Kaspersky Sandbox

Для решения Kaspersky Sandbox предусмотрены следующие конфигурации:

Kaspersky Sandbox 2.0

Kaspersky Sandbox 2.0 поддерживает конфигурацию [KES+встроенный агент].

Минимальные требования:

• Kaspersky Endpoint Security для Windows 11.7.0 и выше.
• Kaspersky Endpoint Agent не требуется.
• Kaspersky Security Center 13.2.

Kaspersky Sandbox 1.0

Kaspersky Sandbox 1.0 поддерживает конфигурацию [KES+KEA].

Минимальные требования:

• Kaspersky Endpoint Security для Windows 11.2.0 – 11.6.0.
• Kaspersky Endpoint Agent 3.8.

  Вы можете установить Kaspersky Endpoint Agent из дистрибутива Kaspersky Endpoint Security для Windows.

• Kaspersky Security Center 11.

Интеграция с Kaspersky Sandbox

Для интеграции с Kaspersky Sandbox вам нужно добавить компонент Kaspersky Sandbox. Вы можете выбрать компонент Kaspersky Sandbox во время установки или обновления приложения, а также с помощью задачи Изменение состава компонентов приложения.

Для работы компонента должны быть выполнены следующие условия:

• Kaspersky Security Center версии 13.2. В более ранних версиях Kaspersky Security Center недоступно создание автономных задач поиска IOC при реагировании на угрозы.
• Управление компонентом доступно только в Web Console. Управлять компонентом в Консоли администрирования (MMC) невозможно.
• Приложение активировано и функциональность входит в лицензию.
• Передача данных на Сервер администрирования включена.

  Для работы всех функций Kaspersky Sandbox должна быть включена передача данных о файлах карантина. Данные нужны для получения информации о помещенных на компьютере файлах на карантин в Web Console. В Web Console вы можете, например, загрузить файл из карантина на компьютер для анализа.

  Как включить передачу данных на Сервер администрирования в Web Console

  1. В главном окне Web Console выберите Устройства → Политики и профили политик.
  2. Нажмите на название политики Kaspersky Endpoint Security.

     Откроется окно свойств политики.

  3. Выберите закладку Параметры программы.
  4. Перейдите в раздел Общие настройки → Отчеты и хранилище.
  5. В блоке Передача данных на Сервер администрирования установите флажок О файлах карантина.
  6. Сохраните внесенные изменения.
• Установлено фоновое соединение между Kaspersky Security Center Web Console и Сервером администрирования

  Для работы Kaspersky Sandbox c Сервером администрирования через Kaspersky Security Center Web Console вам нужно установить новое безопасное соединение – фоновое соединение. Подробнее об интеграции Kaspersky Security Center с другими решениями "Лаборатории Касперского" см. в справке Kaspersky Security Center.

  Как установить фоновое соединение в Web Console

  1. В главном окне Web Console выберите Параметры консоли → Интеграция.
  2. Перейдите в раздел Межсервисная интеграция.
  3. Включите переключатель Установить фоновое соединение для межсервисной интеграции.
  4. Сохраните внесенные изменения.

  Если фоновое соединение между Kaspersky Security Center Web Console и Сервером администрирования отсутствует, создание автономных задач поиска IOC при реагировании на угрозы недоступно.

• Компонент Kaspersky Sandbox включен.

  Вы можете включать и выключать интеграцию с Kaspersky Sandbox в Web Console или локально из командной строки.

Чтобы включить или выключить интеграцию с Kaspersky Sandbox, выполните следующие действия:

1. В главном окне Web Console выберите Устройства → Политики и профили политик.
2. Нажмите на название политики Kaspersky Endpoint Security.

   Откроется окно свойств политики.

3. Выберите закладку Параметры программы.
4. Перейдите в раздел Detection and Response → Kaspersky Sandbox.
5. Используйте переключатель Интеграция с Kaspersky Sandbox, чтобы включить или выключить компонент.
6. Сохраните внесенные изменения.

В результате компонент Kaspersky Sandbox будет включен. Проверьте статус работы компонента с помощью отчета Отчет о статусе компонентов программы. Также вы можете посмотреть статус работы компонента в локальном интерфейсе Kaspersky Endpoint Security в отчетах. В список компонентов Kaspersky Endpoint Security будет добавлен компонент Kaspersky Sandbox.

Kaspersky Endpoint Security сохраняет информацию о работе компонента Kaspersky Sandbox в отчет. Отчет также содержит информацию об ошибках. Если вы получили ошибку с описанием в формате Error code: XXX (например, 0xa67b01f4), вам нужно обратиться в Службу технической поддержки.

Миграция из Kaspersky Endpoint Agent

Если вы используете Kaspersky Endpoint Security 11.7.0 и выше с установленным компонентом Kaspersky Sandbox (встроенный агент), поддержка взаимодействия с решением Kaspersky Sandbox доступна сразу после установки. Компонент Kaspersky Sandbox несовместим с приложением Kaspersky Endpoint Agent. Если на компьютере установлено приложение Kaspersky Endpoint Agent, при обновлении Kaspersky Endpoint Security до версии 11.7.0 решение Kaspersky Sandbox продолжит работу с Kaspersky Endpoint Security (миграция конфигурации [KES+KEA] на [KES+встроенный агент]). Также Kaspersky Endpoint Agent будет удален с компьютера. Для завершения миграции из Kaspersky Endpoint Agent на Kaspersky Endpoint Security для Windows вам нужно перенести параметры политик и задач с помощью мастера миграции.

Если вы используете Kaspersky Endpoint Security 11.4.0-11.6.0, для взаимодействия с Kaspersky Sandbox в состав приложения включено приложение Kaspersky Endpoint Agent. Вы можете установить Kaspersky Endpoint Agent совместно с Kaspersky Endpoint Security.

В Kaspersky Endpoint Security 11.9.0 дистрибутив приложения Kaspersky Endpoint Agent исключен из комплекта поставки Kaspersky Endpoint Security. Вам нужно загрузить дистрибутив Kaspersky Endpoint Agent отдельно.

Компонент Kaspersky Sandbox в составе Kaspersky Endpoint Security поддерживает работу с решением Kaspersky Sandbox версии 2.0. Работа с решением Kaspersky Sandbox версии 1.0 не поддерживается.

Добавление TLS-сертификата

Для настройки доверенного соединения с серверами Kaspersky Sandbox вам нужно подготовить TLS-сертификат. Далее вам нужно добавить сертификат на серверы Kaspersky Sandbox и в политике Kaspersky Endpoint Security. Подробнее о подготовке сертификата и добавлении сертификата на серверы см. в справке Kaspersky Sandbox.

Вы можете добавить TLS-сертификат в Web Console или локально из командной строки.

Чтобы добавить TLS-сертификат в Web Console, выполните следующие действия:

1. В главном окне Web Console выберите Устройства → Политики и профили политик.
2. Нажмите на название политики Kaspersky Endpoint Security.

   Откроется окно свойств политики.

3. Выберите закладку Параметры программы.
4. Перейдите в раздел Detection and Response → Kaspersky Sandbox.
5. Перейдите по ссылке Настройки подключения к серверам.

   Откроется окно с параметрами подключения к серверам Kaspersky Sandbox.

6. В блоке TLS-сертификат серверов нажмите на кнопку Добавить и выберите файл TLS-сертификата.

   В Kaspersky Endpoint Security может быть только один TLS-сертификат сервера Kaspersky Sandbox. Если вы ранее уже добавили TLS-сертификат, то этот сертификат прекращает действовать. Только последний добавленный сертификат будет актуальным.

7. Настройте дополнительные параметры подключения к серверам Kaspersky Sandbox:
   • Время ожидания. Время ожидания соединения с сервером Kaspersky Sandbox. По истечению заданного времени ожидания Kaspersky Endpoint Security отправит запрос на следующий сервер. Вы можете увеличить время ожидания соединения с Kaspersky Sandbox, если у вас низкая скорость соединения или соединение нестабильно. Рекомендованное значение времени ожидания запроса не более 0,5 сек.
   • Очередь запросов Kaspersky Sandbox. Размер папки хранения очереди запросов. При обращении к объекту (запуск исполняемого файла или открытие документа, например, в формате DOCX или PDF) на компьютере Kaspersky Endpoint Security может отправить объект на дополнительную проверку в Kaspersky Sandbox. Если запросов несколько, Kaspersky Endpoint Security создает очередь запросов. По умолчанию размер папки хранения очереди запросов ограничен 100 МБ. После достижения максимального размера Kaspersky Sandbox перестает добавлять новые запросы в очередь и отправляет соответствующее событие в Kaspersky Security Center. Вы можете настроить размер папки хранения очереди запросов в зависимости от конфигурации сервера.
8. Сохраните внесенные изменения.

В результате Kaspersky Endpoint Security проверит TLS-сертификат. Если сертификат прошел проверку, Kaspersky Endpoint Security отправит файл сертификата на компьютер при следующей синхронизации с Kaspersky Security Center. Если вы добавили два TLS-сертификата, Kaspersky Sandbox использует последний сертификат для установки доверенного соединения.

Добавление серверов Kaspersky Sandbox

Для подключения компьютеров к серверам Kaspersky Sandbox с виртуальными образами операционных систем вам нужно ввести адрес сервера и порт. Подробнее о развертывании виртуальных образов и конфигурации серверов Kaspersky Sandbox см. в справке Kaspersky Sandbox.

Чтобы добавить серверы Kaspersky Sandbox в Web Console, выполните следующие действия:

1. В главном окне Web Console выберите Устройства → Политики и профили политик.
2. Нажмите на название политики Kaspersky Endpoint Security.

   Откроется окно свойств политики.

3. Выберите закладку Параметры программы.
4. Перейдите в раздел Detection and Response → Kaspersky Sandbox.
5. В блоке Серверы Kaspersky Sandbox нажмите на кнопку Добавить.
6. В открывшемся окне введите адрес сервера Kaspersky Sandbox (IPv4, IPv6, DNS), а также порт подключения к серверу.
7. Сохраните внесенные изменения.

Поиск индикаторов компрометации (автономная задача)

Индикатор компрометации (Indicator of Compromise, IOC) – набор данных об объекте или активности, который указывает на несанкционированный доступ к компьютеру (компрометация данных). Например, индикатором компрометации может быть большое количество неудачных попыток входа в систему. Задача Поиск IOC позволяет обнаруживать индикаторы компрометации на компьютере и выполнять действия по реагированию на угрозы.

Для поиска индикаторов компрометации Kaspersky Endpoint Security использует IOC-файлы. IOC-файлы – файлы, содержащие набор индикаторов, при совпадении с которыми приложение считает событие обнаружением. IOC-файлы должны соответствовать стандарту описания OpenIOC. Kaspersky Endpoint Security автоматические формирует IOC-файлы для работы Kaspersky Sandbox.

Режим запуска задачи Поиск IOC

Для работы Kaspersky Sandbox приложение создает автономные задачи поиска IOC. Автономная задача поиска IOC – групповая задача, которая создается автоматически при реагировании на угрозу, обнаруженную Kaspersky Sandbox. Kaspersky Endpoint Security автоматически формирует IOC-файл. Работа пользователя с IOC-файлами не предусмотрена. Задачи автоматически удаляются через 30 дней с момента создания. Подробнее об автономных задачах поиска IOC см. в справке Kaspersky Sandbox.

Настройка задачи Поиск IOC

При реагировании на угрозы Kaspersky Sandbox автоматически создает и запускает задачи Поиск IOC.

Вы можете настроить параметры задачи только в Web Console.

Для работы с автономными задачами поиска IOC требуется Kaspersky Security Center версии 13.2.

Чтобы изменить параметры задачи Поиск IOC, выполните следующие действия:

1. В главном окне Web Console выберите Устройства → Задачи.

   Откроется список задач.

2. Нажмите на задачу Kaspersky Endpoint Security Поиск IOC.

   Откроется окно свойств задачи.

3. Выберите закладку Параметры программы.
4. Перейдите в раздел Настройки поиска IOC.
5. Настройте действия при обнаружении индикатора компрометации:
   • Копию поместить на карантин, объект удалить. Если выбран этот вариант действия, то Kaspersky Endpoint Security удаляет вредоносный объект, обнаруженный на компьютере. Перед удалением объекта Kaspersky Endpoint Security формирует его резервную копию на тот случай, если впоследствии понадобится восстановить объект. Kaspersky Endpoint Security помещает резервную копию на карантин.
   • Запускать проверку важных областей. Если выбран этот вариант действия, то Kaspersky Endpoint Security запускает задачу Проверка важных областей. По умолчанию Kaspersky Endpoint Security проверяет память ядра, запущенные процессы и загрузочные секторы.
6. Настройте режим запуска задачи поиска IOC с помощью флажка Выполнять только во время простоя компьютера. Флажок включает / выключает функцию, которая приостанавливает задачу Поиск IOC, если ресурсы компьютера заняты. Kaspersky Endpoint Security приостанавливает задачу Поиск IOC, если не включена экранная заставка и разблокирован компьютер.

   Этот вариант расписания позволяет экономить вычислительную мощность компьютера во время работы.

7. Сохраните внесенные изменения.

Вы можете просмотреть результаты выполнения задачи в свойствах задачи в разделе Результаты. Информацию об обнаруженных индикаторах компрометации вы можете посмотреть в свойствах задачи Параметры программы → Результаты поиска IOC.

Срок хранения результатов поиска IOC составляет 30 дней. По истечении этого времени Kaspersky Endpoint Security автоматически удаляет старые записи.