Работа с карантином

Карантин – это специальное хранилище на устройстве, в которое помещаются файлы, возможно зараженные вирусами или неизлечимые на момент обнаружения. Карантин позволяет изолировать файл для дальнейшей проверки. В отличие от карантина резервное хранилище предназначено для хранения резервных копий файлов, которые были удалены или изменены в процессе лечения. Если приложение Kaspersky Industrial CyberSecurity for Linux Nodes обнаруживает в файле вредоносный код, файл автоматически помещается в резервное хранилище.

Приложение использует карантин только при интеграции с решениями Detection and Response для выполнения рекомендуемых действий по реагированию на угрозы. При интеграции приложения с Kaspersky Industrial CyberSecurity Endpoint Detection and Response вы также можете вручную помещать на карантин файлы, которые считаете опасными для вашего устройства.

Файлы на карантине хранятся в зашифрованном виде и не угрожают безопасности устройства. Файлы на карантине могут содержать персональные данные.

Помещение файлов на карантин

Некоторые файлы могут быть критически важными для работы операционной системы и приложения. Помещение таких файлов на карантин может нарушить работу системы.

Помещение на карантин критически важных системных объектов (англ. System Critical Object, SCO) невозможно. К SCO относятся файлы, необходимые для работы операционной системы и приложения Kaspersky Industrial CyberSecurity for Linux Nodes.

Помещение файла на карантин возможно при выполнении следующих условий:

• Включена интеграция приложения с решением Kaspersky Industrial CyberSecurity Endpoint Detection and Response и / или с приложением Kaspersky Industrial CyberSecurity for Networks.
• Активирован компонент ICS EDR.

При интеграции с Kaspersky Industrial CyberSecurity for Networks специалист по безопасности на основе данных о файлах, передаваемых в Kaspersky Industrial CyberSecurity for Networks, может из консоли Kaspersky Industrial CyberSecurity for Networks отправить в Kaspersky Industrial CyberSecurity for Linux Nodes команду для помещения файла на карантин. Специалист по безопассности может также отправить в Kaspersky Industrial CyberSecurity for Linux Nodes команду для восстановления помещенного на карантин файла.

При интеграции с Kaspersky Industrial CyberSecurity Endpoint Detection and Response вы можете поместить файл на карантин следующими способами:

• Создать и выполнить задачу Помещение файла на карантин в Web Console.
• Выполнить команду управления карантином на устройстве.
• Выполнить рекомендацию из деталей алерта.
• Файл также может быть помещен на карантин автоматически в результате обнаружения индикаторов компрометации.

Директория хранилища файлов, помещенных в карантин, должна быть доступна для записи.

Приложение не перемещает на карантин файлы размером более 100 Мб

Работа с файлами на карантине

Вы можете работать с файлами, помещенными на карантин:

• В Kaspersky Security Center в общем списке файлов, помещенных на карантин приложениями "Лаборатории Касперского".

  Для выполнения действий с файлами на карантине в Kaspersky Security Center вам нужно включить передачу данных на Сервер администрирования о файлах на карантине.

• Локально на устройстве с помощью командной строки.

Вы можете просматривать информацию о файлах на карантине, удалять и восстанавливать файлы из карантина.

Восстановление, удаление и получение файла из карантина доступно вне зависимости от того, включена ли интеграция с решениями Detection and Response, а также вне зависимости от того, распространяется ли на устройство действие политики.

Общий список файлов, помещенных на карантин приложениями "Лаборатории Касперского" на клиентских устройствах, формируется в Kaspersky Security Center и доступен в Консоли администрирования (Дополнительно → Хранилища → Карантин) и в Web Console (Операции → Хранилища → Карантин). Kaspersky Security Center не копирует файлы из хранилищ карантина на Сервер администрирования, все файлы размещаются в хранилищах карантина на клиентских устройствах. Подробнее о работе с файлами карантина в Kaspersky Security Center см. в справке Kaspersky Security Center.

Файл, помещенный на карантин, восстанавливается в исходное местоположение согласно заданным параметрам. После завершения восстановления приложение удаляет копию восстановленного файла из карантина.

Восстановление файла из карантина завершается с ошибкой в следующих случаях:

• Восстанавливаемый файл не найден в хранилище карантина.
• Имя восстанавливаемого файла указано с ошибкой или в неверном регистре.
• Идентификатор файла указан с ошибкой.
• Папка назначения удалена, перемещена, переименована или у вас нет прав доступа к ней.

  В этом случае приложение перемещает файл в папку /var/opt/kaspersky/kics/common/restored/. Вы можете вручную переместить файл из этой папки в нужную папку.

• По указанному пути уже существует одноименный файл.
• Недостаточно места на устройстве.

Удаление файла из карантина завершается с ошибкой в следующих случаях:

• Удаляемый файл не найден в хранилище карантина.
• Имя удаляемого файла указано с ошибкой или в неверном регистре.
• Идентификатор файла указан с ошибкой.

Настройка параметров карантина

Вы можете настраивать параметры карантина на устройстве с помощью политики в Web Console или в Консоли администрирования или с помощью командной строки. Вы можете настраивать следующие параметры карантина:

• Процент заполнения карантина, при котором формируется событие о заполнении карантина. По умолчанию событие формируется при заполнении карантина на 90%.
• Максимальный размер карантина в мегабайтах. При достижении максимального размера карантина приложение автоматически удаляет из карантина самые старые файлы. По умолчанию максимальный размер карантина 200 МБ.

В этом разделе Помещение файла на карантин с помощью Web Console Настройка параметров карантина в Web Console Настройка параметров карантина в Консоли администрирования Настройка параметров карантина в командной строке Работа с файлами карантина в командной строке Передача данных о файлах на карантине в Kaspersky Security Center

В начало