Настройка действий Kaspersky Endpoint Agent по реагированию на угрозы, обнаруженные Kaspersky Sandbox
Kaspersky Endpoint Agent может выполнять действия по реагированию на угрозы, обнаруженные Kaspersky Sandbox.
Вы можете настроить действия следующих типов:
- Локальные – действия, которые будут выполняться на каждой рабочей станции, на которой обнаружена угроза.
- Групповые – действия, которые будут выполняться на всех рабочих станциях группы администрирования, для которой вы настраиваете политику.
Локальные действия:
- Поместить на карантин и удалить.
При обнаружении угрозы на рабочей станции копия объекта, содержащего угрозу, будет помещена на карантин, а объект будет удален с рабочей станции.
- Уведомить пользователя рабочей станции.
При обнаружении угрозы на рабочей станции пользователю рабочей станции будет показано уведомление об обнаруженной угрозе.
Уведомление отображается, если рабочая станция включена под той учетной записью пользователя, под которой была обнаружена угроза.
Если рабочая станция выключена или выполнен вход под другой учетной записью, уведомление не отображается.
- Дать команду Endpoint Protection Platform (EPP) на проверку критических областей.
При обнаружении угрозы на рабочей станции Kaspersky Endpoint Agent даст команду программе EPP (Kaspersky Endpoint Security для Windows) на проверку критических областей этой рабочей станции. К критическим областям относятся память ядра, объекты, загружаемые при запуске операционной системы, и загрузочные секторы жесткого диска. Подробнее о настройке параметров проверки см. в документации используемой EPP.
Групповые действия:
- Найти IOC по управляемой группе хостов.
При обнаружении угрозы на любой из рабочих станций группы администрирования, для которой вы настраиваете политику, Kaspersky Endpoint Agent проверит все рабочие станции этой группы администрирования на наличие объекта, содержащего обнаруженную угрозу.
- Поместить на карантин и удалить, когда найден IOC.
При обнаружении угрозы на любой из рабочих станций группы администрирования, для которой вы настраиваете политику, Kaspersky Endpoint Agent проверит все рабочие станции этой группы администрирования на наличие объекта, содержащего обнаруженную угрозу. Если на каких-то рабочих станциях этой группы администрирования Kaspersky Endpoint Agent найдет объект, содержащий угрозу, копия этого объекта будет помещена на карантин, а объект будет удален с рабочих станций.
- Дать команду Endpoint Protection Platform (EPP) на проверку критических областей, когда найден IOC.
При обнаружении угрозы на любой из рабочих станций группы администрирования, для которой вы настраиваете политику, Kaspersky Endpoint Agent даст команду программе EPP на проверку критических областей на всех рабочих станциях этой группы администрирования, на которых Kaspersky Endpoint Agent найдет объект, содержащий угрозу. Подробнее о настройке параметров проверки см. в документации используемой EPP.
Для настройки групповых действий по реагированию на угрозы вам понадобится настроить права пользователей KSC, под учетными записями которых вы хотите управлять задачами поиска IOC.
При настройке действий по реагированию на угрозы учитывайте, что в результате выполнения некоторых из настроенных действий объект, содержащий угрозу, может быть удален с рабочей станции, на которой он был обнаружен.