Настройка действий Kaspersky Endpoint Agent по реагированию на угрозы, обнаруженные Kaspersky Sandbox

Развернуть всё | Свернуть всё

Здесь приведена информация для Kaspersky Endpoint Agent для Windows. Эта информация может быть частично или полностью неприменима к Kaspersky Endpoint Agent для Linux. Полную информацию о Kaspersky Endpoint Agent для Linux смотрите в справке решения, в составе которого вы используете программу: Kaspersky Anti Targeted Attack Platform или Kaspersky Managed Detection and Response.

Kaspersky Endpoint Agent может выполнять действия по реагированию на угрозы, обнаруженные Kaspersky Sandbox.

Вы можете настроить действия следующих типов:

• Локальные действия

  Локальные действия – действия, которые будут выполняться на каждом устройстве, на котором обнаружена угроза:

  • Поместить на карантин и удалить.

    При обнаружении угрозы на устройстве копия объекта, содержащего угрозу, будет помещена на карантин, а объект будет удален с устройства.

  • Уведомить пользователя устройства.

    При обнаружении угрозы на устройстве пользователю устройства будет показано уведомление об обнаруженной угрозе.

    Уведомление отображается, если устройство работает под учетной записью пользователя, под которой была обнаружена угроза.

    Если устройство выключено или выполнен вход под другой учетной записью, уведомление не отображается.

  • EPP запустить проверку важных областей на устройстве.

    При обнаружении угрозы на устройстве Kaspersky Endpoint Agent отправляет команду программе EPP на выполнение проверки важных областей этого устройства. К важным областям относится память ядра, объекты, загружаемые при запуске операционной системы, и загрузочные секторы жесткого диска. Подробнее о настройке параметров проверки см. в документации к используемой EPP.

• Групповые действия

  Групповые действия – действия, которые будут выполняться на всех устройствах группы администрирования, для которой вы настраиваете политику.

  • Запустить Поиск IOC на управляемой группе устройств.

    При обнаружении угрозы на любом из устройств группы администрирования, для которой вы настраиваете политику, Kaspersky Endpoint Agent проверяет все устройства этой группы администрирования на наличие объекта, содержащего обнаруженную угрозу.

  • Поместить на карантин и удалить при обнаружении IOC.

    При обнаружении угрозы на любом из устройств группы администрирования, для которой вы настраиваете политику, Kaspersky Endpoint Agent проверяет все устройства этой группы администрирования на наличие объекта, содержащего обнаруженную угрозу. При обнаружении объекта, содержащего угрозу, на каких-либо устройствах этой группы администрирования копия этого объекта будет помещена на карантин, а объект будет удален с устройств.

  • EPP выполнять проверку важных областей на устройстве при обнаружении IOC.

    При обнаружении угрозы на любом из устройств группы администрирования, для которой вы настраиваете политику, Kaspersky Endpoint Agent отправляет команду программе EPP на выполнение проверки важных областей на всех устройствах этой группы администрирования, на которых обнаружен объект, содержащий угрозу. Подробнее о настройке параметров проверки см. в документации к используемой EPP.

При настройке действий по реагированию на угрозы учитывайте, что в результате выполнения некоторых из настроенных действий объект, содержащий угрозу, может быть удален с рабочей станции, на которой он был обнаружен.

Если вы хотите, чтобы программа Kaspersky Endpoint Agent создавала Автономные задачи поиска IOC при реагировании на угрозы, необходимо настроить аутентификацию на Сервере администрирования.

Программа использует специальную учетную запись пользователя на Сервере администрирования, которая имеет ограниченные права и предназначена только для создания Автономных задач поиска IOC.

Специальную учетную запись можно создать только через окно Реагирование на угрозы в свойствах политики Kaspersky Endpoint Agent или в свойствах программы для отдельного устройства. Специальную учетную запись необходимо создать на Сервере администрирования один раз и использовать ее пароль для настройки параметров Реагирование на угрозы в свойствах других устройств или других политик, относящихся к тому же Серверу администрирования.

Невозможно изменить пароль созданной специальной учетной записи для Автономных задач поиска IOC. Если вы забыли пароль от учетной записи, удалите ее стандартными средствами Kaspersky Security Center и повторно создайте учетную запись через окно Реагирование на угрозы.

Чтобы настроить действия Kaspersky Endpoint Agent по реагированию на угрозы, обнаруженные Kaspersky Sandbox:

1. Выполните одно из следующих действий:
   • Откройте окно свойств программы для отдельного устройства.
     1. В главном окне Kaspersky Security Center Web Console перейдите в раздел Устройства → Управляемые устройства.
     2. Выберите устройство.
     3. В открывшемся окне <Имя устройства> выберите закладку Программы.
     4. Выберите Kaspersky Endpoint Agent.
     5. В открывшемся окне выберите закладку Параметры программы.
   • Откройте окно свойств политики программы.
     1. В главном окне Kaspersky Security Center Web Console перейдите в раздел Устройства → Политики и профили политик.
     2. Выберите политику, которую вы хотите настроить.
     3. В открывшемся окне <Имя политики> выберите закладку Параметры программы.
2. В разделе Интеграция с Kaspersky Sandbox выберите подраздел Реагирование на угрозы.
3. Установите флажок Выполнять действия по реагированию на угрозы, обнаруженные Kaspersky Sandbox.
4. В списке Выбранные действия установите флажки для тех действий, выполнение которых вы хотите включить.
5. Если вы выбрали действие Запустить Поиск IOC на управляемой группе устройств, в блоке параметров Аутентификация на Сервере администрирования выполните следующие действия:
   1. Нажмите на кнопку Создать специального пользователя.

      Если кнопка Создать специального пользователя недоступна, значит специальная учетная запись для Автономных задач поиска IOC уже создана. Перейдите на шаг инструкции "d".

   2. В открывшемся окне в поле Пароль для Сервера администрирования задайте пароль длиной от 8 до 16 символов и нажмите на кнопку Создать пользователя.
   3. Нажмите на кнопку ОК.

      Специальная учетная запись Сервера администрирования для Автономных задач поиска IOC создана.

   4. В поле Пароль для Сервера администрирования введите пароль специальной учетной записи для Автономных задач поиска IOC, созданной ранее.
6. Если вы настраиваете параметры политики, в правом верхнем углу блока параметров измените положение переключателя с Не определено на Принудительно.
7. Нажмите на кнопку OK.
8. В окне свойств политики нажмите на кнопку Сохранить.

Действия Kaspersky Endpoint Agent по реагированию на угрозы, обнаруженные Kaspersky Sandbox, настроены и готовы применяться на устройствах.

См. также Включение и отключение интеграции с Kaspersky Sandbox Настройка доверенного соединения на стороне Kaspersky Endpoint Agent Добавление серверов Kaspersky Sandbox в список Kaspersky Endpoint Agent Настройка времени ожидания ответа от Kaspersky Sandbox и параметров очереди запросов Включение обнаружения легальных программ, которые могут быть использованы злоумышленниками Настройка запуска задач поиска IOC

В начало