如果启用了此功能,应用程序可以自动从具有 Endpoint Agent 组件的主机发送文件,以便根据 Kaspersky TAA (IOA) 规则使用 Sandbox 组件进行扫描。文件发送按照以下原则:
Sandbox 组件扫描文件的请求不会显示在 Kaspersky Anti Targeted Attack Platform Web 界面中。
您可以通过按照详细信息–自动发送到 Sandbox属性筛选警报来查看以此方式创建的警报。
如果启用了自动发送供 Sandbox 组件扫描的文件,组件处理的流量会变得非常大。如果 Sandbox 组件服务器无法支持增加的负载,处理请求队列中的某些对象将被替换为被自动发送进行扫描的处理文件请求。
为了避免从处理请求队列中掉落对象,您可以:
有关 Kaspersky Anti Targeted Attack Platform发送文件以供 Sandbox 组件进行扫描的最常用规则的信息显示在按 TAA 规则发送到 Sandbox小组件中。您可以将此小组件添加到当前布局中。
下表列出了可以自动发送供 Sandbox 组件进行扫描的文件。
可以自动发送供 Sandbox 组件进行扫描的文件列表
事件类型 |
文件类型 |
|---|---|
进程已启动 |
已启动进程的文件及其父进程的文件。 |
模块已加载 |
已加载模块的文件及其父进程的文件。 |
到远程主机的连接 |
父进程文件。 |
阻止的应用程序(防止规则) |
被阻止运行的应用程序的文件及其父进程的文件。 |
文件已阻止 |
被阻止运行的文档的文件及其父进程的文件。 |
文件已更改 |
已创建、删除或修改的文件和父进程的文件。 |
系统事件日志 |
进程文件(仅适用于 Linux)。 |
注册表已修改 |
父进程文件。 |
监听的端口 |
父进程文件。 |
驱动程序已加载 |
加载的驱动程序的文件。 |
扫描: 检测 |
检测到的文件及其父进程的文件(如果有)。 |
扫描: 检测处理结果 |
检测到的文件及其父进程的文件(如果有)。 |
AMSI 扫描 |
进程的文件。 |
过程: 解释文件运行 |
已启动的文件及其父进程的文件。 |
过程: 控制台交互式输入 |
父进程文件。 |
有关被发送供 Sandbox 组件进行扫描的文件的信息不显示在 Kaspersky Anti Targeted Attack Platform Web 界面中。