Принцип работы решения Kaspersky Sandbox

Решение Kaspersky Sandbox работает по следующему принципу:

1. В момент обращения к объекту (запуска исполняемого файла или открытия документа, например, в формате DOCX или PDF) на рабочей станции программа защиты рабочих станций (EPP) принимает решение о необходимости дополнительной проверки объекта с помощью Kaspersky Sandbox.
2. Если программа EPP приняла решение о необходимости дополнительной проверки объекта с помощью Kaspersky Sandbox, она отправляет запрос на проверку объекта программе Kaspersky Endpoint Agent. До получения результата проверки от Kaspersky Endpoint Agent программа EPP блокирует доступ к объекту.
3. Kaspersky Endpoint Agent проверяет, был ли этот объект недавно проверен в Kaspersky Sandbox.

   Время, по истечении которого объект считается проверенным давно, предустановлено на основании опыта антивирусных специалистов "Лаборатории Касперского".

   • Если объект проверялся недавно, Kaspersky Endpoint Agent отправляет результат проверки в EPP. Если объект представляет угрозу, выполняются действия над объектами, настроенные в EPP. Подробнее о настройке действий см. в документации используемой EPP.

     В EPP может быть настроено действие Удалять объект.

   • Если объект не проверялся или проверялся давно, Kaspersky Endpoint Agent сообщает EPP об отсутствии данных об объекте и отправляет объект на проверку в Kaspersky Sandbox. EPP разрешает доступ к объекту.
4. Kaspersky Sandbox проверяет объект и передает результат проверки объекта в Kaspersky Endpoint Agent. Если объект представляет угрозу, Kaspersky Endpoint Agent выполняет действия по реагированию на угрозы, настроенные в политике Kaspersky Security Center.

   Информация об обнаруженных угрозах хранится в Kaspersky Sandbox до обновления баз программы.

См. также Kaspersky Sandbox Комплект поставки Аппаратные и программные требования Совместимость версий Kaspersky Endpoint Agent с программами EPP

В начало