配置威脅回應操作

如果 Sandbox 偵測到惡意活動，Kaspersky Endpoint Security 會自動執行 威脅回應操作（例如，它會刪除物件並啟動關鍵區域掃描）。

配置威脅回應操作：

1. 在網頁主控台的主視窗中，選擇裝置 → 政策和設定檔。
2. 點擊 Kaspersky Endpoint Security 政策的名稱。

   政策內容視窗將開啟。

3. 選擇“應用程式設定”標籤。
4. 轉到”Detection and Response”→”Sandbox”。
5. 在“偵測到威脅後的動作”塊中選擇相關操作：
   • 將副本移動到隔離區，刪除物件如果選擇該選項，Kaspersky Endpoint Security 會刪除在電腦上發現的惡意物件。在刪除物件之前，Kaspersky Endpoint Security 會建立備份副本以防物件以後需要還原。Kaspersky Endpoint Security 會將備份副本移動到隔離。
   • 對關鍵區域執行掃描如果選擇該選項，Kaspersky Endpoint Security 將執行“關鍵區域掃描”工作。預設情況下，Kaspersky Endpoint Security 會掃描內核記憶體、執行處理序和磁碟的開啟磁區。
   • 建立 IOC 掃描工作如果選擇該選項，Kaspersky Endpoint Security 會自動建立 IOC 掃描（IOC 自動掃描工作）。對於此工作，您可以配置執行模式、掃描範圍和偵測到 IOC 後的動作：刪除物件，執行關鍵區域掃描工作。若要修改 “IOC 掃描 ”工作的其它設定，請前往工作設定。
6. 如有必要，在IOC 掃描範圍塊中配置IOC 掃描工作設定。
   • 關鍵檔案區域如果選擇該選項，則 Kaspersky Endpoint Security 僅在電腦的關鍵檔案區域執行 IOC 掃描：內核記憶體和開機磁區。
   • 電腦的系統磁碟機上的檔案區域如果選擇該選項，則 Kaspersky Endpoint Security 會在電腦的系統磁碟機上執行 IOC 掃描。
7. 如有必要，在執行 IOC 掃描工作塊中配置IOC 掃描工作設定。
   • 手動執行您可以在其中在方便時手動開始IOC 掃描工作的模式。
   • 偵測到威脅後執行模式，只要偵測到威脅 Kaspersky Endpoint Security 就執行 IOC 掃描工作。
   • 僅在電腦空閒時執行執行模式，如果熒幕防護程式啟動或者熒幕被鎖定則 Kaspersky Endpoint Security 執行 IOC 掃描工作。如果使用者解鎖了電腦，Kaspersky Endpoint Security 會暫停工作。這意味著工作可能會費時數天完成。
8. 配置進階工作設定：IOC 掃描。
9. 儲存變更。

頁面頂部