根据 Kaspersky TAA (IOA) 规则自动从 Kaspersky Endpoint Agent 主机发送文件以供 Sandbox 组件扫描

如果启用了此功能,应用程序可以自动从具有 Endpoint Agent 组件的主机发送文件,以便根据 Kaspersky TAA (IOA) 规则使用 Sandbox 组件进行扫描。文件发送按照以下原则:

  1. Kaspersky Anti Targeted Attack Platform 检查事件数据库并标记与 TAA (IOA) 规则匹配的事件。
  2. 如果在 TAA (IOA) 规则中找到相关条件,Kaspersky Anti Targeted Attack Platform 将发送文件供 Sandbox 组件进行扫描。

    Sandbox 组件扫描文件的请求不会显示在 Kaspersky Anti Targeted Attack Platform Web 界面中。

  3. 根据扫描结果,应用程序可以将警报添加到警报数据库中。

    您可以通过按照详细信息自动发送到 Sandbox属性筛选警报来查看以此方式创建的警报。

如果启用了自动发送供 Sandbox 组件扫描的文件,组件处理的流量会变得非常大。如果 Sandbox 组件服务器无法支持增加的负载,处理请求队列中的某些对象将被替换为被自动发送进行扫描的处理文件请求。

为了避免从处理请求队列中掉落对象,您可以:

下表列出了可以自动发送供 Sandbox 组件进行扫描的文件。

可以自动发送供 Sandbox 组件进行扫描的文件列表

事件类型

文件类型

进程已启动

已启动进程的文件及其父进程的文件。

模块已加载

已加载模块的文件及其父进程的文件。

到远程主机的连接

父进程文件。

阻止的应用程序(防止规则)

被阻止运行的应用程序的文件及其父进程的文件。

文件已阻止

被阻止运行的文档的文件及其父进程的文件。

文件已更改

已创建、删除或修改的文件和父进程的文件。

系统事件日志

进程文件(仅适用于 Linux)。

注册表已修改

父进程文件。

监听的端口

父进程文件。

驱动程序已加载

加载的驱动程序的文件。

扫描: 检测

检测到的文件及其父进程的文件(如果有)。

扫描: 检测处理结果

检测到的文件及其父进程的文件(如果有)。

AMSI 扫描

进程的文件。

过程: 解释文件运行

已启动的文件及其父进程的文件。

过程: 控制台交互式输入

父进程文件。

有关被发送供 Sandbox 组件进行扫描的文件的信息不显示在 Kaspersky Anti Targeted Attack Platform Web 界面中。

本节内容

启用和禁用从具有 Endpoint Agent 组件的主机自动发送文件以供 Sandbox 组件扫描

页面顶部