Kaspersky Sandbox

В Kaspersky Endpoint Security версии 11.7.0 добавлен компонент Kaspersky Sandbox. Компонент обеспечивает взаимодействие с решением Kaspersky Sandbox. Решение Kaspersky Sandbox обнаруживает и автоматически блокирует сложные угрозы на компьютерах. Kaspersky Sandbox анализирует поведение объектов для выявления вредоносной активности и признаков целевых атак на IT-инфраструктуру организации. Kaspersky Sandbox выполняет анализ и проверку объектов на специальных серверах с развернутыми виртуальными образами операционных систем Microsoft Windows (серверы Kaspersky Sandbox). Подробнее о решении см. в справке Kaspersky Sandbox.

При взаимодействии с Kaspersky Sandbox программа позволяет выполнять следующие функции:

Добавление TLS-сертификата для безопасного соединения с серверами Kaspersky Sandbox.
Добавление серверов Kaspersky Sandbox.
Выбор действия при реагировании на угрозы.
Поиск индикаторов компрометации (IOC).

Для работы решения Kaspersky Sandbox требуется Kaspersky Security Center версии 13.2. В более ранних версиях Kaspersky Security Center недоступно создание автономных задач поиска IOC при реагировании на угрозы.

Управление компонентом доступно только в Web Console. Управлять компонентом в Консоли администрирования (MMC) невозможно.

Интеграция с Kaspersky Sandbox

Интеграция с Kaspersky Sandbox состоит из следующих этапов:

Установка компонента Kaspersky Sandbox
Вы можете выбрать компонент Kaspersky Sandbox во время установки или обновления программы, а также с помощью задачи Изменение состава компонентов программы.

В результате выполнения задачи Изменение состава компонентов программы некорректно отображается статус задачи. Вместо статуса Завершена успешно задача имеет статус Ожидает выполнения. При этом задача может быть выполнена успешно. Убедитесь, что новый компонент установлен в консоли Kaspersky Security Center в свойствах компьютера (Программы → Kaspersky Endpoint Security для Windows → Компоненты) или в локальном интерфейсе программы.
Добавление TLS-сертификата
Для настройки доверенного соединения с серверами Kaspersky Sandbox вам нужно подготовить TLS-сертификат. Далее вам нужно добавить сертификат на серверы Kaspersky Sandbox и в политике Kaspersky Endpoint Security. Подробнее о подготовке сертификата и добавлении сертификата на серверы см. в справке Kaspersky Sandbox.

Как добавить TLS-сертификат в Web Console
1. В главном окне Web Console выберите Устройства → Политики и профили политик.
2. Нажмите на название политики Kaspersky Endpoint Security.
  Откроется окно свойств политики.
3. Выберите закладку Параметры программы.
4. Перейдите в раздел Detection and Response → Kaspersky Sandbox.
5. Перейдите по ссылке Настройки подключения к серверам.
  Откроется окно с параметрами подключения к серверам Kaspersky Sandbox.
6. В блоке TLS-сертификат серверов нажмите на кнопку Добавить и выберите файл TLS-сертификата.
  В Kaspersky Endpoint Security может быть только один TLS-сертификат сервера Kaspersky Sandbox. Если вы ранее уже добавили TLS-сертификат, то этот сертификат прекращает действовать. Только последний добавленный сертификат будет актуальным.
7. Настройте дополнительные параметры подключения к серверам Kaspersky Sandbox:
  - Время ожидания запроса. Время ожидания соединения с сервером Kaspersky Sandbox. По истечению заданного времени ожидания Kaspersky Endpoint Security отправит запрос на следующий сервер. Вы можете увеличить время ожидания соединения с Kaspersky Sandbox, если у вас низкая скорость соединения или соединение нестабильно. Значение по умолчанию 5 сек.
  - Очередь запросов Kaspersky Sandbox. Размер папки хранения очереди запросов. При обращении к объекту (запуск исполняемого файла или открытие документа, например, в формате DOCX или PDF) на компьютере Kaspersky Endpoint Security может отправить объект на дополнительную проверку в Kaspersky Sandbox. Если запросов несколько, Kaspersky Endpoint Security создает очередь запросов. По умолчанию размер папки хранения очереди запросов ограничен 100 МБ. После достижения максимального размера Kaspersky Sandbox перестает добавлять новые запросы в очередь и отправляет соответствующее событие в Kaspersky Security Center. Вы можете настроить размер папки хранения очереди запросов в зависимости от конфигурации сервера.
8. Сохраните внесенные изменения.
В результате Kaspersky Endpoint Security проверит TLS-сертификат. Если сертификат прошел проверку, Kaspersky Endpoint Security отправит файл сертификата на компьютер при следующей синхронизации с Kaspersky Security Center. Если вы добавили два TLS-сертификата, Kaspersky Sandbox использует последний сертификат для установки доверенного соединения.
Вы также можете добавить TLS-сертификат на компьютер локально из командной строки.
Включение компонента Kaspersky Sandbox
Вы можете включить или выключить компонент в настройках политики Kaspersky Endpoint Security для Windows.

Для работы компонента должны быть выполнены следующие условия:
- Программа активирована и функциональность входит в лицензию.
- Компонент Kaspersky Sandbox включен.
Как включить или выключить Kaspersky Sandbox в Web Console
1. В главном окне Web Console выберите Устройства → Политики и профили политик.
2. Нажмите на название политики Kaspersky Endpoint Security.
  Откроется окно свойств политики.
3. Выберите закладку Параметры программы.
4. Перейдите в раздел Detection and Response → Kaspersky Sandbox.
5. Используйте переключатель Интеграция с Kaspersky Sandbox, чтобы включить или выключить компонент.
6. Сохраните внесенные изменения.
Вы также можете выключить или выключить Kaspersky Sandbox локально из командной строки.

В результате компонент Kaspersky Sandbox будет включен. Проверьте статус работы компонента с помощью отчета Отчет о статусе компонентов программы. Также вы можете посмотреть статус работы компонента в локальном интерфейсе Kaspersky Endpoint Security в отчетах. В список компонентов Kaspersky Endpoint Security будет добавлен компонент Kaspersky Sandbox.
Подключение компьютеров к серверам Kaspersky Sandbox
Для подключения компьютеров к серверам Kaspersky Sandbox с виртуальными образами операционных систем вам нужно ввести адрес сервера и порт. Подробнее о развертывании виртуальных образов и конфигурации серверов Kaspersky Sandbox см. в справке Kaspersky Sandbox.

Как подключить компьютеры к серверам Kaspersky Sandbox в Web Console
1. В главном окне Web Console выберите Устройства → Политики и профили политик.
2. Нажмите на название политики Kaspersky Endpoint Security.
  Откроется окно свойств политики.
3. Выберите закладку Параметры программы.
4. Перейдите в раздел Detection and Response → Kaspersky Sandbox.
5. В блоке Серверы Kaspersky Sandbox нажмите на кнопку Добавить.
6. В открывшемся окне введите адрес сервера Kaspersky Sandbox (IPv4, IPv6, DNS), а также порт подключения к серверу.
7. Сохраните внесенные изменения.
Установка фонового соединения между Kaspersky Security Center Web Console и Сервером администрирования
Для работы Kaspersky Sandbox c Сервером администрирования через Kaspersky Security Center Web Console вам нужно установить новое безопасное соединение – фоновое соединение. Подробнее об интеграции Kaspersky Security Center с другими решениями "Лаборатории Касперского" см. в справке Kaspersky Security Center.

Как установить фоновое соединение в Web Console
1. В главном окне Web Console выберите Параметры консоли → Интеграция.
2. Перейдите в раздел Межсервисная интеграция.
3. Включите переключатель Установить фоновое соединение для межсервисной интеграции.
4. Сохраните внесенные изменения.
Если фоновое соединение между Kaspersky Security Center Web Console и Сервером администрирования отсутствует, создание автономных задач поиска IOC при реагировании на угрозы недоступно.
Включение передачи данных на Сервер администрирования
Для работы всех функций Kaspersky Sandbox должна быть включена передача данных о файлах карантина. Данные нужны для получения информации о помещенных на компьютере файлах на карантин в Web Console. В Web Console вы можете, например, загрузить файл из карантина на компьютер для анализа.

Как включить передачу данных на Сервер администрирования в Web Console
1. В главном окне Web Console выберите Устройства → Политики и профили политик.
2. Нажмите на название политики Kaspersky Endpoint Security.
  Откроется окно свойств политики.
3. Выберите закладку Параметры программы.
4. Перейдите в раздел Общие настройки → Отчеты и хранилище.
5. В блоке Передача данных на Сервер администрирования установите флажок О файлах на карантине.
6. Сохраните внесенные изменения.

Миграция из Kaspersky Endpoint Agent на Kaspersky Endpoint Security для Windows

Если вы используете Kaspersky Endpoint Security 11.7.0 и выше с установленным компонентом Kaspersky Sandbox, поддержка взаимодействия с решением Kaspersky Sandbox доступна сразу после установки. Компонент Kaspersky Sandbox несовместим с программой Kaspersky Endpoint Agent. Если на компьютере установлена программа Kaspersky Endpoint Agent, при обновлении Kaspersky Endpoint Security до версии 11.7.0 решение Kaspersky Sandbox продолжит работу с Kaspersky Endpoint Security. Также Kaspersky Endpoint Agent будет удален с компьютера. Для завершения миграции из Kaspersky Endpoint Agent на Kaspersky Endpoint Security для Windows вам нужно перенести параметры политик и задач с помощью мастера миграции.

Если вы используете Kaspersky Endpoint Security 11.4.0-11.6.0, для взаимодействия с Kaspersky Sandbox в состав программы включена программа Kaspersky Endpoint Agent. Вы можете установить Kaspersky Endpoint Agent совместно с Kaspersky Endpoint Security.

Компонент Kaspersky Sandbox в составе Kaspersky Endpoint Security поддерживает работу с решением Kaspersky Sandbox версии 2.0. Работа с решением Kaspersky Sandbox версии 1.0 не поддерживается.

В начало