione eventi.

   Verrà visualizzato un elenco dei tipi di eventi correlati alla sezione Critico. Se necessario, è possibile passare alla sezione Errore funzionale, Avviso o Informazioni.

4. Nell'elenco dei tipi di eventi nel riquadro destro fare clic sul collegamento per l'evento di cui si desidera modificare il periodo di archiviazione.

   Nella sezione Registrazione eventi della finestra visualizzata l'interruttore Archivia nel database di Administration Server per (giorni) è abilitata.

5. Nella casella di modifica sotto questo interruttore inserire il numero di giorni per l'archiviazione dell'evento.
6. Se non si desidera archiviare un evento nel database di Administration Server, disabilitare l'opzione Archivia nel database di Administration Server per (giorni).

   Se si configurano gli eventi di Administration Server nella finestra delle proprietà di Administration Server e se le impostazioni degli eventi sono bloccate nel criterio di Kaspersky Security Center Administration Server, non è possibile ridefinire il valore del periodo di archiviazione per un evento.

7. Fare clic su OK, quindi, dopo aver chiuso il riquadro destro, fare clic sul pulsante Salva.

   La finestra delle proprietà del criterio verrà chiusa.

Da questo momento, quando Administration Server riceve e archivia gli eventi del tipo selezionato, questi avranno il periodo di archiviazione modificato. Administration Server non modifica il periodo di archiviazione degli eventi ricevuti in precedenza.

Eventi dei componenti di Kaspersky Security Center

Ogni componente Kaspersky Security Center dispone di uno specifico set di tipi di eventi. In questa sezione, sono elencati i tipi di eventi che si verificano in Kaspersky Security Center Administration Server, Network Agent, Server per dispositivi mobili MDM iOS e un server per dispositivi mobili Exchange. I tipi di eventi che si verificano nelle applicazioni Kaspersky non sono elencati in questa sezione.

Per ogni evento che può essere generato da un'applicazione, è possibile specificare le impostazioni di notifica e le impostazioni di archiviazione nella scheda Configurazione eventi nel criterio dell'applicazione. Per l'Administration Server, è inoltre possibile visualizzare e configurare l'elenco degli eventi nelle proprietà dell'Administration Server. Se si desidera configurare le impostazioni di notifica per tutti gli eventi contemporaneamente, configurare le impostazioni di notifica generali nelle proprietà di Administration Server.

Struttura dei dati della descrizione del tipo di evento

Per ogni tipo di evento, sono indicati il relativo nome visualizzato, l'identificatore (ID), il codice alfabetico, la descrizione e il periodo di archiviazione predefinito.

• Nome visualizzato del tipo di evento. Questo testo è visualizzato in Kaspersky Security Center durante la configurazione degli eventi e quando gli eventi si verificano.
• ID del tipo di evento. Questo codice numerico viene utilizzato durante l'elaborazione degli eventi tramite strumenti di terzi per l'analisi degli eventi.
• Tipo di evento (codice alfabetico). Questo codice viene utilizzato quando si esplorano e si elaborano gli eventi con le visualizzazione pubbliche disponibili nel database di Kaspersky Security Center e quando gli eventi vengono esportati in un sistema SIEM.
• Descrizione. Questo testo contiene le situazioni in cui si verifica un evento e come procedere in questo caso.
• Periodo di archiviazione predefinito. Rappresenta il numero di giorni per cui l'evento viene memorizzato nel database di Administration Server ed è visualizzato nell'elenco degli eventi in Administration Server. Al termine di questo periodo, l'evento viene eliminato. Se il valore per il periodo di archiviazione degli eventi è 0, gli eventi vengono rilevati ma non sono visualizzati nell'elenco degli eventi in Administration Server. Se è stato configurato il salvataggio di tali eventi nel registro eventi del sistema operativo, è possibile accedervi in tale posizione.

  È possibile modificare il periodo di archiviazione per gli eventi:

  • Administration Console: Impostazione del periodo di archiviazione per un evento
  • Kaspersky Security Center Web Console: Impostazione del periodo di archiviazione per un evento

Tra gli altri dati possono essere inclusi i seguenti campi:

• event_id: numero univoco dell'evento nel database, generato e assegnato automaticamente; da non confondere con l'ID del tipo di evento.
• task_id: l'ID dell'attività che ha causato l'evento (se presente)
• criticità: uno dei seguenti livelli di criticità (in ordine di criticità crescente):

  0) Livello di criticità non valido

  1) Informazioni

  2) Avviso

  3) Errore

  4) Critico

Eventi di Administration Server

Questa sezione contiene informazioni sugli eventi relativi ad Administration Server.

Eventi critici di Administration Server

La tabella seguente elenca i tipi di eventi di Kaspersky Security Center Administration Server con il livello di importanza Critico.

Per ogni evento che può essere generato da un'applicazione, è possibile specificare le impostazioni di notifica e le impostazioni di archiviazione nella scheda Configurazione eventi nel criterio dell'applicazione. Per l'Administration Server, è inoltre possibile visualizzare e configurare l'elenco degli eventi nelle proprietà dell'Administration Server. Se si desidera configurare le impostazioni di notifica per tutti gli eventi contemporaneamente, configurare le impostazioni di notifica generali nelle proprietà di Administration Server.

Se è stata specificata la porta nella finestra delle proprietà di Administration Server in Administration Console, Kaspersky Security Center pubblica le metriche e gli eventi critici che devono essere ottenuti da Prometheus, un sistema per il monitoraggio e gli avvisi. Prometheus ottiene le metriche e gli eventi critici, quindi genera avvisi per ciascun evento.

Eventi critici di Administration Server

Eventi di errore funzionale di Administration Server

La tabella seguente elenca i tipi di eventi di Kaspersky Security Center Administration Server con il livello di importanza Errore funzionale.

Per ogni evento che può essere generato da un'applicazione, è possibile specificare le impostazioni di notifica e le impostazioni di archiviazione nella scheda Configurazione eventi nel criterio dell'applicazione. Per l'Administration Server, è inoltre possibile visualizzare e configurare l'elenco degli eventi nelle proprietà dell'Administration Server. Se si desidera configurare le impostazioni di notifica per tutti gli eventi contemporaneamente, configurare le impostazioni di notifica generali nelle proprietà di Administration Server.

Eventi di errore funzionale di Administration Server

Eventi di avviso di Administration Server

La tabella seguente elenca gli eventi di Kaspersky Security Center Administration Server con il livello di importanza Avviso.

Per ogni evento che può essere generato da un'applicazione, è possibile specificare le impostazioni di notifica e le impostazioni di archiviazione nella scheda Configurazione eventi nel criterio dell'applicazione. Per l'Administration Server, è inoltre possibile visualizzare e configurare l'elenco degli eventi nelle proprietà dell'Administration Server. Se si desidera configurare le impostazioni di notifica per tutti gli eventi contemporaneamente, configurare le impostazioni di notifica generali nelle proprietà di Administration Server.

Eventi di avviso di Administration Server

Eventi informativi di Administration Server

La tabella seguente elenca gli eventi di Kaspersky Security Center Administration Server con il livello di importanza Informazioni.

Per ogni evento che può essere generato da un'applicazione, è possibile specificare le impostazioni di notifica e le impostazioni di archiviazione nella scheda Configurazione eventi nel criterio dell'applicazione. Per l'Administration Server, è inoltre possibile visualizzare e configurare l'elenco degli eventi nelle proprietà dell'Administration Server. Se si desidera configurare le impostazioni di notifica per tutti gli eventi contemporaneamente, configurare le impostazioni di notifica generali nelle proprietà di Administration Server.

Eventi informativi di Administration Server

Eventi di Network Agent

Questa sezione contiene informazioni sugli eventi relativi a Network Agent.

Eventi di errore funzionale di Network Agent

La tabella seguente elenca i tipi di eventi di Kaspersky Security Center Network Agent con il livello di criticità Errore funzionale.

Per ogni evento che può essere generato da un'applicazione, è possibile specificare le impostazioni di notifica e le impostazioni di archiviazione nella scheda Configurazione eventi nel criterio dell'applicazione. Se si desidera configurare le impostazioni di notifica per tutti gli eventi contemporaneamente, configurare le impostazioni di notifica generali nelle proprietà di Administration Server.

Eventi di errore funzionale di Network Agent

Eventi di avviso di Network Agent

La tabella seguente elenca gli eventi di Kaspersky Security Center Network Agent con il livello di gravità Avviso.

Per ogni evento che può essere generato da un'applicazione, è possibile specificare le impostazioni di notifica e le impostazioni di archiviazione nella scheda Configurazione eventi nel criterio dell'applicazione. Se si desidera configurare le impostazioni di notifica per tutti gli eventi contemporaneamente, configurare le impostazioni di notifica generali nelle proprietà di Administration Server.

Eventi di avviso di Network Agent

Eventi informativi di Network Agent

La tabella seguente elenca gli eventi di Kaspersky Security Center Network Agent con il livello di gravità Informazioni.

Per ogni evento che può essere generato da un'applicazione, è possibile specificare le impostazioni di notifica e le impostazioni di archiviazione nella scheda Configurazione eventi nel criterio dell'applicazione. Se si desidera configurare le impostazioni di notifica per tutti gli eventi contemporaneamente, configurare le impostazioni di notifica generali nelle proprietà di Administration Server.

Eventi informativi di Network Agent

Eventi di Server per dispositivi mobili MDM iOS

Questa sezione contiene informazioni sugli eventi relativi al server MDM iOS.

Eventi di errore funzionale di Server per dispositivi mobili MDM iOS

La tabella seguente elenca gli eventi del server per dispositivi mobili MDM iOS di Kaspersky Security Center con il livello di criticità Errore funzionale.

Per ogni evento che può essere generato da un'applicazione, è possibile specificare le impostazioni di notifica e le impostazioni di archiviazione nella scheda Configurazione eventi nel criterio dell'applicazione. Se si desidera configurare le impostazioni di notifica per tutti gli eventi contemporaneamente, configurare le impostazioni di notifica generali nelle proprietà di Administration Server.

Eventi di errore funzionale di Server per dispositivi mobili MDM iOS

Eventi di avviso di Server per dispositivi mobili MDM iOS

La tabella seguente elenca gli eventi di Server per dispositivi mobili MDM iOS di Kaspersky Security Center con il livello di gravità Avviso.

Per ogni evento che può essere generato da un'applicazione, è possibile specificare le impostazioni di notifica e le impostazioni di archiviazione nella scheda Configurazione eventi nel criterio dell'applicazione. Se si desidera configurare le impostazioni di notifica per tutti gli eventi contemporaneamente, configurare le impostazioni di notifica generali nelle proprietà di Administration Server.

Eventi di avviso di Server per dispositivi mobili MDM iOS

Eventi informativi di Server per dispositivi mobili MDM iOS

La tabella seguente elenca gli eventi di Server per dispositivi mobili MDM iOS di Kaspersky Security Center con il livello di gravità Informazioni.

Per ogni evento che può essere generato da un'applicazione, è possibile specificare le impostazioni di notifica e le impostazioni di archiviazione nella scheda Configurazione eventi nel criterio dell'applicazione. Se si desidera configurare le impostazioni di notifica per tutti gli eventi contemporaneamente, configurare le impostazioni di notifica generali nelle proprietà di Administration Server.

Eventi informativi di Server per dispositivi mobili MDM iOS

Eventi di Server per dispositivi mobili Exchange

Questa sezione contiene informazioni sugli eventi relativi a un server per dispositivi mobili Exchange.

Eventi di errore funzionale di Server per dispositivi mobili Exchange

La tabella seguente elenca gli eventi di Server per dispositivi mobili Exchange di Kaspersky Security Center con il livello di criticità Errore funzionale.

Per ogni evento che può essere generato da un'applicazione, è possibile specificare le impostazioni di notifica e le impostazioni di archiviazione nella scheda Configurazione eventi nel criterio dell'applicazione. Se si desidera configurare le impostazioni di notifica per tutti gli eventi contemporaneamente, configurare le impostazioni di notifica generali nelle proprietà di Administration Server.

Eventi di errore funzionale di Server per dispositivi mobili Exchange

Eventi informativi di Server per dispositivi mobili Exchange

La tabella seguente elenca gli eventi di Server per dispositivi mobili Exchange di Kaspersky Security Center con il livello di criticità Informazioni.

Per ogni evento che può essere generato da un'applicazione, è possibile specificare le impostazioni di notifica e le impostazioni di archiviazione nella scheda Configurazione eventi nel criterio dell'applicazione. Se si desidera configurare le impostazioni di notifica per tutti gli eventi contemporaneamente, configurare le impostazioni di notifica generali nelle proprietà di Administration Server.

Eventi informativi di Server per dispositivi mobili Exchange

Blocco degli eventi frequenti

Questa sezione fornisce informazioni sulla gestione del blocco degli eventi frequenti e sulla rimozione del blocco degli eventi frequenti.

Informazioni sul blocco degli eventi frequenti

Un'applicazione gestita, ad esempio Kaspersky Endpoint Security for Windows, installata in uno o più dispositivi gestiti può inviare molti eventi dello stesso tipo ad Administration Server. La ricezione di eventi frequenti può sovraccaricare il database di Administration Server e sovrascrivere altri eventi. Administration Server inizia a bloccare gli eventi più frequenti quando il numero di tutti gli eventi ricevuti supera il limite specificato per il database.

Administration Server blocca la ricezione automatica degli eventi frequenti. Non è possibile bloccare autonomamente gli eventi frequenti o scegliere quali eventi bloccare.

Se si desidera scoprire se un evento è bloccato, è possibile visualizzare l'elenco delle notifiche o controllare se questo evento è presente nella sezione Blocco degli eventi frequenti delle proprietà di Administration Server. Se l'evento è bloccato, è possibile eseguire le seguenti operazioni:

• Se si desidera impedire la sovrascrittura del database, è possibile continuare a bloccare la ricezione di questo tipo di eventi.
• Se ad esempio si desidera individuare il motivo dell'invio degli eventi frequenti ad Administration Server, è possibile sbloccare gli eventi frequenti e continuare a ricevere comunque gli eventi di questo tipo.
• Se si desidera continuare a ricevere gli eventi frequenti finché non vengono nuovamente bloccati, è possibile rimuovere dal blocco gli eventi frequenti.

Gestione del blocco degli eventi frequenti

Administration Server blocca la ricezione automatica degli eventi frequenti, ma è possibile sbloccare e continuare a ricevere gli eventi frequenti. È inoltre possibile bloccare la ricezione degli eventi frequenti sbloccati in precedenza.

Per gestire il blocco degli eventi frequenti:

1. Nel menu principale, fare clic sull'icona delle impostazioni () accanto al nome dell'Administration Server richiesto.

   Verrà visualizzata la finestra delle proprietà di Administration Server.

2. Nella scheda Generale selezionare la sezione Blocco degli eventi frequenti.
3. Nella sezione Blocco degli eventi frequenti:
   • Se si desidera sbloccare la ricezione degli eventi frequenti:
     1. Selezionare gli eventi frequenti che si desidera sbloccare e fare clic sul pulsante Escludi.
     2. Fare clic sul pulsante Salva.
   • Se si desidera bloccare la ricezione degli eventi frequenti:
     1. Selezionare gli eventi frequenti che si desidera bloccare e fare clic sul pulsante Blocca.
     2. Fare clic sul pulsante Salva.

Administration Server riceve gli eventi frequenti sbloccati e non riceve gli eventi frequenti bloccati.

Rimozione del blocco degli eventi frequenti

È possibile rimuovere il blocco per gli eventi frequenti e iniziare a riceverli fino a quando Administration Server bloccherà nuovamente questi eventi frequenti.

Per rimuovere il blocco per gli eventi frequenti:

1. Nel menu principale, fare clic sull'icona delle impostazioni () accanto al nome dell'Administration Server richiesto.

   Verrà visualizzata la finestra delle proprietà di Administration Server.

2. Nella scheda Generale selezionare la sezione Blocco degli eventi frequenti.
3. Nella sezione Blocco degli eventi frequenti selezionare i tipi di eventi frequenti per i quali si desidera rimuovere il blocco.
4. Fare clic sul pulsante Rimuovi dal blocco.

L'evento frequente viene rimosso dall'elenco degli eventi frequenti. Administration Server riceverà gli eventi di questo tipo.

Ricezione di eventi da Kaspersky Security for Microsoft Exchange Servers

Le informazioni relative agli eventi durante il funzionamento delle applicazioni gestite, come Kaspersky Endpoint Security for Windows, vengono trasferite dai dispositivi gestiti e registrate nel database di Administration Server. Per impostazione predefinita, gli eventi di Kaspersky Security for Microsoft Exchange Servers versione 9.0 MR6 e precedenti non vengono registrati nel database di Administration Server. Se Kaspersky Security for Microsoft Exchange Servers versione 9.0 MR6 e precedenti è installato nei dispositivi gestiti dell'organizzazione e si desidera ricevere gli eventi da questa applicazione, abilitare la registrazione degli eventi per questa applicazione utilizzando l'utilità klscflag.

Per abilitare la registrazione degli eventi per Kaspersky Security for Microsoft Exchange Servers:

1. Nel dispositivo Administration Server eseguire il prompt dei comandi di Windows con un account che disponga dei diritti di amministratore.
2. Sostituire la directory corrente con la cartella di installazione di Kaspersky Security Center (in genere, C:\Programmi (x86)\Kaspersky Lab\Kaspersky Security Center).
3. Eseguire uno dei seguenti comandi:
   • Per l'Administration Server installato in un cluster di failover di Windows Server

     klscflag.exe --stp cluster -fset -pv klserver -n KLSRV_EVP_ENABLE_HOST_EVENT_BODY_VALIDATION -t d -v 0

   • Per l'Administration Server installato in un nodo del cluster di failover Kaspersky Security Center:

     klscflag.exe --stp klfoc -fset -pv klserver -n KLSRV_EVP_ENABLE_HOST_EVENT_BODY_VALIDATION -t d -v 0

   • Per l'Administration Server che non funziona su un cluster:

     klscflag.exe -fset -pv klserver -n KLSRV_EVP_ENABLE_HOST_EVENT_BODY_VALIDATION -t d -v 0

La registrazione degli eventi per Kaspersky Security for Microsoft Exchange Servers è abilitata:

Per Kaspersky Security for Microsoft Exchange Servers non è possibile impostare il periodo di archiviazione per gli eventi o selezionare gli eventi da salvare nell'archivio dell'Administration Server. È possibile impostare il numero massimo di eventi che possono essere salvati nell'archivio. Questa impostazione viene applicata agli eventi ricevuti da tutte le applicazioni Kaspersky.

Notifiche e stati del dispositivo

Questa sezione contiene informazioni su come visualizzare le notifiche, configurare il recapito delle notifiche, utilizzare gli stati dei dispositivi e abilitare la modifica degli stati dei dispositivi.

Utilizzo delle notifiche

Le notifiche segnalano gli eventi e consentono di velocizzare le risposte a tali eventi eseguendo le azioni consigliate o le azioni che si ritengono appropriate.

A seconda del metodo di notifica scelto, sono disponibili i seguenti tipi di notifiche:

• Notifiche sullo schermo
• Notifiche tramite SMS
• Notifiche tramite e-mail
• Notifiche tramite file eseguibile o script

Notifiche sullo schermo

Le notifiche sullo schermo segnalano gli eventi raggruppati per livelli di importanza (Critico, Avviso e Informativo).

Una notifica sullo schermo può avere due stati:

• Rivista. Indica che è stata eseguita l'azione consigliata per la notifica o che è stato assegnato manualmente questo stato per la notifica.
• Non rivista. Indica che non è stata eseguita l'azione consigliata per la notifica o che non è stato assegnato manualmente questo stato per la notifica.

Per impostazione predefinita, l'elenco delle notifiche include le notifiche con lo stato Non rivista.

È possibile monitorare la rete dell'organizzazione visualizzando le notifiche sullo schermo e rispondendo in tempo reale a tali notifiche.

Notifiche tramite e-mail, SMS e file eseguibile o script

Kaspersky Security Center offre la possibilità di monitorare la rete dell'organizzazione inviando notifiche su qualsiasi evento che si ritiene importante. Per ogni evento è possibile configurare notifiche tramite e-mail, tramite SMS o avviando un file eseguibile o uno script.

Dopo aver ricevuto notifiche tramite e-mail o SMS, è possibile decidere la risposta a un evento. Questa risposta dovrebbe essere la più appropriata per la rete dell'organizzazione. Avviando un file eseguibile o uno script, si specifica una risposta predefinita a un evento. L'avvio di un file eseguibile o di uno script può anche essere considerato la risposta primaria a un evento. Dopo l'avvio del file eseguibile, è possibile eseguire altri passaggi per rispondere all'evento.

Visualizzazione delle notifiche sullo schermo

È possibile visualizzare le notifiche sullo schermo in tre modi:

• Nella sezione Monitoraggio e generazione dei rapporti → Notifiche. Qui è possibile visualizzare le notifiche relative alle categorie predefinite.
• In una finestra distinta che può essere aperta indipendentemente dalla sezione in uso. In questo caso, è possibile contrassegnare le notifiche come riviste.
• Nel widget Notifiche in base al livello di criticità selezionato nella sezione Monitoraggio e generazione dei rapporti → Dashboard. Nel widget è possibile visualizzare solo le notifiche degli eventi con i livelli di importanza Critico e Avviso.

È possibile eseguire azioni, ad esempio è possibile rispondere a un evento.

Per visualizzare le notifiche delle categorie predefinite:

1. Nel menu principale accedere a Monitoraggio e generazione dei rapporti → Notifiche.

   La categoria Tutte le notifiche è selezionata nel riquadro sinistro e nel riquadro destro sono visualizzate tutte le notifiche.

2. Nel riquadro sinistro selezionare una delle categorie:
   • Distribuzione
   • Dispositivi
   • Protezione
   • Aggiornamenti (sono incluse le notifiche relative alle applicazioni Kaspersky disponibili per il download e le notifiche relative agli aggiornamenti dei database anti-virus scaricati)
   • Prevenzione Exploit
   • Administration Server (sono inclusi gli eventi relativi solo ad Administration Server)
   • Collegamenti utili (sono inclusi collegamenti a risorse Kaspersky, ad esempio il Servizio di assistenza tecnica Kaspersky, il forum Kaspersky, la pagina di rinnovo della licenza o Kaspersky IT Encyclopedia)
   • Novità di Kaspersky (sono incluse le informazioni sulle versioni delle applicazioni Kaspersky)

Viene visualizzato un elenco di notifiche della categoria selezionata. L'elenco contiene i seguenti elementi:

• Icona relativa all'argomento della notifica: distribuzione (), protezione (), aggiornamenti (), gestione dispositivi (), Prevenzione Exploit (), Administration Server ().
• Livello di importanza della notifica. Vengono visualizzate le notifiche con i seguenti livelli di importanza: Notifiche critiche (), Notifiche di avviso (), Notifiche informative. Le notifiche nell'elenco sono raggruppate in base ai livelli di importanza.
• Notifica. Contiene una descrizione della notifica.
• Azione. Contiene un collegamento a un'azione rapida che è consigliabile eseguire. Ad esempio, facendo clic su questo collegamento, è possibile passare all'archivio e installare le applicazioni di protezione nei dispositivi oppure visualizzare un elenco di dispositivi o un elenco di eventi. Dopo aver eseguito l'azione consigliata per la notifica, alla notifica viene assegnato lo stato Rivista.
• Stato registrato. Contiene il numero di giorni o ore trascorsi dal momento in cui la notifica è stata registrata in Administration Server.

Per visualizzare le notifiche sullo schermo in una finestra distinta in base al livello di importanza:

1. Nell'angolo superiore destro di Kaspersky Security Center Web Console, fare clic sull'icona a forma di bandiera ().

   Se l'icona a forma di bandiera contiene un punto rosso, sono presenti notifiche che non sono state riviste.

   Verrà visualizzata una finestra che elenca le notifiche. Per impostazione predefinita, la scheda Tutte le notifiche è selezionata e le notifiche sono raggruppate per livello di importanza: Critico, Avviso e Informazioni.

2. Selezionare la scheda Sistema.

   Verrà visualizzato l'elenco delle notifiche con i livelli di importanza Critico () e Avviso (). L'elenco delle notifiche include i seguenti elementi:

   • Contrassegno del colore. Le notifiche critiche sono contrassegnate in rosso. Le notifiche di avviso sono contrassegnate in giallo.
   • Icona che indica l'argomento della notifica: distribuzione (), protezione (), aggiornamenti (), gestione dispositivi (), Prevenzione Exploit (), Administration Server ().
   • Descrizione della notifica.
   • Icona a forma di bandiera. L'icona a forma di bandiera è grigia se alle notifiche è stato assegnato lo stato Non rivista. Quando si seleziona l'icona a forma di bandiera di colore grigio e si assegna lo stato Rivista a una notifica, il colore dell'icona diventa bianco.
   • Collegamento all'azione consigliata. Quando si esegue l'azione consigliata dopo aver fatto clic sul collegamento, alla notifica viene assegnato lo stato Rivista.
   • Numero di giorni trascorsi dalla data in cui la notifica è stata registrata in Administration Server.
3. Selezionare la scheda Altro.

   Verrà visualizzato l'elenco delle notifiche con il livello di importanza Informazioni.

   L'organizzazione dell'elenco è la stessa dell'elenco nella scheda Sistema (vedere la descrizione precedente). L'unica differenza è l'assenza di un contrassegno del colore.

È possibile filtrare le notifiche in base all'intervallo di date in cui sono state registrate in Administration Server. Utilizzare la casella di controllo Mostra filtro per gestire il filtro.

Per visualizzare le notifiche sullo schermo nel widget:

1. Nella sezione Dashboard selezionare Aggiungere o ripristinare widget Web.
2. Nella finestra visualizzata fare clic sulla categoria Altro, selezionare il widget Notifiche in base al livello di criticità selezionato e fare clic su Aggiungi.

   Il widget verrà visualizzato nella scheda Dashboard. Per impostazione predefinita, nel widget vengono visualizzate le notifiche con il livello di importanza Critico.

   È possibile fare clic sul pulsante Impostazioni nel widget e modificare le impostazioni del widget per visualizzare le notifiche con il livello di importanza Avviso. In alternativa, è possibile aggiungere un altro widget: Notifiche in base al livello di criticità selezionato, con un livello di importanza Avviso.

   L'elenco delle notifiche nel widget è limitato dalle dimensioni e include due notifiche. Queste due notifiche si riferiscono agli ultimi eventi.

L'elenco delle notifiche nel widget include i seguenti elementi:

• Icona relativa all'argomento della notifica: distribuzione (), protezione (), aggiornamenti (), gestione dispositivi (), Prevenzione Exploit (), Administration Server ().
• Descrizione della notifica con un collegamento all'azione consigliata. Quando si esegue un'azione consigliata dopo aver fatto clic sul collegamento, alla notifica viene assegnato lo stato Rivista.
• Numero di giorni o numero di ore trascorsi dalla data in cui la notifica è stata registrata in Administration Server.
• Collegamento ad altre notifiche. Facendo clic su questo collegamento, è possibile passare alla visualizzazione delle notifiche nella sezione Notifiche della sezione Monitoraggio e generazione dei rapporti.

Informazioni sugli stati dei dispositivi

Kaspersky Security Center assegna uno stato a ciascun dispositivo gestito. Lo stato specifico dipende dal rispetto delle condizioni definite dall'utente. In alcuni casi, durante l'assegnazione di uno stato a un dispositivo, Kaspersky Security Center prende in considerazione il flag di visibilità del dispositivo nella rete (vedere la tabella seguente). Se Kaspersky Security Center non rileva un dispositivo nella rete entro due ore, il flag di visibilità del dispositivo è impostato su Non visibile.

Gli stati sono i seguenti:

• Critico o Critico / Visibile
• Avviso o Avviso / Visibile
• OK o OK / Visibile

La tabella seguente elenca le condizioni predefinite da soddisfare per assegnare a un dispositivo lo stato Critico o Avviso, con tutti i possibili valori.

Condizioni per l'assegnazione di uno stato a un dispositivo

Kaspersky Security Center consente di configurare la selezione automatica dello stato di un dispositivo in un gruppo di amministrazione quando vengono soddisfatte le condizioni specificate. Quando vengono soddisfatte le condizioni specificate, al dispositivo client viene assegnato uno dei seguenti stati: Critico o Avviso. Quando le condizioni specificate non vengono soddisfatte, al dispositivo client viene assegnato lo stato OK.

Diversi stati possono corrispondere ai diversi valori di una condizione. Ad esempio, per impostazione predefinita, se alla condizione I database non sono aggiornati è associato il valore Più di 3 giorni, al dispositivo client sarà assegnato lo stato Avviso; se il valore è Più di 7 giorni, verrà assegnato lo stato Critico.

Se si esegue l'upgrade di Kaspersky Security Center dalla versione precedente, i valori della condizione I database non sono aggiornati per l'assegnazione dello stato Critico o Avviso restano invariati.

Quando Kaspersky Security Center assegna uno stato a un dispositivo, per alcune condizioni (vedere la colonna Descrizione della condizione) viene preso in considerazione il flag di visibilità. Ad esempio, se a un dispositivo gestito è stato assegnato lo stato Critico perché è stata soddisfatta la condizione I database non sono aggiornati e successivamente è stato impostato il flag di visibilità per il dispositivo, al dispositivo viene assegnato lo stato OK.

Configurazione del passaggio degli stati del dispositivo

È possibile modificare le condizioni per assegnare lo stato Critico o Avviso a un dispositivo.

Per abilitare la modifica dello stato del dispositivo in Critico:

1. Nel menu principale accedere a Dispositivi → Gerarchia dei gruppi.
2. Nell'elenco dei gruppi visualizzato fare clic sul collegamento con il nome di un gruppo per cui si desidera modificare lo stato del dispositivo.
3. Nella finestra delle proprietà visualizzata selezionare la scheda Stato dispositivo.
4. Nel riquadro sinistro selezionare Critico.
5. Nel riquadro destro, nella sezione Imposta su Critico se è specificato, abilitare la condizione per il passaggio di un dispositivo allo stato Critico.

   È possibile modificare solo le impostazioni che non sono bloccate nel criterio principale.

6. Selezionare il pulsante di opzione accanto alla condizione nell'elenco.
7. Nell'angolo superiore sinistro dell'elenco fare clic sul pulsante Modifica.
8. Impostare il valore richiesto per la condizione selezionata.

   I valori non possono essere impostati per tutte le condizioni.

9. Fare clic su OK.

Quando le condizioni specificate vengono soddisfatte, al dispositivo gestito viene assegnato lo stato Critico.

Per abilitare la modifica dello stato del dispositivo in Avviso:

1. Nel menu principale accedere a Dispositivi → Gerarchia dei gruppi.
2. Nell'elenco dei gruppi visualizzato fare clic sul collegamento con il nome di un gruppo per cui si desidera modificare lo stato del dispositivo.
3. Nella finestra delle proprietà visualizzata selezionare la scheda Stato dispositivo.
4. Nel riquadro sinistro selezionare Avviso.
5. Nel riquadro destro, nella sezione Imposta su Avviso se è specificato, abilitare la condizione per il passaggio di un dispositivo allo stato Avviso.

   È possibile modificare solo le impostazioni che non sono bloccate nel criterio principale.

6. Selezionare il pulsante di opzione accanto alla condizione nell'elenco.
7. Nell'angolo superiore sinistro dell'elenco fare clic sul pulsante Modifica.
8. Impostare il valore richiesto per la condizione selezionata.

   I valori non possono essere impostati per tutte le condizioni.

9. Fare clic su OK.

Quando le condizioni specificate vengono soddisfatte, al dispositivo gestito viene assegnato lo stato Avviso.

Configurazione dell'invio delle notifiche

Espandi tutto | Comprimi tutto

È possibile configurare notifiche per gli eventi che si verificano in Kaspersky Security Center. A seconda del metodo di notifica scelto, sono disponibili i seguenti tipi di notifiche:

• E-mail: quando si verifica un evento, Kaspersky Security Center invia una notifica agli indirizzi e-mail specificati.
• SMS: quando si verifica un evento, Kaspersky Security Center invia una notifica ai numeri di telefono specificati.
• File eseguibile: quando si verifica un evento, viene eseguito il file eseguibile in Administration Server.

Per configurare l'invio delle notifiche per gli eventi che si verificano in Kaspersky Security Center:

1. Nel menu principale, fare clic sull'icona delle impostazioni () accanto al nome dell'Administration Server richiesto.

   Verrà visualizzata la finestra delle proprietà di Administration Server, con la scheda Generale selezionata.

2. Fare clic sulla sezione Notifica e nel riquadro destro selezionare la scheda per il metodo di notifica desiderato:
   • E-mail

     La scheda E-mail consente di configurare la notifica degli eventi tramite e-mail.

     Nel campo Destinatari (indirizzi e-mail) specificare gli indirizzi e-mail a cui l'applicazione invierà le notifiche. È possibile specificare più indirizzi in questo campo, separandoli con punto e virgola.

     Nel campo Server SMTP specificare gli indirizzi dei server di posta, separandoli con punto e virgola. È possibile utilizzare i seguenti valori:

     • Indirizzo IPv4 o IPv6
     • Nome di rete Windows (nome NetBIOS) del dispositivo
     • Nome DNS del server SMTP

     Nel campo Porta server SMTP specificare il numero di una porta di comunicazione del server SMTP. Il numero di porta predefinito è 25.

     Se si abilita l'opzione Usa ricerca DNS MX, è possibile utilizzare più record MX degli indirizzi IP per lo stesso nome DNS del server SMTP. Lo stesso nome DNS può avere diversi record MX con valori di priorità differenti di ricezione dei messaggi e-mail. Administration Server tenta di inviare notifiche e-mail al server SMTP in ordine crescente di priorità dei record MX.

     Se si abilita l'opzione Usa ricerca DNS MX e non si abilita l'utilizzo delle impostazioni TLS, è consigliabile utilizzare le impostazioni DNSSEC nel dispositivo server come misura di protezione aggiuntiva per l'invio di notifiche e-mail.

     Se si abilita l'opzione Usa autenticazione ESMTP, è possibile specificare le impostazioni di autenticazione ESMTP nei campi Nome utente e Password. Per impostazione predefinita, l'opzione è disabilitata e le impostazioni per l'autenticazione ESMTP non sono disponibili.

     È possibile specificare le impostazioni di connessione TLS con un server SMTP:

     • Non utilizzare TLS

     È possibile selezionare questa opzione se si desidera disabilitare il criptaggio dei messaggi e-mail.

     • Usa TLS se supportato dal server SMTP

     È possibile selezionare questa opzione se si desidera utilizzare una connessione TLS in un server SMTP. Se il server SMTP non supporta TLS, Administration Server si connette al server SMTP senza utilizzare TLS.

     • Usa sempre TLS, controlla la validità del certificato del server

     È possibile selezionare questa opzione se si desidera utilizzare le impostazioni di autenticazione TLS. Se il server SMTP non supporta TLS, Administration Server non può connettersi al server SMTP.

     È consigliabile utilizzare questa opzione per una protezione più efficace della connessione con un server SMTP. Se si seleziona questa opzione, è possibile configurare le impostazioni di autenticazione per una connessione TLS.

     Se si seleziona il valore Usa sempre TLS, controlla la validità del certificato del server, è possibile specificare un certificato per l'autenticazione del server SMTP e scegliere se si desidera abilitare la comunicazione tramite qualsiasi versione di TLS o solo tramite TLS 1.2 o versioni successive. È inoltre possibile specificare un certificato per l'autenticazione del client nel server SMTP.

     È possibile specificare i certificati per una connessione TLS facendo clic sul collegamento Specifica certificati:

     • Cercare un file di certificato del server SMTP:

     È possibile ricevere un file con l'elenco dei certificati da un'autorità di certificazione attendibile e caricare il file in Administration Server. Kaspersky Security Center verifica se anche il certificato di un server SMTP è firmato da un'autorità di certificazione attendibile. Kaspersky Security Center non può connettersi a un server SMTP se il certificato del server SMTP non viene ricevuto da un'autorità di certificazione attendibile.

     • Cercare un file di certificato del client:

     È possibile utilizzare un certificato ricevuto da qualsiasi origine, ad esempio da qualsiasi autorità di certificazione attendibile. È necessario specificare il certificato e la relativa chiave privata utilizzando uno dei seguenti tipi di certificato:

     • Certificato X-509:

     È necessario specificare un file con il certificato e un file con la chiave privata. Entrambi i file non dipendono l'uno dall'altro e l'ordine di caricamento dei file non è significativo. Quando entrambi i file vengono caricati, è necessario specificare la password per la decodifica della chiave privata. La password può avere un valore vuoto se la chiave privata non è codificata.

     • Contenitore pkcs12:

     È necessario caricare un singolo file che contenga il certificato e la relativa chiave privata. Quando il file viene caricato, è necessario specificare la password per la decodifica della chiave privata. La password può avere un valore vuoto se la chiave privata non è codificata.

     Nel campo Oggetto specificare l'oggetto del messaggio e-mail. È possibile lasciare vuoto questo campo.

     Nell'elenco a discesa Modello oggetto selezionare il modello per l'oggetto. Una variabile determinata dal modello selezionato viene automaticamente inserita nel campo Oggetto. È possibile creare un oggetto e-mail selezionando diversi modelli di oggetto.

     Nel campo Indirizzo e-mail del mittente specificare l'indirizzo del mittente del messaggio e-mail. Se si lascia vuoto questo campo, per impostazione predefinita viene utilizzato l'indirizzo del destinatario. Non è consigliabile utilizzare indirizzi e-mail fittizi.

     Il campo Messaggio di notifica contiene testo standard con le informazioni sull'evento inviate dall'applicazione quando si verifica un evento. Il testo include parametri sostitutivi, ad esempio il nome dell'evento, il nome del dispositivo e il nome di dominio. È possibile modificare il testo del messaggio aggiungendo altri parametri sostitutivi con dettagli più pertinenti sull'evento.

     Se il testo di notifica contiene un segno percentuale (%), è necessario digitarlo due volte di seguito per consentire l'invio del messaggio. Ad esempio, "Il carico della CPU è 100%%".

     Il collegamento Configura un limite numerico per la notifica consente di specificare il numero massimo di notifiche che l'applicazione può inviare nell'intervallo di tempo specificato.

     Il pulsante Invia messaggio di prova consente di verificare se le notifiche sono state configurate correttamente: l'applicazione invia una notifica di prova all'indirizzo e-mail specificato.

   • SMS

     La scheda SMS consente di configurare la trasmissione delle notifiche SMS di diversi eventi a un cellulare. I messaggi SMS vengono inviati tramite un gateway di posta.

     Nel campo Server SMTP specificare gli indirizzi dei server di posta, separandoli con punto e virgola. È possibile utilizzare i seguenti valori:

     • Indirizzo IPv4 o IPv6
     • Nome di rete Windows (nome NetBIOS) del dispositivo
     • Nome DNS del server SMTP

     Nel campo Porta server SMTP specificare il numero di una porta di comunicazione del server SMTP. Il numero di porta predefinito è 25.

     Se l'opzione Usa autenticazione ESMTP è abilitata, è possibile specificare le impostazioni di autenticazione ESMTP nei campi Nome utente e Password. Per impostazione predefinita, l'opzione è disabilitata e le impostazioni per l'autenticazione ESMTP non sono disponibili.

     È possibile specificare le impostazioni di connessione TLS con un server SMTP:

     • Non utilizzare TLS

     È possibile selezionare questa opzione se si desidera disabilitare il criptaggio dei messaggi e-mail.

     • Usa TLS se supportato dal server SMTP

     È possibile selezionare questa opzione se si desidera utilizzare una connessione TLS in un server SMTP. Se il server SMTP non supporta TLS, Administration Server si connette al server SMTP senza utilizzare TLS.

     • Usa sempre TLS, controlla la validità del certificato del server

     È possibile selezionare questa opzione se si desidera utilizzare le impostazioni di autenticazione TLS. Se il server SMTP non supporta TLS, Administration Server non può connettersi al server SMTP.

     È consigliabile utilizzare questa opzione per una protezione più efficace della connessione con un server SMTP. Se si seleziona questa opzione, è possibile configurare le impostazioni di autenticazione per una connessione TLS.

     Se si seleziona il valore Usa sempre TLS, controlla la validità del certificato del server, è possibile specificare un certificato per l'autenticazione del server SMTP e scegliere se si desidera abilitare la comunicazione tramite qualsiasi versione di TLS o solo tramite TLS 1.2 o versioni successive. È inoltre possibile specificare un certificato per l'autenticazione del client nel server SMTP.

     È possibile specificare il file del certificato del server SMTP facendo clic sul collegamento Specifica certificati:

     È possibile ricevere un file con l'elenco dei certificati da un'autorità di certificazione attendibile e caricare il file in Administration Server. Kaspersky Security Center verifica se anche il certificato di un server SMTP è firmato da un'autorità di certificazione attendibile. Kaspersky Security Center non può connettersi a un server SMTP se il certificato del server SMTP non viene ricevuto da un'autorità di certificazione attendibile.

     Nel campo Destinatari (indirizzi e-mail) specificare gli indirizzi e-mail a cui l'applicazione invierà le notifiche. È possibile specificare più indirizzi in questo campo, separandoli con punto e virgola. Le notifiche verranno inviate ai numeri di telefono associati agli indirizzi e-mail specificati.

     Nel campo Oggetto specificare l'oggetto del messaggio e-mail.

     Nell'elenco a discesa Modello oggetto selezionare il modello per l'oggetto. Una variabile basata sul modello selezionato viene inserita nel campo Oggetto. È possibile creare un oggetto e-mail selezionando diversi modelli di oggetto.

     Nel campo Indirizzo e-mail del mittente: se questa impostazione non è specificata, verrà utilizzato l'indirizzo del destinatario. Avviso: è consigliabile non utilizzare un indirizzo e-mail fittizio specificare l'indirizzo del mittente del messaggio e-mail. Se si lascia vuoto questo campo, per impostazione predefinita viene utilizzato l'indirizzo del destinatario. Non è consigliabile utilizzare indirizzi e-mail fittizi.

     Nel campo Numeri di telefono dei destinatari dei messaggi SMS specificare i numeri di cellulare dei destinatari delle notifiche SMS.

     Nel campo Messaggio di notifica specificare un testo standard con le informazioni sull'evento inviate dall'applicazione quando si verifica un evento. Il testo può includere parametri sostitutivi, ad esempio il nome dell'evento, il nome del dispositivo e il nome di dominio.

     Se il testo di notifica contiene un segno percentuale (%), è necessario digitarlo due volte di seguito per consentire l'invio del messaggio. Ad esempio, "Il carico della CPU è 100%%".

     Fare clic sul collegamento Configura un limite numerico per la notifica per specificare il numero massimo di notifiche che l'applicazione può inviare durante l'intervallo di tempo specificato.

     Fare clic su Invia messaggio di prova per verificare se le notifiche sono state configurate correttamente: l'applicazione invia una notifica di prova al destinatario specificato.

   • File eseguibile da avviare

     Se è selezionato questo metodo di notifica, nel campo di immissione è possibile specificare l'applicazione che verrà avviata quando si verifica un evento.

     Nel campo File eseguibile da avviare in Administration Server al verificarsi di un evento specificare la cartella e il nome del file da eseguire. Prima di specificare il file, preparare il file e specificare i segnaposto che definiscono i dettagli dell'evento da inviare nel messaggio di notifica. La cartella e il file specificati devono trovarsi in Administration Server.

     Il collegamento Configura un limite numerico per la notifica consente di specificare il numero massimo di notifiche che l'applicazione può inviare nell'intervallo di tempo specificato.

3. Nella scheda definire le impostazioni di notifica.
4. Fare clic sul pulsante OK per chiudere la finestra delle proprietà di Administration Server.

Le impostazioni di invio delle notifiche salvate vengono applicate a tutti gli eventi che si verificano in Kaspersky Security Center.

È possibile sostituire le impostazioni di invio delle notifiche per determinati eventi nella sezione Configurazione eventi delle impostazioni di Administration Server, delle impostazioni di un criterio o delle impostazioni di un'applicazione.

Notifiche degli eventi visualizzate dall'esecuzione di un file eseguibile

Kaspersky Security Center consente di inviare all'amministratore notifiche degli eventi nei dispositivi client visualizzate dall'esecuzione di un file eseguibile. Il file eseguibile deve contenere un altro file eseguibile con segnaposto dell'evento da inviare all'amministratore (vedere la tabella seguente).

Segnaposto per la descrizione di un evento

Annunci Kaspersky

Questa sezione descrive come utilizzare, configurare e disabilitare gli annunci di Kaspersky.

Informazioni sugli annunci di Kaspersky

La sezione Annunci Kaspersky (Monitoraggio e generazione dei rapporti → Annunci Kaspersky) consente di rimanere informati fornendo informazioni relative alla versione in uso di Kaspersky Security Center e alle applicazioni gestite installate nei dispositivi gestiti. Kaspersky Security Center aggiorna periodicamente le informazioni nella sezione rimuovendo gli annunci obsoleti e aggiungendo nuove informazioni.

Kaspersky Security Center mostra solo gli annunci di Kaspersky relativi all'Administration Server attualmente connesso e alle applicazioni Kaspersky installate nei dispositivi gestiti di questo Administration Server. Gli annunci vengono visualizzati singolarmente per qualsiasi tipo di Administration Server: primario, secondario o virtuale.

L'Administration Server deve disporre di una connessione Internet per ricevere gli annunci Kaspersky.

Gli annunci includono informazioni dei seguenti tipi:

• Annunci relativi alla sicurezza

  Gli annunci relativi alla sicurezza hanno lo scopo di mantenere aggiornate e completamente funzionanti le applicazioni Kaspersky installate nella rete. Gli annunci possono includere informazioni sugli aggiornamenti critici per le applicazioni Kaspersky, correzioni per le vulnerabilità rilevate e modalità di risoluzione di altri problemi nelle applicazioni Kaspersky. Gli annunci relativi alla sicurezza sono abilitati per impostazione predefinita. Se non si desidera ricevere gli annunci, è possibile disabilitare questa funzionalità.

  Per mostrare le informazioni corrispondenti alla configurazione della protezione di rete, Kaspersky Security Center invia i dati ai server cloud Kaspersky e riceve solo gli annunci relativi alle applicazioni Kaspersky installate nella rete. Il set di dati che può essere inviato ai server è descritto nel Contratto di licenza con l'utente finale che l'utente accetta durante l'installazione di Kaspersky Security Center Administration Server.

• Annunci di marketing

  Gli annunci di marketing includono informazioni su offerte speciali per le applicazioni Kaspersky, pubblicità e notizie provenienti da Kaspersky. Gli annunci di marketing sono disabilitati per impostazione predefinita. Questo tipo di annunci viene ricevuto solo se è stato abilitato Kaspersky Security Network (KSN). È possibile disabilitare gli annunci di marketing disabilitando KSN.

  Al fine di mostrare solo le informazioni attinenti che potrebbero essere utili per la protezione dei dispositivi di rete e nelle attività quotidiane, Kaspersky Security Center invia i dati ai server cloud Kaspersky e riceve gli annunci appropriati. Il set di dati che può essere inviato ai server è descritto nella sezione Dati elaborati dell' Informativa KSN.

Le nuove informazioni sono suddivise nelle seguenti categorie, in base al livello di importanza:

1. Informazioni critiche
2. Novità importanti
3. Avviso
4. Informazioni

Quando vengono visualizzate nuove informazioni nella sezione Annunci Kaspersky, Kaspersky Security Center Web Console visualizza un'etichetta di notifica che corrisponde al livello di importanza degli annunci. È possibile fare clic sull'etichetta per visualizzare l'annuncio nella sezione Annunci Kaspersky.

È possibile specificare le impostazioni degli annunci Kaspersky, comprese le categorie di annunci che si desidera visualizzare e dove visualizzare l'etichetta di notifica.

Configurazione delle impostazioni per gli annunci di Kaspersky

Nella sezione Annunci Kaspersky è possibile specificare le impostazioni degli annunci Kaspersky, comprese le categorie di annunci che si desidera visualizzare e dove visualizzare l'etichetta di notifica.

Per configurare gli annunci Kaspersky:

1. Nel menu principale accedere a Monitoraggio e generazione dei rapporti → Annunci Kaspersky.
2. Fare clic sul collegamento Impostazioni.

   Verrà visualizzata la finestra delle impostazioni degli annunci di Kaspersky.

3. Specificare le seguenti impostazioni:
   • Selezionare il livello di importanza degli annunci che si desidera visualizzare. Gli annunci di altre categorie non verranno visualizzati.
   • Selezionare dove si desidera visualizzare l'etichetta di notifica. L'etichetta può essere visualizzata in tutte le sezioni della console o nella sezione Monitoraggio e generazione dei rapporti e nelle relative sottosezioni.
4. Fare clic sul pulsante OK.

   Le impostazioni degli annunci Kaspersky sono state specificate.

Disabilitazione degli annunci di Kaspersky

La sezione Annunci Kaspersky (Monitoraggio e generazione dei rapporti → Annunci Kaspersky) consente di rimanere informati fornendo informazioni relative alla versione in uso di Kaspersky Security Center e alle applicazioni gestite installate nei dispositivi gestiti. Se non si desidera ricevere gli annunci di Kaspersky, è possibile disabilitare questa funzionalità.

Gli annunci Kaspersky includono due tipi di informazioni: annunci relativi alla sicurezza e annunci di marketing. È possibile disabilitare separatamente gli annunci di ciascun tipo.

Per disabilitare gli annunci relativi alla sicurezza:

1. Nel menu principale, fare clic sull'icona delle impostazioni () accanto al nome dell'Administration Server richiesto.

   Verrà visualizzata la finestra delle proprietà di Administration Server.

2. Nella scheda Generale selezionare la sezione Annunci Kaspersky.
3. Spostare l'interruttore sulla posizione Annunci relativi alla sicurezza Disabilitati.
4. Fare clic sul pulsante Salva.

   Gli annunci di Kaspersky vengono disabilitati.

Gli annunci di marketing sono disabilitati per impostazione predefinita. Gli annunci di marketing vengono ricevuti solo se è stato abilitato Kaspersky Security Network (KSN). È possibile disabilitare questo tipo di annunci disabilitando KSN.

Per disabilitare gli annunci di marketing:

1. Nel menu principale, fare clic sull'icona delle impostazioni () accanto al nome dell'Administration Server richiesto.

   Verrà visualizzata la finestra delle proprietà di Administration Server.

2. Nella scheda Generale selezionare la sezione Impostazioni proxy KSN.
3. Disabilitare l'opzione Usa Kaspersky Security Network Abilitato.
4. Fare clic sul pulsante Salva.

   Gli annunci di marketing vengono disabilitati.

Visualizzazione delle informazioni sui rilevamenti delle minacce

È possibile abilitare o disabilitare la visualizzazione delle informazioni relative agli avvisi.

Per abilitare o disabilitare la visualizzazione della sezione Avvisi nel menu principale:

1. Nel menu principale, passare alle impostazioni dell'account, quindi selezionare Opzioni di interfaccia.
2. Nella finestra Opzioni di interfaccia visualizzata abilitare o disabilitare l'opzione Mostra avvisi EDR.
3. Fare clic su Salva.

La console visualizza la sottosezione Avvisi nella sezione Monitoraggio e generazione dei rapporti del menu principale. Nella sottosezione Avvisi è possibile visualizzare informazioni sui rilevamenti delle minacce nei dispositivi endpoint. Se si aggiunge una chiave di licenza per EDR Optimum, Kaspersky Security Center Web Console visualizza automaticamente la sottosezione Avvisi nella sezione Monitoraggio e generazione dei rapporti del menu principale. È inoltre possibile aggiungere un widget che visualizza informazioni sugli avvisi.

La sottosezione Avvisi viene visualizzata automaticamente solo se è stata aggiunta la chiave di licenza per EDR Optimum prima di abilitare l'opzione Mostra avvisi EDR. Se la chiave di licenza è stata aggiunta dopo aver abilitato l'opzione Mostra avvisi EDR, la sottosezione Avvisi verrà visualizzata solo dopo aver riabilitato questa opzione.

Per visualizzare correttamente le informazioni dettagliate sulle minacce rilevate nella scheda di avviso, è necessario selezionare il plug-in EDR Optimum dall'elenco dei plug-in disponibili, quindi aggiornarlo. Inoltre, è necessario installare il plug-in Kaspersky Endpoint Agent e la versione compatibile del plug-in Kaspersky Endpoint Security (Kaspersky Endpoint Security for Linux 12.1 o versione successiva, Kaspersky Endpoint Security for Mac 12.1 o versione successiva oppure Kaspersky Endpoint Security for Windows 12.6 o versione successiva).

Usare il menu Filtro per filtrare gli avvisi in base alla data e ai valori di campo.

Il campo Tipo di oggetto contiene i seguenti valori:

• sconosciuto
• Collegamento di phishing
• virus
• Trojan
• strumento dannoso
• backdoor
• worm
• altra applicazione
• Adware
• Pornware
• Programma compresso pericoloso
• Comportamento pericoloso

Il campo Risposta automatica contiene i seguenti valori:

• Rilevato oggetto dannoso
• Oggetto eliminato
• Oggetto disinfettato
• L'oggetto non è stato disinfettato
• Oggetto spostato in Quarantena
• Rilevato archivio protetto da password
• Rilevato virus

Download ed eliminazione dei file da Quarantena e Backup

Questa sezione fornisce informazioni su come scaricare ed eliminare file da Quarantena e Backup in Kaspersky Security Center Web Console.

Download dei file da Quarantena e Backup

È possibile scaricare i file da Quarantena e Backup solo se viene soddisfatta una delle due condizioni: l'opzione Non eseguire la disconnessione da Administration Server è abilitata nelle impostazioni del dispositivo oppure è in uso un gateway di connessione. In caso contrario, il download non è possibile.

Per salvare una copia del file dalla cartella Quarantena o Backup sul disco rigido:

1. Eseguire una delle seguenti operazioni:
   • Se si desidera salvare una copia del file dalla Quarantena, nel menu principale passare a Operazioni → Archivi → Quarantena.
   • Se si desidera salvare una copia del file da Backup, nel menu principale passare a Operazioni → Archivi → Backup.
2. Nella finestra visualizzata selezionare un file che si desidera scaricare e fare clic su Scarica.

Il download viene avviato. Una copia del file che era stato inserito in Quarantena nel dispositivo client viene salvata nella cartella specificata.

Informazioni sulla rimozione di oggetti dagli archivi Quarantena, Backup o Minacce attive

Quando le applicazioni di protezione Kaspersky installate nei dispositivi client inseriscono oggetti negli archivi Quarantena, Backup o Minacce attive, inviano le informazioni sugli oggetti aggiunti alle sezioni Quarantena, Backup o Minacce attive in Kaspersky Security Center. Quando viene aperta una di queste sezioni, si seleziona un oggetto nell'elenco e si fa clic sul pulsante Rimuovi, Kaspersky Security Center esegue una delle seguenti azioni o entrambe le azioni:

• Rimuove l'oggetto selezionato dall'elenco
• Elimina l'oggetto selezionato dall'archivio

L'azione da eseguire è definita dall'applicazione Kaspersky che ha inserito l'oggetto selezionato nell'archivio. L'applicazione Kaspersky è specificata nel campo Voce aggiunta da. Fare riferimento alla documentazione dell'applicazione Kaspersky per i dettagli sull'azione da eseguire.