如果啟用了此功能,應用程式可以自動從具有 Endpoint Agent 元件的主機傳送檔案,以便根據 Kaspersky TAA (IOA) 規則使用 Sandbox 元件進行掃描。檔案傳送按照以下原則:
Sandbox 元件掃描檔案的請求不會顯示在 Kaspersky Anti Targeted Attack Platform Web 介面中。
您可以透過按照詳細資訊–自動傳送到 Sandbox屬性篩選警示來檢視以此方式建立的警示。
如果啟用了自動傳送供 Sandbox 元件掃描的檔案,元件處理的流量會變得非常大。如果 Sandbox 元件伺服器無法支援增加的負載,處理請求佇列中的某些物件將被替換為被自動傳送進行掃描的處理檔案請求。
為了避免從處理請求佇列中掉落物件,您可以:
有關 Kaspersky Anti Targeted Attack Platform傳送檔案以供 Sandbox 元件進行掃描的最常用規則的資訊顯示在按 TAA 規則傳送到 Sandbox小工具中。您可以將此小工具新增至目前佈局。
下表列出了可以自動傳送供 Sandbox 元件掃描的檔案。
可自動傳送供 Sandbox 元件進行掃描的檔案清單
事件類型 |
檔案類型 |
|---|---|
處理程序已啟動 |
已啟動處理程序的檔案及其父處理程序的檔案。 |
模組已載入 |
已載入模組的檔案及其父處理程序的檔案。 |
到遠端主機的連線 |
父處理程序檔案。 |
阻止的應用程式(阻止規則) |
被阻止運行的應用程式的檔案及其父處理程序的檔案。 |
檔案已封鎖 |
被阻止運行的文件的檔案及其父處理程序的檔案。 |
檔案已變更 |
已建立、刪除或修改的檔案和父處理程序的檔案。 |
系統事件日誌 |
處理程序檔(僅適用於 Linux)。 |
登錄檔已修改 |
父處理程序檔案。 |
監聽的連接埠 |
父處理程序檔案。 |
驅動程式已載入 |
載入的驅動程式的檔案。 |
偵測 |
偵測到的檔案及其父處理程序的檔案(如果有)。 |
偵測處理結果 |
偵測到的檔案及其父處理程序的檔案(如果有)。 |
AMSI 掃描 |
處理檔案。 |
處理程序:解釋檔案執行 |
已啟動的檔案及其父處理程序的檔案。 |
處理程序:主控台互動式輸入 |
父處理程序檔案。 |
有關被傳送供 Sandbox 元件進行掃描的檔案的資訊不會顯示在 Kaspersky Anti Targeted Attack Platform Web 介面中。