Kaspersky Sandbox

Kaspersky Endpoint Security 11.7.0 ora include il componente Kaspersky Sandbox. Il componente consente l'interoperabilità con la soluzione Kaspersky Sandbox. La soluzione Kaspersky Sandbox rileva e blocca automaticamente le minacce avanzate sui computer. Kaspersky Sandbox analizza il comportamento degli oggetti per rilevare attività dannose e le caratteristiche delle attività degli attacchi mirati sull'infrastruttura IT dell'organizzazione. Kaspersky Sandbox analizza ed esegue la scansione degli oggetti su server speciali con immagini virtuali distribuite dei sistemi operativi Microsoft Windows (server di Kaspersky Sandbox). Per ulteriori dettagli sulla soluzione, consultare la Guida di Kaspersky Sandbox.

Quando si interagisce con Kaspersky Sandbox, l'applicazione consente di:

Aggiungere un certificato TLS per la connessione sicura ai server di Kaspersky Sandbox.
Aggiungere i server di Kaspersky Sandbox.
Selezionare un'azione di risposta alle minacce.
Eseguire la scansione degli indicatori di compromissione (IOC).

Kaspersky Sandbox richiede Kaspersky Security Center versione 13.2. Le versioni precedenti di Kaspersky Security Center non consentono la creazione di attività Scansione IOC standalone per la risposta alle minacce.

Il componente può essere gestito solo utilizzando Web Console. Non è possibile gestire questo componente tramite Administration Console (MMC).

Integrazione con Kaspersky Sandbox

L'integrazione con Kaspersky Sandbox prevede i seguenti passaggi:

Installazione del componente Kaspersky Sandbox
È possibile selezionare il componente Kaspersky Sandbox durante l'installazione o l'upgrade, oltre a utilizzare l'attività Modifica componenti dell'applicazione.

In seguito all'esecuzione dell'attività Modifica componenti dell'applicazione, lo stato dell'attività viene visualizzato in modo errato. Anziché Completata correttamente, l'attività presenta lo stato Pianificata. Tuttavia, l'attività può essere completata correttamente. Accertarsi che il nuovo componente sia installato nelle proprietà del computer della console di Kaspersky Security Center (Applicazioni → Kaspersky Endpoint Security for Windows → Componenti) o nell'interfaccia dell'applicazione locale.
Aggiunta di un certificato TLS
Per configurare una connessione attendibile con i server di Kaspersky Sandbox, è necessario preparare un certificato TLS. Successivamente, è necessario aggiungere il certificato ai server di Kaspersky Sandbox e al criterio di Kaspersky Endpoint Security. Per ulteriori dettagli sulla preparazione del certificato e sull'aggiunta del certificato ai server, consultare la Guida di Kaspersky Sandbox.

Come aggiungere un certificato TLS tramite Web Console
1. Nella finestra principale di Web Console selezionare Dispositivi → Criteri e profili.
2. Fare clic sul nome del criterio di Kaspersky Endpoint Security.
  Verrà visualizzata la finestra delle proprietà del criterio.
3. Selezionare la scheda Impostazioni applicazione.
4. Passare a Detection and Response → Kaspersky Sandbox.
5. Fare clic su Impostazioni della connessione al server.
  Si apre la finestra Impostazioni della connessione al server di Kaspersky Sandbox.
6. In Certificato TLS del server, fare clic su Aggiungi e selezionare il file del certificato TLS.
  Kaspersky Endpoint Security può disporre di un solo certificato TLS per un server di Kaspersky Sandbox. Se in precedenza è stato aggiunto un certificato TLS, tale certificato viene revocato. Viene utilizzato solo l'ultimo certificato aggiunto.
7. Configurare le impostazioni di connessione avanzate per i server di Kaspersky Sandbox:
  - Timeout della richiesta. Timeout della connessione per il server Kaspersky Sandbox. Allo scadere del timeout configurato, Kaspersky Endpoint Security invia una richiesta al server successivo. È possibile aumentare il timeout della connessione per Kaspersky Sandbox se la velocità di connessione è lenta o se la connessione è instabile. Il valore predefinito è 5 secondi.
  - Coda delle richieste Kaspersky Sandbox. Dimensione della cartella della coda di richieste. Quando si accede a un oggetto sul computer (file eseguibile avviato o documento aperto, ad esempio in formato DOCX o PDF), Kaspersky Endpoint Security può anche inviare l'oggetto da sottoporre a scansione da parte di Kaspersky Sandbox. Se sono presenti più richieste, Kaspersky Endpoint Security crea una coda di richieste. Per impostazione predefinita, la dimensione della cartella della coda di richieste è limitata a 100 MB. Una volta raggiunta la dimensione massima, Kaspersky Sandbox interrompe l'aggiunta di nuove richieste alla coda e invia l'evento corrispondente a Kaspersky Security Center. È possibile configurare la dimensione della cartella della coda delle richieste in base alla configurazione del server.
8. Salvare le modifiche.
A questo punto, Kaspersky Endpoint Security verifica il certificato TLS. Se il certificato viene verificato correttamente, Kaspersky Endpoint Security carica il certificato nel computer durante la successiva sincronizzazione con Kaspersky Security Center. Se sono stati aggiunti due certificati TLS, Kaspersky Sandbox utilizzerà il certificato più recente per stabilire una connessione attendibile.
È inoltre possibile aggiungere un certificato TLS al computer in locale tramite la riga di comando.
Abilitazione del componente Kaspersky Sandbox
È possibile abilitare o disabilitare il componente nelle impostazioni dei criteri di Kaspersky Endpoint Security for Windows.

Per utilizzare il componente, è necessario che le seguenti condizioni siano soddisfatte:
- L'applicazione è attivata e la funzionalità è coperta dalla licenza.
- Il componente Kaspersky Sandbox è abilitato.
Come abilitare o disabilitare Kaspersky Sandbox tramite Web Console
1. Nella finestra principale di Web Console selezionare Dispositivi → Criteri e profili.
2. Fare clic sul nome del criterio di Kaspersky Endpoint Security.
  Verrà visualizzata la finestra delle proprietà del criterio.
3. Selezionare la scheda Impostazioni applicazione.
4. Passare a Detection and Response → Kaspersky Sandbox.
5. Utilizzare l'interruttore Integrazione con Kaspersky Sandbox per abilitare o disabilitare il componente.
6. Salvare le modifiche.
È inoltre possibile abilitare o disabilitare Kaspersky Sandbox in locale tramite la riga di comando.

A questo punto, il componente Kaspersky Sandbox è abilitato. Verificare lo stato operativo del componente visualizzando il Rapporto sullo stato dei componenti dell'applicazione. È inoltre possibile visualizzare lo stato operativo di un componente nei rapporti nell'interfaccia locale di Kaspersky Endpoint Security. Il componente Kaspersky Sandbox viene aggiunto all'elenco dei componenti di Kaspersky Endpoint Security.
Connessione di computer ai server di Kaspersky Sandbox
Per connettere i computer ai server di Kaspersky Sandbox con immagini virtuali dei sistemi operativi, è necessario immettere un indirizzo server e una porta. Per ulteriori dettagli sulla distribuzione di immagini virtuali e sulla configurazione dei server di Kaspersky Sandbox, consultare la Guida di Kaspersky Sandbox.

Come connettere i computer ai server di Kaspersky Sandbox tramite Web Console
1. Nella finestra principale di Web Console selezionare Dispositivi → Criteri e profili.
2. Fare clic sul nome del criterio di Kaspersky Endpoint Security.
  Verrà visualizzata la finestra delle proprietà del criterio.
3. Selezionare la scheda Impostazioni applicazione.
4. Passare a Detection and Response → Kaspersky Sandbox.
5. In Server Kaspersky Sandbox, fare clic su Aggiungi.
6. Si apre una finestra; nella finestra, immettere l'indirizzo e la porta del server di Kaspersky Sandbox (IPv4, IPv6, DNS).
7. Salvare le modifiche.
Stabilire una connessione in background tra Kaspersky Security Center Web Console e Administration Server
Affinché Kaspersky Sandbox funzioni con Administration Server tramite Kaspersky Security Center Web Console, è necessario stabilire una nuova connessione sicura: una connessione in background. Per ulteriori dettagli sull'integrazione di Kaspersky Security Center con altre soluzioni Kaspersky, consultare la Guida di Kaspersky Security Center.

Stabilire una connessione in background in Web Console
1. Nella finestra principale di Web Console, selezionare Impostazioni della console → Integrazione.
2. Passare alla sezione Integrazione tra servizi.
3. Utilizzare l'interruttore Stabilisci una connessione in background per l'integrazione tra servizi.
4. Salvare le modifiche.
Se non viene stabilita una connessione in background tra Kaspersky Security Center Web Console e Administration Server, non è possibile creare le attività di scansione IOC autonome come parte dell'attività di risposta alle minacce.
Abilitazione del trasferimento dei dati ad Administration Server
Per utilizzare tutte le funzionalità di Kaspersky Sandbox, verificare che il trasferimento dei file in quarantena sia abilitato. I dati sono necessari per ottenere informazioni sui file in quarantena in un computer tramite Web Console. Ad esempio, è possibile scaricare un file dalla quarantena per l'analisi in Web Console.

Come abilitare il trasferimento dei dati ad Administration Server in Web Console
1. Nella finestra principale di Web Console selezionare Dispositivi → Criteri e profili.
2. Fare clic sul nome del criterio di Kaspersky Endpoint Security.
  Verrà visualizzata la finestra delle proprietà del criterio.
3. Selezionare la scheda Impostazioni applicazione.
4. Selezionare Impostazioni generali → Rapporti e archiviazione.
5. In Trasferimento dei dati ad Administration Server, selezionare la casella Informazioni sui file in quarantena.
6. Salvare le modifiche.

Migrazione da Kaspersky Endpoint Agent a Kaspersky Endpoint Security for Windows

Se si utilizza Kaspersky Endpoint Security 11.7.0 o versione successiva con il componente Kaspersky Sandbox installato, l'interoperabilità con la soluzione Kaspersky Sandbox è disponibile subito dopo l'installazione. Il componente Kaspersky Sandbox non è compatibile con Kaspersky Endpoint Agent. Se Kaspersky Endpoint Agent è installato nel computer, quando Kaspersky Endpoint Security viene aggiornato alla versione 11.7.0, Kaspersky Sandbox continua a funzionare con Kaspersky Endpoint Security. Inoltre, Kaspersky Endpoint Agent verrà rimosso dal computer. Per completare la migrazione da Kaspersky Endpoint Agent a Kaspersky Endpoint Security for Windows, è necessario trasferire le impostazioni dei criteri e delle attività tramite la migrazione guidata.

Se si utilizza Kaspersky Endpoint Security 11.4.0-11.6.0 per l'interoperabilità con Kaspersky Sandbox, l'applicazione include Kaspersky Endpoint Agent. È possibile installare Kaspersky Endpoint Agent insieme a Kaspersky Endpoint Security.

Il componente Kaspersky Sandbox che fa parte di Kaspersky Endpoint Security supporta l'interoperabilità con la soluzione Kaspersky Sandbox 2.0. La soluzione Kaspersky Sandbox 1.0 non è supportata.

Inizio pagina