Kaspersky Sandbox

Kaspersky Endpoint Security 11.7.0 现在包含 Kaspersky Sandbox 组件。该组件支持与 Kaspersky Sandbox 解决方案的互操作性。Kaspersky Sandbox 解决方案检测并自动阻止计算机上的高级威胁。Kaspersky Sandbox 分析对象行为，以检测恶意活动和针对组织 IT 基础设施的攻击的活动特征。Kaspersky Sandbox 使用部署的 Microsoft Windows 操作系统虚拟映像（Kaspersky Sandbox 服务器）分析和扫描特殊服务器上的对象。关于解决方案的详情，请参阅 Kaspersky Sandbox 帮助。

当与 Kaspersky Sandbox 交互时，应用程序允许您：

添加 TLS 证书以安全连接到 Kaspersky Sandbox 服务器。
添加 Kaspersky Sandbox 服务器。
选择威胁响应操作。
妥协的指标 (IOC) 扫描。

Kaspersky Sandbox 需要 Kaspersky Security Center version 13.2。Kaspersky Security Center 的早期版本不允许为威胁响应创建独立 IOC 扫描任务。

该组件只能使用 Web Console 进行管理。您无法使用管理控制台（MMC）管理此组件。

与 Kaspersky Sandbox 的集成

与 Kaspersky Sandbox 集成包括以下步骤：

安装 Kaspersky Sandbox 组件
您可以在安装或升级过程中选择 Kaspersky Sandbox 组件，也可以使用更改应用程序组件任务。

执行“更改应用程序组件”任务后，任务的状态显示不正确。任务的状态不是“已成功完成”，而是“已计划”。然而，任务仍然是成功完成的。确保新组件安装在 Kaspersky Security Center 控制台的计算机属性中（应用程序 → Kaspersky Endpoint Security for Windows → 组件）或本地应用程序接口中。
添加 TLS 证书
要配置与 Kaspersky Sandbox 服务器的可信连接，必须准备 TLS 证书。接下来，您必须将证书添加到 Kaspersky Sandbox 服务器和 Kaspersky Endpoint Security 策略。有关准备证书和将证书添加到服务器的详细信息，请参阅 Kaspersky Sandbox 帮助。

如何使用 Web Console 添加 TLS 证书
1. 在 Web Console 的主窗口中，选择“设备”→“策略和配置文件”。
2. 单击 Kaspersky Endpoint Security 策略的名称。
  策略属性窗口将打开。
3. 选择“应用程序设置”选项卡。
4. 转到 Detection and Response → Kaspersky Sandbox。
5. 单击服务器连接设置。
  这将打开 Kaspersky Sandbox 服务器连接设置窗口。
6. 在服务器 TLS 证书下，单击添加并选择 TLS 证书文件。
  Kaspersky Endpoint Security 对于 Kaspersky Sandbox 服务器只能有一个 TLS 证书。如果之前添加了 TLS 证书，则该证书将被撤回。仅使用最后添加的证书。
7. 为 Kaspersky Sandbox 服务器配置高级连接设置：
  - 请求超时。Kaspersky Sandbox 服务器连接超时。配置的超时时间过后，Kaspersky Endpoint Security 将向下一台服务器发送请求。如果连接速度低或连接不稳定，您可以增加 Kaspersky Sandbox 的连接超时。默认值是 5 秒。
  - Kaspersky Sandbox 请求队列。请求队列文件夹的大小。当在计算机上访问对象（启动可执行文件或打开文档，例如 DOCX 或 PDF 格式）时，Kaspersky Endpoint Security 还可以发送该对象以供 Kaspersky Sandbox 扫描。如果有多个请求，Kaspersky Endpoint Security 将创建一个请求队列。默认情况下，请求队列文件夹的大小限制为 100 MB。达到最大大小后，Kaspersky Sandbox 停止向队列添加新请求，并将相应的事件发送到 Kaspersky Security Center。您可以根据您的服务器配置来配置请求队列文件夹的大小。
8. 保存更改。
结果，Kaspersky Endpoint Security 将验证 TLS 证书。如果证书被成功验证，Kaspersky Endpoint Security 将在与 Kaspersky Security Center 的下次同步过程中上传该证书文件到计算机。如果您添加了两个 TLS 证书，Kaspersky Sandbox 将使用最新的证书建立受信任连接。
您也可以使用命令行本地添加 TLS 证书到计算机。
启用 Kaspersky Sandbox 组件
您可以在 Kaspersky Endpoint Security for Windows 策略设置中启用或禁用组件。

要使用该组件，必须满足以下条件：
- 应用程序已激活，授权许可涵盖了该功能。
- Kaspersky Sandbox 组件已启用。
如何使用 Web Console 启用或禁用 Kaspersky Sandbox
1. 在 Web Console 的主窗口中，选择“设备”→“策略和配置文件”。
2. 单击 Kaspersky Endpoint Security 策略的名称。
  策略属性窗口将打开。
3. 选择“应用程序设置”选项卡。
4. 转到 Detection and Response → Kaspersky Sandbox。
5. 使用与 Kaspersky Sandbox 的整合开关启用或禁用组件。
6. 保存更改。
您还可以使用命令行在本地启用或禁用 Kaspersky Sandbox。

结果，Kaspersky Sandbox 组件被启用。通过查看应用程序组件状态报告检查组件的操作状态。您也可以利用 Kaspersky Endpoint Security 的本地界面在报告中查看组件的操作状态。Kaspersky Sandbox 组件被添加到 Kaspersky Endpoint Security 组件列表。
连接计算机到 Kaspersky Sandbox 服务器
要将计算机连接到带有操作系统虚拟映像的 Kaspersky Sandbox 服务器，您必须输入服务器地址和端口。有关部署虚拟映像和配置 Kaspersky Sandbox 服务器的详细信息，请参阅Kaspersky Sandbox 帮助。

如何使用 Web Console 连接计算机到 Kaspersky Sandbox 服务器
1. 在 Web Console 的主窗口中，选择“设备”→“策略和配置文件”。
2. 单击 Kaspersky Endpoint Security 策略的名称。
  策略属性窗口将打开。
3. 选择“应用程序设置”选项卡。
4. 转到 Detection and Response → Kaspersky Sandbox。
5. 在 Kaspersky Sandbox 服务器下，单击添加。
6. 这将打开一个窗口，您可以在其中输入 Kaspersky Sandbox 服务器地址 (IPv4、IPv6、DNS) 和端口。
7. 保存更改。
建立 Kaspersky Security Center Web Console 和管理服务器之间的后台连接
为了 Kaspersky Sandbox 通过 Kaspersky Security Center Web Console 与管理服务器协作，您必须建立新的安全连接，一个后台连接。对于 Kaspersky Security Center 与其他 Kaspersky 解决方案整合的详情，请参阅 Kaspersky Security Center 帮助。

在 Web Console 中建立后台连接
1. 在 Web 控制台的主窗口中，选择“控制台设置”→“整合”。
2. 转到跨服务整合区域。
3. 开启为跨服务整合建立后台连接开关。
4. 保存更改。
如果未建立 Kaspersky Security Center Web Console 与管理服务器之间的后台连接，独立 IOC 扫描任务无法作为威胁响应的一部分被创建。
启用到管理服务器的数据传输
要使用 Kaspersky Sandbox 的所有功能，请确保启用了隔离文件数据阐述。这些数据是通过 Web 控制台获取计算机上隔离的文件信息所必需的。例如，您可以从隔离区下载一个文件，以便在 Web 控制台中进行分析。

如何在 Web 控制台中启用到管理服务器的数据传输
1. 在 Web Console 的主窗口中，选择“设备”→“策略和配置文件”。
2. 单击 Kaspersky Endpoint Security 策略的名称。
  策略属性窗口将打开。
3. 选择“应用程序设置”选项卡。
4. 选择常规设置 → 报告和存储。
5. 在到管理服务器的数据传输下，选择关于隔离文件复选框。
6. 保存更改。

从 Kaspersky Endpoint Agent 迁移到 Kaspersky Endpoint Security for Windows

如果您正在使用安装了 Kaspersky Sandbox 的 Kaspersky Endpoint Security 11.7.0 或后续版本，与 Kaspersky Sandbox 解决方案的互操作在安装之后立即可用。Kaspersky Sandbox 组件与 Kaspersky Endpoint Agent 不兼容。如果计算机上安装了 Kaspersky Endpoint Agent，当 Kaspersky Endpoint Security 被更新到版本 11.7.0 时，Kaspersky Sandbox 继续配合 Kaspersky Endpoint Security 一起工作。此外，Kaspersky Endpoint Agent 将被从计算机卸载。要完成从 Kaspersky Endpoint Agent 到 Kaspersky Endpoint Security for Windows 的迁移，您需要使用迁移向导传送策略和任务设置。

如果您正在使用 Kaspersky Endpoint Security 11.4.0–11.6.0 与 Kaspersky Sandbox 进行互操作，则应用程序包含 Kaspersky Endpoint Agent。您可以将 Kaspersky Endpoint Agent 与 Kaspersky Endpoint Security 一起安装。

作为 Kaspersky Endpoint Security 一部分的 Kaspersky Sandbox 组件支持 Kaspersky Sandbox 解决方案 2.0 的互操作。Kaspersky Sandbox 解决方案 1.0 不被支持。

页面顶部