Интеграция встроенного агента с Kaspersky Sandbox
Для интеграции с Kaspersky Sandbox вам нужно добавить компонент Sandbox. Вы можете выбрать компонент Sandbox во время установки или обновления приложения, а также с помощью задачи Изменение состава компонентов приложения.
Для работы компонента должны быть выполнены следующие условия:
- Kaspersky Security Center версии 13.2. В более ранних версиях Kaspersky Security Center недоступно создание автономных задач поиска IOC при реагировании на угрозы.
- Управление компонентом доступно только в Web Console. Управлять компонентом в Консоли администрирования (MMC) невозможно.
- Приложение активировано и функциональность входит в лицензию.
- Передача данных на Сервер администрирования включена.
Для работы всех функций Kaspersky Sandbox должна быть включена передача данных о файлах карантина. Данные нужны для получения информации о помещенных на компьютере файлах на карантин в Web Console. В Web Console вы можете, например, загрузить файл из карантина на компьютер для анализа.
Как включить передачу данных на Сервер администрирования в Web Console
- Установлено фоновое соединение между Kaspersky Security Center Web Console и Сервером администрирования
Для работы Kaspersky Sandbox c Сервером администрирования через Kaspersky Security Center Web Console вам нужно установить новое безопасное соединение – фоновое соединение. Подробнее об интеграции Kaspersky Security Center с другими решениями "Лаборатории Касперского" см. в справке Kaspersky Security Center.
Как установить фоновое соединение в Web Console
Если фоновое соединение между Kaspersky Security Center Web Console и Сервером администрирования отсутствует, создание автономных задач поиска IOC при реагировании на угрозы недоступно.
- Для настройки доверенного соединения с сервером Sandbox вам нужно подготовить TLS-сертификат. Далее вам нужно добавить сертификат на компьютер с помощью политики. Также вам нужно добавить сертификат на сервер Sandbox.
Двусторонняя аутентификация с помощью криптоконтейнера для Kaspersky Sandbox недоступна.
Вы можете добавить TLS-сертификат в Web Console или локально из командной строки.
- Компонент Kaspersky Sandbox включен.
Вы можете включать и выключать интеграцию с Kaspersky Sandbox в Web Console или локально из командной строки.
Чтобы включить или выключить интеграцию с Kaspersky Sandbox, выполните следующие действия:
- В главном окне Web Console выберите Устройства → Политики и профили политик.
- Нажмите на название политики Kaspersky Endpoint Security.
Откроется окно свойств политики.
- Выберите закладку Параметры программы.
- Перейдите в раздел Detection and Response → Sandbox.
- Используйте переключатель Интеграция с Sandbox ВКЛЮЧЕНА, чтобы включить или выключить компонент.
- В блоке Режим интеграции выберите режим работы компонента Kaspersky Sandbox (автоматическая отправка файлов на проверку).
- Перейдите по ссылке Настройки подключения к серверам.
Откроется окно с параметрами подключения к серверам Kaspersky Sandbox.
- В блоке TLS-сертификат серверов нажмите на кнопку Добавить и выберите файл TLS-сертификата.
В Kaspersky Endpoint Security может быть только один TLS-сертификат сервера Kaspersky Sandbox. Если вы ранее уже добавили TLS-сертификат, то этот сертификат прекращает действовать. Только последний добавленный сертификат будет актуальным.
- Настройте дополнительные параметры подключения к серверам Kaspersky Sandbox:
- Время ожидания. Время ожидания соединения с сервером Sandbox. По истечению заданного времени ожидания Kaspersky Endpoint Security отправит запрос на следующий сервер. Вы можете увеличить время ожидания соединения с сервером, если у вас низкая скорость соединения или соединение нестабильно. Рекомендованное значение времени ожидания запроса не более 0,5 сек.
- Очередь запросов. Размер папки хранения очереди запросов. При отправке нескольких объектов на проверку в Sandbox приложение Kaspersky Endpoint Security создает очередь запросов. По умолчанию размер папки хранения очереди запросов ограничен 100 МБ. После достижения максимального размера Sandbox перестает добавлять новые запросы в очередь и отправляет соответствующее событие в Kaspersky Security Center. Вы можете настроить размер папки хранения очереди запросов в зависимости от конфигурации сервера.
- В блоке Серверы нажмите на кнопку Добавить.
- В открывшемся окне введите адрес сервера Sandbox (IPv4, IPv6, DNS), а также порт подключения к серверу.
Подробнее о развертывании виртуальных образов и конфигурации серверов Kaspersky Sandbox см. в справке Kaspersky Sandbox.
- Сохраните внесенные изменения.
В результате Kaspersky Endpoint Security проверит TLS-сертификат. Если сертификат прошел проверку, Kaspersky Endpoint Security отправит файл сертификата на компьютер при следующей синхронизации с Kaspersky Security Center. Если вы добавили два TLS-сертификата, Kaspersky Sandbox использует последний сертификат для установки доверенного соединения. Проверьте статус работы компонента с помощью отчета Отчет о статусе компонентов программы. Также вы можете посмотреть статус работы компонента в локальном интерфейсе Kaspersky Endpoint Security в отчетах. В список компонентов Kaspersky Endpoint Security будет добавлен компонент Sandbox.
Kaspersky Endpoint Security сохраняет информацию о работе компонента Kaspersky Sandbox в отчет. Отчет также содержит информацию об ошибках. Если вы получили ошибку с описанием в формате Error code: XXX (например, 0xa67b01f4), вам нужно обратиться в Службу технической поддержки.