Kaspersky Sandbox
1.0
Русский
Управление программой Kaspersky Endpoint Agent  >  Настройка действий Kaspersky Endpoint Agent по реагированию на угрозы, обнаруженные Kaspersky Sandbox  >  Добавление действий по реагированию на угрозы в список действий текущей политики

Добавление действий по реагированию на угрозы в список действий текущей политики

Чтобы добавить действия по реагированию на угрозы в список действий текущей политики, выполните следующие действия:

  1. Откройте Консоль администрирования Kaspersky Security Center.
  2. В дереве консоли выберите папку Политики.
  3. Выберите нужную политику и откройте ее свойства двойным щелчком мыши.
  4. В разделе Интеграция с Kaspersky Sandbox выберите подраздел Реагирование на угрозы.
  5. В блоке параметров Действия установите флажок Выполнять действия по реагированию на угрозы, обнаруженные Kaspersky Sandbox, если он не установлен.
  6. Нажмите на кнопку Добавить и в раскрывающемся списке выберите одно из следующих действий:
    • Поместить на карантин и удалить. Локальное действие. Будет выполняться на рабочей станции, на которой обнаружена угроза.
    • Уведомить пользователя рабочей станции. Локальное действие. Будет выполняться на рабочей станции, на которой обнаружена угроза.
    • Дать команду Endpoint Protection Platform (EPP) на проверку критических областей. Локальное действие. Будет выполняться на рабочей станции, на которой обнаружена угроза.
    • Найти IOC по управляемой группе хостов. Групповое действие. Будет выполняться на всех рабочих станциях группы администрирования.
    • Поместить на карантин и удалить, когда найден IOC. Групповое действие. Будет выполняться на всех рабочих станциях группы администрирования.
    • Дать команду Endpoint Protection Platform (EPP) на проверку критических областей, когда найден IOC. Групповое действие. Будет выполняться на всех рабочих станциях группы администрирования.

    Действие будет добавлено в список Текущие действия.

    При настройке действий по реагированию на угрозы учитывайте, что в результате выполнения некоторых из настроенных действий объект, содержащий угрозу, может быть удален с рабочей станции, на которой он был обнаружен.

  7. Если вы хотите удалить действие, выберите его в таблице и нажмите на кнопку Удалить.
  8. В правом верхнем углу блока параметров измените положение переключателя с Политика не применяется на Под политикой.
  9. Нажмите на кнопки Применить и OK.

См. также

Включение и отключение выполнения действий по реагированию на угрозы

Аутентификация на Сервере администрирования для групповых задач по реагированию на угрозы

Защита рабочих станций от легальных программ, которые могут быть использованы злоумышленниками

Настройка запуска задач поиска IOC
Идентификатор статьи: 190470, Последнее изменение: 19 янв. 2022 г.
В начало