Настройка запуска автономных задач поиска IOC

Когда программа Kaspersky Sandbox обнаруживает угрозу, в Kaspersky Endpoint Agent автоматически создаются задачи поиска IOC (MD5-хешей объектов, в которых была обнаружена угроза) по всем устройствам.

Чтобы настроить запуск автономных задач поиска IOC:

1. Разверните узел Управляемые устройства в дереве Консоли администрирования Kaspersky Security Center.
2. Выберите группу администрирования, для которой требуется настроить параметры программы.
3. В панели результатов выбранной группы администрирования выполните одно из следующих действий:
   • Чтобы настроить параметры программы для группы защищаемых устройств, выберите вкладку Политики и откройте окно Свойства: <Имя политики>.
     1. В дереве Консоли администрирования Kaspersky Security Center разверните узел Управляемые устройства.
     2. Разверните группу администрирования, параметры политики которой вы хотите настроить, и выберите в панели результатов закладку Политики.
     3. Выберите политику, параметры которой вы хотите настроить.
     4. Откройте окно Свойства: <Имя политики> одним из следующих способов:
        • Выберите параметр Свойства в контекстном меню политики.
        • Перейдите по ссылке Настроить параметры политики в панели результатов выбранной политики.
        • Дважды щелкните мышью по нужной политике.

        Откроется окно Свойства: <Имя политики>.

   • Чтобы настроить параметры задачи или программы для отдельного защищаемого устройства, выберите вкладку Устройства и перейдите к параметрам локальной задачи или параметрам программы.
4. В разделе Интеграция с Kaspersky Sandbox выберите подраздел Реагирование на угрозы.
5. В блоке параметров Дополнительные параметры нажмите на кнопку Настроить.

   Откроется окно Параметры поиска IOC.

6. В блоке параметров Области поиска выберите одну из следующих областей, в которых Kaspersky Endpoint Agent будет выполнять поиск IOC:
   • Файловые области на системных дисках устройства.
   • Важные файловые области на устройстве.
7. В блоке параметров Запуск поиска выберите один из следующих вариантов запуска задач поиска IOC:
   • Вручную. Задачи поиска IOC будут создаваться автоматически, но не будут запускаться. Вы сможете запускать вручную отдельную задачу или все задачи.
   • Сразу после того, как Kaspersky Sandbox обнаружит угрозу. Задачи поиска IOC будут автоматически создаваться и запускаться.
   • Запускать в заданный период. Задачи поиска IOC будут создаваться автоматически, а запускаться в заданный период. Например, в нерабочее время с 20:00 до 7:00.

     Если вы выбрали вариант Запускать в заданный период, в полях Начало периода (чч:мм) и Конец периода (чч:мм) укажите начало и конец периода.

     Все задачи поиска IOC, автоматически созданные до начала указанного периода, запустятся в произвольное время в рамках указанного периода.

     Все задачи поиска IOC, автоматически созданные в рамках указанного периода, запустятся сразу после создания.

     Все задачи поиска IOC, автоматически созданные после окончания указанного периода, запустятся при следующем наступлении указанного периода.

     Например, если вы настроили запуск задач в период с 20:00 до 7:00:

     • Задачи, автоматически созданные в 19:00, запустятся в произвольное время с 20:00 до 7:00.
     • Задачи, автоматически созданные в 21:00, запустятся в 21:00.
     • Задачи, автоматически созданные в 8:00, запустятся при следующем наступлении периода, с 20:00 до 7:00.

8. Нажмите на кнопку OK.

   Окно Параметры поиска IOC закроется.

9. В правом верхнем углу блока параметров измените положение переключателя с Политика не применяется на Политика применяется.
10. Нажмите на кнопки Применить и OK.

Запуск автономных задач поиска IOC будет настроен.

См. также Включение и отключение выполнения действий по реагированию на угрозы Добавление действий по реагированию на угрозы в список действий текущей политики Настройка аутентификации на Сервере администрирования для Автономных задач поиска IOC Защита устройств от легальных программ, которые могут быть использованы злоумышленниками

В начало