Monitoraggio, generazione di rapporti e audit

Questa sezione illustra le funzionalità di monitoraggio e generazione dei rapporti di Kaspersky Security Center Linux. Queste funzionalità offrono una panoramica dell'infrastruttura, degli stati di protezione e delle statistiche.

Dopo la distribuzione di Kaspersky Security Center Linux o durante l'esecuzione, è possibile configurare le funzionalità di monitoraggio e generazione dei rapporti in base alle esigenze.

Scenario: monitoraggio e generazione dei rapporti

Questa sezione fornisce uno scenario per la configurazione della funzionalità di monitoraggio e generazione dei rapporti in Kaspersky Security Center Linux.

Prerequisiti

Dopo aver distribuito Kaspersky Security Center Linux nella rete di un'organizzazione, è possibile iniziare a monitorarlo e generare rapporti sul relativo funzionamento.

Il monitoraggio e la generazione dei rapporti nella rete di un'organizzazione prevede diversi passaggi:

1. Configurazione del passaggio degli stati del dispositivo

   Acquisire familiarità con le impostazioni per gli stati del dispositivo in base a condizioni specifiche. Modificando queste impostazioni, è possibile modificare il numero di eventi con livelli di importanza Critico o Avviso. Durante la configurazione del passaggio degli stati del dispositivo, verificare quanto segue:

   • Le nuove impostazioni non sono in conflitto con i criteri di sicurezza delle informazioni dell'organizzazione.
   • Si è in grado di reagire tempestivamente agli eventi di sicurezza importanti nella rete dell'organizzazione.
2. Configurazione delle notifiche degli eventi nei dispositivi client

   Istruzioni dettagliate:

   Configurare la notifica (tramite e-mail, SMS o avviando un file eseguibile) degli eventi nei dispositivi client

3. Esecuzione delle azioni consigliate per le notifiche critiche e di avviso

   Istruzioni dettagliate:

   Eseguire le azioni consigliate per la rete dell'organizzazione

4. Analisi dello stato di sicurezza della rete dell'organizzazione

   Istruzioni dettagliate:

   • Esaminare il widget Stato protezione
   • Generare ed esaminare il Rapporto sullo stato della protezione
   • Generare ed esaminare il Rapporto sugli errori
5. Individuazione dei dispositivi client che non sono protetti

   Istruzioni dettagliate:

   • Esaminare il widget Nuovi dispositivi
   • Generare ed esaminare il Rapporto sulla distribuzione della protezione
6. Verifica della protezione dei dispositivi client

   Istruzioni dettagliate:

   • Generare ed esaminare i rapporti delle categorie Stato protezione e Statistiche delle minacce
   • Avviare ed esaminare la selezione eventi Critico
7. Valutazione e limitazione del carico di eventi nel database

   Le informazioni sugli eventi che si verificano durante il funzionamento delle applicazioni gestite vengono trasferite da un dispositivo client e registrate nel database di Administration Server. Per ridurre il carico su Administration Server, valutare e limitare il numero massimo di eventi che possono essere archiviati nel database.

   Istruzioni dettagliate:

   • Limitazione del numero massimo di eventi
8. Analisi delle informazioni sulla licenza

   Istruzioni dettagliate:

   • Aggiungere il widget Utilizzo chiavi di licenza al dashboard ed esaminarlo
   • Generare ed esaminare il Rapporto sull'utilizzo delle chiavi di licenza

Risultati

Al termine dello scenario, si dispone di informazioni sulla protezione della rete dell'organizzazione e quindi è possibile pianificare le azioni per il miglioramento della protezione.

Informazioni sui tipi di monitoraggio e generazione dei rapporti

Le informazioni sugli eventi di sicurezza nella rete di un'organizzazione sono archiviate nel database di Administration Server. In base agli eventi, Kaspersky Security Center Web Console fornisce i seguenti tipi di monitoraggio e generazione dei rapporti nella rete dell'organizzazione:

• Dashboard
• Rapporti
• Selezioni eventi
• Notifiche

Dashboard

Il dashboard consente di monitorare le tendenze relative alla sicurezza nella rete dell'organizzazione fornendo una visualizzazione grafica delle informazioni.

Rapporti

La funzionalità Rapporti consente di ottenere informazioni numeriche dettagliate sulla sicurezza della rete dell'organizzazione, nonché di salvare le informazioni in un file, inviarlo tramite e-mail e stamparlo.

Selezioni eventi

Le selezioni eventi consentono di visualizzare i set denominati degli eventi selezionati dal database di Administration Server. Questi set di eventi sono raggruppati in base alle seguenti categorie:

• In base al livello di importanza: Eventi critici, Errori funzionali, Avvisi e Eventi informativi
• In base al tempo: Eventi recenti
• In base al tipo: Richieste utente e Eventi di controllo

È possibile creare e visualizzare le selezioni eventi definite dall'utente in base alle impostazioni disponibili per la configurazione nell'interfaccia di Kaspersky Security Center Web Console.

Notifiche

Le notifiche segnalano gli eventi e consentono di velocizzare le risposte a tali eventi eseguendo le azioni consigliate o le azioni che si ritengono appropriate.

Dashboard e widget

Questa sezione contiene informazioni sul dashboard e sui widget forniti dal dashboard. La sezione include istruzioni su come gestire i widget e configurare le impostazioni dei widget.

Utilizzo del dashboard

Il dashboard consente di monitorare le tendenze relative alla sicurezza nella rete dell'organizzazione fornendo una visualizzazione grafica delle informazioni.

Il dashboard è disponibile in Kaspersky Security Center Web Console, nella sezione Monitoraggio e generazione dei rapporti, facendo clic su Dashboard.

Il dashboard fornisce widget che possono essere personalizzati. È possibile scegliere tra numerosi widget diversi, presentati come grafici a torta o grafici ad anello, tabelle, grafici, grafici a barre ed elenchi. Le informazioni visualizzate nei widget vengono aggiornate automaticamente, il periodo di aggiornamento è di uno o due minuti. L'intervallo tra gli aggiornamenti varia per i diversi widget. È possibile aggiornare manualmente i dati in un widget in qualsiasi momento tramite il menu delle impostazioni.

Per impostazione predefinita, i widget includono informazioni su tutti gli eventi archiviati nel database di Administration Server.

Kaspersky Security Center Web Console dispone di un set predefinito di widget per le seguenti categorie:

• Stato protezione
• Distribuzione
• Aggiornamento
• Statistiche delle minacce
• Altro

Alcuni widget contengono informazioni di testo con collegamenti. È possibile visualizzare informazioni dettagliate facendo clic su un collegamento.

Quando si configura il dashboard, è possibile aggiungere i widget desiderati, nascondere i widget non necessari, modificare le dimensioni o l'aspetto dei widget, spostare i widget e modificarne le impostazioni.

Aggiunta di widget al dashboard

Per aggiungere widget al dashboard:

1. Nel menu principale accedere a Monitoraggio e generazione dei rapporti → Dashboard.
2. Fare clic sul pulsante Aggiungi o ripristina widget Web.
3. Nell'elenco dei widget disponibili selezionare i widget che si desidera aggiungere al dashboard.

   I widget sono raggruppati per categoria. Per visualizzare l'elenco dei widget inclusi in una categoria, fare clic sull'icona della freccia di espansione () accanto al nome della categoria.

4. Fare clic sul pulsante Aggiungi.

I widget selezionati verranno aggiunti alla fine del dashboard.

Ora è possibile modificare la rappresentazione e i parametri dei widget aggiunti.

Occultamento di un widget dal dashboard

Per nascondere un widget visualizzato dal dashboard:

1. Nel menu principale accedere a Monitoraggio e generazione dei rapporti → Dashboard.
2. Fare clic sull'icona delle impostazioni () accanto al widget che si desidera nascondere.
3. Selezionare Nascondi widget Web.
4. Nella finestra Avviso visualizzata fare clic su OK.

Il widget selezionato verrà nascosto. In seguito, è possibile aggiungere nuovamente il widget al dashboard.

Spostamento di un widget nel dashboard

Per spostare un widget nel dashboard:

1. Nel menu principale accedere a Monitoraggio e generazione dei rapporti → Dashboard.
2. Fare clic sull'icona delle impostazioni () accanto al widget che si desidera spostare.
3. Selezionare Sposta.
4. Fare clic sul punto in cui si desidera spostare il widget. È possibile selezionare solo un altro widget.

Le posizioni dei widget selezionati vengono scambiate.

Modifica delle dimensioni o dell'aspetto del widget

Per i widget che visualizzano un grafico, è possibile modificarne la rappresentazione: un grafico a barre o un grafico a linee. Per alcuni widget è possibile modificare le dimensioni: Compatto, Medio o Massimo.

Per modificare la rappresentazione del widget:

1. Nel menu principale accedere a Monitoraggio e generazione dei rapporti → Dashboard.
2. Fare clic sull'icona delle impostazioni () accanto al widget che si desidera modificare.
3. Eseguire una delle seguenti operazioni:
   • Per visualizzare il widget come grafico a barre, selezionare Tipo di grafico: barre.
   • Per visualizzare il widget come grafico a linee, selezionare Tipo di grafico: linee.
   • Per modificare l'area occupata dal widget, selezionare uno dei valori:
     • Compatto
     • Compatto (solo barra)
     • Medio (grafico ad anello)
     • Medio (grafico a barre)
     • Massimo

La rappresentazione del widget selezionato verrà modificata.

Modifica delle impostazioni del widget

Per modificare le impostazioni di un widget:

1. Nel menu principale accedere a Monitoraggio e generazione dei rapporti → Dashboard.
2. Fare clic sull'icona delle impostazioni () accanto al widget che si desidera modificare.
3. Selezionare Mostra impostazioni.
4. Nella finestra delle impostazioni del widget visualizzata modificare le impostazioni del widget come richiesto.
5. Fare clic su Salva per salvare le modifiche.

Le impostazioni del widget selezionato verranno modificate.

Il set di impostazioni dipende dallo specifico widget. Di seguito sono riportate alcune delle impostazioni comuni:

• Ambito del widget Web (il set di oggetti per cui il widget visualizza informazioni), ad esempio un gruppo di amministrazione o una selezione dispositivi.
• Seleziona attività (l'attività per cui il widget visualizza informazioni).
• Intervallo (l'intervallo di tempo per cui le informazioni vengono visualizzate nel widget): tra le due date specificate, dalla data specificata al giorno corrente o dal giorno corrente meno il numero di giorni specificato al giorno corrente.
• Imposta su Critico se è specificato e Imposta su Avviso se è specificato (le regole che determinano il colore di un indicatore a semaforo).

Dopo aver modificato le impostazioni del widget, è possibile aggiornare manualmente i dati nel widget.

Per aggiornare i dati su un widget:

1. Nel menu principale accedere a Monitoraggio e generazione dei rapporti → Dashboard.
2. Fare clic sull'icona delle impostazioni () accanto al widget che si desidera spostare.
3. Selezionare Aggiorna.

I dati nel widget vengono aggiornati.

Informazioni sulla modalità Solo dashboard

È possibile configurare la modalità Solo dashboard per i dipendenti che non gestiscono la rete ma che desiderano visualizzare le statistiche di protezione della rete in Kaspersky Security Center Linux (ad esempio un Top Manager). Con questa modalità abilitata, l'utente visualizza solo un dashboard con un set predefinito di widget. L'utente può quindi monitorare le statistiche specificate nei widget, ad esempio lo stato della protezione di tutti i dispositivi gestiti, il numero di minacce rilevate di recente o l'elenco delle minacce più frequenti nella rete.

Quando un utente usa la modalità Solo dashboard, vengono applicate le seguenti restrizioni:

• Il menu principale non viene mostrato all'utente, che non potrà quindi modificare le impostazioni di protezione della rete.
• L'utente non può eseguire alcuna azione con i widget, ad esempio aggiungerli o nasconderli. È pertanto necessario inserire tutti i widget necessari per l'utente nel dashboard e configurarli, ad esempio impostando la regola di conteggio degli oggetti o specificando l'intervallo di tempo.

Non è possibile assegnare a se stessi la modalità Solo dashboard. Se si desidera utilizzare questa modalità, contattare un amministratore di sistema, un MSP (Managed Service Provider) o un utente con il diritto Modifica elenchi di controllo degli accessi agli oggetti nell'area funzionale Caratteristiche generali: Autorizzazioni utente.

Configurazione della modalità Solo dashboard

Prima di iniziare a configurare la modalità Solo dashboard, assicurarsi che vengano soddisfatti i seguenti prerequisiti:

• L'utente dispone del diritto Modifica elenchi di controllo degli accessi agli oggetti nell'area funzionale Caratteristiche generali: Autorizzazioni utente. Se non si dispone di questo diritto, la scheda per la configurazione della modalità non sarà presente.
• L'utente ha il diritto Lettura nell'area funzionale Caratteristiche generali: Funzionalità di base.

Se nella rete è organizzata una gerarchia di Administration Server, per configurare la modalità Solo dashboard passare al Server in cui è disponibile l'account utente nella sezione Utenti tab of the Utenti e ruoli → Utenti e gruppi. Può trattarsi di un server primario o di un server secondario fisico. Non è possibile regolare la modalità in un server virtuale.

Per configurare la modalità Solo dashboard:

1. Nel menu principale, passare a Utenti e ruoli → Utenti e gruppi, quindi selezionare la scheda Utenti.
2. Fare clic sul nome dell'account utente per il quale si desidera modificare il dashboard con i widget.
3. Nella finestra delle impostazioni dell'account visualizzata selezionare la scheda Dashboard.

   Nella scheda aperta viene visualizzato lo stesso dashboard dell'utente.

4. Se l'opzione Visualizza la console in modalità Solo dashboard è abilitata, spostare l'interruttore per disabilitarla.

   Quando questa opzione è abilitata, non è nemmeno possibile modificare il dashboard. Dopo aver disabilitato l'opzione, è possibile gestire i widget.

5. Configurare l'aspetto del dashboard. Il set di widget preparato nella scheda Dashboard è disponibile per l'utente con l'account personalizzabile. L'utente non può modificare in alcun modo le impostazioni o le dimensioni dei widget, né aggiungere o rimuovere widget dal dashboard. È pertanto opportuno modificarli per l'utente, in modo che possa visualizzare le statistiche sulla protezione della rete. A tale scopo, nella scheda Dashboard è possibile eseguire con i widget le stesse azioni della sezione Monitoraggio e generazione dei rapporti → Dashboard:
   • Aggiungere nuovi widget al dashboard.
   • Nascondere i widget di cui l'utente non ha bisogno.
   • Spostare i widget in un ordine specifico.
   • Modificare le dimensioni o l'aspetto dei widget.
   • Modificare le impostazioni dei widget.
6. Spostare l'interruttore per abilitare l'opzione Visualizza la console in modalità Solo dashboard.

   Successivamente, sarà disponibile solo il dashboard per l'utente. Quest'ultimo può monitorare le statistiche ma non può modificare le impostazioni di protezione della rete e l'aspetto del dashboard. Poiché viene visualizzato lo stesso dashboard che appare all'utente, non è possibile modificarlo.

   Se si mantiene l’opzione disabilitata, viene visualizzato il menu principale per l’utente, in modo che possa eseguire varie azioni in Kaspersky Security Center Linux, inclusa la modifica delle impostazioni di protezione e dei widget.

7. Fare clic sul pulsante Salva al termine della configurazione della modalità Solo dashboard. Solo successivamente l'utente visualizzerà il dashboard preconfigurato.
8. Se l'utente desidera visualizzare le statistiche delle applicazioni Kaspersky supportate e ha bisogno dei diritti di accesso per farlo, configurare i diritti per l'utente. Successivamente, l'utente può visualizzare i dati delle applicazioni Kaspersky nei widget di queste applicazioni.

Adesso l’utente può accedere a Kaspersky Security Center Linux con l'account personalizzato e monitorare le statistiche di protezione della rete in modalità Solo dashboard.

Rapporti

Questa sezione descrive come utilizzare i rapporti, gestire i modelli di rapporti personalizzati, utilizzare i modelli di rapporti per generarne di nuovi e creare attività di distribuzione dei rapporti.

Utilizzo dei rapporti

La funzionalità Rapporti consente di ottenere informazioni numeriche dettagliate sulla sicurezza della rete dell'organizzazione, nonché di salvare le informazioni in un file, inviarlo tramite e-mail e stamparlo.

I rapporti sono disponibili in Kaspersky Security Center Web Console, nella sezione Monitoraggio e generazione dei rapporti, facendo clic su Rapporti.

Per impostazione predefinita, i rapporti includono informazioni relative agli ultimi 30 giorni.

Kaspersky Security Center Linux dispone di un set predefinito di rapporti per le seguenti categorie:

• Stato protezione
• Distribuzione
• Aggiornamento
• Statistiche delle minacce
• Altro

È possibile creare modelli di rapporto personalizzati, modificare i modelli di rapporto ed eliminarli.

È possibile creare rapporti basati su modelli esistenti, esportare i rapporti in file e creare attività per l'invio dei rapporti.

Creazione di un modello di rapporto

Per creare un modello di rapporto:

1. Nel menu principale accedere a Monitoraggio e generazione dei rapporti → Rapporti.
2. Fare clic su Aggiungi.

   Verrà avviata la Creazione guidata nuovo modello di rapporto. Procedere con la procedura guidata utilizzando il pulsante Avanti.

3. Immettere il nome del rapporto e selezionare il tipo di rapporto.
4. Nel passaggio Ambito della procedura guidata selezionare il set di dispositivi client (gruppo di amministrazione, selezione dispositivi, dispositivi selezionati o tutti i dispositivi nella rete) per cui visualizzare i dati nei rapporti basati su questo modello di rapporto.
5. Nel passaggio Periodo di generazione del rapporto della procedura guidata specificare il periodo del rapporto. I valori disponibili sono i seguenti:
   • Tra le due date specificate
   • Dalla data specificata alla data di creazione del rapporto
   • Dalla data di creazione del rapporto meno il numero specificato di giorni alla data di creazione del rapporto

   Questa pagina potrebbe non essere visualizzata per alcuni rapporti.

6. Fare clic su OK per chiudere la procedura guidata.
7. Eseguire una delle seguenti operazioni:
   • Fare clic sul pulsante Salva ed esegui per salvare il nuovo modello di rapporto ed eseguire un rapporto basato su di esso.

     Il modello di rapporto verrà salvato. Il rapporto verrà generato.

   • Fare clic sul pulsante Salva per salvare il nuovo modello di rapporto.

     Il modello di rapporto verrà salvato.

È possibile utilizzare il nuovo modello per la creazione e la visualizzazione dei rapporti.

Visualizzazione e modifica delle proprietà dei modelli di rapporto

Espandi tutto | Comprimi tutto

È possibile visualizzare e modificare le proprietà di base di un modello di rapporto, ad esempio il nome del modello di rapporto o i campi visualizzati nel rapporto.

Per visualizzare e modificare le proprietà di un modello di rapporto:

1. Nel menu principale accedere a Monitoraggio e generazione dei rapporti → Rapporti.
2. Selezionare la casella di controllo accanto al modello di rapporto per cui si desidera visualizzare e modificare le proprietà.

   In alternativa, è possibile generare il rapporto e quindi fare clic sul pulsante Modifica.

3. Fare clic sul pulsante Apri proprietà del modello di rapporto.

   Verrà visualizzata la finestra Modifica del rapporto <Nome rapporto> con la scheda Generale selezionata.

4. Modificare le proprietà del modello di rapporto:
   • Scheda Generale:
     • Nome del modello di rapporto
     • Numero massimo di voci da visualizzare

       Se questa opzione è abilitata, il numero di voci visualizzate nella tabella con i dati dettagliati del rapporto non supera il valore specificato. Si noti che questa opzione non influisce sul numero massimo di eventi che è possibile includere nel rapporto quando si esporta il rapporto in un file.

       Le voci nei rapporti vengono prima ordinate in base alle regole specificate nella sezione Campi → Campi dettagli delle proprietà del modello di rapporto, quindi vengono mantenute solo le prime voci risultanti. Il titolo della tabella con i dati dettagliati del rapporto mostra il numero di voci visualizzate e il numero totale di voci disponibili, corrispondenti alle altre impostazioni del modello di rapporto.

       Se questa opzione è disabilitata, la tabella con i dati dettagliati del rapporto conterrà tutte le voci disponibili. Non è consigliabile disabilitare questa opzione. La limitazione del numero di voci visualizzate nel rapporto consente di ridurre il carico sul sistema di gestione database (DBMS) e il tempo necessario per la creazione e l'esportazione del rapporto. Alcuni rapporti contengono un numero eccessivo di voci. In questi casi, potrebbe essere difficile leggerle e analizzarle tutte. Inoltre, nel dispositivo potrebbe verificarsi l'esaurimento della memoria durante la generazione di un rapporto e, in questo caso, non sarà possibile visualizzare il rapporto.

       Per impostazione predefinita, questa opzione è abilitata. Il valore predefinito è 1000.

     • Gruppo

       Fare clic sul pulsante Impostazioni per modificare il set di dispositivi client per cui viene creato il rapporto. Per alcuni tipi di rapporti, il pulsante potrebbe non essere disponibile. Le impostazioni effettive dipendono dalle impostazioni specificate durante la creazione del modello di rapporto.

     • Intervallo

       Fare clic sul pulsante Impostazioni per modificare il periodo del rapporto. Per alcuni tipi di rapporti, il pulsante potrebbe non essere disponibile. I valori disponibili sono i seguenti:

       • Tra le due date specificate
       • Dalla data specificata alla data di creazione del rapporto
       • Dalla data di creazione del rapporto meno il numero specificato di giorni alla data di creazione del rapporto
     • Includi i dati degli Administration Server secondari e virtuali

       Se questa opzione è abilitata, il rapporto include le informazioni ottenute dagli Administration Server secondari e virtuali subordinati all'Administration Server per cui viene creato il modello di rapporto.

       Disabilitare questa opzione per visualizzare solo i dati relativi all'Administration Server corrente.

       Per impostazione predefinita, questa opzione è abilitata.

     • Fino al livello di nidificazione

       Il rapporto include i dati degli Administration Server secondari e virtuali posizionati al di sotto dell'Administration Server corrente a un livello di nidificazione minore o uguale al valore specificato.

       Il valore predefinito è 1. È consigliabile modificare questo valore se è necessario recuperare informazioni da Administration Server secondari posizionati a livelli inferiori della struttura.

     • Intervallo di attesa dati (min.)

       Prima della generazione del rapporto, l'Administration Server per cui viene creato il modello di rapporto attende i dati dagli Administration Server secondari per il numero di minuti specificato. Se non viene ricevuto alcun dato da un Administration Server secondario al termine di questo periodo, il rapporto viene eseguito comunque. Anziché i dati effettivi, il rapporto mostra i dati recuperati dalla cache (se è abilitata l'opzione Salva nella cache i dati degli Administration Server secondari) oppure N/D (non disponibile) in caso contrario.

       Il valore predefinito è 5 (minuti).

     • Salva nella cache i dati degli Administration Server secondari

       Gli Administration Server secondari trasferiscono regolarmente i dati all'Administration Server per cui viene creato il modello di rapporto. I dati trasferiti vengono quindi archiviati nella cache.

       Se l'Administration Server corrente non riesce a ricevere i dati da un Administration Server secondario durante la generazione del rapporto, il rapporto mostra i dati recuperati dalla cache. Verrà anche visualizzata la data in cui i dati sono stati trasferiti nella cache.

       Se questa opzione è abilitata, è possibile visualizzare le informazioni dagli Administration Server secondari, anche se non è possibile recuperare i dati aggiornati. I dati visualizzati potrebbero tuttavia essere obsoleti.

       Per impostazione predefinita, questa opzione è disabilitata.

     • Frequenza di aggiornamento cache (ore)

       A intervalli regolari gli Administration Server secondari trasferiscono i dati all'Administration Server per cui viene creato il modello di rapporto. È possibile specificare questo periodo in ore. Se si specificano 0 ore, i dati vengono trasferiti solo al momento della generazione del rapporto.

       Il valore predefinito è 0.

     • Trasferisci informazioni dettagliate dagli Administration Server secondari

       Nel rapporto generato, la tabella con i dati dettagliati del rapporto include i dati ottenuti dagli Administration Server secondari dell'Administration Server per cui viene creato il modello di rapporto.

       L'abilitazione di questa opzione rallenta la generazione dei rapporti e aumenta il traffico tra gli Administration Server. È tuttavia possibile visualizzare tutti i dati in un solo rapporto.

       Anziché attivare questa opzione, può essere preferibile analizzare i dati dettagliati del rapporto per identificare un Administration Server secondario che presenta problemi e quindi generare lo stesso rapporto solo per tale Administration Server.

       Per impostazione predefinita, questa opzione è disabilitata.

   • Scheda Campi

     Selezionare i campi che verranno visualizzati nel rapporto e utilizzare i pulsanti Sposta su e Sposta giù per modificare l'ordine dei campi. Utilizzare il pulsante Aggiungi o Modifica per specificare se le informazioni nel rapporto devono essere ordinate e filtrate in base a ciascuno dei campi.

     Nella sezione Filtri di Campi dettagli è inoltre possibile fare clic sul pulsante Converti filtri per iniziare a utilizzare il formato di filtro esteso. Questo formato consente di combinare le condizioni di filtro specificate in vari campi utilizzando l'operatore logico OR. Dopo aver fatto clic sul pulsante, il pannello Converti filtri si aprirà a destra. Fare clic sul pulsante Converti filtri per confermare la conversione. Adesso è possibile definire un filtro convertito con condizioni dalla sezione Campi dettagli che vengono applicate utilizzando l'operatore logico OR.

     La conversione di un rapporto nel formato che supporta condizioni di filtro complesse renderà il rapporto incompatibile con le versioni precedenti di Kaspersky Security Center (11 e precedenti). Inoltre, il rapporto convertito non conterrà alcun dato degli Administration Server secondari che eseguono le versioni incompatibili.

5. Fare clic su Salva per salvare le modifiche.
6. Chiudere la finestra Modifica del rapporto <nome rapporto>.

Il modello di rapporto aggiornato verrà visualizzato nell'elenco dei modelli di rapporto.

Esportazione di un rapporto in un file

È possibile salvare uno o più rapporti in formato XML, HTML o PDF. Kaspersky Security Center Linux consente di esportare contemporaneamente fino a 10 rapporti in file del formato specificato.

Per esportare un rapporto in un file:

1. Nel menu principale accedere a Monitoraggio e generazione dei rapporti → Rapporti.
2. Scegliere i rapporti da esportare.

   Se si scelgono più di 10 rapporti, il pulsante Esporta rapporto verrà disabilitato.

3. Fare clic sul pulsante Esporta rapporto.
4. Nella finestra visualizzata specificare i seguenti parametri di esportazione:
   • Nome file.

     Se si seleziona un rapporto da esportare, specificare il nome del file del rapporto.

     Se si seleziona più di un rapporto, i nomi dei file dei rapporti coincideranno con il nome dei modelli di rapporto selezionati.

   • Numero massimo di voci.

     Specificare il numero massimo di voci incluse nel file del rapporto. Il valore predefinito è 10.000.

     È possibile esportare un rapporto con un numero illimitato di voci. Si noti che se il rapporto contiene un numero elevato di voci, il tempo necessario per generarlo ed esportarlo aumenta.

   • Formato file.

     Selezionare il formato del file del rapporto: XML, HTML o PDF. Se si esportano più rapporti, tutti i rapporti selezionati vengono salvati nel formato specificato come file separati.

     Lo strumento wkhtmltopdf è necessario per convertire un rapporto in formato PDF. Quando si seleziona l'opzione PDF, Administration Server verifica se lo strumento wkhtmltopdf è installato nel dispositivo. Se lo strumento non è installato, l'applicazione mostra un messaggio in cui si richiede di installare lo strumento nel dispositivo Administration Server. Installare lo strumento manualmente, quindi continuare con il passaggio successivo.

5. Fare clic sul pulsante Esporta rapporto.

Il rapporto viene salvato in un file nel formato specificato.

Generazione e visualizzazione di un rapporto

Per creare e visualizzare un rapporto:

1. Nel menu principale accedere a Monitoraggio e generazione dei rapporti → Rapporti.
2. Fare clic sul nome del modello di rapporto che si desidera utilizzare per creare un rapporto.

Verrà generato e visualizzato un rapporto che utilizza il modello selezionato.

I dati del rapporto vengono visualizzati in base alla localizzazione impostata per Administration Server.

Nei rapporti generati, alcuni tipi di carattere potrebbero essere visualizzati in modo errato sui diagrammi. Per risolvere questo problema, installare la libreria fontconfig. Inoltre, verificare che i tipi di carattere corrispondenti alle impostazioni locali del sistema operativo siano installati nel sistema operativo.

Il rapporto include i seguenti dati:

• Nella scheda Riepilogo:
  • Nome e tipo di rapporto, breve descrizione e periodo di generazione del rapporto, oltre che informazioni sul gruppo di dispositivi per cui è stato generato il rapporto.
  • Grafico con i dati più significativi del rapporto.
  • Tabella consolidata con indicatori del rapporto calcolati.
• Nella scheda Dettagli viene visualizzata una tabella con dati dettagliati sul rapporto.

Creazione di un'attività di invio dei rapporti

È possibile creare un'attività per l'invio dei rapporti selezionati.

Per creare un'attività di invio dei rapporti:

1. Nel menu principale accedere a Monitoraggio e generazione dei rapporti → Rapporti.
2. [Facoltativo] Selezionare le caselle di controllo accanto ai modelli di rapporto per cui si desidera creare un'attività di invio dei rapporti.
3. Fare clic sul pulsante Nuova attività di invio rapporti.
4. Verrà avviata la Creazione guidata nuova attività. Procedere con la procedura guidata utilizzando il pulsante Avanti.
5. Nella prima pagina della procedura guidata immettere il nome dell'attività. Il nome predefinito è Invia rapporti (<N>), dove <N> è il numero progressivo dell'attività.
6. Nella pagina delle impostazioni dell'attività della procedura guidata specificare le seguenti impostazioni:
   1. Modelli di rapporti che devono essere inviati dall'attività. Se sono stati selezionati nel passaggio 2, ignorare questo passaggio.
   2. Formato del rapporto: HTML, XLS o PDF.

      Lo strumento wkhtmltopdf è necessario per convertire un rapporto in formato PDF. Quando si seleziona l'opzione PDF, Administration Server verifica se lo strumento wkhtmltopdf è installato nel dispositivo. Se lo strumento non è installato, l'applicazione mostra un messaggio in cui si richiede di installare lo strumento nel dispositivo Administration Server. Installare lo strumento manualmente, quindi continuare con il passaggio successivo.

   3. Se i rapporti devono essere inviati tramite e-mail, insieme alle impostazioni di notifica tramite e-mail.
   4. Se i rapporti devono essere salvati in una cartella, insieme alle impostazioni corrispondenti.

      Dopo aver abilitato l'opzione Salva rapporti nella cartella, è necessario specificare un percorso POSIX per la cartella. Se si desidera salvare i rapporti in una cartella condivisa, è necessario selezionare anche la casella di controllo Specifica l'account per accedere alla cartella condivisa, quindi specificare l'account utente e la password per accedere a questa cartella.

      Se si sceglie di salvare i rapporti in una cartella condivisa, è necessario garantire l'accesso a questa cartella dal dispositivo su cui è installato Administration Server. Le modalità per garantire l'accesso e gli strumenti utilizzati dipendono dall'infrastruttura dell'utente.

      Quando si salvano i rapporti in una cartella locale, in genere non sono necessarie credenziali, poiché l'account con cui è in esecuzione Administration Server ha accesso a questa cartella. Se necessario, è possibile specificare le credenziali utente nel passaggio Selezione di un account per l'esecuzione dell'attività della procedura guidata.

      Indipendentemente dalla cartella scelta, è anche possibile selezionare la casella di controllo Sovrascrivi i rapporti precedenti dello stesso tipo se si desidera che il nuovo file dei rapporti sovrascriva il file salvato nella cartella dei rapporti all'avvio dell'attività precedente.

7. Se si desidera modificare altre impostazioni dell'attività dopo averla creata, nella pagina Completa creazione attività della procedura guidata abilitare l'opzione Apri i dettagli dell'attività al termine della creazione.
8. Fare clic sul pulsante Crea per creare l'attività e chiudere la procedura guidata.

   Verrà creata l'attività di invio dei rapporti. Se è stata abilitata l'opzione Apri i dettagli dell'attività al termine della creazione, verrà visualizzata la finestra delle impostazioni dell'attività.

Eliminazione di modelli di rapporto

Per eliminare uno o più modelli di rapporto:

1. Nel menu principale accedere a Monitoraggio e generazione dei rapporti → Rapporti.
2. Selezionare le caselle di controllo accanto ai modelli di rapporto che si desidera eliminare.
3. Fare clic sul pulsante Elimina.
4. Nella finestra visualizzata fare clic su OK per confermare la selezione.

I modelli di rapporto selezionati verranno eliminati. Se questi modelli di rapporto sono stati inclusi nelle attività di invio dei rapporti, verranno rimossi anche dalle attività.

Eventi e selezioni di eventi

Questa sezione fornisce informazioni sugli eventi e sulle selezioni di eventi, sui tipi di eventi che si verificano nei componenti di Kaspersky Security Center Linux e sulla gestione del blocco degli eventi frequenti.

Informazioni sugli eventi in Kaspersky Security Center Linux

Kaspersky Security Center Linux consente di ricevere informazioni sugli eventi che si verificano durante l'esecuzione di Administration Server e delle applicazioni Kaspersky installate nei dispositivi gestiti. Le informazioni sugli eventi vengono salvate nel database di Administration Server.

Eventi in base al tipo

In Kaspersky Security Center Linux sono disponibili i seguenti tipi di eventi:

• Eventi generici. Questi eventi si verificano in tutte le applicazioni Kaspersky gestite. Un esempio di evento generico è l'Epidemia di virus. Gli eventi generici hanno sintassi e semantica rigorosamente definite. Gli eventi generici vengono ad esempio utilizzati nei rapporti e nei dashboard.
• Eventi specifici delle applicazioni gestiti da Kaspersky. Ogni applicazione Kaspersky gestita dispone di uno specifico set di eventi.

Eventi in base alla sorgente

È possibile visualizzare l'elenco completo degli eventi che possono essere generati da un'applicazione nella scheda Configurazione eventi nel criterio dell'applicazione. Per l'Administration Server, è inoltre possibile visualizzare l'elenco degli eventi nelle proprietà dell'Administration Server.

Gli eventi possono essere generati dalle seguenti applicazioni:

• Componenti di Kaspersky Security Center Linux:
  • Administration Server
  • Network Agent
• Applicazioni Kaspersky gestite

  Per i dettagli sugli eventi generati dalle applicazioni gestite da Kaspersky, consultare la documentazione dell'applicazione corrispondente.

Eventi in base al livello di importanza

Ogni evento dispone di uno specifico livello di importanza. In base alle condizioni in cui si verifica, a un evento possono essere assegnati diversi livelli di importanza. Esistono quattro livelli di importanza degli eventi:

• Un evento critico è un evento che indica la presenza di un problema critico che può determinare una perdita dei dati, un malfunzionamento o un errore critico.
• Un errore funzionale è un evento che indica la presenza di un problema grave, un errore o un malfunzionamento che si è verificato durante l'esecuzione dell'applicazione o di una procedura.
• Un avviso è un evento che non è necessariamente grave, ma indica comunque un potenziale problema futuro. La maggior parte degli eventi viene designata come avviso se l'applicazione può essere ripristinata senza perdite di dati o funzionalità importanti dopo che si sono verificati tali eventi.
• Un evento informativo è un evento che si verifica allo scopo di segnalare il completamento di un'operazione, il corretto funzionamento dell'applicazione o il completamento di una procedura.

Ogni evento ha un periodo di archiviazione definito, durante il quale può essere visualizzato o modificato in Kaspersky Security Center Linux. Alcuni eventi non vengono salvati nel database di Administration Server per impostazione predefinita, poiché il relativo periodo di archiviazione definito è pari a zero. Solo gli eventi che verranno memorizzati nel database di Administration Server per almeno un giorno possono essere esportati in sistemi esterni.

Eventi dei componenti di Kaspersky Security Center Linux

Ogni componente Kaspersky Security Center Linux dispone di uno specifico set di tipi di eventi. Questa sezione elenca i tipi di eventi che si verificano nell'Administration Server e nel Network Agent di Kaspersky Security Center. I tipi di eventi che si verificano nelle applicazioni Kaspersky non sono elencati in questa sezione.

Per ogni evento che può essere generato da un'applicazione, è possibile specificare le impostazioni di notifica e le impostazioni di archiviazione nella scheda Configurazione eventi nel criterio dell'applicazione. Per l'Administration Server, è inoltre possibile visualizzare e configurare l'elenco degli eventi nelle proprietà dell'Administration Server. Se si desidera configurare le impostazioni di notifica per tutti gli eventi contemporaneamente, configurare le impostazioni di notifica generali nelle proprietà di Administration Server.

Struttura dei dati della descrizione del tipo di evento

Per ogni tipo di evento, sono indicati il relativo nome visualizzato, l'identificatore (ID), il codice alfabetico, la descrizione e il periodo di archiviazione predefinito.

• Nome visualizzato del tipo di evento. Questo testo è visualizzato in Kaspersky Security Center Linux durante la configurazione degli eventi e quando gli eventi si verificano.
• ID del tipo di evento. Questo codice numerico viene utilizzato durante l'elaborazione degli eventi tramite strumenti di terzi per l'analisi degli eventi.
• Tipo di evento (codice alfabetico). Questo codice viene utilizzato quando si esplorano e si elaborano gli eventi con le visualizzazione pubbliche disponibili nel database di Kaspersky Security Center Linux e quando gli eventi vengono esportati in un sistema SIEM.
• Descrizione. Questo testo contiene le situazioni in cui si verifica un evento e come procedere in questo caso.
• Periodo di archiviazione predefinito. Rappresenta il numero di giorni per cui l'evento viene memorizzato nel database di Administration Server ed è visualizzato nell'elenco degli eventi in Administration Server. Al termine di questo periodo, l'evento viene eliminato. Se il valore per il periodo di archiviazione degli eventi è 0, gli eventi vengono rilevati ma non sono visualizzati nell'elenco degli eventi in Administration Server. Se è stato configurato il salvataggio di tali eventi nel registro eventi del sistema operativo, è possibile accedervi in tale posizione.

  È possibile modificare il periodo di archiviazione per gli eventi: Impostazione del periodo di archiviazione per un evento

Eventi di Administration Server

Questa sezione contiene informazioni sugli eventi relativi ad Administration Server.

Eventi critici di Administration Server

La tabella seguente elenca gli eventi di Kaspersky Security Center Administration Server con il livello di importanza Critico.

Per ogni evento che può essere generato da un'applicazione, è possibile specificare le impostazioni di notifica e le impostazioni di archiviazione nella scheda Configurazione eventi nel criterio dell'applicazione. Per l'Administration Server, è inoltre possibile visualizzare e configurare l'elenco degli eventi nelle proprietà dell'Administration Server. Se si desidera configurare le impostazioni di notifica per tutti gli eventi contemporaneamente, configurare le impostazioni di notifica generali nelle proprietà di Administration Server.

Eventi critici di Administration Server

Eventi di errore funzionale di Administration Server

La tabella seguente elenca gli eventi di Kaspersky Security Center Administration Server con il livello di importanza Errore funzionale.

Per ogni evento che può essere generato da un'applicazione, è possibile specificare le impostazioni di notifica e le impostazioni di archiviazione nella scheda Configurazione eventi nel criterio dell'applicazione. Per l'Administration Server, è inoltre possibile visualizzare e configurare l'elenco degli eventi nelle proprietà dell'Administration Server. Se si desidera configurare le impostazioni di notifica per tutti gli eventi contemporaneamente, configurare le impostazioni di notifica generali nelle proprietà di Administration Server.

Eventi di errore funzionale di Administration Server

Eventi di avviso di Administration Server

La tabella seguente elenca gli eventi di Kaspersky Security Center Administration Server con il livello di importanza Avviso.

Per ogni evento che può essere generato da un'applicazione, è possibile specificare le impostazioni di notifica e le impostazioni di archiviazione nella scheda Configurazione eventi nel criterio dell'applicazione. Per l'Administration Server, è inoltre possibile visualizzare e configurare l'elenco degli eventi nelle proprietà dell'Administration Server. Se si desidera configurare le impostazioni di notifica per tutti gli eventi contemporaneamente, configurare le impostazioni di notifica generali nelle proprietà di Administration Server.

Eventi di avviso di Administration Server

Eventi informativi di Administration Server

La tabella seguente elenca gli eventi di Kaspersky Security Center Administration Server con il livello di importanza Informazioni.

Per ogni evento che può essere generato da un'applicazione, è possibile specificare le impostazioni di notifica e le impostazioni di archiviazione nella scheda Configurazione eventi nel criterio dell'applicazione. Per l'Administration Server, è inoltre possibile visualizzare e configurare l'elenco degli eventi nelle proprietà dell'Administration Server. Se si desidera configurare le impostazioni di notifica per tutti gli eventi contemporaneamente, configurare le impostazioni di notifica generali nelle proprietà di Administration Server.

Eventi informativi di Administration Server

Eventi di Network Agent

Questa sezione contiene informazioni sugli eventi relativi a Network Agent.

Eventi di avviso di Network Agent

La tabella seguente elenca gli eventi di Network Agent con il livello di gravità Avviso.

Per ogni evento che può essere generato da un'applicazione, è possibile specificare le impostazioni di notifica e le impostazioni di archiviazione nella scheda Configurazione eventi nel criterio dell'applicazione. Se si desidera configurare le impostazioni di notifica per tutti gli eventi contemporaneamente, configurare le impostazioni di notifica generali nelle proprietà di Administration Server.

Eventi di avviso di Network Agent

Eventi informativi di Network Agent

La tabella seguente elenca gli eventi di Network Agent con il livello di criticità Informazioni.

Per ogni evento che può essere generato da un'applicazione, è possibile specificare le impostazioni di notifica e le impostazioni di archiviazione nella scheda Configurazione eventi nel criterio dell'applicazione. Se si desidera configurare le impostazioni di notifica per tutti gli eventi contemporaneamente, configurare le impostazioni di notifica generali nelle proprietà di Administration Server.

Eventi informativi di Network Agent

Utilizzo di selezioni eventi

Le selezioni eventi consentono di visualizzare i set denominati degli eventi selezionati dal database di Administration Server. Questi set di eventi sono raggruppati in base alle seguenti categorie:

• In base al livello di importanza: Eventi critici, Errori funzionali, Avvisi e Eventi informativi
• In base al tempo: Eventi recenti
• In base al tipo: Richieste utente e Eventi di controllo

È possibile creare e visualizzare le selezioni eventi definite dall'utente in base alle impostazioni disponibili per la configurazione nell'interfaccia di Kaspersky Security Center Web Console.

Le selezioni eventi sono disponibili in Kaspersky Security Center Web Console, nella sezione Monitoraggio e generazione dei rapporti, facendo clic su Selezioni eventi.

Per impostazione predefinita, le selezioni eventi includono informazioni relative agli ultimi sette giorni.

Kaspersky Security Center Linux dispone di un set predefinito di selezioni eventi (preimpostate):

• Eventi con diversi livelli di importanza:
  • Eventi critici
  • Errori funzionali
  • Avvisi
  • Eventi informativi
• Richieste utente (eventi delle applicazioni gestite)
• Eventi recenti (nell'ultima settimana)
• Eventi di controllo.

È inoltre possibile creare e configurare ulteriori selezioni definite dall'utente. Nelle selezioni definite dall'utente è possibile filtrare gli eventi in base alle proprietà dei dispositivi da cui hanno avuto origine (nomi dei dispositivi, intervalli IP e gruppi di amministrazione), per tipi di eventi e livelli di criticità, per nome dell'applicazione e del componente e per intervallo di tempo. È anche possibile includere i risultati delle attività nell'ambito della ricerca. È inoltre disponibile un semplice campo di ricerca, in cui è possibile digitare una o più parole. Vengono visualizzati tutti gli eventi che contengono una delle parole digitate in qualsiasi punto dei relativi attributi (come nome dell'evento, descrizione o nome del componente).

Sia per le selezioni predefinite che per quelle definite dall'utente, è possibile limitare il numero di eventi visualizzati o il numero di record da cercare. Entrambe le opzioni influiscono sul tempo richiesto da Kaspersky Security Center Linux per visualizzare gli eventi. Più grande è il database, più tempo può richiedere il processo.

È possibile procedere come segue:

• Modificare le proprietà delle selezioni eventi
• Generare selezioni eventi
• Visualizzare i dettagli delle selezioni eventi
• Eliminare le selezioni eventi
• Eliminare gli eventi dal database di Administration Server

Creazione di una selezione eventi

Per creare una selezione eventi:

1. Nel menu principale accedere a Monitoraggio e generazione dei rapporti → Selezioni eventi.
2. Fare clic su Aggiungi.
3. Nella finestra Nuova selezione eventi visualizzata specificare le impostazioni della nuova selezione eventi. Eseguire tale operazione in una o più sezioni della finestra.
4. Fare clic su Salva per salvare le modifiche.

   Verrà visualizzata la finestra di conferma.

5. Per visualizzare i risultati della selezione eventi, mantenere selezionata la casella di controllo Vai al risultato della selezione.
6. Fare clic su Salva per confermare la creazione della selezione eventi.

Se è stata mantenuta selezionata la casella di controllo Vai al risultato della selezione, verranno visualizzati i risultati della selezione eventi. In caso contrario, la nuova selezione eventi verrà visualizzata nell'elenco delle selezioni eventi.

Modifica di una selezione eventi

Per modificare una selezione eventi:

1. Nel menu principale accedere a Monitoraggio e generazione dei rapporti → Selezioni eventi.
2. Selezionare la casella di controllo accanto alla selezione eventi che si desidera modificare.
3. Fare clic sul pulsante Proprietà.

   Verrà visualizzata una finestra delle impostazioni della selezione eventi.

4. Modificare le proprietà della selezione eventi.

   Per le selezioni di eventi predefinite, è possibile modificare solo le proprietà nelle seguenti schede: Generale (tranne il nome della selezione), Data/ora e Diritti di accesso.

   Per le selezioni definite dall'utente, è possibile modificare tutte le proprietà.

5. Fare clic su Salva per salvare le modifiche.

La selezione eventi modificata verrà visualizzata nell'elenco.

Visualizzazione di un elenco di una selezione eventi

Per visualizzare una selezione eventi:

1. Nel menu principale accedere a Monitoraggio e generazione dei rapporti → Selezioni eventi.
2. Selezionare la casella di controllo accanto alla selezione eventi che si desidera avviare.
3. Eseguire una delle seguenti operazioni:
   • Se si desidera configurare l'ordinamento dei risultati della selezione eventi, effettuare le seguenti operazioni:
     1. Fare clic sul pulsante Riconfigura ordinamento e avvia.
     2. Nella finestra Riconfigurare l'ordinamento per la selezione eventi visualizzata specificare le impostazioni di ordinamento.
     3. Fare clic sul nome della selezione.
   • In caso contrario, se si desidera visualizzare l'elenco degli eventi in base all'ordinamento in Administration Server, fare clic sul nome della selezione.

Verranno visualizzati i risultati della selezione eventi.

Esportazione di una selezione di eventi

Kaspersky Security Center Linux consente di salvare una selezione di eventi e le relative impostazioni in un file KLO. È possibile utilizzare questo file KLO per importare la selezione di eventi salvata sia per Kaspersky Security Center Windows che per Kaspersky Security Center Linux.

Si noti che è possibile esportare solo le selezioni di eventi definite dall'utente. Le selezioni di eventi dal set predefinito di Kaspersky Security Center Linux (selezioni predefinite) non possono essere salvate in un file.

Per esportare una selezione di eventi:

1. Nel menu principale accedere a Monitoraggio e generazione dei rapporti → Selezioni eventi.
2. Selezionare la casella di controllo accanto alla selezione eventi che si desidera esportare.

   Non è possibile esportare più selezioni di eventi contemporaneamente. Se si selezionano più selezioni, il pulsante Esporta verrà disabilitato.

3. Fare clic sul pulsante Esporta.
4. Nella finestra Salva con nome aperta, specificare il nome e il percorso del file della selezione di eventi, quindi fare clic sul pulsante Salva.

   La finestra Salva con nome viene visualizzata solo se si utilizza Google Chrome, Microsoft Edge oppure Opera. Se si utilizza un altro browser, il file della selezione di eventi viene salvato automaticamente nella cartella Download.

Importazione di una selezione di eventi

Kaspersky Security Center Linux consente di importare una selezione di eventi da un file KLO. Il file KLO contiene la selezione di eventi esportata e le sue impostazioni.

Per importare una selezione di eventi:

1. Nel menu principale accedere a Monitoraggio e generazione dei rapporti → Selezioni eventi.
2. Fare clic sul pulsante Importa, quindi scegliere una selezione di eventi che si desidera importare.
3. Nella finestra visualizzata, specificare il percorso del file KLO, quindi fare clic sul pulsante Apri. Si noti che è possibile selezionare solo una selezione di eventi.

   Viene avviata l'elaborazione della selezione di eventi.

Viene visualizzata la notifica con i risultati dell'importazione. Se la selezione di eventi viene importata correttamente, è possibile fare clic sul collegamento Visualizza dettagli importazione per visualizzare le proprietà della selezione di eventi.

Dopo un'importazione riuscita, la selezione di eventi viene visualizzata nell'elenco delle selezioni. Vengono importate anche le impostazioni della selezione di eventi.

Se la selezione di eventi appena importata ha un nome identico a quello di una selezione di eventi esistente, il nome della selezione importata viene espanso con l'indice (<numero progressivo successivo>), ad esempio: (1), (2).

Visualizzazione dei dettagli di un evento

Per visualizzare i dettagli di un evento:

1. Avviare una selezione eventi.
2. Fare clic sull'ora dell'evento desiderato.

   Verrà visualizzata la finestra Proprietà evento.

3. Nella finestra visualizzata è possibile eseguire le seguenti operazioni:
   • Visualizzare le informazioni sull'evento selezionato
   • Passare all'evento successivo e all'evento precedente nei risultati della selezione eventi
   • Passare al dispositivo in cui si è verificato l'evento
   • Passare al gruppo di amministrazione che include il dispositivo in cui si è verificato l'evento
   • Per un evento correlato a un'attività, passare alle proprietà dell'attività

Esportazione degli eventi in un file

Kaspersky Security Center Linux consente di salvare gli eventi da una selezione di eventi in un file TXT.

Per esportare gli eventi in un file:

1. Avviare una selezione eventi.
2. Selezionare la casella di controllo accanto all'evento desiderato.

   È inoltre possibile selezionare più eventi o l'intera selezione di eventi.

3. Fare clic sul pulsante Esporta in un file.

L'evento selezionato verrà esportato in un file TXT.

Visualizzazione della cronologia di un oggetto da un evento

Da un evento di creazione o di modifica di un oggetto che supporta la gestione delle revisioni, è possibile passare alla cronologia delle revisioni dell'oggetto.

Per visualizzare la cronologia di un oggetto da un evento:

1. Avviare una selezione eventi.
2. Selezionare la casella di controllo accanto all'evento desiderato.
3. Fare clic sul pulsante Cronologia revisioni.

Verrà aperta la cronologia delle revisioni dell'oggetto.

Eliminazione di eventi

Per eliminare uno o più eventi:

1. Avviare una selezione eventi.
2. Selezionare le caselle di controllo accanto agli eventi desiderati.
3. Fare clic sul pulsante Elimina.

Gli eventi selezionati verranno eliminati e non potranno essere ripristinati.

Eliminazione di selezioni eventi

È possibile eliminare solo le selezioni eventi definite dall'utente. Le selezioni eventi predefinite non possono essere eliminate.

Per eliminare una o più selezioni eventi:

1. Nel menu principale accedere a Monitoraggio e generazione dei rapporti → Selezioni eventi.
2. Selezionare le caselle di controllo accanto alle selezioni eventi che si desidera eliminare.
3. Fare clic su Elimina.
4. Nella finestra visualizzata fare clic su OK.

La selezione eventi verrà eliminata.

Impostazione del periodo di archiviazione per un evento

Kaspersky Security Center Linux consente di ricevere informazioni sugli eventi che si verificano durante l'esecuzione di Administration Server e delle applicazioni Kaspersky installate nei dispositivi gestiti. Le informazioni sugli eventi vengono salvate nel database di Administration Server. Potrebbe essere necessario archiviare alcuni eventi per un periodo più o meno lungo di quanto specificato dai valori predefiniti. È possibile modificare le impostazioni predefinite del periodo di archiviazione per un evento.

Se non si è interessati all'archiviazione di alcuni eventi nel database di Administration Server, è possibile disabilitare l'impostazione appropriata nel criterio di Administration Server e nel criterio dell'applicazione Kaspersky o nelle proprietà di Administration Server (solo per gli eventi di Administration Server). Ciò consentirà di ridurre il numero dei tipi di eventi nel database.

Più lungo è il periodo di archiviazione per un evento, più velocemente il database raggiunge la capacità massima. Tuttavia, un periodo di archiviazione più lungo per un evento consente di eseguire le attività di monitoraggio e generazione dei rapporti per un periodo superiore.

Per impostare il periodo di archiviazione per un evento nel database di Administration Server:

1. Nel menu principale accedere a Risorse (dispositivi) → Criteri e profili.
2. Fare clic sul nome del criterio desiderato.

   È possibile selezionare un criterio per un'applicazione Kaspersky gestita, Network Agent o Administration Server. Per Administration Server, è inoltre possibile configurare il periodo di archiviazione degli eventi facendo clic sull'icona delle impostazioni () accanto al nome dell'Administration Server desiderato.

3. Selezionare la scheda Configurazione eventi.

   Verrà visualizzato un elenco dei tipi di eventi correlati alla sezione Critico. Se necessario, è possibile passare alla sezione Errore funzionale, Avviso o Informazioni.

4. Nell'elenco dei tipi di eventi nel riquadro destro fare clic sul collegamento per l'evento di cui si desidera modificare il periodo di archiviazione.

   Nella sezione Registrazione eventi della finestra visualizzata l'interruttore Archivia nel database di Administration Server per (giorni) è abilitata.

5. Nella casella di modifica sotto questo interruttore inserire il numero di giorni per l'archiviazione dell'evento.
6. Se non si desidera archiviare un evento nel database di Administration Server, disabilitare l'opzione Archivia nel database di Administration Server per (giorni).

   Se si configurano gli eventi di Administration Server nella finestra delle proprietà di Administration Server e se le impostazioni degli eventi sono bloccate nel criterio di Kaspersky Security Center Administration Server, non è possibile ridefinire il valore del periodo di archiviazione per un evento.

7. Fare clic su OK, quindi, dopo aver chiuso il riquadro destro, fare clic sul pulsante Salva.

   La finestra delle proprietà del criterio verrà chiusa.

Da questo momento, quando Administration Server riceve e archivia gli eventi del tipo selezionato, questi avranno il periodo di archiviazione modificato. Administration Server non modifica il periodo di archiviazione degli eventi ricevuti in precedenza.

Blocco degli eventi frequenti

Questa sezione fornisce informazioni sulla gestione del blocco degli eventi frequenti e sulla rimozione del blocco degli eventi frequenti.

Informazioni sul blocco degli eventi frequenti

Un'applicazione gestita, ad esempio Kaspersky Endpoint Security for Linux, installata in uno o più dispositivi gestiti può inviare molti eventi dello stesso tipo ad Administration Server. La ricezione di eventi frequenti può sovraccaricare il database di Administration Server e sovrascrivere altri eventi. Administration Server inizia a bloccare gli eventi più frequenti quando il numero di tutti gli eventi ricevuti supera il limite specificato per il database.

Administration Server blocca la ricezione automatica degli eventi frequenti. Non è possibile bloccare autonomamente gli eventi frequenti o scegliere quali eventi bloccare.

Se si desidera scoprire se un evento è bloccato, è possibile visualizzare l'elenco delle notifiche o controllare se questo evento è presente nella sezione Blocco degli eventi frequenti delle proprietà di Administration Server. Se l'evento è bloccato, è possibile eseguire le seguenti operazioni:

• Se si desidera impedire la sovrascrittura del database, è possibile continuare a bloccare la ricezione di questo tipo di eventi.
• Se ad esempio si desidera individuare il motivo dell'invio degli eventi frequenti ad Administration Server, è possibile sbloccare gli eventi frequenti e continuare a ricevere comunque gli eventi di questo tipo.
• Se si desidera continuare a ricevere gli eventi frequenti finché non vengono nuovamente bloccati, è possibile rimuovere dal blocco gli eventi frequenti.

Gestione del blocco degli eventi frequenti

Administration Server blocca la ricezione automatica degli eventi frequenti, ma è possibile sbloccare e continuare a ricevere gli eventi frequenti. È inoltre possibile bloccare la ricezione degli eventi frequenti sbloccati in precedenza.

Per gestire il blocco degli eventi frequenti:

1. Nel menu principale, fare clic sull'icona delle impostazioni () accanto al nome dell'Administration Server richiesto.

   Verrà visualizzata la finestra delle proprietà di Administration Server.

2. Nella scheda Generale selezionare la sezione Blocco degli eventi frequenti.
3. Nella sezione Blocco degli eventi frequenti:
   • Se si desidera sbloccare la ricezione degli eventi frequenti:
     1. Selezionare gli eventi frequenti che si desidera sbloccare e fare clic sul pulsante Escludi.
     2. Fare clic sul pulsante Salva.
   • Se si desidera bloccare la ricezione degli eventi frequenti:
     1. Selezionare gli eventi frequenti che si desidera bloccare e fare clic sul pulsante Blocca.
     2. Fare clic sul pulsante Salva.

Administration Server riceve gli eventi frequenti sbloccati e non riceve gli eventi frequenti bloccati.

Rimozione del blocco degli eventi frequenti

È possibile rimuovere il blocco per gli eventi frequenti e iniziare a riceverli fino a quando Administration Server bloccherà nuovamente questi eventi frequenti.

Per rimuovere il blocco per gli eventi frequenti:

1. Nel menu principale, fare clic sull'icona delle impostazioni () accanto al nome dell'Administration Server richiesto.

   Verrà visualizzata la finestra delle proprietà di Administration Server.

2. Nella scheda Generale, selezionare la sezione Blocco degli eventi frequenti.
3. Nella sezione Blocco degli eventi frequenti selezionare i tipi di eventi frequenti per i quali si desidera rimuovere il blocco.
4. Fare clic sul pulsante Rimuovi il blocco.

L'evento frequente viene rimosso dall'elenco degli eventi frequenti. Administration Server riceverà gli eventi di questo tipo.

Elaborazione e archiviazione di eventi in Administration Server

Le informazioni sugli eventi che si verificano durante l'esecuzione dell'applicazione e dei dispositivi gestiti vengono salvate nel database di Administration Server. A ogni evento è attribuito un determinato tipo e un livello di criticità (Evento critico, Errore funzionale, Avviso o informazioni). A seconda delle condizioni in cui si è verificato un evento, l'applicazione può assegnare diversi livelli di criticità a eventi dello stesso tipo.

È possibile visualizzare i tipi e i livelli di criticità assegnati agli eventi nella sezione Configurazione eventi della finestra delle proprietà di Administration Server. Nella sezione Configurazione eventi è anche possibile configurare l'elaborazione di ogni evento da parte di Administration Server:

• Registrazione degli eventi in Administration Server e nei registri eventi del sistema operativo in un dispositivo e in Administration Server.
• Metodo utilizzato per notificare un evento all'amministratore (ad esempio, un SMS o un messaggio e-mail).

Nella sezione Archivio eventi della finestra delle proprietà di Administration Server è possibile modificare le impostazioni per l'archiviazione degli eventi nel database di Administration Server, limitando il numero di record degli eventi e il periodo di archiviazione dei record. Quando si specifica il numero massimo di eventi, l'applicazione calcola approssimativamente la quantità di spazio di archiviazione necessario per il numero specificato. È possibile utilizzare questo calcolo approssimativo per valutare se è necessario liberare spazio su disco per evitare l'overflow del database. La capacità predefinita del database di Administration Server è di 400.000 eventi. La capacità massima consigliata del database è di 45 milioni di eventi.

L'applicazione controlla il database ogni 10 minuti. Se il numero di eventi raggiunge il valore massimo specificato più 10.000, l'applicazione elimina gli eventi meno recenti in modo che rimanga solo il numero massimo di eventi specificato.

Quando l'Administration Server elimina gli eventi meno recenti, non può salvare i nuovi eventi nel database. Durante questo periodo, le informazioni sugli eventi rifiutati vengono scritte nel registro del sistema operativo. I nuovi eventi vengono accodati e quindi salvati nel database al termine dell'operazione di eliminazione. Per impostazione predefinita, la coda degli eventi è limitata a 20.000 eventi. È possibile personalizzare il limite della coda modificando il valore del contrassegno KLEVP_MAX_POSTPONED_CNT.

Notifiche e stati del dispositivo

Questa sezione contiene informazioni su come visualizzare le notifiche, configurare il recapito delle notifiche, utilizzare gli stati dei dispositivi e abilitare la modifica degli stati dei dispositivi.

Utilizzo delle notifiche

Le notifiche segnalano gli eventi e consentono di velocizzare le risposte a tali eventi eseguendo le azioni consigliate o le azioni che si ritengono appropriate.

A seconda del metodo di notifica scelto, sono disponibili i seguenti tipi di notifiche:

• Notifiche sullo schermo
• Notifiche tramite SMS
• Notifiche tramite e-mail
• Notifiche tramite file eseguibile o script

Notifiche sullo schermo

Le notifiche sullo schermo segnalano gli eventi raggruppati per livelli di importanza (Critico, Avviso e Informativo).

Una notifica sullo schermo può avere due stati:

• Rivista. Indica che è stata eseguita l'azione consigliata per la notifica o che è stato assegnato manualmente questo stato per la notifica.
• Non rivista. Indica che non è stata eseguita l'azione consigliata per la notifica o che non è stato assegnato manualmente questo stato per la notifica.

Per impostazione predefinita, l'elenco delle notifiche include le notifiche con lo stato Non rivista.

È possibile monitorare la rete dell'organizzazione visualizzando le notifiche sullo schermo e rispondendo in tempo reale a tali notifiche.

Notifiche tramite e-mail, SMS e file eseguibile o script

Kaspersky Security Center Linux offre la possibilità di monitorare la rete dell'organizzazione inviando notifiche su qualsiasi evento che si ritiene importante. Per ogni evento è possibile configurare notifiche tramite e-mail, tramite SMS o avviando un file eseguibile o uno script.

Dopo aver ricevuto notifiche tramite e-mail o SMS, è possibile decidere la risposta a un evento. Questa risposta dovrebbe essere la più appropriata per la rete dell'organizzazione. Avviando un file eseguibile o uno script, si specifica una risposta predefinita a un evento. L'avvio di un file eseguibile o di uno script può anche essere considerato la risposta primaria a un evento. Dopo l'avvio del file eseguibile, è possibile eseguire altri passaggi per rispondere all'evento.

Visualizzazione delle notifiche sullo schermo

È possibile visualizzare le notifiche sullo schermo in tre modi:

• Nella sezione Monitoraggio e generazione dei rapporti → Notifiche. Qui è possibile visualizzare le notifiche relative alle categorie predefinite.
• In una finestra distinta che può essere aperta indipendentemente dalla sezione in uso. In questo caso, è possibile contrassegnare le notifiche come riviste.
• Nel widget Notifiche in base al livello di criticità selezionato nella sezione Monitoraggio e generazione dei rapporti → Dashboard. Nel widget è possibile visualizzare solo le notifiche degli eventi con i livelli di importanza Critico e Avviso.

È possibile eseguire azioni, ad esempio è possibile rispondere a un evento.

Per visualizzare le notifiche delle categorie predefinite:

1. Nel menu principale accedere a Monitoraggio e generazione dei rapporti → Notifiche.

   La categoria Tutte le notifiche è selezionata nel riquadro sinistro e nel riquadro destro sono visualizzate tutte le notifiche.

2. Nel riquadro sinistro selezionare una delle categorie:
   • Distribuzione
   • Dispositivi
   • Protezione
   • Aggiornamenti (sono incluse le notifiche relative alle applicazioni Kaspersky disponibili per il download e le notifiche relative agli aggiornamenti dei database anti-virus scaricati)
   • Prevenzione Exploit
   • Administration Server (sono inclusi gli eventi relativi solo ad Administration Server)
   • Collegamenti utili (sono inclusi collegamenti a risorse Kaspersky, ad esempio il Servizio di assistenza tecnica Kaspersky, il forum Kaspersky, la pagina di rinnovo della licenza o Kaspersky IT Encyclopedia)
   • Novità di Kaspersky (sono incluse le informazioni sulle versioni delle applicazioni Kaspersky)

Viene visualizzato un elenco di notifiche della categoria selezionata. L'elenco contiene i seguenti elementi:

• Icona relativa all'argomento della notifica: distribuzione (), protezione (), aggiornamenti (), gestione dispositivi (), Prevenzione Exploit (), Administration Server ().
• Livello di importanza della notifica. Vengono visualizzate le notifiche con i seguenti livelli di importanza: Notifiche critiche (), Notifiche di avviso (), Notifiche informative. Le notifiche nell'elenco sono raggruppate in base ai livelli di importanza.
• Notifica. Contiene una descrizione della notifica.
• Azione. Contiene un collegamento a un'azione rapida che è consigliabile eseguire. Ad esempio, facendo clic su questo collegamento, è possibile passare all'archivio e installare le applicazioni di protezione nei dispositivi oppure visualizzare un elenco di dispositivi o un elenco di eventi. Dopo aver eseguito l'azione consigliata per la notifica, alla notifica viene assegnato lo stato Rivista.
• Stato registrato. Contiene il numero di giorni o ore trascorsi dal momento in cui la notifica è stata registrata in Administration Server.

Per visualizzare le notifiche sullo schermo in una finestra distinta in base al livello di importanza:

1. Nell'angolo superiore destro di Kaspersky Security Center Web Console, fare clic sull'icona a forma di bandiera ().

   Se l'icona a forma di bandiera contiene un punto rosso, sono presenti notifiche che non sono state riviste.

   Verrà visualizzata una finestra che elenca le notifiche. Per impostazione predefinita, la scheda Tutte le notifiche è selezionata e le notifiche sono raggruppate per livello di importanza: Critico, Avviso e Informazioni.

2. Selezionare la scheda Sistema.

   Verrà visualizzato l'elenco delle notifiche con i livelli di importanza Critico () e Avviso (). L'elenco delle notifiche include i seguenti elementi:

   • Contrassegno del colore. Le notifiche critiche sono contrassegnate in rosso. Le notifiche di avviso sono contrassegnate in giallo.
   • Icona che indica l'argomento della notifica: distribuzione (), protezione (), aggiornamenti (), gestione dispositivi (), Prevenzione Exploit (), Administration Server ().
   • Descrizione della notifica.
   • Icona a forma di bandiera. L'icona a forma di bandiera è grigia se alle notifiche è stato assegnato lo stato Non rivista. Quando si seleziona l'icona a forma di bandiera di colore grigio e si assegna lo stato Rivista a una notifica, il colore dell'icona diventa bianco.
   • Collegamento all'azione consigliata. Quando si esegue l'azione consigliata dopo aver fatto clic sul collegamento, alla notifica viene assegnato lo stato Rivista.
   • Numero di giorni trascorsi dalla data in cui la notifica è stata registrata in Administration Server.
3. Selezionare la scheda Altro.

   Verrà visualizzato l'elenco delle notifiche con il livello di importanza Informazioni.

   L'organizzazione dell'elenco è la stessa dell'elenco nella scheda Sistema (vedere la descrizione precedente). L'unica differenza è l'assenza di un contrassegno del colore.

È possibile filtrare le notifiche in base all'intervallo di date in cui sono state registrate in Administration Server. Utilizzare la casella di controllo Mostra filtro per gestire il filtro.

Per visualizzare le notifiche sullo schermo nel widget:

1. Nella sezione Dashboard selezionare Aggiungi o ripristina widget Web.
2. Nella finestra visualizzata fare clic sulla categoria Altro, selezionare il widget Notifiche in base al livello di criticità selezionato e fare clic su Aggiungi.

   Il widget verrà visualizzato nella scheda Dashboard. Per impostazione predefinita, nel widget vengono visualizzate le notifiche con il livello di importanza Critico.

   È possibile fare clic sul pulsante Impostazioni nel widget e modificare le impostazioni del widget per visualizzare le notifiche con il livello di importanza Avviso. In alternativa, è possibile aggiungere un altro widget: Notifiche in base al livello di criticità selezionato, con un livello di importanza Avviso.

   L'elenco delle notifiche nel widget è limitato dalle dimensioni e include due notifiche. Queste due notifiche si riferiscono agli ultimi eventi.

L'elenco delle notifiche nel widget include i seguenti elementi:

• Icona relativa all'argomento della notifica: distribuzione (), protezione (), aggiornamenti (), gestione dispositivi (), Prevenzione Exploit (), Administration Server ().
• Descrizione della notifica con un collegamento all'azione consigliata. Quando si esegue un'azione consigliata dopo aver fatto clic sul collegamento, alla notifica viene assegnato lo stato Rivista.
• Numero di giorni o numero di ore trascorsi dalla data in cui la notifica è stata registrata in Administration Server.
• Collegamento ad altre notifiche. Facendo clic su questo collegamento, è possibile passare alla visualizzazione delle notifiche nella sezione Notifiche della sezione Monitoraggio e generazione dei rapporti.

Informazioni sugli stati dei dispositivi

Kaspersky Security Center Linux assegna uno stato a ciascun dispositivo gestito. Lo stato specifico dipende dal rispetto delle condizioni definite dall'utente. In alcuni casi, durante l'assegnazione di uno stato a un dispositivo, Kaspersky Security Center Linux prende in considerazione il flag di visibilità del dispositivo nella rete (vedere la tabella seguente). Se Kaspersky Security Center Linux non rileva un dispositivo nella rete entro due ore, il flag di visibilità del dispositivo è impostato su Non visibile.

Gli stati sono i seguenti:

• Critico o Critico / Visibile
• Avviso o Avviso / Visibile
• OK o OK / Visibile

La tabella seguente elenca le condizioni predefinite da soddisfare per assegnare a un dispositivo lo stato Critico o Avviso, con tutti i possibili valori.

Condizioni per l'assegnazione di uno stato a un dispositivo

Kaspersky Security Center Linux consente di configurare la selezione automatica dello stato di un dispositivo in un gruppo di amministrazione quando vengono soddisfatte le condizioni specificate. Quando vengono soddisfatte le condizioni specificate, al dispositivo client viene assegnato uno dei seguenti stati: Critico o Avviso. Quando le condizioni specificate non vengono soddisfatte, al dispositivo client viene assegnato lo stato OK.

Diversi stati possono corrispondere ai diversi valori di una condizione. Ad esempio, per impostazione predefinita, se alla condizione I database non sono aggiornati è associato il valore Più di 3 giorni, al dispositivo client sarà assegnato lo stato Avviso; se il valore è Più di 7 giorni, verrà assegnato lo stato Critico.

Se si esegue l'upgrade di Kaspersky Security Center Linux dalla versione precedente, i valori della condizione I database non sono aggiornati per l'assegnazione dello stato Critico o Avviso restano invariati.

Quando Kaspersky Security Center Linux assegna uno stato a un dispositivo, per alcune condizioni (vedere la colonna Descrizione della condizione) viene preso in considerazione il flag di visibilità. Ad esempio, se a un dispositivo gestito è stato assegnato lo stato Critico perché è stata soddisfatta la condizione I database non sono aggiornati e successivamente è stato impostato il flag di visibilità per il dispositivo, al dispositivo viene assegnato lo stato OK.

Configurazione dell'invio delle notifiche

Espandi tutto | Comprimi tutto

È possibile configurare notifiche per gli eventi che si verificano in Kaspersky Security Center Linux. A seconda del metodo di notifica scelto, sono disponibili i seguenti tipi di notifiche:

• E-mail: quando si verifica un evento, Kaspersky Security Center Linux invia una notifica agli indirizzi e-mail specificati.
• SMS: quando si verifica un evento, Kaspersky Security Center Linux invia una notifica ai numeri di telefono specificati.
• File eseguibile: quando si verifica un evento, viene eseguito il file eseguibile in Administration Server.

Per configurare l'invio delle notifiche per gli eventi che si verificano in Kaspersky Security Center Linux:

1. Nel menu principale, fare clic sull'icona delle impostazioni () accanto al nome dell'Administration Server richiesto.

   Verrà visualizzata la finestra delle proprietà di Administration Server, con la scheda Generale selezionata.

2. Fare clic sulla sezione Notifica e nel riquadro destro selezionare la scheda per il metodo di notifica desiderato:
   • E-mail

     La scheda E-mail consente di configurare la notifica degli eventi tramite e-mail.

     Nel campo Server SMTP specificare gli indirizzi dei server di posta, separandoli con punto e virgola. È possibile utilizzare i seguenti valori:

     • Indirizzo IPv4 o IPv6
     • Nome DNS del server SMTP

     Nel campo Porta server SMTP specificare il numero di una porta di comunicazione del server SMTP. Il numero di porta predefinito è 25.

     Se si abilita l'opzione Usa ricerca DNS MX, è possibile utilizzare più record MX degli indirizzi IP per lo stesso nome DNS del server SMTP. Lo stesso nome DNS può avere diversi record MX con valori di priorità differenti di ricezione dei messaggi e-mail. Administration Server tenta di inviare notifiche e-mail al server SMTP in ordine crescente di priorità dei record MX.

     Se si abilita l'opzione Usa ricerca DNS MX e non si abilita l'utilizzo delle impostazioni TLS, è consigliabile utilizzare le impostazioni DNSSEC nel dispositivo server come misura di protezione aggiuntiva per l'invio di notifiche e-mail.

     Se si abilita l'opzione Usa autenticazione ESMTP, è possibile specificare le impostazioni di autenticazione ESMTP nei campi Nome utente e Password. Per impostazione predefinita, l'opzione è disabilitata e le impostazioni per l'autenticazione ESMTP non sono disponibili.

     È possibile specificare le impostazioni di connessione TLS con un server SMTP:

     • Non utilizzare TLS

     È possibile selezionare questa opzione se si desidera disabilitare il criptaggio dei messaggi e-mail.

     • Usa TLS se supportato dal server SMTP

     È possibile selezionare questa opzione se si desidera utilizzare una connessione TLS in un server SMTP. Se il server SMTP non supporta TLS, Administration Server si connette al server SMTP senza utilizzare TLS.

     • Usa sempre TLS, controlla la validità del certificato del server

     È possibile selezionare questa opzione se si desidera utilizzare le impostazioni di autenticazione TLS. Se il server SMTP non supporta TLS, Administration Server non può connettersi al server SMTP.

     È consigliabile utilizzare questa opzione per una protezione più efficace della connessione con un server SMTP. Se si seleziona questa opzione, è possibile configurare le impostazioni di autenticazione per una connessione TLS.

     Se si seleziona il valore Usa sempre TLS, controlla la validità del certificato del server, è possibile specificare un certificato per l'autenticazione del server SMTP e scegliere se si desidera abilitare la comunicazione tramite qualsiasi versione di TLS o solo tramite TLS 1.2 o versioni successive. È inoltre possibile specificare un certificato per l'autenticazione del client nel server SMTP.

     È possibile specificare i certificati per una connessione TLS facendo clic sul collegamento Specifica certificati:

     • Cercare un file di certificato del server SMTP:

     È possibile ricevere un file con l'elenco dei certificati da un'autorità di certificazione attendibile e caricare il file in Administration Server. Kaspersky Security Center Linux verifica se anche il certificato di un server SMTP è firmato da un'autorità di certificazione attendibile. Kaspersky Security Center Linux non può connettersi a un server SMTP se il certificato del server SMTP non viene ricevuto da un'autorità di certificazione attendibile.

     • Cercare un file di certificato del client:

     È possibile utilizzare un certificato ricevuto da qualsiasi origine, ad esempio da qualsiasi autorità di certificazione attendibile. È necessario specificare il certificato e la relativa chiave privata utilizzando uno dei seguenti tipi di certificato:

     • Certificato X-509:

     È necessario specificare un file con il certificato e un file con la chiave privata. Entrambi i file non dipendono l'uno dall'altro e l'ordine di caricamento dei file non è significativo. Quando entrambi i file vengono caricati, è necessario specificare la password per la decodifica della chiave privata. La password può avere un valore vuoto se la chiave privata non è codificata.

     • Contenitore pkcs12:

     È necessario caricare un singolo file che contenga il certificato e la relativa chiave privata. Quando il file viene caricato, è necessario specificare la password per la decodifica della chiave privata. La password può avere un valore vuoto se la chiave privata non è codificata.

     Il pulsante Invia messaggio di test consente di verificare se le notifiche sono state configurate correttamente: l'applicazione invia una notifica di prova all'indirizzo e-mail specificato.

     Nel campo Destinatari (indirizzi e-mail) specificare gli indirizzi e-mail a cui l'applicazione invierà le notifiche. È possibile specificare più indirizzi in questo campo, separandoli con punto e virgola.

     Nel campo Oggetto specificare l'oggetto del messaggio e-mail. È possibile lasciare vuoto questo campo.

     Nell'elenco a discesa Modello oggetto selezionare il modello per l'oggetto. Una variabile determinata dal modello selezionato viene automaticamente inserita nel campo Oggetto. È possibile creare un oggetto e-mail selezionando diversi modelli di oggetto.

     Nel campo Indirizzo e-mail del mittente: se questa impostazione non è specificata, verrà utilizzato l'indirizzo del destinatario. Avviso: è consigliabile non utilizzare un indirizzo e-mail fittizio specificare l'indirizzo del mittente del messaggio e-mail. Se si lascia vuoto questo campo, per impostazione predefinita viene utilizzato l'indirizzo del destinatario. Non è consigliabile utilizzare indirizzi e-mail fittizi.

     Il campo Messaggio di notifica contiene testo standard con le informazioni sull'evento inviate dall'applicazione quando si verifica un evento. Il testo include parametri sostitutivi, ad esempio il nome dell'evento, il nome del dispositivo e il nome di dominio. È possibile modificare il testo del messaggio aggiungendo altri parametri sostitutivi con dettagli più pertinenti sull'evento.

     Se il testo di notifica contiene un segno percentuale (%), è necessario digitarlo due volte di seguito per consentire l'invio del messaggio. Ad esempio, "Il carico della CPU è 100%%".

     Il collegamento Configura un limite numerico per le notifiche consente di specificare il numero massimo di notifiche che l'applicazione può inviare nell'intervallo di tempo specificato.

   • SMS

     La scheda SMS consente di configurare la trasmissione delle notifiche SMS di diversi eventi a un cellulare. I messaggi SMS vengono inviati tramite un gateway di posta.

     Nel campo Server SMTP specificare gli indirizzi dei server di posta, separandoli con punto e virgola. È possibile utilizzare i seguenti valori:

     • Indirizzo IPv4 o IPv6
     • Nome DNS del server SMTP

     Nel campo Porta server SMTP specificare il numero di una porta di comunicazione del server SMTP. Il numero di porta predefinito è 25.

     Se l'opzione Usa autenticazione ESMTP è abilitata, è possibile specificare le impostazioni di autenticazione ESMTP nei campi Nome utente e Password. Per impostazione predefinita, l'opzione è disabilitata e le impostazioni per l'autenticazione ESMTP non sono disponibili.

     È possibile specificare le impostazioni di connessione TLS con un server SMTP:

     • Non utilizzare TLS

     È possibile selezionare questa opzione se si desidera disabilitare il criptaggio dei messaggi e-mail.

     • Usa TLS se supportato dal server SMTP

     È possibile selezionare questa opzione se si desidera utilizzare una connessione TLS in un server SMTP. Se il server SMTP non supporta TLS, Administration Server si connette al server SMTP senza utilizzare TLS.

     • Usa sempre TLS, controlla la validità del certificato del server

     È possibile selezionare questa opzione se si desidera utilizzare le impostazioni di autenticazione TLS. Se il server SMTP non supporta TLS, Administration Server non può connettersi al server SMTP.

     È consigliabile utilizzare questa opzione per una protezione più efficace della connessione con un server SMTP. Se si seleziona questa opzione, è possibile configurare le impostazioni di autenticazione per una connessione TLS.

     Se si seleziona il valore Usa sempre TLS, controlla la validità del certificato del server, è possibile specificare un certificato per l'autenticazione del server SMTP e scegliere se si desidera abilitare la comunicazione tramite qualsiasi versione di TLS o solo tramite TLS 1.2 o versioni successive. È inoltre possibile specificare un certificato per l'autenticazione del client nel server SMTP.

     È possibile specificare il file del certificato del server SMTP facendo clic sul collegamento Specifica certificati. È possibile ricevere un file con l'elenco dei certificati da un'autorità di certificazione attendibile e caricare il file in Administration Server. Kaspersky Security Center Linux verifica se anche il certificato di un server SMTP è firmato da un'autorità di certificazione attendibile. Kaspersky Security Center Linux non può connettersi a un server SMTP se il certificato del server SMTP non viene ricevuto da un'autorità di certificazione attendibile.

     Nel campo Destinatari (indirizzi e-mail) specificare gli indirizzi e-mail a cui l'applicazione invierà le notifiche. È possibile specificare più indirizzi in questo campo, separandoli con punto e virgola. Le notifiche verranno inviate ai numeri di telefono associati agli indirizzi e-mail specificati.

     Nel campo Oggetto specificare l'oggetto del messaggio e-mail.

     Nell'elenco a discesa Modello oggetto selezionare il modello per l'oggetto. Una variabile basata sul modello selezionato viene inserita nel campo Oggetto. È possibile creare un oggetto e-mail selezionando diversi modelli di oggetto.

     Nel campo Indirizzo e-mail del mittente: se questa impostazione non è specificata, verrà utilizzato l'indirizzo del destinatario. Avviso: è consigliabile non utilizzare un indirizzo e-mail fittizio specificare l'indirizzo del mittente del messaggio e-mail. Se si lascia vuoto questo campo, per impostazione predefinita viene utilizzato l'indirizzo del destinatario. Non è consigliabile utilizzare indirizzi e-mail fittizi.

     Nel campo Numeri di telefono dei destinatari dei messaggi SMS specificare i numeri di cellulare dei destinatari delle notifiche SMS.

     Nel campo Messaggio di notifica specificare un testo standard con le informazioni sull'evento inviate dall'applicazione quando si verifica un evento. Il testo può includere parametri sostitutivi, ad esempio il nome dell'evento, il nome del dispositivo e il nome di dominio.

     Se il testo di notifica contiene un segno percentuale (%), è necessario digitarlo due volte di seguito per consentire l'invio del messaggio. Ad esempio, "Il carico della CPU è 100%%".

     Fare clic su Invia messaggio di test per verificare se le notifiche sono state configurate correttamente: l'applicazione invia una notifica di prova al destinatario specificato.

     Fare clic sul collegamento Configura un limite numerico per le notifiche per specificare il numero massimo di notifiche che l'applicazione può inviare durante l'intervallo di tempo specificato.

   • File eseguibile da avviare

     Se è selezionato questo metodo di notifica, nel campo di immissione è possibile specificare l'applicazione che verrà avviata quando si verifica un evento.

     Nel campo File eseguibile da avviare in Administration Server al verificarsi di un evento specificare la cartella e il nome del file da eseguire. Prima di specificare il file, preparare il file e specificare i segnaposto che definiscono i dettagli dell'evento da inviare nel messaggio di notifica. La cartella e il file specificati devono trovarsi in Administration Server.

     Il collegamento Configura un limite numerico per le notifiche consente di specificare il numero massimo di notifiche che l'applicazione può inviare nell'intervallo di tempo specificato.

3. Nella scheda definire le impostazioni di notifica.
4. Fare clic sul pulsante OK per chiudere la finestra delle proprietà di Administration Server.

Le impostazioni di invio delle notifiche salvate vengono applicate a tutti gli eventi che si verificano in Kaspersky Security Center Linux.

È possibile sostituire le impostazioni di invio delle notifiche per determinati eventi nella sezione Configurazione eventi delle impostazioni di Administration Server, delle impostazioni di un criterio o delle impostazioni di un'applicazione.

Testing delle notifiche

Per verificare l'invio delle notifiche degli eventi, l'applicazione utilizza la notifica di rilevamento del virus di prova EICAR nei dispositivi client.

Per verificare l'invio delle notifiche degli eventi:

1. Arrestare l'attività di protezione del file system in tempo reale in un dispositivo client e copiare il virus di prova EICAR nel dispositivo client. Quindi, abilitare nuovamente la protezione in tempo reale del file system.
2. Eseguire un'attività di scansione per dispositivi client in un gruppo di amministrazione o per dispositivi specifici, compreso uno con il virus di prova EICAR.

   Se l'attività di scansione è configurata correttamente, il virus di prova verrà rilevato. Se le notifiche sono configurate correttamente, si riceverà una notifica del rilevamento di un virus.

Per aprire un record del rilevamento del virus di prova:

1. Nel menu principale accedere a Monitoraggio e generazione dei rapporti → Selezioni eventi.
2. Fare clic sul nome della selezione Eventi recenti.

   Nella finestra mostrata, viene visualizzata la notifica del virus di prova.

Il virus di prova EICAR non contiene codice che può danneggiare il dispositivo. Tuttavia, la maggior parte delle applicazioni di protezione identifica il file come un virus. È possibile scaricare il "virus" di prova dal sito Web ufficiale di EICAR.

Notifiche degli eventi visualizzate dall'esecuzione di un file eseguibile

Kaspersky Security Center Linux consente di inviare all'amministratore notifiche degli eventi nei dispositivi client visualizzate dall'esecuzione di un file eseguibile. Il file eseguibile deve contenere un altro file eseguibile con segnaposto dell'evento da inviare all'amministratore (vedere la tabella seguente).

Segnaposto per la descrizione di un evento

Annunci Kaspersky

Questa sezione descrive come utilizzare, configurare e disabilitare gli annunci di Kaspersky.

Informazioni sugli annunci di Kaspersky

La sezione Annunci Kaspersky (Monitoraggio e generazione dei rapporti → Kaspersky announcements) consente di rimanere informati fornendo informazioni relative alla versione in uso di Kaspersky Security Center Linux e alle applicazioni gestite installate nei dispositivi gestiti. Kaspersky Security Center Linux aggiorna periodicamente le informazioni nella sezione rimuovendo gli annunci obsoleti e aggiungendo nuove informazioni.

Kaspersky Security Center Linux mostra solo gli annunci di Kaspersky relativi all'Administration Server attualmente connesso e alle applicazioni Kaspersky installate nei dispositivi gestiti di questo Administration Server. Gli annunci vengono visualizzati singolarmente per qualsiasi tipo di Administration Server: primario, secondario o virtuale.

L'Administration Server deve disporre di una connessione Internet per ricevere gli annunci Kaspersky.

Gli annunci includono informazioni dei seguenti tipi:

• Annunci relativi alla sicurezza

  Gli annunci relativi alla sicurezza hanno lo scopo di mantenere aggiornate e completamente funzionanti le applicazioni Kaspersky installate nella rete. Gli annunci possono includere informazioni sugli aggiornamenti critici per le applicazioni Kaspersky, correzioni per le vulnerabilità rilevate e modalità di risoluzione di altri problemi nelle applicazioni Kaspersky. Per impostazione predefinita, gli annunci correlati alla sicurezza sono abilitati. Se non si desidera ricevere gli annunci, è possibile disabilitare questa funzionalità.

  Per mostrare le informazioni corrispondenti alla configurazione della protezione di rete, Kaspersky Security Center Linux invia i dati ai server cloud Kaspersky e riceve solo gli annunci relativi alle applicazioni Kaspersky installate nella rete. Il set di dati che può essere inviato ai server è descritto nel Contratto di licenza con l'utente finale che l'utente accetta durante l'installazione di Kaspersky Security Center Administration Server.

• Annunci di marketing

  Gli annunci di marketing includono informazioni su offerte speciali per le applicazioni Kaspersky, pubblicità e notizie provenienti da Kaspersky. Gli annunci di marketing sono disabilitati per impostazione predefinita. Questo tipo di annunci viene ricevuto solo se è stato abilitato Kaspersky Security Network (KSN). È possibile disabilitare gli annunci di marketing disabilitando KSN.

  Al fine di mostrare solo le informazioni attinenti che potrebbero essere utili per la protezione dei dispositivi di rete e nelle attività quotidiane, Kaspersky Security Center Linux invia i dati ai server cloud Kaspersky e riceve gli annunci appropriati. Il set di dati che può essere inviato ai server è descritto nella sezione Dati elaborati dell' Informativa KSN.

Le nuove informazioni sono suddivise nelle seguenti categorie, in base al livello di importanza:

1. Informazioni critiche
2. Novità importanti
3. Avviso
4. Informazioni

Quando vengono visualizzate nuove informazioni nella sezione Annunci Kaspersky, Kaspersky Security Center Web Console visualizza un'etichetta di notifica che corrisponde al livello di importanza degli annunci. È possibile fare clic sull'etichetta per visualizzare l'annuncio nella sezione Annunci Kaspersky.

È possibile specificare le impostazioni degli annunci Kaspersky, comprese le categorie di annunci che si desidera visualizzare e dove visualizzare l'etichetta di notifica. Se non si desidera ricevere gli annunci, è possibile disabilitare questa funzionalità.

Configurazione delle impostazioni per gli annunci di Kaspersky

Nella sezione Annunci Kaspersky è possibile specificare le impostazioni degli annunci Kaspersky, comprese le categorie di annunci che si desidera visualizzare e dove visualizzare l'etichetta di notifica.

Per configurare gli annunci Kaspersky:

1. Nel menu principale accedere a Monitoraggio e generazione dei rapporti → Annunci Kaspersky.
2. Fare clic sul collegamento Impostazioni.

   Verrà visualizzata la finestra delle impostazioni degli annunci di Kaspersky.

3. Specificare le seguenti impostazioni:
   • Selezionare il livello di importanza degli annunci che si desidera visualizzare. Gli annunci di altre categorie non verranno visualizzati.
   • Selezionare dove si desidera visualizzare l'etichetta di notifica. L'etichetta può essere visualizzata in tutte le sezioni della console o nella sezione Monitoraggio e generazione dei rapporti e nelle relative sottosezioni.
4. Fare clic sul pulsante OK.

   Le impostazioni degli annunci Kaspersky sono state specificate.

Disabilitazione degli annunci di Kaspersky

La sezione Annunci Kaspersky (Monitoraggio e generazione dei rapporti → Kaspersky announcements) consente di rimanere informati fornendo informazioni relative alla versione in uso di Kaspersky Security Center Linux e alle applicazioni gestite installate nei dispositivi gestiti. Se non si desidera ricevere gli annunci di Kaspersky, è possibile disabilitare questa funzionalità.

Gli annunci Kaspersky includono due tipi di informazioni: annunci relativi alla sicurezza e annunci di marketing. È possibile disabilitare separatamente gli annunci di ciascun tipo.

Per disabilitare gli annunci relativi alla sicurezza:

1. Nel menu principale, fare clic sull'icona delle impostazioni () accanto al nome dell'Administration Server richiesto.

   Verrà visualizzata la finestra delle proprietà di Administration Server.

2. Nella scheda Generale selezionare la sezione Annunci Kaspersky.
3. Spostare l'interruttore sulla posizione Gli annunci relativi alla sicurezza sono disabilitati.
4. Fare clic sul pulsante Salva.

   Gli annunci di Kaspersky vengono disabilitati.

Gli annunci di marketing sono disabilitati per impostazione predefinita. Gli annunci di marketing vengono ricevuti solo se è stato abilitato Kaspersky Security Network (KSN). È possibile disabilitare questo tipo di annunci disabilitando KSN.

Per disabilitare gli annunci di marketing:

1. Nel menu principale, fare clic sull'icona delle impostazioni () accanto al nome dell'Administration Server richiesto.

   Verrà visualizzata la finestra delle proprietà di Administration Server.

2. Nella scheda Generale selezionare la sezione Impostazioni proxy KSN.
3. Disabilitare l'opzione Usa Kaspersky Security Network Abilitato.
4. Fare clic sul pulsante Salva.

   Gli annunci di marketing vengono disabilitati.

Esportazione di eventi nei sistemi SIEM

Questa sezione descrive come configurare l'esportazione degli eventi nei sistemi SIEM.

Configurazione dell'esportazione di eventi nei sistemi SIEM

Kaspersky Security Center Linux consente di configurare l'esportazione degli eventi nei sistemi SIEM con uno dei seguenti metodi: esportazione in qualsiasi sistema SIEM che utilizza il formato Syslog o esportazione degli eventi nei sistemi SIEM direttamente dal database di Kaspersky Security Center. Al termine di questo scenario, Administration Server invia automaticamente gli eventi a un sistema SIEM.

Prerequisiti

Prima di avviare la configurazione dell’esportazione degli eventi in Kaspersky Security Center Linux:

• Ulteriori informazioni sui metodi di esportazione degli eventi.
• Assicurarsi di disporre dei valori delle impostazioni di sistema.

È possibile eseguire i passaggi di questo scenario in qualsiasi ordine.

Il processo di esportazione degli eventi in un sistema SIEM prevede i seguenti passaggi:

• Configurazione del sistema SIEM per la ricezione di eventi da Kaspersky Security Center Linux

  Istruzioni dettagliate: Configurazione dell'esportazione di eventi in un sistema SIEM

• Selezione degli eventi che si desidera esportare nel sistema SIEM

  Contrassegnare gli eventi da esportare nel sistema SIEM. Innanzitutto, contrassegnare gli eventi generici che si verificano in tutte le applicazioni Kaspersky gestite. Successivamente, è possibile contrassegnare gli eventi per applicazioni Kaspersky gestite specifiche.

• Configurazione dell'esportazione di eventi nel sistema SIEM

  Per esportare gli eventi, è possibile utilizzare uno dei seguenti metodi:

  • Utilizzo dei protocolli TCP/IP, UDP o TLS su TCP.
  • Utilizzo dell'esportazione di eventi direttamente dal database di Kaspersky Security Center. È disponibile un set di visualizzazioni pubbliche nel database di Kaspersky Security Center. È possibile trovare la descrizione di queste visualizzazioni pubbliche nel documento klakdb.chm.

Risultati

Dopo aver configurato l'esportazione degli eventi in un sistema SIEM, è possibile visualizzare i risultati dell'esportazione se sono stati selezionati gli eventi da esportare.

Prima di iniziare

Espandi tutto | Comprimi tutto

Durante la configurazione dell’esportazione automatica degli eventi in Kaspersky Security Center Linux, è necessario specificare alcune impostazioni del sistema SIEM. È consigliabile verificare preventivamente queste impostazioni per la preparazione della configurazione di Kaspersky Security Center Linux.

Per configurare l'invio automatico degli eventi in un sistema SIEM, è necessario conoscere le seguenti impostazioni:

• Indirizzo server del sistema SIEM

  L'indirizzo IP del server in cui è installato il sistema SIEM utilizzato attualmente. Verificare questo valore nelle impostazioni del sistema SIEM.

• Porta server del sistema SIEM

  Numero della porta utilizzato per stabilire la connessione tra Kaspersky Security Center Linux e il server del sistema SIEM. Questo valore viene specificato nelle impostazioni di Kaspersky Security Center Linux e nelle impostazioni del destinatario del sistema SIEM.

• Protocollo

  Protocollo utilizzato per il trasferimento dei messaggi da Kaspersky Security Center Linux al sistema SIEM. Questo valore viene specificato nelle impostazioni di Kaspersky Security Center Linux e nelle impostazioni del destinatario del sistema SIEM.

Informazioni sull'esportazione degli eventi

Kaspersky Security Center Linux consente di ricevere informazioni sugli eventi che si verificano durante l'esecuzione di Administration Server e delle applicazioni Kaspersky installate nei dispositivi gestiti. Le informazioni sugli eventi vengono salvate nel database di Administration Server.

È possibile utilizzare l'esportazione degli eventi in sistemi centralizzati che gestiscono i problemi di protezione a livello tecnico e organizzativo, garantiscono servizi di monitoraggio della sicurezza e consolidano informazioni da diverse soluzioni. Si tratta di sistemi SIEM, che offrono analisi in tempo reale degli avvisi e degli eventi di protezione generati da applicazioni e hardware di rete o SOC (Security Operation Center).

Questi sistemi ricevono i dati da numerose origini, tra cui reti, sicurezza, server, database e applicazioni. I sistemi SIEM forniscono anche funzionalità per consolidare i dati monitorati ed evitare la perdita di eventi critici. Inoltre, questi sistemi eseguono analisi automatizzate di avvisi ed eventi correlati per inviare immediatamente agli amministratori una notifica dei problemi di protezione. Gli avvisi possono essere implementati tramite un dashboard o inviati tramite canali di terzi, ad esempio via e-mail.

Il processo di esportazione degli eventi da Kaspersky Security Center Linux ai sistemi SIEM esterni coinvolge due parti: un mittente degli eventi, Kaspersky Security Center Linux, e il destinatario di un evento, un sistema SIEM. Per eseguire l'esportazione degli eventi, è necessario configurare questa funzionalità nel sistema SIEM e in Kaspersky Security Center Linux. Non è importante quale lato viene configurato per primo. È possibile configurare la trasmissione degli eventi in Kaspersky Security Center Linux, quindi configurare la ricezione degli eventi dal sistema SIEM o viceversa.

Formato Syslog di esportazione degli eventi

È possibile inviare eventi nel formato Syslog a qualsiasi sistema SIEM. Utilizzando il formato Syslog è possibile inviare gli eventi che si verificano in Administration Server e nelle applicazioni Kaspersky installate nei dispositivi gestiti. Durante l'esportazione degli eventi nel formato Syslog, è possibile selezionare con precisione i tipi di eventi da inviare al sistema SIEM.

Ricezione degli eventi da parte del sistema SIEM

Il sistema SIEM deve ricevere e analizzare correttamente gli eventi ricevuti da Kaspersky Security Center Linux. A tale scopo, è necessario configurare correttamente il sistema SIEM. La configurazione dipende dallo specifico sistema SIEM in uso. Sono comunque previsti diversi passaggi generali per la configurazione di tutti i sistemi SIEM, ad esempio la configurazione del ricevitore e del parser.

Informazioni sulla configurazione dell'esportazione di eventi in un sistema SIEM

Il processo di esportazione degli eventi da Kaspersky Security Center Linux ai sistemi SIEM esterni coinvolge due parti: un mittente degli eventi (Kaspersky Security Center Linux) e il destinatario di un evento (il sistema SIEM). È necessario configurare l’esportazione degli eventi nel sistema SIEM e in Kaspersky Security Center Linux.

Le impostazioni specificate nel sistema SIEM dipendono dal particolare sistema in uso. In genere, per tutti i sistemi SIEM è necessario impostare un ricevitore ed eventualmente un parser dei messaggi per l'analisi degli eventi ricevuti.

Configurazione del ricevitore

Per la ricezione degli eventi inviati da Kaspersky Security Center Linux, è necessario impostare il ricevitore nel sistema SIEM. In generale, le seguenti impostazioni devono essere specificate nel sistema SIEM:

• Protocollo di esportazione

  Un protocollo di trasferimento dei messaggi (UDP, TCP o TLS) su TCP. Questo protocollo deve corrispondere al protocollo specificato in Kaspersky Security Center Linux.

• Porta

  Specificare il numero di porta per la connessione a Kaspersky Security Center Linux. Deve trattarsi della stessa porta specificata in Kaspersky Security Center Linux durante la configurazione con un sistema SIEM.

• Formato dei dati

  Specificare il formato Syslog.

A seconda del sistema SIEM in uso, potrebbe essere necessario specificare alcune impostazioni aggiuntive del ricevitore.

La figura seguente mostra la schermata di configurazione del ricevitore in ArcSight.

Configurazione del ricevitore in ArcSight

Parser dei messaggi

Gli eventi esportati vengono inviati ai sistemi SIEM come messaggi. Questi messaggi devono essere analizzati correttamente per consentire l'utilizzo delle informazioni sugli eventi nel sistema SIEM. I parser dei messaggi fanno parte del sistema SIEM: vengono utilizzati per suddividere il contenuto del messaggio nei campi appropriati, ad esempio l'ID degli eventi, il livello di criticità, la descrizione, i parametri. Questo consente al sistema SIEM di elaborare gli eventi ricevuti da Kaspersky Security Center Linux in modo che possano essere memorizzati nel database del sistema SIEM.

Contrassegno degli eventi per l'esportazione nei sistemi SIEM in formato Syslog

Dopo aver abilitato l'esportazione automatica degli eventi, è necessario selezionare gli eventi da esportare nel sistema SIEM esterno.

È possibile configurare l'esportazione degli eventi in formato Syslog in un sistema esterno in base alle seguenti condizioni:

• Contrassegno di eventi generali. Se si contrassegnano gli eventi da esportare in un criterio, nelle impostazioni di un evento o nelle impostazioni di Administration Server, il sistema SIEM riceverà gli eventi contrassegnati che si sono verificati in tutte le applicazioni gestite dal criterio specifico. Se sono stati selezionati eventi esportati nel criterio, non sarà possibile ridefinirli per una singola applicazione gestita da questo criterio.
• Contrassegno degli eventi per un'applicazione gestita. Se si contrassegnano gli eventi da esportare per un'applicazione gestita installata in un dispositivo gestito, il sistema SIEM riceverà solo gli eventi che si sono verificati nell'applicazione.

Contrassegno degli eventi di un'applicazione Kaspersky per l'esportazione nel formato Syslog

Se si desidera esportare gli eventi che si sono verificati in un'applicazione gestita specifica installata nei dispositivi gestiti, contrassegnare gli eventi per l'esportazione nel criterio dell'applicazione. In questo caso, gli eventi contrassegnati vengono esportati da tutti i dispositivi inclusi nell'ambito del criterio.

Per contrassegnare gli eventi per l'esportazione per una singola applicazione gestita:

1. Nel menu principale accedere a Risorse (dispositivi) → Criteri e profili.
2. Fare clic sul criterio dell'applicazione per cui si desidera contrassegnare gli eventi.

   Verrà visualizzata la finestra delle impostazioni del criterio.

3. Accedere alla sezione Configurazione eventi.
4. Selezionare le caselle di controllo accanto agli eventi che si desidera esportare in un sistema SIEM.
5. Fare clic sul pulsante Contrassegna per l’esportazione nel sistema SIEM utilizzando Syslog.

   È inoltre possibile contrassegnare un evento per l'esportazione nel sistema SIEM nella sezione Registrazione eventi visualizzata facendo clic sul collegamento dell'evento.

6. Un segno di spunta () viene visualizzato nella colonna Syslog dell'evento o degli eventi contrassegnati per l'esportazione nel sistema SIEM.
7. Fare clic sul pulsante Salva.

Gli eventi contrassegnati dell'applicazione gestita sono pronti per l'esportazione in un sistema SIEM.

È possibile contrassegnare quali eventi esportare in un sistema SIEM per un dispositivo gestito specifico. Se sono stati contrassegnati eventi esportati in precedenza in un criterio dell'applicazione, non sarà possibile ridefinire gli eventi contrassegnati per un singolo dispositivo gestito.

Per contrassegnare gli eventi per l'esportazione per un dispositivo gestito:

1. Nel menu principale accedere a Risorse (dispositivi) → Dispositivi gestiti.

   Verrà visualizzato l'elenco dei dispositivi gestiti.

2. Fare clic sul collegamento con il nome del dispositivo desiderato nell'elenco dei dispositivi gestiti.

   Verrà visualizzata la finestra delle proprietà del dispositivo selezionato.

3. Accedere alla sezione Applicazioni.
4. Fare clic sul collegamento con il nome dell'applicazione desiderata nell'elenco delle applicazioni.
5. Accedere alla sezione Configurazione eventi.
6. Selezionare le caselle di controllo accanto agli eventi che si desidera esportare in SIEM.
7. Fare clic sul pulsante Contrassegna per l’esportazione nel sistema SIEM utilizzando Syslog.

   È inoltre possibile contrassegnare un evento per l'esportazione nel sistema SIEM nella sezione Registrazione eventi visualizzata facendo clic sul collegamento dell'evento.

8. Un segno di spunta () viene visualizzato nella colonna Syslog dell'evento o degli eventi contrassegnati per l'esportazione nel sistema SIEM.

D'ora in poi, Administration Server invia gli eventi contrassegnati al sistema SIEM se è configurata l'esportazione nel sistema SIEM.

Contrassegno di eventi generici per l'esportazione nel formato Syslog

È possibile contrassegnare gli eventi generici che Administration Server esporterà nei sistemi SIEM utilizzando il formato Syslog.

Per contrassegnare eventi generici per l'esportazione in un sistema SIEM:

1. Eseguire una delle seguenti operazioni:
   • Nel menu principale, fare clic sull'icona delle impostazioni () accanto al nome dell'Administration Server richiesto.
   • Nel menu principale, passare a Risorse (dispositivi) → Criteri e profili, quindi fare clic sul collegamento di un criterio.
2. Nella finestra visualizzata accedere alla scheda Configurazione eventi.
3. Fare clic su Contrassegna per l’esportazione nel sistema SIEM utilizzando Syslog.

   È inoltre possibile contrassegnare un evento per l'esportazione nel sistema SIEM nella sezione Registrazione eventi visualizzata facendo clic sul collegamento dell'evento.

4. Un segno di spunta () viene visualizzato nella colonna Syslog dell'evento o degli eventi contrassegnati per l'esportazione nel sistema SIEM.

D'ora in poi, Administration Server invia gli eventi contrassegnati al sistema SIEM se è configurata l'esportazione nel sistema SIEM.

Informazioni sull'esportazione degli eventi utilizzando il formato Syslog

È possibile utilizzare il formato Syslog per esportare nei sistemi SIEM gli eventi che si verificano in Administration Server e in altre applicazioni Kaspersky installate nei dispositivi gestiti.

Syslog è un protocollo standard per la registrazione dei messaggi. Consente una separazione tra il software che genera i messaggi, il sistema che li archivia e il software che li segnala e li analizza. Ogni messaggio dispone di un codice che indica il tipo di software che ha generato il messaggio e di un livello di criticità.

Il formato Syslog è definito dai documenti RFC (Request for Comments) pubblicati da Internet Engineering Task Force (standard Internet). Per l'esportazione degli eventi da Kaspersky Security Center Linux nei sistemi esterni viene utilizzato lo standard RFC 5424.

In Kaspersky Security Center Linux, è possibile configurare l'esportazione degli eventi per i sistemi esterni tramite il formato Syslog.

Il processo di esportazione comprende due passaggi:

1. Abilitazione dell'esportazione automatica degli eventi. In questo passaggio, Kaspersky Security Center Linux viene configurato in modo da inviare gli eventi al sistema SIEM. Kaspersky Security Center Linux inizia a inviare gli eventi subito dopo l'abilitazione dell'esportazione automatica.
2. Selezione degli eventi da esportare nel sistema esterno. In questo passaggio è possibile selezionare gli eventi da esportare nel sistema SIEM.

Configurazione di Kaspersky Security Center Linux per l'esportazione degli eventi nel sistema SIEM

Espandi tutto | Comprimi tutto

Per esportare gli eventi nel sistema SIEM, è necessario configurare il processo di esportazione in Kaspersky Security Center Linux.

Per configurare l'esportazione nei sistemi SIEM in Kaspersky Security Center Web Console:

1. Nel menu principale, fare clic sull'icona delle impostazioni () accanto al nome dell'Administration Server richiesto.

   Verrà visualizzata la finestra delle proprietà di Administration Server.

2. Nella scheda Generale, selezionare la sezione SIEM.
3. Fare clic sul collegamento Impostazioni.

   Si aprirà la sezione Esporta impostazioni.

4. Specificare le impostazioni nella sezione Esporta impostazioni:
   • Indirizzo server del sistema SIEM

     L'indirizzo IP del server in cui è installato il sistema SIEM utilizzato attualmente. Verificare questo valore nelle impostazioni del sistema SIEM.

   • Porta del sistema SIEM

     Numero della porta utilizzato per stabilire la connessione tra Kaspersky Security Center Linux e il server del sistema SIEM. Questo valore viene specificato nelle impostazioni di Kaspersky Security Center Linux e nelle impostazioni del destinatario del sistema SIEM.

   • Protocollo

     Selezionare il protocollo da utilizzare per il trasferimento dei messaggi al sistema SIEM. È possibile selezionare il protocollo TCP, UDP o TLS su TCP.

     Specificare le seguenti impostazioni TLS se si seleziona il protocollo TLS su TCP:

     • Autenticazione server

       Nel campo Autenticazione server, è possibile selezionare i valori Certificati affidabili o Impronte digitali SHA:

       • Certificati affidabili. È possibile ricevere una catena di certificati completa (incluso il certificato root) da un'autorità di certificazione (CA) attendibile e caricare il file in Kaspersky Security Center Linux. Kaspersky Security Center Linux verifica se anche la catena di certificati del server di sistema SIEM è firmata da un'autorità di certificazione attendibile o meno.

         Per aggiungere un certificato attendibile, fare clic sul pulsante Cerca il file dei certificati CA, quindi caricare il certificato.

       • Impronte digitali SHA. È possibile specificare le identificazioni personali SHA1 dell'intera catena di certificati del sistema SIEM (incluso il certificato root) in Kaspersky Security Center Linux. Per aggiungere un'identificazione personale SHA1, immetterla nel campo Identificazioni personali, quindi fare clic sul pulsante Aggiungi.

       Utilizzando l'impostazione Aggiungi autenticazione client, è possibile generare un certificato per autenticare Kaspersky Security Center Linux. Pertanto, verrà utilizzato un certificato autofirmato emesso da Kaspersky Security Center Linux. In questo caso, è possibile utilizzare sia un certificato attendibile che un'impronta digitale SHA per autenticare il server di sistema SIEM.

     • Aggiungi nome soggetto/nome alternativo soggetto

       Il nome del soggetto è un nome di dominio per il quale viene ricevuto il certificato. Kaspersky Security Center Linux non può connettersi al server di sistema SIEM se il nome di dominio del server di sistema SIEM non corrisponde al nome del soggetto del certificato del server di sistema SIEM. Tuttavia, il server di sistema SIEM può modificare il proprio nome di dominio se il nome è stato modificato nel certificato. In questo caso, è possibile specificare i nomi dei soggetti nel campo Aggiungi nome soggetto/nome alternativo soggetto. Se uno dei nomi dei soggetti specificati corrisponde al nome del soggetto del certificato di sistema SIEM, Kaspersky Security Center Linux convalida il certificato del server di sistema SIEM.

     • Aggiungi autenticazione client

       Per l’autenticazione del client, è possibile inserire il certificato o generarlo in Kaspersky Security Center Linux.

       • Inserire il certificato. È possibile utilizzare un certificato ricevuto da qualsiasi origine, ad esempio da qualsiasi autorità di certificazione attendibile. È necessario specificare il certificato e la relativa chiave privata utilizzando uno dei seguenti tipi di certificato:
         • Certificato X.509 PEM. Caricare un file con un certificato nel campo File con certificato e un file con una chiave privata nel campo File con la chiave. Entrambi i file non dipendono l'uno dall'altro e l'ordine di caricamento dei file non è significativo. Quando entrambi i file sono stati caricati, specificare la password per la decodifica della chiave privata nel campo Verifica password o certificato. La password può avere un valore vuoto se la chiave privata non è codificata.
         • Certificato X.509 PKCS12. Caricare un singolo file che contenga un certificato e la relativa chiave privata nel campo File con certificato. Quando il file viene caricato, specificare la password per la decodifica della chiave privata nel campo Verifica password o certificato. La password può avere un valore vuoto se la chiave privata non è codificata.
       • Genera chiave. È possibile generare un certificato autofirmato in Kaspersky Security Center Linux. Di conseguenza, Kaspersky Security Center Linux archivia il certificato autofirmato generato ed è possibile passare la parte pubblica del certificato o l'impronta digitale SHA1 al sistema SIEM.
5. Facoltativamente è possibile esportare gli eventi archiviati dal database di Administration Server e impostare la data di inizio da cui si desidera avviare l'esportazione degli eventi archiviati:
   1. Fare clic sul collegamento Impostare la data di inizio dell'esportazione.
   2. Nella sezione visualizzata specificare la data di inizio nel campo Data da cui iniziare l'esportazione.
   3. Fare clic sul pulsante OK.
6. Spostare l'opzione sulla posizione Esporta automaticamente gli eventi nel database del sistema SIEM Abilitato.
7. Fare clic sul pulsante Salva.

L'esportazione nel sistema SIEM è configurata. D'ora in poi, se è stata configurata la ricezione degli eventi in un sistema SIEM, Administration Server esporta gli eventi contrassegnati in un sistema SIEM. Se si imposta la data di inizio dell'esportazione, Administration Server esporta anche gli eventi contrassegnati archiviati nel database di Administration Server dalla data specificata.

Esportazione degli eventi direttamente dal database

È possibile recuperare gli eventi direttamente dal database di Kaspersky Security Center Linux senza dover utilizzare l’interfaccia di Kaspersky Security Center Linux. È possibile eseguire direttamente le query sulle visualizzazioni pubbliche e recuperare i dati degli eventi o creare le proprie visualizzazioni sulla base delle visualizzazioni pubbliche esistenti e configurarle in modo che recuperino i dati necessari.

Visualizzazioni pubbliche

Per maggiore praticità, è disponibile un set di visualizzazioni pubbliche nel database di Kaspersky Security Center Linux. È possibile trovare la descrizione di queste visualizzazioni pubbliche nel documento klakdb.chm.

La visualizzazione pubblica v_akpub_ev_event contiene un set di campi che rappresentano i parametri degli eventi nel database. Nel documento klakdb.chm è inoltre possibile trovare informazioni sulle visualizzazioni pubbliche che corrispondono ad altre entità di Kaspersky Security Center Linux, ad esempio dispositivi, applicazioni o utenti. È possibile utilizzare queste informazioni nelle query.

Questa sezione contiene le istruzioni per l'esecuzione di una query SQL tramite l'utilità klsql2 e un esempio di query.

Per creare query SQL o visualizzazioni di database, è anche possibile utilizzare qualsiasi altro programma per l'utilizzo dei database. Le informazioni su come visualizzare i parametri per la connessione al database di Kaspersky Security Center Linux, ad esempio il nome istanza e il nome database, sono indicate nella sezione corrispondente.

Esecuzione di una query SQL tramite l'utilità klsql2

Questo articolo descrive come utilizzare l'utilità klsql2 e come eseguire una query SQL utilizzando questa utilità. Utilizzare la versione dell'utilità klsql2 inclusa nella versione di Kaspersky Security Center Linux installata.

Per utilizzare l'utilità klsql2:

1. Accedere alla directory in cui è installato Administration Server. Il percorso di installazione predefinito è /opt/kaspersky/ksc64/sbin.
2. In questa directory, creare un file vuoto con estensione .sql.
3. Aprire il file .sql creato in qualsiasi editor di testo.
4. Nel file .sql digitare la query SQL desiderata e salvare il file.
5. Nel dispositivo in cui è installato Administration Server digitare nella riga di comando il seguente comando per eseguire la query SQL dal file .sql e salvare i risultati nel file result.xml:

   sudo ./klsql2 -i src.sql -u <nome utente> -p <password> -o result.xml

   dove <nome utente> e <password> sono le credenziali dell'account utente che ha accesso al database.

6. Se richiesto, inserire account utente e password dell'account utente che ha accesso al database.
7. Aprire i file result.xml creati per visualizzare i risultati della query SQL.

È possibile modificare il file .sql e creare qualsiasi query SQL sulle visualizzazioni pubbliche. Eseguire la query dalla riga di comando e salvare i risultati in un file.

Visualizzazione del nome del database di Kaspersky Security Center Linux

Se si desidera accedere al database di Kaspersky Security Center Linux tramite gli strumenti di gestione database MySQL o MariaDB, è necessario conoscere il nome del database per connettersi dall'editor degli script SQL.

Per visualizzare il nome del database di Kaspersky Security Center Linux:

1. Nel menu principale, fare clic sull'icona delle impostazioni () accanto al nome dell'Administration Server richiesto.

   Verrà visualizzata la finestra delle proprietà di Administration Server.

2. Nella scheda Generale, selezionare la sezione Dettagli del database corrente.

Il nome del database è specificato nel campo Nome database. Utilizzare il nome del database per fare riferimento al database nelle query SQL.

Visualizzazione dei risultati dell'esportazione

È possibile controllare il completamento della procedura di esportazione degli eventi. A tale scopo, controllare se i messaggi con gli eventi esportati vengono ricevuti dal sistema SIEM.

Se gli eventi inviati da Kaspersky Security Center Linux vengono ricevuti e analizzati correttamente dal sistema SIEM, la configurazione su entrambi i lati è stata eseguita correttamente. In caso contrario, controllare le impostazioni specificate in Kaspersky Security Center Linux rispetto alla configurazione del sistema SIEM.

La figura seguente illustra gli eventi esportati in ArcSight. Ad esempio, il primo evento è un evento critico di Administration Server: "Lo stato del dispositivo è Critico".

La rappresentazione degli eventi esportati nel sistema SIEM varia in base al sistema SIEM in uso.

Esempio di eventi

Gestione delle revisioni degli oggetti

Questa sezione contiene informazioni sulla gestione delle revisioni degli oggetti. Kaspersky Security Center Linux consente di tenere traccia delle modifiche apportate agli oggetti. Ogni volta che si salvano le modifiche apportate a un oggetto, viene creata una revisione. Ogni revisione ha un numero.

Gli oggetti delle applicazioni che supportano la gestione delle revisioni includono:

• Proprietà di Administration Server
• Criteri
• Attività
• Gruppi di amministrazione
• Account utente
• Pacchetti di installazione

È possibile visualizzare l'elenco delle revisioni ed eseguire il rollback delle modifiche apportate a un oggetto in una revisione selezionata.

Nella finestra delle proprietà di un oggetto che supporta la gestione delle revisioni, la sezione Cronologia revisioni visualizza un elenco delle revisioni degli oggetti con i seguenti dettagli:

• Revisione—Numero di revisione dell'oggetto.
• Data/ora—Data e ora di modifica dell'oggetto.
• Utente—Nome dell'utente che ha modificato l'oggetto.
• Azione—Azione eseguita sull'oggetto.
• Descrizione—Descrizione della revisione relativa alla modifica apportata alle impostazioni dell'oggetto.

  Per impostazione predefinita, la descrizione della revisione dell'oggetto è vuota. Per aggiungere una descrizione a una revisione, selezionare la revisione desiderata, quindi fare clic sul pulsante Modifica descrizione. Nella finestra aperta, immettere il testo relativo alla descrizione della revisione.

Rollback di un oggetto a una revisione precedente

È possibile eseguire il rollback delle modifiche apportate a un oggetto, se necessario. Potrebbe ad esempio essere necessario ripristinare lo stato delle impostazioni di un criterio in una data specifica.

Per eseguire il rollback delle modifiche apportate a un oggetto:

1. Nella finestra delle proprietà dell'oggetto aprire la scheda Cronologia revisioni.
2. Nell'elenco delle revisioni dell'oggetto selezionare la revisione per la quale si desidera eseguire il rollback delle modifiche.
3. Fare clic sul pulsante Rollback.
4. Fare clic su OK per confermare l'operazione.

Verrà eseguito il rollback dell'oggetto alla revisione selezionata. L'elenco delle revisioni dell'oggetto visualizza un record dell'azione eseguita. La descrizione della revisione indica il numero della revisione a cui è stato riportato l'oggetto.

L'operazione di rollback è disponibile solo per gli oggetti delle attività e dei criteri.

Eliminazione di oggetti

Questa sezione fornisce informazioni sull'eliminazione degli oggetti e la visualizzazione di informazioni sugli oggetti dopo l'eliminazione.

È possibile eliminare oggetti come:

• Criteri
• Attività
• Pacchetti di installazione
• Administration Server virtuali
• Utenti
• Gruppi di protezione
• Gruppi di amministrazione

Quando si elimina un oggetto, le relative informazioni rimangono nel database. Il periodo di archiviazione per le informazioni sugli oggetti eliminati corrisponde al periodo di archiviazione per le revisioni degli oggetti (il periodo consigliato è di 90 giorni). È possibile modificare il periodo di archiviazione solo se si dispone dell'autorizzazione Modifica nell'area dei diritti Oggetti eliminati.

Informazioni sull'eliminazione dei dispositivi client

Quando si elimina un dispositivo gestito da un gruppo di amministrazione, l'applicazione sposta il dispositivo nel gruppo Dispositivi non assegnati. Dopo l'eliminazione del dispositivo, le applicazioni Kaspersky installate, Network Agent e qualsiasi applicazione di protezione, ad esempio Kaspersky Endpoint Security, rimangono nel dispositivo.

Kaspersky Security Center Linux gestisce i dispositivi nel gruppo Dispositivi non assegnati in base alle seguenti regole:

• Se sono state configurate regole di spostamento dei dispositivi e un dispositivo soddisfa i criteri di una regola di spostamento, il dispositivo viene spostato automaticamente in un gruppo di amministrazione in base alla regola.
• Il dispositivo viene archiviato nel gruppo Dispositivi non assegnati e rimosso automaticamente dal gruppo in base alle regole di conservazione dei dispositivi.

  Le regole di conservazione dei dispositivi non influiscono sui dispositivi con una o più unità criptate con Criptaggio dell'intero disco. Tali dispositivi non vengono eliminati automaticamente; è possibile eliminarli solo manualmente. Se è necessario eliminare un dispositivo con un'unità criptata, decriptare prima l'unità, quindi eliminare il dispositivo.

  Quando si elimina un dispositivo con un'unità criptata, vengono eliminati anche i dati necessari per decriptare l'unità. Se si seleziona la casella di controllo Comprendo il rischio e desidero eliminare i dispositivi selezionati nella finestra di conferma che si apre quando si eliminano tali dispositivi (dal gruppo Dispositivi non assegnati o Dispositivi gestiti), significa che si è a conoscenza della successiva eliminazione dei dati.

  Per decriptare l'unità, devono essere soddisfatte le seguenti condizioni:

  • Il dispositivo viene riconnesso ad Administration Server al fine di ripristinare i dati necessari per decriptare l'unità.
  • L'utente del dispositivo ricorda la password di decriptaggio.
  • L'applicazione di protezione utilizzata per criptare l'unità, ad esempio Kaspersky Endpoint Security for Windows, è ancora installata nel dispositivo.

  Se l'unità è stata criptata con la tecnologia Criptaggio disco Kaspersky, è inoltre possibile provare a recuperare i dati utilizzando l'utilità di ripristino FDERT.

Quando si elimina manualmente un dispositivo dal gruppo Dispositivi non assegnati, l'applicazione rimuove il dispositivo dall'elenco. Dopo l'eliminazione del dispositivo, le eventuali applicazioni Kaspersky installate rimangono nel dispositivo. Quindi, se il dispositivo è ancora visibile in Administration Server ed è stato configurato il polling di rete periodico, Kaspersky Security Center Linux rileva il dispositivo durante il polling di rete e lo aggiunge nuovamente al gruppo Dispositivi non assegnati. Pertanto, è ragionevole eliminare manualmente un dispositivo solo se il dispositivo è invisibile ad Administration Server.

Download ed eliminazione dei file da Quarantena e Backup

Questa sezione fornisce informazioni su come scaricare ed eliminare file da Quarantena e Backup in Kaspersky Security Center Web Console.

Download dei file da Quarantena e Backup

È possibile scaricare i file da Quarantena e Backup solo se viene soddisfatta una delle due condizioni: l'opzione Non eseguire la disconnessione da Administration Server è abilitata nelle impostazioni del dispositivo oppure è in uso un gateway di connessione. In caso contrario, il download non è possibile.

Per salvare una copia del file dalla cartella Quarantena o Backup sul disco rigido:

1. Eseguire una delle seguenti operazioni:
   • Se si desidera salvare una copia del file dalla Quarantena, nel menu principale passare a Operazioni → Archivi → Quarantena.
   • Se si desidera salvare una copia del file da Backup, nel menu principale passare a Operazioni → Archivi → Backup.
2. Nella finestra visualizzata selezionare un file che si desidera scaricare e fare clic su Scarica.

Il download viene avviato. Una copia del file che era stato inserito in Quarantena nel dispositivo client viene salvata nella cartella specificata.

Informazioni sulla rimozione di oggetti dagli archivi Quarantena, Backup o Minacce attive

Quando le applicazioni di protezione Kaspersky installate nei dispositivi client inseriscono oggetti negli archivi Quarantena, Backup o Minacce attive, inviano le informazioni sugli oggetti aggiunti alle sezioni Quarantena, Backup, or Minacce attive in Kaspersky Security Center Linux. Quando viene aperta una di queste sezioni, si seleziona un oggetto nell'elenco e si fa clic sul pulsante Rimuovi, Kaspersky Security Center Linux esegue una delle seguenti azioni o entrambe le azioni:

• Rimuove l'oggetto selezionato dall'elenco
• Elimina l'oggetto selezionato dall'archivio

L'azione da eseguire è definita dall'applicazione Kaspersky che ha inserito l'oggetto selezionato nell'archivio. L'applicazione Kaspersky è specificata nel campo Voce aggiunta da. Fare riferimento alla documentazione dell'applicazione Kaspersky per i dettagli sull'azione da eseguire.