Если функция включена, программа может автоматически отправлять файлы с хостов с Kaspersky Endpoint Agent на проверку компоненту Sandbox в соответствии с правилами TAA (IOA) "Лаборатории Касперского". Отправка файлов на проверку осуществляется по следующему принципу:
Запросы на отправку файлов на проверку компоненту Sandbox не отображаются в веб-интерфейсе Kaspersky Anti Targeted Attack Platform.
Вы можете просмотреть созданные обнаружения, отфильтровав их по показателю Сведения – Автоотправка в Sandbox.
При включении автоматической отправки файлов на проверку компоненту Sandbox объем обрабатываемого компонентом трафика может значительно увеличиться. Если сервер с компонентом Sandbox не рассчитан на увеличение нагрузки, часть объектов из очереди запросов на обработку будет заменена запросами на обработку файлов, отправленных на проверку автоматически.
Чтобы избежать потери объектов из очереди запросов на обработку, вы можете выполнить следующие действия:
Информация о правилах, по которым Kaspersky Anti Targeted Attack Platform наиболее часто отправляет файлы на проверку компоненту Sandbox, отображается на виджете Отправлено в Sandbox по правилам TAA. Вы можете добавить этот виджет на текущую схему расположения виджетов.
При добавлении правила в исключения прекращается также разметка событий и создание обнаружений по этому правилу.
Список файлов, которые могут быть отправлены автоматически на проверку компоненту Sandbox, приведен в таблице ниже.
Список файлов, которые могут быть отправлены автоматически на проверку компоненту Sandbox
Тип события |
Тип файла |
---|---|
Запущен процесс |
Файл запущенного процесса и файл родительского процесса. |
Загружен модуль |
Файл загруженного модуля и файл родительского процесса. |
Удаленное соединение |
Файл родительского процесса. |
Правило запрета |
Файл приложения, запуск которого был заблокирован, и файл родительского процесса. |
Заблокирован документ |
Файл документа, запуск которого был заблокирован, и файл родительского процесса. |
Изменен файл |
Созданный, удаленный или измененный файл и файл родительского процесса. |
Журнал событий ОС |
Файл процесса (только для Linux). |
Изменение в реестре |
Файл родительского процесса. |
Прослушан порт |
Файл родительского процесса. |
Загружен драйвер |
Файл загруженного драйвера. |
Обнаружение |
Обнаруженный файл и файл родительского процесса (если есть). |
Результат обработки обнаружения |
Обнаруженный файл и файл родительского процесса (если есть). |
AMSI-проверка |
Файл процесса. |
Интерпретированный запуск файла |
Файла, который был запущен, и файл родительского процесса. |
Интерактивный ввод команд в консоли |
Файл родительского процесса. |
Информация о файлах, отправленных на проверку компоненту Sandbox, не отображаются в веб-интерфейсе Kaspersky Anti Targeted Attack Platform.