О решении Kaspersky Sandbox

В этом разделе представлена информация о решении Kaspersky Sandbox 2.0.

Решение Kaspersky Sandbox обнаруживает и автоматически блокирует сложные угрозы на рабочих станциях и серверах организации.

Решение разработано для корпоративных пользователей.

Архитектура решения

Решение Kaspersky Sandbox состоит из:

• Программы Kaspersky Sandbox, отвечающей за серверную часть решения. Kaspersky Sandbox устанавливается на один или несколько серверов внутри сети вашей организации. Серверы можно объединять в кластер. На серверах с Kaspersky Sandbox развернуты виртуальные образы операционных систем Microsoft® Windows®, в которых запускаются проверяемые объекты. Kaspersky Sandbox анализирует поведение объектов для выявления вредоносной активности и сложных угроз в IT-инфраструктуре организации.
• Программы Kaspersky Security Center с Web Console. Программа Kaspersky Security Center позволяет централизованно управлять решением и его настройками через единый веб-интерфейс.
• Программ защиты рабочих станций (Endpoint Protection Platform, далее также "EPP"), совместимых с Kaspersky Sandbox. Программы EPP устанавливаются на рабочих станциях сети вашей организации и обеспечивает комплексную защиту рабочих станций от различного вида угроз, сетевых и мошеннических атак, а также выполняет действия по автоматическому реагированию на обнаруженные угрозы, настроенных в политиках Kaspersky Security Center.

  К программам EPP относятся Kaspersky Endpoint Security для Windows, Kaspersky Security для Windows Server и Kaspersky Security для виртуальных сред Легкий агент. Программы Kaspersky Security для Windows Server и Kaspersky Security для виртуальных сред Легкий агент не имеют встроенной поддержки Kaspersky Sandbox.

• Программы Kaspersky Endpoint Agent. Программа Kaspersky Endpoint Agent обеспечивает коммуникацию Kaspersky Sandbox и программ EPP без встроенной поддержки Kaspersky Sandbox, а также выполнение действий по автоматическому реагированию на угрозы, обнаруженные Kaspersky Sandbox.

Принцип работы решения

При использовании EPP-программы со встроенной поддержкой Kaspersky Sandbox (Kaspersky Endpoint Security) решение работает по следующему принципу:

1. В момент обращения к объекту (запуска исполняемого файла или открытия документа, например, в формате DOCX или PDF) на рабочей станции программа Kaspersky Endpoint Security принимает решение о необходимости дополнительной проверки объекта с помощью Kaspersky Sandbox.
2. Если программа Kaspersky Endpoint Security приняла решение о необходимости дополнительной проверки объекта с помощью Kaspersky Sandbox, она проверяет, был ли этот объект недавно проверен в Kaspersky Sandbox. До получения результата проверки программа Kaspersky Endpoint Security блокирует доступ к объекту.
   • Если объект проверялся недавно, Kaspersky Endpoint Security получает результат проверки объекта в Kaspersky Sandbox.

     Если объект представляет угрозу, Kaspersky Endpoint Security выполняет действия по реагированию на угрозы, настроенные в политике Kaspersky Security Center.

   • Если объект не проверялся или проверялся давно, Kaspersky Endpoint Security отправляет объект на проверку в Kaspersky Sandbox. Kaspersky Endpoint Security разрешает доступ к объекту.
3. Kaspersky Sandbox проверяет объект и передает результат проверки объекта в Kaspersky Endpoint Security. Если объект представляет угрозу, Kaspersky Endpoint Security выполняет действия по реагированию на угрозы, настроенные в политике Kaspersky Security Center.

При использовании EPP-программ без встроенной поддержки Kaspersky Sandbox решение работает по следующему принципу:

1. В момент обращения к объекту на рабочей станции программа EPP принимает решение о необходимости дополнительной проверки объекта с помощью Kaspersky Sandbox.
2. Если программа EPP приняла решение о необходимости дополнительной проверки объекта с помощью Kaspersky Sandbox, она отправляет запрос на проверку объекта программе Kaspersky Endpoint Agent. До получения результата проверки от Kaspersky Endpoint Agent программа EPP блокирует доступ к объекту.
3. Kaspersky Endpoint Agent проверяет, был ли этот объект недавно проверен в Kaspersky Sandbox.
   • Если объект проверялся недавно, Kaspersky Endpoint Agent отправляет результат проверки в EPP. Если объект представляет угрозу, выполняются действия над объектами, настроенные в EPP.

     Подробнее о настройке действий см. в документации используемой EPP.

   • Если объект не проверялся или проверялся давно, Kaspersky Endpoint Agent сообщает EPP об отсутствии данных об объекте и отправляет объект на проверку в Kaspersky Sandbox. Программа EPP разрешает доступ к объекту.
4. Kaspersky Sandbox проверяет объект и передает результат проверки объекта в Kaspersky Endpoint Agent. Если объект представляет угрозу, Kaspersky Endpoint Agent выполняет действия по реагированию на угрозы, настроенные в политике Kaspersky Security Center.

Время, по истечении которого объект считается проверенным давно, предустановлено на основании опыта вирусных аналитиков "Лаборатории Касперского".

Информация об обнаруженных угрозах хранится в Kaspersky Sandbox до обновления баз программы.

Управление решением

Чтобы решение Kaspersky Sandbox работало корректно, в зависимости от используемой конфигурации решения вам требуется настроить параметры программ Kaspersky Sandbox и Kaspersky Endpoint Security или Kaspersky Sandbox и Kaspersky Endpoint Agent.

Настройка параметров Kaspersky Sandbox осуществляется в веб-интерфейсе программы. Также вы можете удаленно управлять параметрами программы Kaspersky Sandbox в Kaspersky Security Center Web Console. Например, вы можете настроить отображение статусов серверов Kaspersky Sandbox на панели мониторинга Kaspersky Security Center Web Console или просмотреть отчет об угрозах.

Настройка параметров Kaspersky Endpoint Security осуществляется в Kaspersky Security Center Web Console. Например, вы можете выполнять следующие действия:

• Настраивать параметры программы, создав политику Kaspersky Endpoint Security.

  Подробнее о создании политики см. в справке Kaspersky Endpoint Security для Windows.

• Настраивать действия Kaspersky Endpoint Security по реагированию на угрозы, обнаруженные Kaspersky Sandbox.
• Настраивать параметры автономных задач поиска IOC.
• Просматривать информацию об IOC-обнаружениях.
• Управлять параметрами карантина.

Настройка параметров Kaspersky Endpoint Agent осуществляется в Консоли администрирования Kaspersky Security Center, Kaspersky Security Center Web Console, Kaspersky Security Center Cloud Console, а также через командную строку. Например, вы можете выполнять следующие действия:

• Настраивать параметры программы, создав политику Kaspersky Endpoint Agent.

  Подробнее о создании политики см. в справке Kaspersky Endpoint Agent для Windows 3.13.

• Настраивать действия Kaspersky Endpoint Agent по реагированию на угрозы, обнаруженные Kaspersky Sandbox.
• Работать с задачами.
• Управлять параметрами карантина.

В начало