Добавление действий по реагированию на угрозы в список действий текущей политики

Развернуть всё | Свернуть всё

В разделе приведена инструкция для Kaspersky Endpoint Agent для Windows. Эта инструкция может быть частично или полностью неприменима к Kaspersky Endpoint Agent для Linux. Актуальную инструкцию для Kaspersky Endpoint Agent для Linux смотрите в справке решения, в составе которого вы используете программу: Kaspersky Anti Targeted Attack Platform или Kaspersky Managed Detection and Response.

Чтобы добавить действия по реагированию на угрозы в список действий текущей политики:

1. Откройте Консоль администрирования Kaspersky Security Center.
2. В дереве консоли откройте папку Политики.
3. Выберите политику для программы Kaspersky Endpoint Agent и откройте окно ее параметров одним из следующих способов:
   • Двойным щелчком мыши по названию политики.
   • В контекстном меню политики выберите пункт Свойства.
   • В правой части окна выберите пункт Настроить параметры политики.
4. В разделе Интеграция с Kaspersky Sandbox выберите подраздел Реагирование на угрозы.
5. В блоке параметров Действия установите флажок Выполнять действия по реагированию на угрозы, обнаруженные Kaspersky Sandbox, если он не установлен.
6. Нажмите на кнопку Добавить и в раскрывающемся списке выберите одно из следующих действий:
   • Поместить на карантин и удалить

     При обнаружении угрозы на устройстве копия объекта, содержащего угрозу, будет помещена на карантин, а объект будет удален с устройства.

   • Уведомить пользователя устройства

     При обнаружении угрозы на устройстве пользователю устройства будет показано уведомление об обнаруженной угрозе.

     Уведомление отображается, если устройство работает под учетной записью пользователя, под которой была обнаружена угроза.

     Если устройство выключено или выполнен вход под другой учетной записью, уведомление не отображается.

   • EPP выполнять проверку важных областей на устройстве

     При обнаружении угрозы на устройстве Kaspersky Endpoint Agent отправляет команду программе EPP на выполнение проверки важных областей этого устройства. К важным областям относится память ядра, объекты, загружаемые при запуске операционной системы, и загрузочные секторы жесткого диска. Подробнее о настройке параметров проверки см. в документации к используемой EPP.

   • Запустить Поиск IOC на управляемой группе устройств

     При обнаружении угрозы на любом из устройств группы администрирования, для которой вы настраиваете политику, Kaspersky Endpoint Agent проверяет все устройства этой группы администрирования на наличие объекта, содержащего обнаруженную угрозу.

   • Поместить на карантин и удалить при обнаружении IOC

     При обнаружении угрозы на любом из устройств группы администрирования, для которой вы настраиваете политику, Kaspersky Endpoint Agent проверяет все устройства этой группы администрирования на наличие объекта, содержащего обнаруженную угрозу. При обнаружении объекта, содержащего угрозу, на каких-либо устройствах этой группы администрирования копия этого объекта будет помещена на карантин, а объект будет удален с устройств.

   • EPP выполнять проверку важных областей на устройстве при обнаружении IOC

     При обнаружении угрозы на любом из устройств группы администрирования, для которой вы настраиваете политику, Kaspersky Endpoint Agent отправляет команду программе EPP на выполнение проверки важных областей на всех устройствах этой группы администрирования, на которых обнаружен объект, содержащий угрозу. Подробнее о настройке параметров проверки см. в документации к используемой EPP.

   Действие будет добавлено в список Выбранные действия.

   При настройке действий по реагированию на угрозы учитывайте, что в результате выполнения некоторых из настроенных действий объект, содержащий угрозу, может быть удален с рабочей станции, на которой он был обнаружен.

7. Если вы хотите удалить действие, выберите его в таблице и нажмите на кнопку Удалить.
8. В правом верхнем углу блока параметров измените положение переключателя с Политика не применяется на Политика применяется.
9. Нажмите на кнопки Применить и OK.

См. также Включение и отключение выполнения действий по реагированию на угрозы Настройка аутентификации на Сервере администрирования для Автономных задач поиска IOC Защита устройств от легальных программ, которые могут быть использованы злоумышленниками Настройка запуска автономных задач поиска IOC

В начало