Sandbox

В Kaspersky Endpoint Security для Windows включен встроенный агент для интеграции с решением Kaspersky Sandbox. Sandbox обнаруживает и автоматически блокирует сложные угрозы на компьютерах. Sandbox анализирует поведение объектов для выявления вредоносной активности и признаков целевых атак на IT-инфраструктуру организации. Sandbox выполняет анализ и проверку объектов на специальных серверах с развернутыми виртуальными образами операционных систем Microsoft Windows (серверы Sandbox). Подробнее о решении см. в справке Kaspersky Sandbox и справке Kaspersky Anti Targeted Attack Platform.

Начиная с версии Kaspersky Endpoint Security для Windows 12.7 в приложении добавлена поддержка компонента Sandbox, который входит в состав решения Kaspersky Anti Targeted Attack Platform. В отличие от решения Kaspersky Sandbox компонент KATA Sandbox позволяет проверять файлы только вручную из контекстного меню файла.

Управление компонентом доступно только в Kaspersky Security Center Web Console. Управлять компонентом в Консоли администрирования (MMC) невозможно.

Параметры компонента Sandbox

Параметр

Описание

Режим интеграции
  • Kaspersky Sandbox (автоматическая отправка файлов на проверку). Интеграция с решением Kaspersky Sandbox.
  • KATA Sandbox (отправка файлов на проверку вручную). Интеграция с компонентом Sandbox, который входит в состав решения Kaspersky Anti Targeted Attack Platform.

TLS-сертификат серверов

Для настройки доверенного соединения с сервером Sandbox вам нужно подготовить TLS-сертификат. Далее вам нужно добавить сертификат на компьютер с помощью политики. Также вам нужно добавить сертификат на сервер Sandbox. Если вы выбрали тип KATA Sandbox (отправка файлов на проверку вручную), нужно добавить сертификат на сервер Central Node.

Настройки подключения к серверам

Время ожидания. Время ожидания соединения с сервером Sandbox. По истечению заданного времени ожидания Kaspersky Endpoint Security отправит запрос на следующий сервер. Вы можете увеличить время ожидания соединения с сервером, если у вас низкая скорость соединения или соединение нестабильно. Рекомендованное значение времени ожидания запроса не более 0,5 сек.

Очередь запросов. Размер папки хранения очереди запросов. При отправке нескольких объектов на проверку в Sandbox приложение Kaspersky Endpoint Security создает очередь запросов. По умолчанию размер папки хранения очереди запросов ограничен 100 МБ. После достижения максимального размера Sandbox перестает добавлять новые запросы в очередь и отправляет соответствующее событие в Kaspersky Security Center. Вы можете настроить размер папки хранения очереди запросов в зависимости от конфигурации сервера.

TLS-сертификат серверов. Для настройки доверенного соединения с сервером Sandbox вам нужно подготовить TLS-сертификат. Далее вам нужно добавить сертификат на компьютер с помощью политики. Также вам нужно добавить сертификат на сервер Sandbox.

Использовать двустороннюю аутентификацию (только для KATA Sandbox). Двусторонняя аутентификация при установлении безопасного соединения между Kaspersky Endpoint Security и сервером Central Node. Для использования двусторонней аутентификации вам нужно в параметрах сервера Centrtal Node включить функцию двусторонней аутентификации, далее получить криптоконтейнер и установить пароль для защиты криптоконтейнера. Криптоконтейнер – PFX-архив с сертификатом и закрытым ключом агента. Вы можете получить криптоконтейнер в консоли Kaspersky Anti Targeted Attack Platform (см. инструкцию в справке Kaspersky Anti Targeted Attack Platform). После настройки параметров Sandbox вам нужно в параметрах Kaspersky Endpoint Security также включить функцию двусторонней аутентификации и загрузить защищенный паролем криптоконтейнер.

Серверы

Параметры подключения к серверам Sandbox. На серверах развернуты виртуальные образы операционных систем Microsoft Windows, в которых запускаются проверяемые объекты. Вы можете ввести IP-адрес (IPv4 или IPv6) или полное доменное имя.

Действие при обнаружении угрозы

Копию поместить на карантин, объект удалить. Если выбран этот вариант действия, то Kaspersky Endpoint Security удаляет вредоносный объект, обнаруженный на компьютере. Перед удалением объекта Kaspersky Endpoint Security формирует его резервную копию на тот случай, если впоследствии понадобится восстановить объект. Kaspersky Endpoint Security помещает резервную копию на карантин.

Запускать проверку важных областей. Если выбран этот вариант действия, то Kaspersky Endpoint Security запускает задачу Проверка важных областей. По умолчанию Kaspersky Endpoint Security проверяет память ядра, запущенные процессы и загрузочные секторы.

Создать задачу поиска IOC. Если выбран этот вариант действия, то Kaspersky Endpoint Security автоматически создает задачу Поиск IOC (автономная задача поиска IOC). Вы можете настроить режим запуска задачи, область поиска и действие при обнаружении IOC: удалить объект, запустить задачу Проверка важных областей. Для настройки других параметров задачи Поиск IOC перейдите в свойства задачи.

Область поиска IOC

Важные файловые области. Если выбран этот вариант, Kaspersky Endpoint Security выполняет поиск IOC только в важных файловых областях компьютера: память ядра и загрузочные секторы.

Файловые области на системных дисках компьютера. Если выбран этот вариант, Kaspersky Endpoint Security выполняет поиск IOC на системном диске компьютера.

Запуск задачи поиска IOC

Вручную. Режим запуска, при котором вы запускаете задачу Поиск IOC вручную в удобное для вас время.

После обнаружения угрозы. Режим запуска, при котором Kaspersky Endpoint Security запускает задачу Поиск IOC автоматически в случае обнаружения угрозы.

Во время простоя компьютера. Режим запуска, при котором Kaspersky Endpoint Security запускает задачу Поиск IOC, если включена экранная заставка или компьютер заблокирован. Если пользователь разблокировал компьютер, Kaspersky Endpoint Security приостанавливает выполнение задачи. Таким образом, приложение может выполнять задачу несколько дней.

В начало