Справка Kaspersky Sandbox

О решении Kaspersky Sandbox

В этом разделе представлена информация о решении Kaspersky Sandbox 2.0.

Решение Kaspersky Sandbox обнаруживает и автоматически блокирует сложные угрозы на рабочих станциях и серверах организации.

Решение разработано для корпоративных пользователей.

Архитектура решения

Решение Kaspersky Sandbox состоит из:

• Программы Kaspersky Sandbox, отвечающей за серверную часть решения. Kaspersky Sandbox устанавливается на один или несколько серверов внутри сети вашей организации. Серверы можно объединять в кластер. На серверах с Kaspersky Sandbox развернуты виртуальные образы операционных систем Microsoft Windows, в которых запускаются проверяемые объекты. Kaspersky Sandbox анализирует поведение объектов для выявления вредоносной активности и сложных угроз в IT-инфраструктуре организации.
• Программы Kaspersky Security Center с Web Console. Программа Kaspersky Security Center позволяет централизованно управлять решением и его настройками через единый веб-интерфейс.
• Программ защиты рабочих станций (Endpoint Protection Platform, далее также "EPP"), совместимых с Kaspersky Sandbox. Программы EPP устанавливаются на рабочих станциях сети вашей организации и обеспечивает комплексную защиту рабочих станций от различного вида угроз, сетевых и мошеннических атак, а также выполняет действия по автоматическому реагированию на обнаруженные угрозы, настроенных в политиках Kaspersky Security Center.

  К программам EPP относятся Kaspersky Endpoint Security для Windows, Kaspersky Security для Windows Server и Kaspersky Security для виртуальных сред Легкий агент. Программы Kaspersky Security для Windows Server и Kaspersky Security для виртуальных сред Легкий агент не имеют встроенной поддержки Kaspersky Sandbox.

• Программы Kaspersky Endpoint Agent. Программа Kaspersky Endpoint Agent обеспечивает коммуникацию Kaspersky Sandbox и программ EPP без встроенной поддержки Kaspersky Sandbox, а также выполнение действий по автоматическому реагированию на угрозы, обнаруженные Kaspersky Sandbox.

Принцип работы решения

При использовании EPP-программы со встроенной поддержкой Kaspersky Sandbox (Kaspersky Endpoint Security) решение работает по следующему принципу:

1. В момент обращения к объекту (запуска исполняемого файла или открытия документа, например, в формате DOCX или PDF) на рабочей станции программа Kaspersky Endpoint Security принимает решение о необходимости дополнительной проверки объекта с помощью Kaspersky Sandbox.
2. Если программа Kaspersky Endpoint Security приняла решение о необходимости дополнительной проверки объекта с помощью Kaspersky Sandbox, она проверяет, был ли этот объект недавно проверен в Kaspersky Sandbox. До получения результата проверки программа Kaspersky Endpoint Security блокирует доступ к объекту.
   • Если объект проверялся недавно, Kaspersky Endpoint Security получает результат проверки объекта в Kaspersky Sandbox.

     Если объект представляет угрозу, Kaspersky Endpoint Security выполняет действия по реагированию на угрозы, настроенные в политике Kaspersky Security Center.

   • Если объект не проверялся или проверялся давно, Kaspersky Endpoint Security отправляет объект на проверку в Kaspersky Sandbox. Kaspersky Endpoint Security разрешает доступ к объекту.
3. Kaspersky Sandbox проверяет объект и передает результат проверки объекта в Kaspersky Endpoint Security. Если объект представляет угрозу, Kaspersky Endpoint Security выполняет действия по реагированию на угрозы, настроенные в политике Kaspersky Security Center.

При использовании EPP-программ без встроенной поддержки Kaspersky Sandbox решение работает по следующему принципу:

1. В момент обращения к объекту на рабочей станции программа EPP принимает решение о необходимости дополнительной проверки объекта с помощью Kaspersky Sandbox.
2. Если программа EPP приняла решение о необходимости дополнительной проверки объекта с помощью Kaspersky Sandbox, она отправляет запрос на проверку объекта программе Kaspersky Endpoint Agent. До получения результата проверки от Kaspersky Endpoint Agent программа EPP блокирует доступ к объекту.
3. Kaspersky Endpoint Agent проверяет, был ли этот объект недавно проверен в Kaspersky Sandbox.
   • Если объект проверялся недавно, Kaspersky Endpoint Agent отправляет результат проверки в EPP. Если объект представляет угрозу, выполняются действия над объектами, настроенные в EPP.

     Подробнее о настройке действий см. в документации используемой EPP.

   • Если объект не проверялся или проверялся давно, Kaspersky Endpoint Agent сообщает EPP об отсутствии данных об объекте и отправляет объект на проверку в Kaspersky Sandbox. Программа EPP разрешает доступ к объекту.
4. Kaspersky Sandbox проверяет объект и передает результат проверки объекта в Kaspersky Endpoint Agent. Если объект представляет угрозу, Kaspersky Endpoint Agent выполняет действия по реагированию на угрозы, настроенные в политике Kaspersky Security Center.

Время, по истечении которого объект считается проверенным давно, предустановлено на основании опыта вирусных аналитиков "Лаборатории Касперского".

Информация об обнаруженных угрозах хранится в Kaspersky Sandbox до обновления баз программы.

Управление решением

Чтобы решение Kaspersky Sandbox работало корректно, в зависимости от используемой конфигурации решения вам требуется настроить параметры программ Kaspersky Sandbox и Kaspersky Endpoint Security или Kaspersky Sandbox и Kaspersky Endpoint Agent.

Настройка параметров Kaspersky Sandbox осуществляется в веб-интерфейсе программы. Также вы можете удаленно управлять параметрами программы Kaspersky Sandbox в Kaspersky Security Center Web Console. Например, вы можете настроить отображение статусов серверов Kaspersky Sandbox на панели мониторинга Kaspersky Security Center Web Console или просмотреть отчет об угрозах.

Настройка параметров Kaspersky Endpoint Security осуществляется в Kaspersky Security Center Web Console. Например, вы можете выполнять следующие действия:

• Настраивать параметры программы, создав политику Kaspersky Endpoint Security.

  Подробнее о создании политики см. в справке Kaspersky Endpoint Security для Windows.

• Настраивать действия Kaspersky Endpoint Security по реагированию на угрозы, обнаруженные Kaspersky Sandbox.
• Настраивать параметры автономных задач поиска IOC.
• Просматривать информацию об IOC-обнаружениях.
• Управлять параметрами карантина.

Настройка параметров Kaspersky Endpoint Agent осуществляется в Консоли администрирования Kaspersky Security Center, Kaspersky Security Center Web Console, Kaspersky Security Center Cloud Console, а также через командную строку. Например, вы можете выполнять следующие действия:

• Настраивать параметры программы, создав политику Kaspersky Endpoint Agent.

  Подробнее о создании политики см. в справке Kaspersky Endpoint Agent для Windows 3.13.

• Настраивать действия Kaspersky Endpoint Agent по реагированию на угрозы, обнаруженные Kaspersky Sandbox.
• Работать с задачами.
• Управлять параметрами карантина.

Состав решения

В состав решения Kaspersky Sandbox 2.0 входят следующие программы:

• Kaspersky Sandbox 2.0.
• Программы EPP: Kaspersky Endpoint Security версии 11.7 и выше для Windows, Kaspersky Security для Windows Server 11.0.1, Kaspersky Security для виртуальных сред Легкий агент 5.2.
• Kaspersky Endpoint Agent для Windows 3.13.
• Kaspersky Security Center Web Console версии 13.2 и выше.

В комплект поставки Kaspersky Sandbox 2.0 и Kaspersky Endpoint Security для Windows также входят веб-плагины для управления программами через Kaspersky Security Center Web Console.

Для управления Kaspersky Endpoint Security и Kaspersky Endpoint Agent через Kaspersky Security Center Web Console рекомендуется использовать веб-плагин соответствующей версии. В противном случае управление некоторыми функциями программ через Kaspersky Security Center Web Console будет недоступно.

Обновление решения

Для обновления решения требуется предварительно обновить все компоненты Kaspersky Security Center до версии 13.2 и выше, включая Агент администрирования на компьютерах пользователей и Web Console. Если вы используете Kaspersky Security Center Cloud Console, вам требуется обновить только Агент администрирования.

Обновление решения при использовании EPP-программ со встроенной поддержкой Kaspersky Sandbox

При использовании EPP-программ со встроенной поддержкой Kaspersky Sandbox обновление решения Kaspersky Sandbox 2.0 включает в себя следующие этапы:

1. Обновление программы Kaspersky Sandbox

   В программе не предусмотрена стандартная процедура обновления. Вам требуется удалить программу версии 1.0 и установить программу версии 2.0.

2. Установка новой версии веб-плагинов

   Установите веб-плагины Kaspersky Sandbox и Kaspersky Endpoint Security для Windows для Kaspersky Security Center Web Console с поддержкой функциональности Kaspersky Sandbox 2.0.

   Информацию об установке веб-плагина Kaspersky Endpoint Security см. в справке Kaspersky Endpoint Security 11.7 и выше для Windows.

3. Выполнение шагов мастера миграции политик и задач

   Запустите мастер миграции политик и задач Kaspersky Security Center и выполните все шаги мастера.

   После завершения миграции убедитесь, что в политиках Kaspersky Endpoint Security для Windows указаны верные адреса серверов с программой Kaspersky Sandbox 2.0.

   Более подробную информацию о миграции с Kaspersky Endpoint Agent на Kaspersky Endpoint Security вы можете посмотреть в разделе Миграция конфигурации [KES+KEA] на [KES+встроенный агент] справки Kaspersky Endpoint Security для Windows.

4. Обновление Kaspersky Endpoint Security

   Обновите Kaspersky Endpoint Security до версии с поддержкой функциональности Kaspersky Sandbox 2.0 на устройствах, которые требуется защищать.

   Kaspersky Endpoint Security для Windows поддерживает интеграцию начиная с версии 11.7. Подробную информацию о поддерживаемых версиях программ см. в разделе Аппаратные и программные требования.

   Информацию об обновлении см. в справке Kaspersky Endpoint Security 11.7 и выше для Windows. Повторная активация программы после обновления не требуется.

Обновление решения при использовании EPP-программ без встроенной поддержки Kaspersky Sandbox

При использовании EPP-программ без встроенной поддержки Kaspersky Sandbox обновление решения Kaspersky Sandbox 2.0 включает в себя следующие этапы:

1. Обновление программы Kaspersky Sandbox

   В программе не предусмотрена стандартная процедура обновления. Вам требуется удалить программу версии 1.0 и установить программу версии 2.0.

2. Установка новой версии веб-плагинов

   Установите веб-плагины Kaspersky Sandbox и Kaspersky Endpoint Agent для Kaspersky Security Center Web Console с поддержкой функциональности Kaspersky Sandbox 2.0.

   Информацию об установке веб-плагина Kaspersky Endpoint Agent см. в справке Kaspersky Endpoint Agent 3.13 для Windows.

3. Обновление Kaspersky Endpoint Agent

   Обновите Kaspersky Endpoint Agent до версии с поддержкой функциональности Kaspersky Sandbox 2.0 на устройствах, которые требуется защищать.

   Информацию об обновлении см. в справке Kaspersky Endpoint Agent 3.13 для Windows. Повторная активация программы после обновления не требуется.

Лицензирование решения

Для работы решения Kaspersky Sandbox 2.0 требуется наличие лицензий для следующих программ:

• Kaspersky Sandbox.
• Kaspersky Security Center.
• Kaspersky Endpoint Security для Windows.
• Kaspersky Endpoint Agent.
• Kaspersky Security для виртуальных сред Легкий агент.

Конфигурации решения

Для решения Kaspersky Sandbox предусмотрены следующие конфигурации:

• Kaspersky Sandbox 1.0.

  Решение состоит из:

  • Программы Kaspersky Sandbox 1.0.
  • Программа Kaspersky Endpoint Agent версий 3.7–3.11 для Windows.
  • Программы EPP: Kaspersky Endpoint Security версий 11.2–11.6 для Windows, Kaspersky Security для Windows Server 11 и Kaspersky Security для виртуальных сред Легкий агент 5.2.
  • Программы Kaspersky Security Center версий 11, 12, 12.2.

    Подробнее о принципе работы решения Kaspersky Sandbox 1.0 см. в Справке Kaspersky Sandbox 1.0.

    Программа Kaspersky Sandbox 1.0 не поддерживает интеграцию с Kaspersky Endpoint Security 11.7 и выше для Windows.

• Kaspersky Sandbox 2.0.

  Решение состоит из:

  • Программы Kaspersky Sandbox 2.0.
  • Программы EPP со встроенной поддержкой Kaspersky Sandbox: Kaspersky Endpoint Security версии 11.7 и выше для Windows.
  • Программы EPP без встроенной поддержки Kaspersky Sandbox: Kaspersky Security для Windows Server 11.0.1, Kaspersky Security для виртуальных сред Легкий агент 5.2.
  • Kaspersky Endpoint Agent версии 3.13 для Windows.

    Программа обеспечивает поддержку Kaspersky Sandbox для EPP-программ, не имеющих встроенной поддержки решения.

  • Программы Kaspersky Security Center Web Console версии 13.2 и выше.

Решение Kaspersky Sandbox также может выполнять функцию компонента в составе решения Kaspersky Detection and Response Optimum. В этом случае для синхронных обнаружений Kaspersky Sandbox вы сможете открыть детали обнаружения, предоставляемые функциональностью Kaspersky Detection and Response Optimum. Подробнее о работе решения Kaspersky Detection and Response Optimum см. в справке решения.

При совместной работе разных версий Kaspersky Detection and Response Optimum и Kaspersky Sandbox внутри одной инфраструктуры требуется обеспечить отдельный сервер Kaspersky Sandbox версии 1.0 для рабочих станций, которые остаются под защитой Kaspersky Endpoint Detection and Response Optimum 1.1 и более ранних версий, и отдельный сервер Kaspersky Sandbox 2.0 для рабочих станций, которые работают под защитой Kaspersky Endpoint Detection and Response Optimum 2.0.

Если вы используете несколько серверов Kaspersky Sandbox, для увеличения производительности Kaspersky Sandbox вы можете объединить их в кластер. Версия программы Kaspersky Sandbox на объединяемых в кластер серверах должна совпадать.

О программе Kaspersky Sandbox

В этом разделе представлена информация о программе Kaspersky Sandbox 2.0.

Что нового

В программе Kaspersky Sandbox 2.0 появились следующие изменения:

1. Обновлен интерфейс программы.
2. Реализована возможность использовать программу по подписке.

   Подписка на Kaspersky Sandbox – это заказ на использование программы с выбранными параметрами (дата окончания подписки, количество защищаемых устройств).

3. Реализована возможность активировать программу с помощью кода активации.
4. Добавлены уведомления об устаревании антивирусных баз.

   Базы считаются устаревшими, если они не обновлялись более 14 дней. Уведомления отображаются в веб-интерфейсе Kaspersky Sandbox.

5. Реализована проверка объектов в операционной системе Windows 10 (64-разрядной) в дополнение к операционной системе Windows 7.

   Если виртуальная машина с образом Windows 10 установлена, Kaspersky Sandbox анализирует свойства файла и выбирает оптимальный для его проверки образ операционной системы.

6. Улучшен механизм обнаружения угроз.
7. Добавлена возможность управлять программой Kaspersky Sandbox с помощью веб-плагина Kaspersky Security Center Web Console.
8. Для программы Kaspersky Sandbox реализована поддержка мультитенантности.

   Мультитенантность дает возможность использовать программу для защиты инфраструктуры нескольких организаций одновременно. Для использования Kaspersky Sandbox в режиме мультитенантности требуется Kaspersky Security Center.

9. Реализована интеграция программы Kaspersky Sandbox с программой Kaspersky Endpoint Security для Windows.

Комплект поставки

В комплект поставки программы Kaspersky Sandbox входят следующие файлы:

1. Образ диска (файл с расширением iso) с установочными файлами операционной системы CentOS 7.9 и программы Kaspersky Sandbox, а также файл с информацией о стороннем коде, используемом в Kaspersky Sandbox.
2. Образы дисков (файлы с расширением iso) следующих операционных систем:
   • Windows 7 (64-разрядная).
   • Windows 10 (64-разрядная).

   Образы операционных систем поставляются с установленными программами, в которых Kaspersky Sandbox будет запускать файлы. Операционные системы и программы уже активированы.

3. Файл плагина управления Kaspersky Sandbox через Kaspersky Security Center Web Console.

Информацию о комплекте поставки программ Kaspersky Endpoint Security для Windows, Kaspersky Security для Windows Server, Kaspersky Security для виртуальных сред Легкий агент и Kaspersky Security Center см. в справке соответствующей программы.

Аппаратные и программные требования

Для развертывания программы на виртуальной платформе должен быть установлен гипервизор VMware ESXi версии 6.5, 6.7 или 7.0.

Для корректной работы программы в виртуальной среде необходимо установить для гипервизора актуальный патч.

Конфигурация серверов Kaspersky Sandbox зависит от объема данных, обрабатываемых программой, а также от пропускной способности канала связи.

Работа Kaspersky Sandbox не поддерживается на процессорах AMD.

Аппаратные и программные требования к физическому серверу Kaspersky Sandbox

Решение Kaspersky Sandbox поддерживает конфигурации физического сервера, приведенные в таблице ниже.

Поддерживаемые конфигурации решения Kaspersky Sandbox

Если вы хотите, например, вдвое увеличить производительность Kaspersky Sandbox (получать объекты от 500 рабочих станций или получать 150 объектов в час от внешних систем по API), вы можете объединить 2 сервера в кластер.

Аппаратные и программные требования к виртуальной машине с Kaspersky Sandbox

Программа Kaspersky Sandbox поддерживает следующую конфигурацию виртуальной машины:

• Процессор (CPU): 12 ядер (6 сокетов по 2 ядра) с частотой 2.2 ГГц и выше.
• Объем оперативной памяти (Memory): 32 ГБ.
• Объем жесткого диска: 600 ГБ.
• Два сетевых адаптера со скоростью передачи данных 1 Гбит/с.

Параметры виртуальной машины:

1. Установлен параметр Expose hardware assisted virtualization to the guest OS.
2. Установлен параметр High Latency Sensitivity.
3. Зарезервирована вся оперативная память (32 ГБ).
4. Зарезервирована вся частота процессора.

   Вы можете рассчитать всю частоту процессора по следующей формуле: 12 * <значение частоты в МГц>.

При настройке виртуальной машины вам требуется задать описанную выше конфигурацию. Допускается изменение только частоты процессора: вы можете задать частоту 2.2 ГГц и выше. Если при настройке виртуальной машины вы зададите конфигурацию, отличную от описанной, корректная установка и работа Kaspersky Sandbox не гарантируется.

Kaspersky Sandbox, установленный на виртуальную машину, может обрабатывать объекты не более чем от 250 рабочих станций, или 100 объектов в час, полученных по API.

Требования к пропускной способности канала связи между рабочими станциями с программой EPP и сервером Kaspersky Sandbox

Минимальные требования к каналу связи между рабочими станциями с программой Kaspersky Endpoint Security и сервером c программой Kaspersky Sandbox приведены в таблице ниже.

Минимальные требования к каналу связи между сервером Kaspersky Sandbox и рабочими станциями с программой EPP

Совместимость решения Kaspersky Sandbox версии 2.0 с другими программами

Программа Kaspersky Sandbox версии 2.0 поддерживает интеграцию со следующими программами "Лаборатории Касперского":

• Программы EPP:
  • Kaspersky Endpoint Security для Windows 11.7.0 и выше.
  • Kaspersky Security для Windows Server 11.0.1.
  • Kaspersky Security для виртуальных сред Легкий агент 5.2.
• Kaspersky Endpoint Agent версии 3.13 и выше для Windows.
• Kaspersky Security Center Windows версии 13.2 и выше.

  Рекомендуется использовать указанные выше версии Kaspersky Security Center. При использовании Kaspersky Security Center более старых версий функция автоматического создания задач поиска IOC будет недоступна.

  Для управления Kaspersky Sandbox 2.0 через Kaspersky Security Center Web Console вам требуется установить плагин управления Kaspersky Sandbox.

Ограничения текущей версии

В программе Kaspersky Sandbox версии 2.0 известны следующие ограничения:

1. В программе не предусмотрена стандартная процедура обновления. Вам требуется удалить программу версии 1.0 и установить программу версии 2.0.
2. При установке Kaspersky Sandbox на рабочую станцию с интерфейсом UEFI требуется отключить использование протокола Secure Boot. В противном случае программа не будет установлена.
3. Чтобы программа Kaspersky Sandbox была работоспособна и предоставляла возможность обрабатывать объекты, вам требуется установить виртуальную машину с образом Windows 7. Вы можете установить виртуальную машину только с образом Windows 7 или виртуальные машины с образами Windows 7 и Windows 10.

   При установке виртуальной машины только с образом Windows 10 программа Kaspersky Sandbox будет неработоспособна.

4. При интеграции Kaspersky Sandbox с внешними системами проверка объектов из внешних систем производится только в операционной системе Windows 7.
5. Обновление через Kaspersky Security Center Web Console не поддерживается.

Лицензирование программы

Этот раздел содержит информацию об основных понятиях, связанных с лицензированием программы Kaspersky Sandbox.

О лицензии

Лицензия – это ограниченное по времени право на использование программы, предоставляемое вам на основе Лицензионного соглашения.

Лицензия включает в себя право на получение следующих видов услуг:

• использование программы в соответствии с условиями Лицензионного соглашения;
• получение технической поддержки.

Лицензия предоставляется на количество серверов Kaspersky Sandbox и рабочих станций Kaspersky Endpoint Security, на которых вы планируете использовать решение Kaspersky Sandbox. Для расчета используйте таблицу масштабирования Kaspersky Sandbox.

Вы можете объединять серверы в кластеры.

Объем предоставляемых услуг и срок использования программы зависят от типа лицензии, по которой была активирована программа.

В Kaspersky Sandbox предусмотрены следующие типы лицензий:

• NFR (not for resale / не для перепродажи) – бесплатная лицензия на определенный период, предназначенная для ознакомления с программой и тестовых развертываний программы.
• Коммерческая – платная лицензия, предоставляемая при приобретении программы.

По истечении срока действия лицензии программа продолжает работу, но с ограниченной функциональностью. Чтобы использовать программу в режиме полной функциональности, вам нужно приобрести коммерческую лицензию или продлить срок действия коммерческой лицензии.

О Лицензионном соглашении

Лицензионное соглашение – это юридическое соглашение между вами и АО "Лаборатория Касперского", в котором указано, на каких условиях вы можете использовать решение Kaspersky Sandbox.

В лицензионном соглашении указано количество серверов Kaspersky Sandbox и рабочих станций Kaspersky Endpoint Security, на которых вы планируете использовать решение Kaspersky Sandbox.

Вы можете объединять серверы в кластеры.

Внимательно ознакомьтесь с условиями Лицензионного соглашения перед началом работы с программой.

Вы можете ознакомиться с условиями Лицензионного соглашения следующими способами:

• Во время установки Kaspersky Sandbox.
• В веб-интерфейсе программы в меню по ссылке Лицензионное соглашение и Политика конфиденциальности.

Вы принимаете условия Лицензионного соглашения, подтверждая свое согласие с текстом Лицензионного соглашения во время установки программы. Если вы не согласны с условиями Лицензионного соглашения, вы должны прервать установку программы и не должны использовать программу.

О лицензионном сертификате

Лицензионный сертификат – это документ, который передается вам вместе с файлом ключа или кодом активации.

В Лицензионном сертификате содержится следующая информация о предоставляемой лицензии:

• лицензионный ключ или номер заказа;
• информация о пользователе, которому предоставляется лицензия;
• информация о программе, которую можно активировать по предоставляемой лицензии;
• ограничение на количество единиц лицензирования (например, устройств, на которых можно использовать программу по предоставляемой лицензии);
• дата начала срока действия лицензии;
• дата окончания срока действия лицензии или срок действия лицензии;
• тип лицензии.

О подписке

Подписка на Kaspersky Sandbox – это заказ на использование программы с выбранными параметрами (дата окончания подписки, количество защищаемых устройств). Подписку на Kaspersky Sandbox можно зарегистрировать у поставщика услуг (например, у интернет-провайдера). Подписку можно продлевать вручную или в автоматическом режиме или отказаться от нее. Управление подпиской доступно на веб-сайте поставщика услуг.

Подписка может быть ограниченной (например, на один год) или неограниченной (без даты окончания). Для продолжения работы Kaspersky Sandbox после истечения ограниченной подписки вам нужно ее продлевать. Неограниченная подписка продлевается автоматически при условии своевременного внесения предоплаты поставщику услуг.

Если подписка ограничена, по ее истечении может предоставляться льготный период для продления подписки, в течение которого функциональность программы сохраняется. Наличие и длительность льготного периода определяет поставщик услуг.

Чтобы использовать Kaspersky Sandbox по подписке, вам нужно применить код активации, предоставленный поставщиком услуг. После применения кода активации добавляется активный ключ, определяющий лицензию на использование программы по подписке. Добавить резервный ключ по подписке невозможно.

Коды активации, приобретенные по подписке, не могут быть использованы для активации предыдущих версий Kaspersky Sandbox.

О ключе

Лицензионный ключ – последовательность бит, с помощью которой вы можете активировать и затем использовать программу в соответствии с условиями Лицензионного соглашения. Лицензионный ключ создается специалистами "Лаборатории Касперского".

Лицензионный ключ отображается в интерфейсе программы в виде уникальной буквенно-цифровой последовательности, после того как вы добавили его в программу.

Лицензионный ключ может быть заблокирован "Лабораторией Касперского", если условия Лицензионного соглашения нарушены. Если лицензионный ключ заблокирован, для работы программы требуется добавить другой лицензионный ключ.

О файле ключа

Файл ключа – это файл с расширением key, который вам предоставляет "Лаборатория Касперского". Файл ключа предназначен для добавления лицензионного ключа, активирующего программу.

Вы получаете файл ключа по указанному вами адресу электронной почты после приобретения программы или после заказа пробной версии программы.

Чтобы активировать программу с помощью файла ключа, не требуется подключение к серверам активации "Лаборатории Касперского".

Если файл ключа был случайно удален, вы можете его восстановить. Файл ключа может потребоваться вам, например, для регистрации в Kaspersky CompanyAccount.

Для восстановления файла ключа обратитесь к продавцу лицензии.

О коде активации

Код активации – это уникальная последовательность из двадцати латинских букв и цифр. Вы вводите код активации, чтобы добавить лицензионный ключ, активирующий Kaspersky Sandbox. Вы получаете код активации по указанному вами адресу электронной почты после приобретения Kaspersky Sandbox или после заказа пробной версии Kaspersky Sandbox.

Чтобы активировать программу с помощью кода активации, требуется доступ в интернет для подключения к серверам активации "Лаборатории Касперского". Если для серверов Kaspersky Sandbox ограничен или отсутствует доступ в интернет, вы можете активировать Kaspersky Sandbox с помощью кода активации, включив использование Kaspersky Security Center в качестве прокси-сервера для активации программы.

Если программа была активирована с помощью кода активации, после активации Kaspersky Sandbox отправляет раз в сутки запросы на серверы активации "Лаборатории Касперского" для проверки текущего статуса лицензии. Для отправки запросов требуется предоставить программе доступ в интернет. При необходимости вы можете принудительно обновить информацию о действующей лицензии.

Если код активации был потерян после активации программы, свяжитесь с партнером "Лаборатории Касперского", у которого вы приобрели лицензию.

Просмотр информации о лицензии в веб-интерфейсе

Чтобы просмотреть информацию о лицензии и добавленных ключах,

в веб-интерфейсе программы выберите раздел Параметры.

Отобразится следующая информация о лицензии и добавленных ключах:

• серийный номер лицензии;
• описание лицензии;
• дата окончания срока действия лицензии;
• количество дней до окончания срока действия лицензии.

За 30 дней до окончания срока действия лицензии в разделе Мониторинг появляется уведомление о необходимости продлить лицензию.

Просмотр текста Лицензионного соглашения и Политики конфиденциальности в веб-интерфейсе

Чтобы просмотреть текст Лицензионного соглашения в веб-интерфейсе Kaspersky Sandbox, выполните следующие действия:

1. В окне веб-интерфейса программы нажмите на кнопку в правой верхней части меню.

   Откроется окно с информацией о программе.

2. По ссылке Лицензионное соглашение и Политика конфиденциальности раскройте окно с текстом Лицензионного соглашения и Политики конфиденциальности программы.
3. Просмотрите текст Лицензионного соглашения и Политики конфиденциальности.
4. По окончании просмотра нажмите на кнопку .

Активация программы через веб-интерфейс

В этом разделе описаны инструкции для активации Kaspersky Sandbox локально из интерфейса программы.

Вы можете активировать Kaspersky Sandbox следующими способами:

• Добавить файл ключа.
• Добавить код активации.

При необходимости вы можете заменить или удалить лицензионный ключ.

Добавление файла ключа

Чтобы добавить файл ключа, выполните следующие действия:

1. В окне веб-интерфейса Kaspersky Sandbox выберите раздел Параметры.
2. В блоке параметров Лицензия нажмите на кнопку Добавить.

   Откроется окно Добавление лицензионного ключа.

3. В списке Тип лицензионного ключа выберите Файл ключа.
4. Добавьте файл ключа одним из следующих способов:
   • Нажмите на указанную область и выберите файл ключа в отобразившемся окне.
   • Перетащите файл ключа в указанную область.
5. Нажмите на кнопку Активировать.

Файл ключа будет добавлен в программу.

Вы также можете активировать программу с помощью кода активации.

Добавление кода активации

Чтобы добавить код активации, выполните следующие действия:

1. В окне веб-интерфейса Kaspersky Sandbox выберите раздел Параметры.
2. В блоке параметров Лицензия нажмите на кнопку Добавить.

   Откроется окно Добавление лицензионного ключа.

3. В списке Тип лицензионного ключа выберите Код активации.
4. Введите код активации в поле Код активации.
5. Нажмите на кнопку Активировать.

Код активации будет добавлен в программу.

Вы также можете активировать программу с помощью файла ключа.

Замена ключа

Чтобы заменить активный лицензионный ключ программы другим лицензионным ключом, выполните следующие действия:

1. В окне веб-интерфейса Kaspersky Sandbox выберите раздел Параметры.
2. В блоке параметров Лицензия нажмите на кнопку Заменить.

   Откроется окно Добавление лицензионного ключа.

3. В списке Тип лицензионного ключа выберите способ замены активного лицензионного ключа:
   • Код активации, если вы хотите заменить активный лицензионный ключ с помощью кода активации.
   • Файл ключа, если вы хотите заменить активный лицензионный ключ с помощью файла ключа.
4. Если вы выбрали замену активного лицензионного ключа с помощью кода активации, введите код активации в поле Код активации.
5. Если вы выбрали замену активного лицензионного ключа с помощью файл ключа, добавьте файл ключа одним из следующих способов:
   • Нажмите на указанную область и выберите файл ключа в отобразившемся окне.
   • Перетащите файл ключа в указанную область.
6. Нажмите на кнопку Активировать.

Загруженный лицензионный ключ заменит активный лицензионный ключ программы.

Удаление ключа

Чтобы удалить активный лицензионный ключ программы, выполните следующие действия:

1. В окне веб-интерфейса Kaspersky Sandbox выберите раздел Параметры.
2. В блоке параметров Лицензия нажмите на кнопку Отозвать.

   Откроется окно подтверждения действия.

3. Нажмите Удаление лицензионного ключа.

Ключ будет удален.

Если вы удалите активный ключ, вы не сможете использовать полную функциональность программы, пока не добавите новый ключ.

Обновление информации о действующей лицензии

Если программа была активирована с помощью кода активации, после активации Kaspersky Sandbox раз в сутки отправляет запросы на серверы активации "Лаборатории Касперского" для проверки текущего статуса лицензии. При необходимости вы можете принудительно обновить информацию о действующей лицензии.

Чтобы обновить информацию о действующей лицензии, выполните следующие действия:

1. В окне веб-интерфейса Kaspersky Sandbox выберите раздел Параметры.
2. В блоке параметров Лицензия нажмите на кнопку Обновить статус.

Информация о действующей лицензии будет обновлена.

Сценарий активации программы с использованием Kaspersky Security Center в качестве прокси-сервера

Если для серверов Kaspersky Sandbox ограничен или отсутствует доступ в интернет, вы можете активировать Kaspersky Sandbox с помощью кода активации, включив использование Kaspersky Security Center в качестве прокси-сервера для подключения к серверам активации "Лаборатории Касперского".

Активация Kaspersky Sandbox с использованием Kaspersky Security Center в качестве прокси-сервера для подключения к серверам активации состоит из следующих этапов:

1. Включение использования Kaspersky Security Center в качестве прокси-сервера для запросов к сервису активации.
2. Добавление кода активации.

Включение использования Kaspersky Security Center в качестве прокси-сервера для подключения к серверам активации

Чтобы включить использование Kaspersky Security Center в качестве прокси-сервера для подключения к серверам активации "Лаборатории Касперского", выполните следующие действия:

1. В окне веб-интерфейса Kaspersky Sandbox выберите раздел Соединение с KSC.
2. В поле Адрес сервера KSC введите адрес и порт сервера Kaspersky Security Center.
3. Установите флажок Использовать KSC в качестве прокси-сервера для активации.
4. Нажмите на кнопку Подключение.
5. Обновите страницу браузера.

Использование Kaspersky Security Center в качестве прокси-сервера для подключения к серверам активации "Лаборатории Касперского" будет включено.

Активация программы через Kaspersky Security Center Web Console

В этом разделе описаны инструкции по активации Kaspersky Sandbox удаленно с помощью Kaspersky Security Center Web Console путем создания и последующего запуска задачи добавления лицензионного ключа.

Добавление ключа

Чтобы добавить лицензионный ключ Kaspersky Sandbox через Kaspersky Security Center Web Console, выполните следующие действия:

1. В главном окне Web Console выберите папку Устройства → Задачи.
2. Нажмите на кнопку Добавить.

   Запустится мастер создания задачи.

3. В раскрывающемся списке Программа выберите KSB.
4. В раскрывающемся списке Тип задачи выберите Добавить ключ.
5. В поле Название задачи введите имя задачи.
6. В блоке Выбор устройств, которым будет назначена задача выберите область действия задачи.

   Выберите компьютеры, которым вы хотите назначить задачу. Доступны следующие способы:

   • Назначить задачу группе администрирования. В этом случае задача назначается компьютерам, входящим в ранее созданную группу администрирования.
   • Выбрать компьютеры, обнаруженные в сети Сервером администрирования, – нераспределенные устройства. В набор устройств вы можете включать как устройства в группах администрирования, так и нераспределенные устройства.
   • Задать адреса устройств вручную или импортировать из списка. Вы можете задавать NetBIOS-имена, IP-адреса, а также диапазоны IP-адресов устройств, которым нужно назначить задачу.

   Нажмите на кнопку Далее.

7. Выберите лицензию, по которой вы хотите активировать программу.

   Нажмите на кнопку Далее.

8. Выберите учетную запись для запуска задачи.

   Вы можете выбрать учетную запись по умолчанию или создать учетную запись:

   • Если вы выбрали учетную запись по умолчанию, задача будет запускаться под той же учетной записью, под которой была установлена и запущена программа, выполняющая эту задачу.
   • Если вы выбрали создание учетной записи, укажите данные учетной записи, под которой должна запускаться задача. Учетная запись должна иметь необходимые права для выполнения задачи.
9. Если вы хотите просмотреть свойства задачи сразу после создания, установите флажок Открыть окно свойств задачи после ее создания.
10. Нажмите на кнопку Готово.

Лицензионный ключ Kaspersky Sandbox будет добавлен. Программа Kaspersky Sandbox будет активирована.

Замена ключа

Если вы хотите заменить лицензионный ключ Kaspersky Sandbox через Kaspersky Security Center, вам нужно выполнить действия по добавлению лицензионного ключа.

Загруженный лицензионный ключ заменит активный лицензионный ключ программы.

Режимы работы программы в соответствии с лицензией

В Kaspersky Sandbox предусмотрены различные режимы работы программы в зависимости от добавленных ключей.

Без лицензии

В этом режиме программа работает с момента установки программы и запуска веб-интерфейса до тех пор, пока вы не добавите ключ.

В режиме Без лицензии действуют следующие ограничения:

• Не обновляются базы программы.
• Ограничен прием и обработка данных от Kaspersky Endpoint Security.

Коммерческая лицензия

В этом режиме программа обновляет базы, принимает и обрабатывает данные от Kaspersky Endpoint Security.

По истечении срока действия текущей лицензии программа прекращает обновление баз, прием и обработку данных от Kaspersky Endpoint Security.

Для возобновления работы программы необходимо заменить ключ или добавить новый ключ для коммерческой лицензии.

О предоставлении данных

Вы можете ознакомиться с перечнем данных и условиями их использования, а также дать согласие на обработку данных в следующих соглашениях между вашей организацией и "Лабораторией Касперского":

• В Лицензионных соглашениях программ Kaspersky Sandbox и Kaspersky Endpoint Security (например, при установке программы).

  Для активации каждой из программ Kaspersky Sandbox и Kaspersky Endpoint Security в составе решения Kaspersky Sandbox предусмотрены отдельные Лицензионные соглашения, входящие в комплекты поставки этих программ.

• В Положении о Kaspersky Security Network программы Kaspersky Endpoint Security.

  При использовании Kaspersky Security Network (далее также "KSN") в "Лабораторию Касперского" автоматически передается информация, полученная в результате работы Kaspersky Security Network. Перечень передаваемых данных указан в Положении о Kaspersky Security Network. Пользователь Kaspersky Endpoint Security самостоятельно принимает решение об участии в KSN.

  Полученная информация защищается "Лабораторией Касперского" в соответствии с установленными законом требованиями и действующими правилами "Лаборатории Касперского".

  "Лаборатория Касперского" использует полученную информацию только в обезличенном виде и в виде данных общей статистики. Данные общей статистики формируются автоматически из исходной полученной информации и не содержат персональных и иных конфиденциальных данных. Исходная полученная информация уничтожается по мере накопления (один раз в год). Данные общей статистики хранятся бессрочно.

Данные программы Kaspersky Sandbox

Если для активации Kaspersky Sandbox применяется код активации, с целью проверки правомерности использования программы вы соглашаетесь периодически передавать в автоматическом режиме в "Лабораторию Касперского" следующие данные:

• Идентификатор операционной системы, установленной на сервере.
• Идентификатор программы.
• Номер версии программы.
• Идентификатор локализации программы.
• Код активации.
• Cписок идентификаторов программ, совместимых с текущей версией программы.

Использование Kaspersky Security Network на серверах программы Kaspersky Sandbox не предусмотрено.

На серверах Kaspersky Sandbox хранятся файлы трассировки, конфигурационный файл и системные журналы.

Данные в файлах трассировки и системных журналах могут содержать следующую информацию:

• Локальное время на устройстве.
• Код активации (если для активации Kaspersky Sandbox применяется код активации).
• Данные о принятии условий Лицензионного соглашения.
• Имя учетной записи администратора сервера Kaspersky Sandbox.
• Идентификатор сессии.
• IP-адреса и имена хостов, обратившихся к серверам Kaspersky Sandbox.
• IP-адреса и имена серверов Kaspersky Sandbox, входящих в один кластер.
• IP-адрес и имя прокси-сервера.
• IP-адрес и имя сервера Kaspersky Security Center.
• IP-адреса и имена серверов обновлений.
• HTTP-заголовки обрабатываемых HTTP-сообщений.
• Имена и хеш-коды файлов, отправленных на проверку.
• Результаты проверки файлов.

Данные в конфигурационном файле содержат следующую информацию:

• Хеш пароля учетной записи администратора.
• Уникальный идентификатор файла ключа лицензии.

При работе с системным журналом Kaspersky Sandbox возможен следующий сценарий передачи данных Kaspersky Sandbox в "Лабораторию Касперского":

1. Администратор Kaspersky Sandbox загружает системный журнал Kaspersky Sandbox на жесткий диск компьютера, на котором он работает в веб-интерфейсе Kaspersky Sandbox.
2. Администратор Kaspersky Sandbox отправляет файл системного журнала в Службу технической поддержки "Лаборатории Касперского".

Администратор Kaspersky Sandbox самостоятельно принимает решение о безопасности передачи имен хостов рабочих станций с программой Kaspersky Endpoint Security в Службу технической поддержки "Лаборатории Касперского".

Данные программы Kaspersky Endpoint Agent

Подробную информацию о данных, которые передает в "Лабораторию Касперского" программа Kaspersky Endpoint Agent 3.13, вы можете посмотреть в разделе "Предоставление данных" в справке Kaspersky Endpoint Agent 3.13.

Данные программ EPP

Подробную информацию о данных, которые передают в "Лабораторию Касперского" программы EPP, вы можете посмотреть в разделе "Предоставление данных" следующих справок:

• Для Kaspersky Endpoint Security для Windows в справке Kaspersky Endpoint Security для Windows 11.7 и выше.
• Для Kaspersky Security для Windows Server 11.0.1 в справке Kaspersky Security для Windows Server 11.0.1.
• Для Kaspersky Security для виртуальных сред Легкий агент 5.2 в справке Kaspersky Security для виртуальных сред Легкий агент 5.2.

Установка и первоначальная настройка решения

В этом разделе содержатся инструкции по установке и первоначальной настройке Kaspersky Sandbox.

Подготовка IT-инфраструктуры к установке Kaspersky Sandbox

Перед установкой программы подготовьте IT-инфраструктуру вашей организации:

1. Убедитесь, что серверы, а также компьютер, предназначенный для работы с веб-интерфейсом программы, и рабочие станции, на которых устанавливается программы EPP, удовлетворяют аппаратным и программным требованиям.
2. Произведите следующую предварительную подготовку IT-инфраструктуры организации к установке Kaspersky Sandbox:
   1. Для обоих сетевых интерфейсов запретите доступ сервера Kaspersky Sandbox в локальную сеть организации для обеспечения безопасности сети от анализируемых объектов.
   2. Для первого сетевого интерфейса разрешите доступ сервера Kaspersky Sandbox в интернет для анализа поведения объектов.
   3. Для второго сетевого интерфейса:

      Разрешите входящее соединение сервера Kaspersky Sandbox на следующие порты:

      • TCP 22 для подключения к серверу по протоколу SSH.
      • TCP 80 и 8443 для использования веб-интерфейса программы.
      • TCP 443 для взаимодействия с внешними системами с помощью интерфейса REST API, добавления серверов в кластер, получения задач на обработку объектов от Kaspersky Endpoint Security или Kaspersky Endpoint Agent, балансировки задач на обработку объектов между серверами кластера.
      • TCP 3301 для синхронизации данных об обработанных объектах между серверами кластера.
      • UDP 15000 для взаимодействия с агентом администрирования (nagent) Kaspersky Security Center.

      Разрешите исходящее соединение сервера Kaspersky Sandbox на следующие порты:

      • TCP 443 и 80 для обновления баз.
      • TCP 13000 и 14000 для синхронизации данных с агентом администрирования (nagent) Kaspersky Security Center. Порты настраиваются на стороне Kaspersky Security Center. TCP 13000 и 14000 – значения по умолчанию, вы можете их изменить.
3. Разрешите входящее соединение рабочих станций, на которых устанавливается Kaspersky Endpoint Security или Kaspersky Endpoint Agent, и сервера Kaspersky Sandbox напрямую, без использования прокси-сервера.
4. Разрешите на сетевом оборудовании шифрованный канал связи между серверами Kaspersky Sandbox.

При необходимости вы можете назначить другие порты для работы Kaspersky Sandbox в меню администратора сервера Kaspersky Sandbox. При изменении портов в меню администратора вам нужно разрешить соединения на эти порты внутри IT-инфраструктуры вашей организации.

Подготовка Kaspersky Sandbox к работе в виртуальной инфраструктуре

Kaspersky Sandbox, установленный на виртуальную машину, может обрабатывать объекты от 250 рабочих станций, или 100 объектов в час, полученных по API. Для развертывания программы на виртуальной платформе должен быть установлен гипервизор VMware ESXi версии 6.5.0 или 6.7.0.

Для корректной работы программы в виртуальной среде необходимо установить для гипервизора актуальный патч.

При установке Kaspersky Sandbox на виртуальную машину настройте следующую конфигурацию для виртуальной машины:

• Процессор (CPU): 12 ядер (6 сокетов по 2 ядра) с частотой 2.2 ГГц и выше.
• Объем оперативной памяти (Memory): 32 ГБ.
• Объем жесткого диска: 600 ГБ.
• Два сетевых адаптера со скоростью передачи данных 1 Гбит/с.

Параметры виртуальной машины:

1. Установлен параметр Expose hardware assisted virtualization to the guest OS.
2. Установлен параметр High Latency Sensitivity.
3. Зарезервирована вся оперативная память (32 ГБ).
4. Зарезервирована вся частота процессора.

   Вы можете рассчитать всю частоту процессора по следующей формуле: 12 * <значение частоты в МГц>.

При настройке виртуальной машины вам требуется задать описанную выше конфигурацию. Допускается изменение только частоты процессора: вы можете задать частоту 2.2 ГГц и выше. Если при настройке виртуальной машины вы зададите конфигурацию, отличную от описанной, корректная установка и работа Kaspersky Sandbox не гарантируется.

Клонирование виртуальных машин не поддерживается.

Подробнее о работе с гипервизором VMware ESXi см. в документации VMware ESXi.

Порядок установки и настройки программ решения при использовании EPP-программ со встроенной поддержкой Kaspersky Sandbox

Выполняйте действия по установке и настройке программ решения в следующем порядке:

1. Установите образ диска с Kaspersky Sandbox
2. Выполните первоначальную настройку Kaspersky Sandbox через веб-интерфейс
3. Установите образы дисков операционных систем Microsoft Windows 7, Microsoft Windows 10 и программ для работы Kaspersky Sandbox
4. Установите Kaspersky Security Center
5. Настройте интеграцию Kaspersky Sandbox с Kaspersky Security Center
6. Установите Kaspersky Endpoint Security на рабочих станциях, входящих в IT-инфраструктуру организации
7. Установите веб-плагин управления Kaspersky Sandbox и Kaspersky Endpoint Security в Kaspersky Security Center Web Console
8. Настройте интеграцию Kaspersky Endpoint Security с Kaspersky Sandbox
9. Настройте остальные параметры Kaspersky Sandbox
10. Настройте политики Kaspersky Endpoint Security в Kaspersky Security Center Web Console

Порядок установки и настройки программ решения при использовании EPP-программ без встроенной поддержки Kaspersky Sandbox

Выполняйте действия по установке и настройке программ решения в следующем порядке:

1. Установите образ диска с Kaspersky Sandbox
2. Выполните первоначальную настройку Kaspersky Sandbox через веб-интерфейс
3. Установите образы дисков операционных систем Microsoft Windows 7, Microsoft Windows 10 и программ для работы Kaspersky Sandbox
4. Установите Kaspersky Security Center

   Подробную информацию об установке Kaspersky Security Center см. в Справке Kaspersky Security Center.

5. Настройте интеграцию Kaspersky Sandbox с Kaspersky Security Center
6. Настройте состав компонентов EPP-программы:
   • Установите Kaspersky Security 11.0.1 для Windows Server и Kaspersky Endpoint Agent.

     Kaspersky Endpoint Agent входит в комплект поставки Kaspersky Security 11.0.1 для Windows Server. Вы можете установить Kaspersky Endpoint Agent совместно с Kaspersky Security 11.0.1 для Windows Server или с помощью изменения состава компонентов Kaspersky Security 11.0.1 для Windows Server.

     Подробную информацию об установке и изменении состава компонентов Kaspersky Security для Windows Server см. в cправке Kaspersky Security 11.0.1 для Windows Server.

   • Установите Kaspersky Security для виртуальных сред 5.2 Легкий агент и Kaspersky Endpoint Agent.

     Подробную информацию об установке и изменении состава компонентов Kaspersky Security для виртуальных сред 5.2 Легкий агент см. в cправке Kaspersky Security для виртуальных сред 5.2 Легкий агент.

     Вы можете установить программу Kaspersky Endpoint Agent на виртуальную машину с установленным компонентом Легкий агент для Windows. Подробную информацию см. в cправке Kaspersky Security для виртуальных сред 5.2 Легкий агент.

   Программу Kaspersky Endpoint Agent версии 3.11 невозможно установить в составе EPP-программы. Для работы Kaspersky Endpoint Agent версии 3.11 в составе решения Kaspersky Sandbox необходимо установить Kaspersky Endpoint Agent версии 3.10 в составе EPP-программы и затем обновить Kaspersky Endpoint Agent до версии 3.11.

7. Установите плагин управления Kaspersky Sandbox и Kaspersky Endpoint Agent в KSC
8. Настройте интеграцию Kaspersky Endpoint Agent с Kaspersky Sandbox
9. Настройте остальные параметры Kaspersky Sandbox
10. Настройте политики Kaspersky Endpoint Agent в KSC

Установка программы Kaspersky Sandbox

Этот раздел представляет собой пошаговую инструкцию по установке программы Kaspersky Sandbox.

При установке Kaspersky Sandbox на рабочей станции с интерфейсом UEFI требуется отключить использование протокола Secure Boot. В противном случае программа не будет установлена.

Настоятельно не рекомендуется открывать общий доступ к диску, на который установлена программа Kaspersky Sandbox. Операционная система на рабочей станции должна быть однопользовательской.

Проверка цифровой подписи

В комплект поставки Kaspersky Sandbox входят цифровые подписи установочных файлов в виде отдельных файлов с расширением .sig:

• ksb_2.0.0.500.x86_64_en_ru.iso.sig
• sandbox-images-win7_x64-1.0.0.21167-vl.x86_64.iso.sig
• sandbox-images-win10_x64-1.1.0.18829-vl.x86_64.iso.sig

Вы можете запросить открытый ключ OpenPGP Kaspersky Research Sandbox (сертификат ksb.crt.pgp) на сайте Технической поддержки и проверить с помощью него цифровые подписи установочных файлов.

Чтобы проверить подпись с помощью GnuPG,

выполните следующую команду:

gpg --no-default-keyring --keyring ./ksb.crt.pgp --verify ./ksb_2.0.0.500.x86_64_en_ru.iso.sig ./ksb_2.0.0.500.x86_64_en_ru.iso

Шаг 1. Начало установки программы Kaspersky Sandbox и выбор языка для просмотра Лицензионных соглашений

Чтобы приступить к установке Kaspersky Sandbox и выбрать язык для просмотра Лицензионных соглашений, выполните следующие действия:

1. Запустите образ диска Kaspersky Sandbox.

   Запустится мастер установки.

2. Выберите Install Kaspersky Sandbox <версия программы>.
3. В открывшемся окне нажмите на кнопку ENTER.

   Откроется окно выбора языка для просмотра Лицензионных соглашений.

4. Выберите язык, на котором вы хотите просмотреть Лицензионные соглашения: русский или английский.
5. Нажмите на кнопку Продолжить.

   Мастер установки перейдет к следующему шагу.

Шаг 2. Просмотр Лицензионного соглашения Kaspersky Sandbox и Политики конфиденциальности

Для продолжения установки вам нужно ознакомиться с Лицензионным соглашением Kaspersky Sandbox и Политикой конфиденциальности и принять их условия. Если условия Лицензионного соглашения и Политики конфиденциальности не приняты, установка не выполняется.

Чтобы принять условия Лицензионного соглашения Kaspersky Sandbox и Политики конфиденциальности, выполните следующие действия:

1. Ознакомьтесь с Лицензионным соглашением и Политикой конфиденциальности.
2. Если вы принимаете условия Лицензионного соглашения и Политики конфиденциальности, установите флажок I accept the terms.
3. Нажмите на кнопку Продолжить.

   Мастер установки перейдет к следующему шагу.

Шаг 3. Просмотр Лицензионного соглашения Microsoft

Для продолжения установки вам нужно ознакомиться с Лицензионным соглашением Microsoft и принять его условия. Если условия Лицензионного соглашения не приняты, установка не выполняется.

Чтобы принять условия Лицензионного соглашения Microsoft, выполните следующие действия:

1. Ознакомьтесь с Лицензионным соглашением.
2. Если вы принимаете условия Лицензионного соглашения, установите флажок I accept the terms.
3. Нажмите на кнопку Продолжить.

   Мастер установки перейдет к следующему шагу.

Шаг 4. Просмотр Лицензионного соглашения Adobe

Для продолжения установки вам нужно ознакомиться с Лицензионным соглашением Adobe и принять его условия. Если условия Лицензионного соглашения не приняты, установка не выполняется.

Чтобы принять условия Лицензионного соглашения Adobe, выполните следующие действия:

1. Ознакомьтесь с Лицензионным соглашением.
2. Если вы принимаете условия Лицензионного соглашения, установите флажок I accept the terms.
3. Нажмите на кнопку Продолжить.

   Вы перейдете в меню Обзор установки.

Шаг 5. Настройка основных параметров Kaspersky Sandbox

Для продолжения установки вам требуется настроить основные параметры Kaspersky Sandbox:

1. Создать учетную запись администратора для работы в веб-интерфейсе программы и в консоли управления сервером Kaspersky Sandbox.
2. Настроить дату и время сервера.
3. Выбрать диск для установки Kaspersky Sandbox.
4. Задать параметры управляющего сетевого интерфейса.

После того, как все параметры, отмеченные знаком , будут настроены, нажмите на кнопку Начать установку.

Создание учетной записи администратора Kaspersky Sandbox

Чтобы создать учетную запись администратора Kaspersky Sandbox, выполните следующие действия:

1. В меню Обзор установки выберите раздел Параметры доступа.
2. В поле Учетная запись администратора введите имя учетной записи администратора. По умолчанию используется учетная запись admin.

3. В поле Пароль введите пароль учетной записи администратора.

   Пароль должен удовлетворять следующим требованиям:

   • должен содержать минимум 8 символов;
   • должен содержать только символы латиницы, цифры или специальные символы;
   • должен содержать символы минимум трех типов:
     • символ верхнего регистра (A-Z);
     • символ нижнего регистра (a-z);
     • цифру;
     • специальный символ;
   • не должен совпадать с именем пользователя.
4. В поле Подтвердите пароль введите пароль повторно.
5. Нажмите на кнопку Готово.

Настройка даты и времени сервера

Чтобы настроить дату и время сервера, выполните следующие действия:

1. В меню Обзор установки выберите раздел Дата и время.
2. В раскрывающемся списке Регион выберите страну физического местоположения сервера.
3. В раскрывающемся списке Город выберите город физического местоположения сервера.

   Вы можете указать страну и город, выбрав нужный регион на карте под раскрывающимися списками.

4. Настройте синхронизацию с
   NTP-серверами

   Сервер точного времени, использующий протокол Network Time Protocol.

   :
   1. Нажмите на кнопку .

      Откроется окно Выбор серверов NTP.

   2. Установите флажок напротив NTP-сервера, с которым вы хотите настроить синхронизацию.

      Если в списке NTP-серверов отсутствует нужный сервер, введите имя сервера в поле Выбор серверов NTP и нажмите на кнопку . Добавленный NTP-сервер отобразится в списке серверов.

   3. Нажмите на кнопку Ок.
   4. Включите переключатель Сетевое время.
5. Если синхронизация с NTP-серверами выключена, укажите дату и время сервера вручную:
   1. Выберите один из вариантов формата времени: 24-часовой формат или AM/PM.
   2. Если вы выбрали AM/PM, установите интервал, используя кнопки и .
   3. Укажите текущее время, используя кнопки и .
   4. В раскрывающихся списках в правой части экрана выберите текущую дату.
6. Нажмите на кнопку Готово.

Дата и время сервера будут настроены.

Выбор диска для установки Kaspersky Sandbox

На этом шаге выберите физический диск для установки Kaspersky Sandbox.

Чтобы выбрать диск для установки Kaspersky Sandbox, выполните следующие действия:

1. В меню Обзор установки выберите раздел Расположение установки.
2. В окне Место установки в списке дисков выберите диск.
3. Нажмите на кнопку Готово.

   Диск будет выбран. Откроется меню Обзор установки.

Настройка управляющего сетевого интерфейса

Чтобы настроить управляющий сетевой интерфейс, выполните следующие действия:

1. В меню Обзор установки выберите раздел Управляющий интерфейс.
2. В списке сетевых интерфейсов выберите сетевой интерфейс, который вы хотите использовать в качестве управляющего.
3. В поле Имя узла введите полное доменное имя сервера и нажмите на кнопку Применить.

   Введите полное доменное имя (FQDN) сервера, например: host.domain.com или host.domain.subdomain.com.

4. Нажмите на кнопку Настроить и настройте параметры сетевого интерфейса:
   1. В поле Название соединения укажите название соединения.
   2. Укажите IP-адрес, маску сети и IP-адрес шлюза.

      В блоке параметров Адреса нажмите на кнопку Добавить и выполните следующие действия:

      1. В поле Адрес введите IP-адрес, который вы хотите назначить этому сетевому интерфейсу.
      2. В поле Маска сети введите маску сети, в которой вы хотите использовать этот сетевой интерфейс.
      3. В поле Шлюз введите IP-адрес шлюза по умолчанию.
   3. В поле Серверы DNS введите IPv4-адрес основного DNS-сервера.

      Вы можете указать несколько адресов через запятую.

   4. При необходимости в поле Поисковый домен задайте доменное имя для быстрого доступа к серверу.
   5. Если вы хотите использовать для этого соединения только IPv4, установите флажок Требовать адресацию IPv4 для этого соединения.

      По умолчанию флажок снят. Включать использование только адресации IPv4 для этого соединения не рекомендуется.

   6. Задайте параметры для статического сетевого маршрута.
      1. Нажмите на кнопку Маршруты.
      2. Нажмите на кнопку Добавить и выполните следующие действия:
         1. В поле Адрес введите префикс подсети.
         2. В поле Маска сети введите маску подсети.
         3. В поле Шлюз введите IP-адрес шлюза по умолчанию.
         4. В поле Метрика укажите значение метрики сети.
         5. Установите флажок Использовать это соединение только для ресурсов в этой сети, если вы хотите настроить соединение только для рабочих станций, принадлежащих сети.

            По умолчанию флажок снят. Включать использование соединения только для ресурсов в выбранной сети не рекомендуется.

      3. Нажмите на кнопку Ок.
5. Нажмите на кнопку Сохранить.
6. Переместите переключатель Ethernet в положение включено.
7. Нажмите на кнопку Готово.

Управляющий сетевой интерфейс будет настроен.

Шаг 6. Завершение установки Kaspersky Sandbox

Чтобы завершить установку Kaspersky Sandbox,

нажмите на кнопку Перезагрузить.

Сервер будет перезагружен. В открывшемся после перезагрузки сервера окне отобразится URL-адрес сервера Kaspersky Sandbox, по которому вы можете войти в веб-интерфейс программы и выполнить настройку Kaspersky Sandbox.

Масштабирование Kaspersky Sandbox

Для достижения и сохранения оптимальной производительности при различных условиях работы решения Kaspersky Sandbox требуется учитывать количество устройств в сети, топологию сети и необходимую вам функциональность решения.

Вы можете выбрать оптимальную конфигурацию решения, используя таблицу ниже.

Поддерживаемые конфигурации решения Kaspersky Sandbox

Если вы хотите, например, вдвое увеличить производительность Kaspersky Sandbox (получать объекты от 500 рабочих станций или получать 150 объектов в час от внешних систем по API), вы можете объединить 2 сервера в кластер.

Программа Kaspersky Endpoint Security может быть установлена на терминальный сервер, файловый сервер или в сетевое хранилище (NAS).

Если программа Kaspersky Endpoint Security установлена на терминальный сервер, расчет создаваемой Kaspersky Endpoint Security нагрузки выполняется следующим образом: одна программа Kaspersky Endpoint Security на терминальном сервере, обслуживающем X пользователей, дает такую же нагрузку, как X программ Kaspersky Endpoint Security на рабочей станции (X пользователей = X программ Kaspersky Endpoint Security).

Если программа Kaspersky Endpoint Security установлена на файловый сервер или в сетевое хранилище, расчет создаваемой Kaspersky Endpoint Security нагрузки выполняется следующим образом: одна программа Kaspersky Endpoint Security на файловом сервере или в сетевом хранилище дает такую же нагрузку, как 20 программ Kaspersky Endpoint Security на рабочей станции.

Конфигурация виртуальной машины

Программа Kaspersky Sandbox поддерживает следующую конфигурацию виртуальной машины:

• Процессор (CPU): 12 ядер (6 сокетов по 2 ядра) с частотой 2.2 ГГц и выше.
• Объем оперативной памяти (Memory): 32 ГБ.
• Объем жесткого диска: 600 ГБ.
• Два сетевых адаптера со скоростью передачи данных 1 Гбит/с.

  Параметры виртуальной машины:

1. Установлен параметр Expose hardware assisted virtualization to the guest OS.
2. Установлен параметр High Latency Sensitivity.
3. Зарезервирована вся оперативная память (32 ГБ).
4. Зарезервирована вся частота процессора.

   Вы можете рассчитать всю частоту процессора по следующей формуле: 12 * <значение частоты в МГц>.

При настройке виртуальной машины вам требуется задать описанную выше конфигурацию. Допускается изменение только частоты процессора: вы можете задать частоту 2.2 ГГц и выше. Если при настройке виртуальной машины вы зададите конфигурацию, отличную от описанной, корректная установка и работа Kaspersky Sandbox не гарантируется.

Kaspersky Sandbox, установленный на виртуальную машину, может обрабатывать объекты не более чем от 250 рабочих станций, или 100 объектов в час, полученных по API.

Начало работы с программой Kaspersky Sandbox

Этот раздел содержит информацию о том, как начать работу с программой Kaspersky Sandbox в веб-интерфейсе и в режиме Technical Support Mode.

Управление параметрами программы Kaspersky Sandbox осуществляется через веб-интерфейс Kaspersky Sandbox и через Kaspersky Security Center.

При неполадках в работе программы специалисты Службы технической поддержки могут попросить вас в отладочных целях выполнить действия в меню администратора Kaspersky Sandbox или в режиме Technical Support Mode.

Например, вас могут попросить выполнить следующие действия:

• Активировать функциональность получения расширенной диагностической информации.
• Дополнительно настроить отдельные компоненты программы, недоступные для изменения стандартными средствами пользовательского интерфейса.
• Изменить параметры хранения и отправки получаемой диагностической информации.
• Настроить перехват и сохранение в файл сетевого трафика.

Вся информация, необходимая для выполнения перечисленных действий (описание последовательности шагов, изменяемые параметры, конфигурационные файлы, скрипты, дополнительные возможности командной строки, отладочные модули, специализированные утилиты и т.д.), а также состав данных, собираемых в отладочных целях, будут озвучены вам специалистами Службы технической поддержки. Собранная расширенная диагностическая информация сохраняется на компьютере пользователя. Автоматическая пересылка собранных данных в "Лабораторию Касперского" не выполняется.

Перечисленные выше действия должны выполняться только под руководством специалистов Службы технической поддержки по полученным от них инструкциям. Самостоятельное изменение параметров работы программы способами, не описанными в документации программы или в рекомендациях специалистов Службы технической поддержки, может привести к замедлению и сбоям в работе операционной системы, снижению уровня защиты компьютеров, а также к нарушению доступности и целостности обрабатываемой информации.

Начало работы в веб-интерфейсе Kaspersky Sandbox

Веб-интерфейс Kaspersky Sandbox расположен на том сервере, на который вы установили программу.

Веб-интерфейс Kaspersky Sandbox защищен от CSRF-атак и работает только в том случае, если браузер пользователя веб-интерфейса программы предоставляет заголовок Referrer HTTP-запроса POST. Убедитесь, что браузер, который вы используете для работы с веб-интерфейсом Kaspersky Sandbox, не модифицирует заголовок Referrer HTTP-запроса POST. Если соединение с веб-интерфейсом Kaspersky Sandbox осуществляется через прокси-сервер вашей организации, убедитесь, что прокси-сервер не модифицирует заголовок Referrer HTTP-запроса POST.

Чтобы начать работу в веб-интерфейсе Kaspersky Sandbox, выполните следующие действия:

1. В браузере на любом компьютере, на котором разрешен доступ к серверу Kaspersky Sandbox, введите IP-адрес сервера, отобразившийся на заключительном шаге установки программы.

   Откроется окно ввода учетных данных пользователя Kaspersky Sandbox.

2. Введите имя пользователя и пароль доступа к веб-интерфейсу программы, которые вы задали при установке программы.

Вы можете начать работу в веб-интерфейсе Kaspersky Sandbox.

Начало работы в меню администратора Kaspersky Sandbox

Вы можете работать с параметрами Kaspersky Sandbox в меню администратора в консоли управления каждого сервера, на котором установлена программа.

Чтобы начать работу в меню администратора Kaspersky Sandbox в консоли управления сервером Kaspersky Sandbox, выполните следующие действия:

1. Войдите в консоль управления того сервера, параметры которого вы хотите изменить, по протоколу SSH или через терминал.
2. В ответ на приглашение системы введите имя учетной записи администратора и пароль, заданный при установке программы (Установка и первоначальная настройка решения, Создание учетной записи администратора Kaspersky Sandbox).

   Отобразится меню администратора программы.

Вы можете начать работу в меню администратора программы.

Начало работы с Kaspersky Sandbox в режиме Technical Support Mode

Не рекомендуется выполнять действия с Kaspersky Sandbox в режиме Technical Support Mode без консультации или указаний сотрудников Службы технической поддержки.

Режим Technical Support Mode предоставляет администратору Kaspersky Sandbox неограниченные права (root) доступа к программе и всем данным (в том числе персональным), которые в ней хранятся.

Работа c Kaspersky Sandbox из консоли управления в режиме Technical Support Mode с правами учетной записи суперпользователя позволяет выполнять следующие действия:

• Управлять параметрами работы программы с помощью конфигурационных файлов.

  При этом могут быть изменены параметры шифрования данных при передаче между серверами программы, параметры хранения и обработки объектов проверки.

  В этом случае данные передаются в открытом виде. Администратору Kaspersky Sandbox необходимо обеспечить безопасность серверов с этими данными самостоятельно. Администратор Kaspersky Sandbox несет ответственность за изменение конфигурационных файлов программы.

• Управлять параметрами журнала трассировки.

  Файлы трассировки могут содержать конфиденциальные данные пользователя.

Чтобы начать работу с программой в режиме Technical Support Mode, выполните следующие действия:

1. Войдите в консоль управления того сервера, параметры которого вы хотите изменить, по протоколу SSH или через терминал.
2. В ответ на приглашение системы введите имя учетной записи администратора и пароль, заданный при установке программы (Установка и первоначальная настройка решения, Создание учетной записи администратора Kaspersky Sandbox).

   Отобразится меню администратора компонента программы.

3. В меню администратора программы выберите режим Technical Support Mode.
4. Нажмите на клавишу Enter.

   Отобразится окно подтверждения входа в режим Technical Support Mode.

5. Если вы действительно хотите выполнять действия с программой в режиме Technical Support Mode, выберите Yes и нажмите на клавишу Enter.

Управление программой Kaspersky Sandbox через веб-интерфейс

Веб-интерфейс Kaspersky Sandbox защищен от CSRF-атак и работает только в том случае, если браузер пользователя веб-интерфейса предоставляет заголовок Referrer HTTP-запроса POST. Убедитесь, что браузер, который вы используете для работы с веб-интерфейсом Sandbox, не модифицирует заголовок Referrer HTTP-запроса POST. Если соединение с веб-интерфейсом осуществляется через прокси-сервер вашей организации, проверьте параметры и убедитесь, что прокси-сервер не модифицирует заголовок Referrer HTTP-запроса POST.

Чтобы начать работу в веб-интерфейсе Kaspersky Sandbox, выполните следующие действия:

1. В браузере на любом компьютере, на котором разрешен доступ к серверу Kaspersky Sandbox, введите IP-адрес сервера Kaspersky Sandbox.

   Откроется окно ввода учетных данных администратора Kaspersky Sandbox.

2. Введите имя пользователя и пароль администратора Kaspersky Sandbox, который вы задали при установке программы.

Вы можете начать работу в веб-интерфейсе программы.

Первоначальная настройка программы

Первоначальная настройка программы представляет собой последовательность шагов. Мастер первоначальной настройки программы запускается автоматически после первого входа в веб-интерфейс.

Вы можете пропустить шаги первоначальной настройки программы и выполнить настройку позднее.

Настройка интеграции с Kaspersky Security Center

Чтобы настроить интеграцию с Kaspersky Security Center, выполните следующие действия:

1. В окне веб-интерфейса Kaspersky Sandbox выберите раздел Соединение с KSC.
2. В поле Адрес сервера KSC введите адрес и порт сервера Kaspersky Security Center.
3. Если вы хотите установить доверенное соединение с сервером Kaspersky Security Center, установите флажок Использовать TLS-шифрование.
4. Если вы хотите использовать Kaspersky Security Center в качестве прокси-сервера для подключения к серверам активации "Лаборатории Касперского", установите флажок Использовать KSC в качестве прокси-сервера для активации.Нажмите на кнопку Далее в нижней части окна.

   Мастер первоначальной настройки перейдет к следующему шагу.

Вы можете пропустить этот шаг и подключиться к Kaspersky Security Center позднее через веб-интерфейс Kaspersky Sandbox.

Вам также понадобится настроить интеграцию на стороне Kaspersky Security Center через Kaspersky Security Center Web Console.

Чтобы настроить интеграцию с Kaspersky Sandbox на стороне Kaspersky Security Center, выполните следующие действия:

1. В главном окне Web Console перейдите в раздел Обнаружение устройств → Нераспределенные устройства.
2. Установите флажок рядом с названием сервера Kaspersky Sandbox.

   Вы можете выбрать несколько серверов.

3. Нажмите на кнопку Переместить в группу в верхней части таблицы.

   Откроется окно Переместить в группу.

4. Выберите группу устройств Kaspersky Security Center Web Console, с которыми вы хотите работать в Kaspersky Sandbox и нажмите на кнопку Переместить.

   Например, вы можете выбрать группу Управляемые устройства, создать новую группу в группе Управляемые устройства и поместить сервер Kaspersky Sandbox в созданную группу.

Kaspersky Security Center Web Console отображает устройства, с которыми настроена интеграция, в группах управляемых устройств. Статусы работоспособности этих устройств отображаются на панели мониторинга. Если в работе этих устройств возникают проблемы, Kaspersky Security Center Web Console отображает статусы Критический или Предупреждение для привлечения внимания администратора.

Поскольку сервер Kaspersky Sandbox не является стандартной рабочей станцией, управляемой через KSC, требуется отдельно настроить отображение статусов устройств Kaspersky Sandbox в Kaspersky Security Center Web Console.

Для корректного отображения статусов устройств Kaspersky Sandbox в KSC необходимо поместить серверы Kaspersky Sandbox в отдельную группу управляемых устройств.

Сервер Kaspersky Sandbox отобразится в списке устройств группы устройств.

Интеграция Kaspersky Sandbox с Kaspersky Security Center будет настроена.

Добавление лицензионного ключа

Чтобы добавить лицензионный ключ, выполните следующие действия:

1. Нажмите на кнопку Добавить.

   Откроется окно Добавление лицензионного ключа.

2. В списке Тип лицензионного ключа выберите способ добавления лицензионного ключа:
   • Код активации, если вы хотите добавить лицензионный ключ с помощью кода активации.
   • Файл ключа, если вы хотите добавить лицензионный ключ с помощью файла ключа.
3. Если вы хотите добавить лицензионный ключ с помощью кода активации, введите код активации в поле Код активации.
4. Если вы выбрали хотите добавить лицензионный ключ с помощью файл ключа, добавьте файл ключа одним из следующих способов:
   • Нажмите на указанную область и выберите файл ключа в отобразившемся окне.
   • Перетащите файл ключа в указанную область.
5. Нажмите на кнопку Активировать.

Лицензионный ключ будет добавлен.

Мастер первоначальной настройки перейдет к следующему шагу.

Вы можете пропустить этот шаг и добавить лицензионный ключ позднее одним из следующих способов:

- Добавить ключ через веб-интерфейс Kaspersky Sandbox

- Создать задачу распространения ключа на серверы Sandbox в Kaspersky Security Center

Загрузка ISO-образов операционных систем и программ для работы Kaspersky Sandbox и настройка сетевого интерфейса для доступа виртуальных машин в интернет

Объекты, которые обрабатывает Kaspersky Sandbox, могут предпринимать попытки действий в интернете через сетевой интерфейс для доступа виртуальных машин в интернет. Kaspersky Sandbox может анализировать поведение этих объектов.

Если вы запретите доступ в интернет, Kaspersky Sandbox будет использовать эмуляцию доступа в интернет, чтобы компенсировать снижение уровня обнаружений, связанное с отсутствием доступа обрабатываемых объектов в интернет.

Сетевой интерфейс для доступа виртуальных машин в интернет должен быть подключен к подсети, не пересекающейся по адресации с подсетью, к которой подключен управляющий интерфейс.

Если виртуальные машины не имеют доступа в интернет, скорость обнаружения Kaspersky Sandbox может быть значительно снижена.

Чтобы загрузить ISO-образ операционной системы и программ, необходимых для работы Kaspersky Sandbox, а также настроить сетевой интерфейс для доступа обрабатываемых объектов в интернет, выполните следующие действия:

1. Нажмите на кнопку Добавить.

   Откроется окно выбора файлов.

2. Выберите образ операционной системы, входящий в комплект поставки (файл формата ISO), который вы хотите загрузить, и нажмите на кнопку Открыть.

   Начнется загрузка образа.

3. Нажмите на кнопку Установить в строке с названием образа, который вы хотите установить.

   Чтобы сервер Kaspersky Sandbox был работоспособен и предоставлял возможность обрабатывать объекты, вам следует установить виртуальную машину с образом Windows 7. Вы можете установить виртуальную машину только с образом Windows 7 или виртуальные машины с образами Windows 7 и Windows 10. При установке виртуальной машины только с образом Windows 10 сервер Kaspersky Sandbox будет неработоспособен.

4. Если вы хотите использовать сетевой интерфейс для доступа виртуальных машин в интернет, включите переключатель Интерфейс для доступа виртуальных машин в интернет (интерфейс детонации).
5. В списке Сетевой интерфейс выберите сетевой интерфейс, который вы хотите использовать для доступа обрабатываемых объектов в интернет.

   Управляющий сетевой интерфейс недоступен для выбора в этом списке сетевых интерфейсов.

6. В поле IP-адрес введите IP-адрес, который вы хотите назначить этому сетевому интерфейсу.
7. В поле Маска введите маску сети, в которой вы хотите использовать этот сетевой интерфейс.
8. В поле Шлюз по умолчанию введите адрес шлюза сети, в которой вы хотите использовать этот сетевой интерфейс.
9. Нажмите на кнопку Далее в нижней части окна.

   Мастер первоначальной настройки перейдет к следующему шагу.

10. Нажмите на кнопку Завершение.

Вы можете пропустить этот шаг и настроить интерфейс для доступа виртуальных машин в интернет позднее через веб-интерфейс Kaspersky Sandbox.

Первоначальная настройка программы будет завершена, вы перейдете в веб-интерфейс программы.

Мониторинг работы программы

Вы можете осуществлять мониторинг работы программы Kaspersky Sandbox в разделах Мониторинг и Управление кластерами веб-интерфейса Kaspersky Sandbox, а также в разделе Сервер администрирования на закладке Панель мониторинга программы Kaspersky Security Center Web Console.

Для быстрой оценки состояния работы программы используются цветовые индикаторы. Цель администратора заключается в том, чтобы поддерживать все индикаторы в состоянии "зеленый".

Если все индикаторы зеленого цвета, Kaspersky Sandbox работает в штатном режиме.

Если хотя бы один индикатор желтого цвета, Kaspersky Sandbox работает, но требует внимания администратора.

Если хотя бы один индикатор красного или серого цвета, Kaspersky Sandbox не принимает объекты на обработку от Kaspersky Endpoint Security и требует внимания администратора.

В разделе Мониторинг окна веб-интерфейса Kaspersky Sandbox отображается следующая информация:

• Самодиагностика. Индикаторы и описание состояния самодиагностики программы.
• Обновление баз. Индикаторы и описание состояния обновления баз программы.
• Лицензия. Индикаторы и описание статуса активации программы и срока действия лицензии.
• Все запросы. Виджет, отображающий статус обработки объектов, поступающих от программы Kaspersky Endpoint Security.

В разделе Управление кластерами веб-интерфейса Kaspersky Sandbox отображается следующая информация:

• В сети. Индикаторы и количество серверов кластера:
  • в сети;
  • не в сети.
• Самодиагностика. Индикаторы и количество серверов кластера:
  • работающих в штатном режиме;
  • требующих устранения проблем в работе.
• Обновление баз. Индикаторы и количество серверов:
  • с актуальной версией баз;
  • требующих обновления баз.
• Лицензия. Индикаторы и количество серверов:
  • с успешно активированной программой Kaspersky Sandbox;
  • требующих загрузки лицензионного ключа или активации программы.

Информация о самодиагностике программы в веб-интерфейсе Kaspersky Sandbox

Для быстрой оценки состояния самодиагностики Kaspersky Sandbox используются цветовые индикаторы зеленого, красного и серого цвета.

Индикатор Самодиагностика зеленого цвета отображается при выполнении следующих условий:

• Самодиагностика программы запускалась недавно и завершилась успешно.
• Kaspersky Sandbox работает без ошибок.
• Все системы работают без ошибок.

Индикатор Самодиагностика красного цвета отображается в следующих случаях:

• Последний запуск самодиагностики программы был более часа назад.
• Самодиагностика завершилась с ошибкой.
• Самодиагностика выявила проблемы в работе программы.
• Необходимо повторно активировать образ виртуальной машины.

Индикатор Самодиагностика серого цвета отображается в следующих случаях:

• Программа не активирована: на сервер не загружен лицензионный ключ или срок действия лицензии истек.
• Не удалось получить данные о самодиагностике от одного или нескольких серверов кластера Kaspersky Sandbox.

Информация о состоянии обновления баз в веб-интерфейсе Kaspersky Sandbox

Для быстрой оценки состояния обновления баз Kaspersky Sandbox используются цветовые индикаторы зеленого, желтого и серого цвета.

Индикатор Обновление баз зеленого цвета отображается при выполнении следующих условий:

• Базы актуальны.
• Последнее успешное обновление баз выполнялось менее 24 часов назад.
• Программа активирована.

Индикатор Обновление баз желтого цвета отображается, если последнее успешное обновление баз выполнялось более 24 часов назад.

Индикатор Обновление баз серого цвета отображается в следующих случаях:

• Программа не активирована: на сервер не загружен лицензионный ключ или истек срок действия лицензии.
• Не удалось получить данные о состоянии обновления баз от одного или нескольких серверов кластера Kaspersky Sandbox.

Информация о статусе активации программы и сроке действия лицензии в веб-интерфейсе Kaspersky Sandbox

Для быстрой оценки статуса активации программы и срока действия лицензии Kaspersky Sandbox в разделе Мониторинг веб-интерфейса Kaspersky Sandbox используются цветовые индикаторы зеленого, желтого, красного и серого цвета.

Индикатор Лицензия зеленого цвета отображается при выполнении следующих условий:

• Программа активирована.
• Сервер использует действующую лицензию.
• До окончания срока действия лицензии осталось более 30 дней.

Индикатор Лицензия желтого цвета отображается, если до окончания срока действия лицензии осталось менее 30 дней.

Индикатор Лицензия красного цвета отображается в следующих случаях:

• На сервер не загружен лицензионный ключ.
• Срок действия лицензии истек.

Индикатор Лицензия серого цвета отображается, если не удалось получить данные о статусе активации программы и сроке действия лицензии от одного или нескольких серверов кластера Kaspersky Sandbox.

По ссылке Перейти к управлению лицензией вы можете перейти в раздел Параметры веб-интерфейса программы, и в блоке параметров Лицензия заменить или загрузить новый лицензионный ключ.

Настройка периода отображения данных на виджете в веб-интерфейсе Kaspersky Sandbox

Вы можете настроить отображение данных на виджете Все запросы за выбранный период.

Чтобы настроить отображение данных за выбранный период, выполните следующие действия:

1. В окне веб-интерфейса программы выберите раздел Мониторинг.
2. В правом верхнем углу окна веб-интерфейса программы в раскрывающемся списке периодов отображения данных выберите дату начала и конца периода.

Отображение данных за выбранный период на виджете Все запросы будет настроено.

Мониторинг обработки объектов, полученных от Kaspersky Endpoint Security, в веб-интерфейсе Kaspersky Sandbox

В разделе Мониторинг веб-интерфейса Kaspersky Sandbox на виджете Все запросы отображается количество запросов на обработку объектов, полученных от Kaspersky Endpoint Security и обработанных программой Kaspersky Sandbox за выбранный период.

Все запросы подсчитываются по следующим категориям:

• Файлы PE – запросы на обработку исполняемых файлов формата PE_EXE;
• Документы – запросы на обработку документов поддерживаемых форматов.

На виджете Все запросы отображается общее количество запросов, которое увеличивается при каждом запросе на проверку объекта или при запросе уже имеющейся информации об этом объекте.

Если запросы на проверку одного и того же объекта поступали от нескольких рабочих станций, а также по результатам проверки объекта угрозы не были обнаружены – все такие запросы будут учтены на виджете.

Обновление баз

Базы Kaspersky Sandbox представляют собой файлы с записями, которые позволяют обнаруживать в проверяемых объектах вредоносный код и признаки подозрительного поведения объектов.

Вирусные аналитики "Лаборатории Касперского" ежедневно обнаруживают множество новых угроз, создают для них идентифицирующие записи и включают их в пакет обновлений баз (далее также "пакет обновлений"). Пакет обновлений представляет собой один или несколько файлов с записями, идентифицирующими угрозы, которые были выявлены за время, истекшее с момента выпуска предыдущего пакета обновлений. Рекомендуется регулярно получать пакеты обновлений.

В пакет обновления баз Kaspersky Sandbox входят базы серверной части решения Kaspersky Sandbox и базы программы Kaspersky Endpoint Security.

В течение срока действия лицензии вы можете получать пакеты обновлений автоматически или обновлять базы вручную.

Запуск обновления баз вручную

Чтобы запустить обновление баз вручную, выполните следующие действия:

1. В окне веб-интерфейса Kaspersky Sandbox выберите раздел Обновление баз.

   В блоке параметров Последнее обновление отобразятся время и статус последней попытки обновления баз.

2. Нажмите на кнопку Запустить обновление.

Выбор источника обновления баз

Чтобы выбрать источник обновления баз, выполните следующие действия:

1. В окне веб-интерфейса Kaspersky Sandbox выберите раздел Обновление баз.
2. В блоке параметров Источник обновлений выберите источник, из которого вы хотите получать пакет обновлений:
   • Сервер обновлений "Лаборатории Касперского".
   • Безопасный сервер обновлений "Лаборатории Касперского".
   • Сервер KSC.
   • Другой сервер.

     В качестве Другой сервер вы можете использовать только HTTP-сервер.

3. Если вы выбрали Сервер KSC, в поле под названием этого параметра укажите IP-адрес сервера Kaspersky Security Center.
4. Если вы выбрали Другой сервер, в поле под названием этого параметра укажите URL-адрес пакета обновлений на вашем HTTP-сервере или укажите полный путь к директории с пакетом обновлений.
5. Нажмите на кнопку Сохранить в нижней части окна.

Включение и отключение использования прокси-сервера для обновления баз

Чтобы включить или выключить использование прокси-сервера для обновления баз Kaspersky Sandbox, выполните следующие действия:

1. В окне веб-интерфейса Kaspersky Sandbox выберите раздел Обновление баз.
2. Выполните одно из следующих действий:
   • Включите переключатель рядом с названием блока параметров Прокси-сервер, если вы хотите использовать прокси-сервер при обновлении баз программы.
   • Выключите переключатель рядом с названием блока параметров Прокси-сервер, если вы не хотите использовать прокси-сервер при обновлении баз программы.

Настройка параметров соединения с прокси-сервером для обновления баз

Чтобы настроить параметры соединения с прокси-сервером для обновления баз Kaspersky Sandbox, выполните следующие действия:

1. В окне веб-интерфейса Kaspersky Sandbox выберите раздел Обновление баз.
2. Включите переключатель рядом с названием блока параметров Запустить обновление.
3. В поле Адрес введите адрес и порт прокси-сервера.
4. Выполните одно из следующих действий:
   • Установите флажок Не использовать прокси-сервер для локальных адресов, если вы не хотите использовать прокси-сервер для внутренних адресов вашей организации.
   • Снимите флажок Не использовать прокси-сервер для локальных адресов, если вы хотите использовать прокси-сервер независимо от принадлежности адресов к вашей организации.
5. В поле Имя пользователя введите имя пользователя прокси-сервера.
6. В поле Пароль введите пароль подключения к прокси-серверу.
7. Нажмите на кнопку Сохранить в нижней части окна.

Параметры соединения с прокси-сервером для обновления баз Kaspersky Sandbox будут настроены.

Настройка сетевых интерфейсов

В этом разделе содержится информация о настройке сетевых интерфейсов, необходимых для работы Kaspersky Sandbox.

Настройка параметров DNS

Управление сертификатами Kaspersky Endpoint Security и сетевыми интерфейсами недоступно после создания кластера.

Чтобы настроить параметры DNS, выполните следующие действия:

1. В окне веб-интерфейса Kaspersky Sandbox выберите раздел Сетевые интерфейсы.
2. В поле Имя хоста введите имя сервера Kaspersky Sandbox в формате FQDN (например, sandbox).
3. Нажмите на кнопку Добавить рядом с названием параметра DNS-серверы.

   Добавится пустое поле ввода IP-адреса DNS-сервера.

4. Введите IPv4-адрес основного DNS-сервера.
5. Нажмите на кнопку Применить в нижней части окна.

   DNS-сервер будет добавлен.

6. Если вы хотите добавить дополнительный DNS-сервер, повторите действия 3-5.
7. Если вы хотите удалить добавленный DNS-сервер, нажмите на кнопку справа от строки с IP-адресом DNS-сервера.

   Вы можете удалить только дополнительные DNS-серверы. Вы не можете удалить основной DNS-сервер. Если вы добавили 2 и более DNS-сервера, вы можете удалить любой из них, при этом оставшийся DNS-сервер будет использоваться в качестве основного.

Настройка управляющего сетевого интерфейса

Управление сертификатами Kaspersky Endpoint Security и сетевыми интерфейсами недоступно после создания кластера.

Управляющий сетевой интерфейс предназначен для доступа к серверу Kaspersky Sandbox по протоколу SSH.

Вы можете настроить управляющий сетевой интерфейс во время установки программы.

Вы также можете настроить управляющий сетевой интерфейс в веб-интерфейсе программы.

Чтобы настроить управляющий сетевой интерфейс в веб-интерфейсе Kaspersky Sandbox, выполните следующие действия:

1. В окне веб-интерфейса Kaspersky Sandbox выберите раздел Сетевые интерфейсы.
2. В группе параметров Управляющий интерфейс в раскрывающемся списке Сетевой интерфейс выберите сетевой интерфейс, который вы хотите использовать в качестве управляющего.
3. В поле IP-адрес введите IP-адрес, который вы хотите назначить этому сетевому интерфейсу, если IP-адрес не назначен.
4. В поле Маска введите маску сети, в которой вы хотите использовать этот сетевой интерфейс.
5. В поле Шлюз по умолчанию введите адрес шлюза сети, в которой вы хотите использовать этот сетевой интерфейс.
6. Нажмите на кнопку Применить в нижней части окна.

Настройка сетевого интерфейса для доступа виртуальных машин в интернет (интерфейса детонации)

Объекты, которые обрабатывает Kaspersky Sandbox, могут предпринимать попытки действий в интернете через сетевой интерфейс для доступа виртуальных машин в интернет. Kaspersky Sandbox может анализировать поведение этих объектов.

Если вы запретите доступ в интернет, Kaspersky Sandbox будет использовать эмуляцию доступа в интернет, чтобы компенсировать снижение уровня обнаружений, связанное с отсутствием доступа обрабатываемых объектов в интернет.

Сетевой интерфейс для доступа виртуальных машин в интернет должен быть подключен к подсети, не пересекающейся по адресации с подсетью, к которой подключен управляющий интерфейс.

Если виртуальные машины не имеют доступа в интернет, скорость обнаружения Kaspersky Sandbox может быть значительно снижена.

Чтобы настроить сетевой интерфейс для доступа обрабатываемых объектов в интернет, выполните следующие действия:

1. В окне веб-интерфейса Kaspersky Sandbox выберите раздел Виртуальные машины.
2. В группе параметров Интерфейс для доступа виртуальных машин в интернет (интерфейс детонации) в списке Сетевой интерфейс выберите сетевой интерфейс, который вы хотите использовать для доступа обрабатываемых объектов в интернет.

   Управляющий сетевой интерфейс недоступен для выбора в этом списке сетевых интерфейсов.

3. В поле IP-адрес введите IP-адрес, который вы хотите назначить этому сетевому интерфейсу.
4. В поле Маска введите маску сети, в которой вы хотите использовать этот сетевой интерфейс.
5. В поле Шлюз по умолчанию введите адрес шлюза сети, в которой вы хотите использовать этот сетевой интерфейс.
6. Нажмите на кнопку Применить.

Добавление, изменение и удаление статических сетевых маршрутов

Управление сертификатами Kaspersky Endpoint Security и сетевыми интерфейсами недоступно после создания кластера.

Чтобы добавить статический сетевой маршрут, выполните следующие действия:

1. В окне веб-интерфейса Kaspersky Sandbox выберите раздел Сетевые интерфейсы.
2. В группе параметров Статические маршруты нажмите на кнопку Добавить.

   В списке статических сетевых маршрутов добавится строка с пустыми полями.

3. В поле IP-адрес введите префикс подсети.
4. В поле Маска введите маску подсети.
5. В поле Шлюз по умолчанию введите IP-адрес шлюза.
6. В списке Сетевой интерфейс выберите сетевой интерфейс, для которого вы хотите добавить статический сетевой маршрут.
7. Нажмите на кнопку .
8. Нажмите на кнопку Применить в нижней части окна.

Чтобы удалить статический сетевой маршрут, выполните следующие действия:

1. В окне веб-интерфейса Kaspersky Sandbox выберите раздел Сетевые интерфейсы.
2. В группе параметров Статические маршруты в строке со статическим сетевым маршрутом, который вы хотите удалить, нажмите на кнопку .
3. Нажмите на кнопку Применить в нижней части окна.

Чтобы изменить статический сетевой маршрут, выполните следующие действия:

1. В окне веб-интерфейса Kaspersky Sandbox выберите раздел Сетевые интерфейсы.
2. В группе параметров Статические маршруты в строке со статическим сетевым маршрутом, который вы хотите изменить, нажмите на кнопку .

   Строка статического сетевого маршрута станет доступна для редактирования.

3. Внесите необходимые изменения.
4. Нажмите на кнопку .
5. Нажмите на кнопку Применить в нижней части окна.

Настройка интеграции с Kaspersky Security Center

Вам понадобится настроить интеграцию и на стороне Kaspersky Sandbox через веб-интерфейс Kaspersky Sandbox, и на стороне Kaspersky Security Center через веб-консоль Kaspersky Security Center Web Console.

Чтобы настроить интеграцию с Kaspersky Security Center на стороне Kaspersky Sandbox, выполните следующие действия:

1. В окне веб-интерфейса Kaspersky Sandbox выберите раздел Соединение с KSC.
2. В поле Адрес сервера KSC введите адрес и порт сервера Kaspersky Security Center.
3. Если вы хотите установить доверенное соединение с сервером Kaspersky Security Center, установите флажок Использовать TLS-шифрование.
4. Если вы хотите использовать Kaspersky Security Center в качестве прокси-сервера для подключения к серверам активации "Лаборатории Касперского", установите флажок Использовать KSC в качестве прокси-сервера для активации. Нажмите на кнопку Подключение.

Чтобы настроить интеграцию с Kaspersky Sandbox на стороне Kaspersky Security Center, выполните следующие действия:

1. В главном окне Web Console перейдите в раздел Обнаружение устройств → Нераспределенные устройства.
2. Установите флажок рядом с названием сервера Kaspersky Sandbox.

   Вы можете выбрать несколько серверов.

3. Нажмите на кнопку Переместить в группу в верхней части таблицы.

   Откроется окно Переместить в группу.

4. Выберите группу устройств Kaspersky Security Center Web Console, с которыми вы хотите работать в Kaspersky Sandbox и нажмите на кнопку Переместить.

   Например, вы можете выбрать группу Управляемые устройства, создать новую группу в группе Управляемые устройства и поместить сервер Kaspersky Sandbox в созданную группу.

Kaspersky Security Center Web Console отображает устройства, с которыми настроена интеграция, в группах управляемых устройств. Статусы работоспособности этих устройств отображаются на панели мониторинга. Если в работе этих устройств возникают проблемы, Kaspersky Security Center Web Console отображает статусы Критический или Предупреждение для привлечения внимания администратора.

Поскольку сервер Kaspersky Sandbox не является стандартной рабочей станцией, управляемой через KSC, требуется отдельно настроить отображение статусов устройств Kaspersky Sandbox в Kaspersky Security Center Web Console.

Для корректного отображения статусов устройств Kaspersky Sandbox в KSC необходимо поместить серверы Kaspersky Sandbox в отдельную группу управляемых устройств.

Сервер Kaspersky Sandbox отобразится в списке устройств группы устройств.

Интеграция Kaspersky Sandbox с Kaspersky Security Center будет настроена.

Создание TLS-сертификата веб-интерфейса Kaspersky Sandbox

Для безопасного использования веб-интерфейса Kaspersky Sandbox вам нужно сгенерировать или загрузить TLS-сертификат веб-интерфейса.

Генерация TLS-сертификата веб-интерфейса Kaspersky Sandbox

Чтобы сгенерировать TLS-сертификат веб-интерфейса Kaspersky Sandbox, выполните следующие действия:

1. В окне веб-интерфейса Kaspersky Sandbox выберите раздел TLS-сертификаты.
2. В блоке TLS-сертификат веб-интерфейса Kaspersky Sandbox нажмите на кнопку Сгенерировать.

   Откроется окно подтверждения действия.

3. Нажмите на кнопку Да.

Kaspersky Sandbox сгенерирует новый TLS-сертификат. Страница автоматически обновится.

Загрузка TLS-сертификата веб-интерфейса Kaspersky Sandbox

Вы можете самостоятельно подготовить TLS-сертификат и загрузить его через веб-интерфейс Kaspersky Sandbox.

Файл TLS-сертификата, предназначенный для загрузки, должен удовлетворять следующим требованиям:

• Файл должен содержать сам сертификат и закрытый ключ шифрования соединения.
• Файл должен иметь формат PEM.
• Длина закрытого ключа должна быть 2048 бит или более.

Подробнее о подготовке TLS-сертификатов к импорту см. в документации Open SSL.

Чтобы загрузить TLS-сертификат через веб-интерфейс Kaspersky Sandbox, выполните следующие действия:

1. В окне веб-интерфейса Kaspersky Sandbox выберите раздел TLS-сертификаты.
2. В блоке TLS-сертификат веб-интерфейса Kaspersky Sandbox нажмите на кнопку Загрузить.

   Откроется окно выбора файлов.

3. Выберите файл TLS-сертификата, который вы хотите загрузить, и нажмите на кнопку Открыть.

   Окно выбора файлов закроется.

TLS-сертификат будет добавлен в Kaspersky Sandbox.

Установка даты и времени

Чтобы установить дату и время Kaspersky Sandbox, выполните следующие действия:

1. В окне веб-интерфейса Kaspersky Sandbox выберите раздел Дата и время.
2. В раскрывающемся списке Страна выберите нужную страну.
3. В раскрывающемся списке Часовой пояс выберите нужный часовой пояс.
4. Если вы хотите синхронизировать время с NTP-сервером, включите переключатель справа от названия параметра Синхронизация с NTP-серверами.
5. Если вы хотите установить дату и время вручную, не включайте переключатель справа от названия параметра Синхронизация с NTP-серверами и выполните следующие действия:
   1. В поле Дата введите текущую дату или нажмите на кнопку и выберите дату в календаре.
   2. В поле Время введите текущее время.
6. Нажмите на кнопку Применить в нижней части окна.

Дата и время Kaspersky Sandbox будут установлены.

Установка и настройка образов операционных систем и программ для работы Kaspersky Sandbox

В комплекте поставки Kaspersky Sandbox вы получаете образы операционных систем Windows 7 х64 и Windows 10 х64 с установленными программами, необходимыми для работы Kaspersky Sandbox. Вам не требуется активировать эти операционные системы и программы. В поставляемых образах уже добавлены лицензионные ключи.

Kaspersky Sandbox будет запускать объекты в этих операционных системах и анализировать поведение объектов для выявления вредоносной активности, признаков целевых атак и вторжений в IT-инфраструктуру организации.

При возникновении проблем с активацией операционной системы или программ в веб-интерфейсе Kaspersky Sandbox отобразится сообщение об ошибке. В этом случае рекомендуется обратиться в Службу технической поддержки "Лаборатории Касперского".

Работа программы с другими образами операционных систем не предусмотрена.

Загрузка ISO-образа операционной системы и программ для работы Kaspersky Sandbox

Чтобы сервер Kaspersky Sandbox был работоспособен и предоставлял возможность обрабатывать объекты, вам следует установить виртуальную машину с образом Windows 7. Вы можете установить виртуальную машину только с образом Windows 7 или виртуальные машины с образами Windows 7 и Windows 10. При установке виртуальной машины только с образом Windows 10 сервер Kaspersky Sandbox будет неработоспособен.

Чтобы загрузить ISO-образ операционной системы и программ, необходимых для работы Kaspersky Sandbox, выполните следующие действия для каждого ISO-образа:

1. В окне веб-интерфейса Kaspersky Sandbox выберите раздел Виртуальные машины.
2. Нажмите на кнопку Добавить.

   Откроется окно выбора файлов.

3. Выберите файл формата ISO, который вы хотите загрузить, и нажмите на кнопку Открыть.

   Окно выбора файлов закроется.

В разделе Виртуальные машины отобразится загруженный образ операционной системы.

Установка виртуальных машин с образом операционной системы и программ для работы Kaspersky Sandbox

Чтобы сервер Kaspersky Sandbox был работоспособен и предоставлял возможность обрабатывать объекты, вам следует установить виртуальную машину с образом Windows 7. Вы можете установить виртуальную машину только с образом Windows 7 или виртуальные машины с образами Windows 7 и Windows 10. При установке виртуальной машины только с образом Windows 10 сервер Kaspersky Sandbox будет неработоспособен.

Чтобы установить виртуальную машину с образом операционной системы и программ, необходимых для работы Kaspersky Sandbox, выполните следующие действия:

1. В окне веб-интерфейса Kaspersky Sandbox выберите раздел Виртуальные машины.
2. В списке виртуальных машин нажмите на кнопку Установить в строке с виртуальной машиной, которую вы хотите установить.

   Начнется процесс распаковки архива и установки виртуальной машины.

После завершения установки виртуальная машина отобразится в разделе Виртуальные машины со статусом Установлена.

Удаление виртуальных машин

Чтобы удалить виртуальную машину, выполните следующие действия:

1. В окне веб-интерфейса Kaspersky Sandbox выберите раздел Виртуальные машины.
2. В списке виртуальных машин нажмите на кнопку Удалить в строке с той виртуальной машиной, которую вы хотите удалить.

   Выбранная виртуальная машина будет удалена.

Управление кластером

Чтобы исключить риск

При добавлении серверов в кластер действует ряд ограничений.

Если вы используете несколько серверов Kaspersky Sandbox, для увеличения производительности Kaspersky Sandbox вы можете объединить их в кластер.

Все серверы в кластере равноправны независимо от того, на базе какого сервера был создан кластер. При обработке объекта на одном из серверов кластера информация о результате обработки сохраняется на всех серверах кластера.

Программа Kaspersky Sandbox балансирует нагрузку между серверами. При интеграции с Kaspersky Endpoint Security объекты, поступающие на обработку в Kaspersky Sandbox от Kaspersky Endpoint Security, обрабатываются на наименее загруженном сервере.

В списке серверов Kaspersky Sandbox программы Kaspersky Endpoint Security отображаются только те серверы, которые вы добавили в этот список. При этом объекты могут обрабатываться любым сервером кластера с учетом балансировки нагрузки. Актуальный список серверов кластера можно просмотреть в веб-интерфейсе Kaspersky Sandbox.

Kaspersky Endpoint Security может подключиться к другому серверу Kaspersky Sandbox из списка при возникновении одной из следующих ошибок:

• Истекло время ожидания ответа от Kaspersky Sandbox (connection timeout).
• Kaspersky Sandbox недоступен (код ошибки 503 или 504).
• Проблема самодиагностики, за исключением проблем с лицензией (код ошибки 500).

При удалении сервера из кластера возможны следующие сценарии обработки объектов:

• Если в списке серверов Kaspersky Sandbox программы Kaspersky Endpoint Security остается хотя бы один сервер этого кластера с актуальным IP-адресом или FQDN, Kaspersky Sandbox продолжит обрабатывать объекты от Kaspersky Endpoint Security.
• Если в списке серверов Kaspersky Sandbox программы Kaspersky Endpoint Security не остается ни одного сервера, входящего в этот кластер, или IP-адреса или FQDN серверов кластера неактуальны, Kaspersky Sandbox не сможет получать и обрабатывать объекты от Kaspersky Endpoint Security.

После создания кластера в разделе Управление кластерами окна веб-интерфейса Kaspersky Sandbox отображается таблица серверов кластера и данные мониторинга состояния серверов кластера.

Вы можете добавлять серверы в кластер и удалять серверы из кластера.

Создание нового кластера

При добавлении серверов в кластер действует ряд ограничений.

Чтобы создать новый кластер, выполните следующие действия:

1. В разделе Управление кластерами веб-интерфейса любого сервера, который вы планируете включить в кластер, нажмите на кнопку Создать новый кластер.
2. В окне подтверждения нажмите на кнопку Да.

Кластер будет создан. Страница браузера обновится. Отобразится таблица серверов, входящих в кластер, с информацией о сервере, на котором был создан кластер, а также информация о состоянии серверов, входящих в кластер.

После создания кластера вы можете добавлять другие серверы в этот кластер.

Ограничения, действующие при добавлении серверов в кластер

При объединении в кластер серверов Kaspersky Sandbox действуют следующие ограничения:

• Версия программы Kaspersky Sandbox на объединяемых в кластер серверах должна совпадать.
• Набор установленных виртуальных машин с образами Windows 7 и Windows 10 на объединяемых в кластер серверах должен совпадать.
• В один кластер допустимо объединить не более 32 серверов.
• Управление сертификатами Kaspersky Endpoint Security и сетевыми интерфейсами недоступно после создания кластера.

  При настройке доверенного соединения с Kaspersky Endpoint Security сертификат сервера Kaspersky Sandbox, на котором был создан кластер, применяется на всех остальных серверах. Если вы хотите настроить доверенное соединение с Kaspersky Endpoint Security для серверов кластера, вам потребуется предварительно настроить доверенное соединение с Kaspersky Endpoint Security для сервера, на котором будет создан кластер.

Просмотр таблицы серверов кластера

Таблица серверов кластера отображается в разделе Да окна веб-интерфейса программы после создания кластера.

В таблице серверов кластера содержится следующая информация:

1. Адрес сервера – IP-адрес сервера.
2. Состояние подключения – одно из следующих состояний подключения сервера к кластеру:
   • Подключен.
   • Подключение.
   • Ожидает соединения.
   • Отмена подключения.
   • Сбой.
   • Не в сети.
3. Состояние – информация о работоспособности сервера и о проблемах с этим сервером. Может иметь следующие статусы:
   • OK.
   • Проблема с лицензией.
   • Все попытки обновления за последние 24 часа завершались с ошибкой.
   • Самодиагностика завершилась с ошибкой.
   • Самодиагностика долго не запускалась.
   • Данные о состоянии серверов устарели.
   • Образ VM требует повторной активации.
   • Версии баз не совпадают.
   • Конфигурации виртуальных машин не совпадают.
   • На сервере отсутствует VM с образом Windows 7.
   • Образы виртуальных машин не установлены.
   • Проблемы с системной службой сервера.
   • Не синхронизировано время на серверах.

По ссылке с IP-адресом сервера вы можете перейти в веб-интерфейс этого сервера.

Мониторинг состояния серверов кластера

Для быстрой оценки состояния серверов кластера используются цветовые индикаторы зеленого, желтого и красного цвета. Цель администратора заключается в том, чтобы поддерживать все индикаторы в состоянии "зеленый".

Если все индикаторы зеленого цвета, Kaspersky Sandbox работает в штатном режиме.

Если хотя бы один индикатор желтого цвета, Kaspersky Sandbox работает, но требует внимания администратора.

Если хотя бы один индикатор красного цвета, Kaspersky Sandbox не принимает объекты на обработку от Kaspersky Endpoint Security и требует внимания администратора.

В разделе Управление кластерами веб-интерфейса Kaspersky Sandbox отображается следующая информация о состоянии серверов кластера:

• В сети. Индикаторы и количество серверов кластера:
  • в сети;
  • не в сети.
• Самодиагностика. Индикаторы и количество серверов кластера:
  • работающих в штатном режиме;
  • требующих устранения проблем в работе.
• Обновление баз. Индикаторы и количество серверов:
  • с актуальной версией баз;
  • требующих обновления баз.
• Лицензия. Индикаторы и количество серверов:
  • с успешно активированной программой Kaspersky Sandbox;
  • требующих загрузки лицензионного ключа или активации программы.

Индикаторы Самодиагностика, Обновление баз и Лицензия работают по принципу мониторинга работы программы в разделе Мониторинг веб-интерфейса Kaspersky Sandbox.

Добавление сервера в кластер

Чтобы добавить сервер в кластер, выполните следующие действия:

1. В разделе Управление кластерами веб-интерфейса сервера, входящего в кластер, нажмите на кнопку Добавить.

   Откроется окно Токен кластера, содержащее уникальный токен. Вы можете использовать этот токен только для добавления одного сервера в кластер. Токен действителен в течение 30 минут после создания.

2. Нажмите на кнопку Копировать.
3. В разделе Управление кластерами веб-интерфейса сервера, который вы хотите добавить в кластер, нажмите на кнопку Добавление этого сервера в существующий кластер.
4. Вставьте токен, полученный на шаге 2, в поле Токен кластера.
5. Нажмите на кнопку Подключение.

   Запустится подключение сервера к кластеру.

6. Если не удалось добавить сервер в кластер, нажмите на кнопку Закрыть в веб-интерфейсе сервера, который вы хотите добавить в кластер, и повторите действия по добавлению сервера в кластер.

Сервер будет добавлен в кластер и отобразится в таблице серверов кластера в разделе Управление кластерами веб-интерфейса каждого из серверов, входящих в кластер.

Управление сертификатами Kaspersky Endpoint Security и сетевыми интерфейсами недоступно после создания кластера.

Если вы хотите, чтобы добавленный сервер обрабатывал объекты от Kaspersky Endpoint Security, вам нужно добавить этот сервер в список Kaspersky Endpoint Security.

Удаление сервера из кластера

Чтобы удалить сервер из кластера, выполните следующие действия:

1. В разделе Управление кластерами веб-интерфейса сервера, входящего в кластер, нажмите на кнопку Удалить в строке с информацией о том сервере, который вы хотите удалить из кластера.

   Откроется окно подтверждения удаления сервера из кластера.

2. Нажмите на кнопку Да.

Сервер будет удален из кластера. Информация о сервере не будет отображаться в таблице серверов кластера. Удаленный сервер продолжит работу без подключения к кластеру. Управление сертификатами Kaspersky Endpoint Security и сетевыми интерфейсами станет доступно. Остальные серверы кластера продолжат работу в кластере.

Удаление кластера

Если в кластер входит только один сервер, вы можете удалить кластер. Сервер продолжит работу без подключения к кластеру.

Чтобы удалить кластер, выполните следующие действия:

1. В разделе Управление кластерами веб-интерфейса единственного сервера, входящего в кластер, нажмите на кнопку Удалить в строке с информацией об этом сервере.

   Откроется окно подтверждения удаления кластера.

2. Нажмите на кнопку Да.

Кластер будет удален. Сервер продолжит работу без подключения к кластеру. Управление сертификатами Kaspersky Endpoint Security и сетевыми интерфейсами станет доступно.

Изменение IP-адреса сервера, входящего в кластер

Если сервер входит в кластер, изменение IP-адреса этого сервера состоит из следующих этапов:

1. Удаление сервера из кластера
2. Изменение IP-адреса сервера
3. Добавление сервера в кластер

Загрузка системного журнала Kaspersky Sandbox на жесткий диск

Данные в системном журнале Kaspersky Sandbox хранятся в открытом незашифрованном виде. Данные хранятся за последние 30 дней.

При работе с системным журналом Kaspersky Sandbox возможен следующий сценарий передачи данных Kaspersky Sandbox в "Лабораторию Касперского":

1. Администратор Kaspersky Sandbox загружает системный журнал Kaspersky Sandbox на жесткий диск компьютера, на котором он работает в веб-интерфейсе Kaspersky Sandbox.
2. Администратор Kaspersky Sandbox отправляет файл системного журнала в Службу технической поддержки "Лаборатории Касперского".

Администратор Kaspersky Sandbox самостоятельно принимает решение о безопасности передачи имен хостов рабочих станций с программой Kaspersky Endpoint Security в Службу технической поддержки "Лаборатории Касперского".

Чтобы загрузить системный журнал Kaspersky Sandbox на жесткий диск, выполните следующие действия:

1. В окне веб-интерфейса Kaspersky Sandbox выберите раздел Параметры.
2. В группе параметров Системный журнал нажмите на кнопку Скачать.

   Системный журнал Kaspersky Sandbox загрузится на жесткий диск вашего компьютера в директорию загрузки браузера.

Перезагрузка сервера Kaspersky Sandbox

Чтобы перезагрузить сервер Kaspersky Sandbox, выполните следующие действия:

1. В окне веб-интерфейса Kaspersky Sandbox выберите раздел Параметры.
2. В группе параметров Питание нажмите на кнопку Перезагрузить.

   Откроется окно подтверждения перезагрузки сервера Kaspersky Sandbox.

3. Нажмите на кнопку Да.

Сервер Kaspersky Sandbox перезагрузится. Через несколько минут вы сможете войти в систему.

Выключение сервера Kaspersky Sandbox

Чтобы выключить сервер Kaspersky Sandbox, выполните следующие действия:

1. В окне веб-интерфейса Kaspersky Sandbox выберите раздел Параметры.
2. В группе параметров Питание нажмите на кнопку Выключить.

   Откроется окно подтверждения выключения сервера Kaspersky Sandbox.

3. Нажмите на кнопку Да.

Сервер Kaspersky Sandbox выключится.

Изменение пароля учетной записи администратора Kaspersky Sandbox

Чтобы изменить пароль учетной записи администратора Kaspersky Sandbox, выполните следующие действия:

1. В нижней части окна веб-интерфейса программы по ссылке с именем вашей учетной записи раскройте список действий.
2. Выберите действие Изменение пароля.
3. В поле Текущий пароль введите текущий пароль учетной записи администратора.
4. В поле Новый пароль введите новый пароль учетной записи администратора.
5. В поле Подтвердите пароль введите новый пароль учетной записи администратора повторно.
6. Нажмите на кнопку Изменить пароль.

Пароль учетной записи администратора Kaspersky Sandbox будет изменен.

Управление программой Kaspersky Sandbox через Kaspersky Security Center Web Console

Для управления программой требуется версия Kaspersky Security Center 13.2 Web Console.

Вы можете удаленно управлять параметрами программы через Kaspersky Security Center Web Console (далее также "Web Console"). Вы можете работать в Web Console через браузер на любом компьютере, который имеет доступ к Серверу администрирования.

Kaspersky Sandbox публикует обнаружения в веб-интерфейс Web Console. Администратор Web Console может настроить сроки хранения обнаружений, а также действия над обнаружениями в свойствах каждого сервера Kaspersky Sandbox.

Установка веб-плагина управления Kaspersky Sandbox

Для управления Kaspersky Sandbox через Kaspersky Security Center Web Console вам потребуется установить веб-плагин управления Kaspersky Sandbox.

Чтобы установить веб-плагин управления Kaspersky Sandbox, выполните следующие действия:

1. В главном окне Web Console выберите раздел Параметры консоли → Веб-плагины.
2. На закладке Веб-плагины нажмите на кнопку Добавить из файла.
3. В открывшемся окне нажмите на кнопку Загрузить файл формата ZIP.
4. Выберите файл формата ZIP, содержащий веб-плагин для управления Kaspersky Sandbox.
5. Нажмите на кнопку Загрузить подпись.
6. Выберите файл формата TXT, содержащий подпись.
7. Нажмите на кнопку Добавить.

Плагин управления Kaspersky Sandbox через Kaspersky Security Center Web Console будет установлен.

Настройка отображения статусов устройств Kaspersky Sandbox

Kaspersky Security Center Web Console отображает устройства, с которыми настроена интеграция, в группах управляемых устройств. Статусы работоспособности этих устройств отображаются в панели мониторинга. Если в работе этих устройств возникают проблемы, Kaspersky Security Center Web Console отображает статусы Критический или Предупреждение для привлечения внимания администратора.

Поскольку сервер Kaspersky Sandbox не является стандартной рабочей станцией, управляемой через Kaspersky Security Center Web Console, требуется отдельно настроить отображение статусов устройств Kaspersky Sandbox в Kaspersky Security Center Web Console.

Для корректного отображения статусов устройств Kaspersky Sandbox в Kaspersky Security Center Web Console требуется поместить серверы Kaspersky Sandbox в отдельную группу управляемых устройств.

Чтобы настроить отображение статусов устройств Kaspersky Sandbox в Kaspersky Security Center Web Console, выполните следующие действия:

1. В главном окне Web Console выберите раздел Устройства → Иерархия групп.
2. В открывшемся списке групп перейдите по ссылке с названием группы, для которой вы хотите изменить переключение статусов устройств.
3. В открывшемся окне свойств выберите закладку Статус устройства.
4. В разделах Критический и Предупреждение выключите следующие условия, которые включены по умолчанию для стандартных рабочих станций, управляемых через Kaspersky Security Center (подробнее о статусах устройств см. в Справке Kaspersky Security Center):
   • Программа безопасности не установлена. Агент администрирования установлен на устройстве, но не установлена программа безопасности.
   • Обнаружено много вирусов. В результате работы задач поиска вирусов, например задачи Поиск вирусов, на устройстве найдены вирусы, и количество обнаруженных вирусов превышает указанное значение.
   • Уровень постоянной защиты отличается от уровня, установленного администратором. Устройство видимо в сети, но уровень постоянной защиты отличается от уровня, установленного администратором в условии для статуса устройства.
   • Давно не выполнялся поиск вирусов. Устройство видимо в сети, и на устройстве установлена программа безопасности, но задача поиска вирусов не выполнялась больше указанного времени. Условие применимо только к устройствам, которые были добавлены в базу данных Сервера администрирования 7 дней назад или ранее.
   • Обнаружены активные угрозы. Количество необработанных объектов в папке Необработанные файлы превышает указанное значение.
   • Требуется перезагрузка. Устройство видимо в сети, но программа требует перезагрузки устройства дольше указанного времени по одной из выбранных причин.
   • Установлены несовместимые программы. Устройство видимо в сети, но при инвентаризации программного обеспечения, выполненной Агентом администрирования, на устройстве были обнаружены установленные несовместимые программы.
   • Обнаружены уязвимости в программах. Устройство видимо в сети, и на нем установлен Агент администрирования, но в результате выполнения задачи Поиск уязвимостей и требуемых обновлений на устройстве обнаружены уязвимости в программах с заданным уровнем критичности.
   • Давно не выполнялась проверка обновлений Центра обновления Windows. Задача Поиск уязвимостей и требуемых обновлений не выполнялась больше указанного времени.
   • Недопустимый статус шифрования. Агент администрирования установлен на устройстве и результат шифрования устройства равен указанному значению.
   • Параметры мобильного устройства не соответствуют политике. Параметры мобильного устройства отличаются от параметров, заданных в политике Kaspersky Endpoint Security для Android при выполнении проверки правил соответствия.
   • Есть необработанные инциденты. На устройстве есть необработанные инциденты. Инциденты могут быть созданы как автоматически с помощью установленных на клиентском устройстве управляемых программ "Лаборатории Касперского", так и вручную администратором.
   • Защита выключена. Устройство видимо в сети, но программа безопасности на устройстве выключена дольше указанного времени.
   • Программа безопасности не запущена. Устройство видимо в сети и программа безопасности установлена на устройстве, но не запущена. Установите переключатель рядом с условием в списке.
5. В разделе Критический включите следующие условия:
   • Срок действия лицензии истек. Устройство видимо в сети, но срок действия лицензии истек.
   • Статус устройства определен программой. Статус устройства определяется управляемой программой. Серверы Kaspersky Sandbox, у которых возникает проблема с самодиагностикой, будут иметь статус Критический: Проблемы с сервером Kaspersky Sandbox. Сервер не принимает объекты на проверку.
6. В разделе Предупреждение включите следующие условия:
   • Срок действия лицензии скоро истечет. Устройство видимо в сети, но срок действия лицензии истекает менее чем через указанное количество дней.
   • Базы устарели. Двойным щелчком мыши откройте окно с условиями этого статуса и установите значение 1. Серверы Kaspersky Sandbox, на которых более суток не было успешного запуска задачи обновления баз, будут иметь статус Предупреждение.
7. Нажмите на кнопку Сохранить.

Отображение статусов устройств Kaspersky Sandbox будет настроено.

Статус всех устройств группы устройств Kaspersky Sandbox, на которых нет проблем, изменится на OK / Видим в сети.

Статус устройств, на которых есть проблемы, изменится согласно настроенным значениям параметров.

Настройка событий Kaspersky Sandbox

Чтобы настроить параметры событий Kaspersky Sandbox, выполните следующие действия:

1. В главном окне Web Console выберите раздел Устройства → Политики и профили политик.
2. Нажмите на KSB.
3. В открывшемся окне перейдите на закладку Настройка событий.

   События распределены по уровням важности в разделах:

   • Критическое.
   • Отказ функционирования.
   • Предупреждение.
   • Информационное сообщение.

   В каждом разделе отображается список типов событий. По умолчанию срок хранения событий на Сервере администрирования указан в днях.

4. Выберите событие, которое вы хотите настроить.
5. В открывшемся окне свойств события настройте следующие параметры:
   1. В блоке Регистрация событий укажите количество дней хранения событий и выберите один или несколько из следующих типов хранения событий:
      • Хранить в базе данных Сервера администрирования в течение (сут).
      • Экспортировать в SIEM-систему по протоколу Syslog.
      • Хранить в журнале событий ОС на клиентском устройстве.
      • Хранить в журнале событий ОС на Сервере администрирования.
   2. В блоке Уведомления о событиях выберите один или несколько способов уведомления о событии:
      • Уведомлять по электронной почте.
      • Уведомлять по SMS.
      • Уведомлять запуском исполняемого файла или скрипта.
      • Уведомлять по SNMP.

        Подробнее о настройке параметров уведомлений о событиях см. в Справке Kaspersky Security Center.

Настройка событий будет завершена.

Начало работы с Kaspersky Sandbox в Kaspersky Security Center Web Console

Чтобы начать работу с Kaspersky Sandbox в Kaspersky Security Center Web Console, выполните следующие действия:

1. В главном окне Web Console выберите раздел Устройства → Управляемые устройства.
2. Перейдите по ссылке с названием сервера Kaspersky Sandbox.
3. В открывшемся окне свойств выберите закладку Программы.
4. Перейдите по ссылке KSB.

   Откроется окно с параметрами Kaspersky Sandbox.

Вы сможете управлять параметрами Kaspersky Sandbox.

Просмотр информации о Kaspersky Sandbox и состоянии обновления баз

Чтобы просмотреть информацию о Kaspersky Sandbox и состоянии обновления баз в Kaspersky Security Center Web Console, выполните следующие действия:

1. В главном окне Web Console выберите раздел Устройства → Управляемые устройства.
2. Перейдите по ссылке с названием сервера Kaspersky Sandbox.
3. В открывшемся окне свойств выберите закладку Программы.
4. Перейдите по ссылке KSB.
5. Выберите закладку Общие.

В разделе Информация отобразится версия Kaspersky Sandbox, даты установки программы и обновления баз, дата выпуска обновления, количество записей в антивирусных базах.

Переход в веб-интерфейс Kaspersky Sandbox

Вы можете управлять параметрами программы Kaspersky Sandbox через веб-интерфейс.

Чтобы перейти в веб-интерфейс Kaspersky Sandbox, выполните следующие действия:

1. В главном окне Web Console выберите раздел Устройства → Управляемые устройства.
2. Перейдите по ссылке с названием сервера Kaspersky Sandbox.
3. В открывшемся окне свойств выберите закладку Программы.
4. Перейдите по ссылке KSB.
5. Выберите закладку Параметры программы.
6. Перейдите по ссылке Kaspersky Sandbox web interface.

Вы перейдете в веб-интерфейс Kaspersky Sandbox.

Просмотр информации о лицензии Kaspersky Sandbox

Чтобы просмотреть информацию о лицензии Kaspersky Sandbox и установленных ключах, выполните следующие действия:

1. В главном окне Web Console выберите раздел Устройства → Управляемые устройства.
2. Перейдите по ссылке с названием сервера Kaspersky Sandbox.
3. В открывшемся окне свойств выберите закладку Программы.
4. Перейдите по ссылке KSB.
5. Выберите закладку Общие.
6. Перейдите в раздел Лицензия.

Отобразится информация о лицензионных ключах Kaspersky Sandbox. За 30 дней до окончания срока действия лицензии появляется уведомление о необходимости продлить лицензию.

Вы также можете просмотреть информацию об использовании лицензионных ключей на устройствах всех групп с помощью отчета об использовании ключей.

Чтобы просмотреть отчет об использовании лицензионных ключей, выполните следующие действия:

1. В главном окне Web Console выберите раздел Отчеты.

   Откроется список доступных для просмотра отчетов.

2. Перейдите по ссылке Отчет об использовании ключей.

Откроется окно, содержащее отчет об использовании лицензионных ключей на устройствах всех групп.

Просмотр информации о веб-плагине управления Kaspersky Sandbox

Чтобы просмотреть информацию о веб-плагине управления Kaspersky Sandbox, выполните следующие действия:

1. В главном окне Web Console выберите раздел Параметры консоли → Веб-плагины.
2. На закладке Веб-плагины выберите KSB.

Отобразится информация о веб-плагине управления Kaspersky Sandbox.

Просмотр отчета об угрозах

Вы можете просматривать отчеты об угрозах в Kaspersky Security Center Web Console. Подробнее о создании и изменении шаблонов отчетов, настройке граф отчетов, сохранении и обновлении отчетов см. в Справке Kaspersky Security Center.

Чтобы просмотреть отчет об угрозах, выполните следующие действия:

1. В главном окне Web Console выберите раздел Отчеты.

   Откроется список доступных для просмотра отчетов.

2. Перейдите по ссылке Отчет об угрозах.

Откроется окно, содержащее отчет об угрозах.

Мониторинг обработки объектов, полученных от Kaspersky Endpoint Security

Вы можете просматривать количество запросов на обработку объектов, полученных от Kaspersky Endpoint Security и обработанных программой Kaspersky Sandbox за выбранный период, в панели мониторинга Kaspersky Security Center Web Console.

Чтобы просмотреть количество запросов на обработку объектов, полученных от Kaspersky Endpoint Security и обработанных программой Kaspersky Sandbox за выбранный период, в панели мониторинга Kaspersky Security Center Web Console, выполните следующие действия:

1. В главном окне Kaspersky Security Center Web Console выберите Сервер администрирования.
2. Перейдите в раздел Мониторинг и отчеты → Панель мониторинга.
3. Нажмите на кнопку Добавить или восстановить веб-виджет.
4. В списке Состояние защиты выберите Все запросы.

   На виджете отображается информация об общем количестве запросов (о запросах на обработку объектов и каждом запросе уже имеющейся информации об объектах) по категориям Файлы PE и Документы.

   Если запросы на проверку одного и того же объекта поступали от нескольких рабочих станций, а также по результатам проверки объекта угрозы не были обнаружены, все такие запросы будут учтены на виджете.

5. Нажмите на кнопку Добавить.
6. Чтобы задать период, за который вы хотите просматривать статистику, выполните следующие действия:
   1. Нажмите на значок в правом верхнем углу виджета.
   2. Выберите Показать параметры.
   3. Задайте период, за который вы хотите просматривать статистику.
   4. Нажмите на кнопку Сохранить.
7. Чтобы изменить внешний вид виджета, выполните следующие действия:
   1. Нажмите на значок в правом верхнем углу виджета.
   2. Чтобы виджет отображался как столбчатая диаграмма, выберите Тип диаграммы: линейчатая диаграмма.
   3. Чтобы виджет отображался как линейная диаграмма, выберите Тип диаграммы: линейная диаграмма.

Виджет со статистикой отобразится на панели мониторинга. Статистика показывается по всем серверам Kaspersky Sandbox, подключенным к выбранному Серверу администрирования.

Управление программой Kaspersky Endpoint Security для Windows

Kaspersky Endpoint Security обеспечивает выполнение действий по автоматическому реагированию на угрозы, обнаруженные Kaspersky Sandbox.

Вы можете устанавливать и удалять программу, а также удаленно управлять параметрами программы через Web Console с помощью веб-плагина управления Kaspersky Endpoint Security через политики Kaspersky Endpoint Security.

Подробную информацию о работе в Kaspersky Security Center Windows и Kaspersky Security Center Web Console см. в cправке Kaspersky Security Center.

Для оказания поддержки при неполадках в работе программы Kaspersky Endpoint Security специалисты Службы технической поддержки могут попросить вас создать файл трассировки. Файл трассировки позволяет отследить процесс пошагового выполнения команд программы и обнаружить, на каком этапе работы программы возникает ошибка.

Кроме того, специалистам Службы технической поддержки может понадобиться дополнительная информация об операционной системе, запущенных процессах на компьютере, подробные отчеты о работе компонентов программы.

Во время работ по диагностике специалисты Службы технической поддержки могут попросить вас изменить параметры программы:

• Активировать функциональность получения расширенной диагностической информации.
• Выполнить более тонкую настройку работы отдельных компонентов программы, недоступную через стандартные средства пользовательского интерфейса.
• Изменить параметры хранения полученной диагностической информации.
• Настроить перехват и сохранение в файл сетевого трафика.

Вся необходимая для выполнения перечисленных действий информация (описание последовательности шагов, изменяемые параметры, конфигурационные файлы, скрипты, дополнительные возможности командной строки, отладочные модули, специализированные утилиты и так далее), а также состав полученных в отладочных целях данных будут сообщены вам специалистами Службы технической поддержки. Полученная расширенная диагностическая информация сохраняется на компьютере пользователя. Автоматическая пересылка полученных данных в "Лабораторию Касперского" не выполняется.

Перечисленные выше действия должны выполняться только под руководством специалистов Службы технической поддержки по полученным от них инструкциям. Самостоятельное изменение параметров работы программы способами, не описанными в этой справке или в рекомендациях специалистов Службы технической поддержки, может привести к замедлению и сбоям в работе операционной системы, снижению уровня защиты компьютера, а также к нарушению доступности и целостности обрабатываемой информации.

Начало работы с Kaspersky Endpoint Security

После того, как вы установили программу Kaspersky Endpoint Security, вы можете выполнить настройку основных параметров программы:

• Задать набор параметров программы, создав политику Kaspersky Endpoint Security.
• Настроить параметры безопасности Kaspersky Endpoint Security:
  • Включить защиту действий в программе паролем.
  • Включить механизм самозащиты программы.
• Настроить использование Kaspersky Security Network.
• Создать обязательные для работы Kaspersky Endpoint Security задачи: Добавление ключа, Антивирусная проверка, Обновление.
• Настроить действия по реагированию на угрозы, обнаруженные Kaspersky Sandbox.

Настройка параметров соединения с прокси-сервером

Параметры соединения с прокси-сервером используются для обновления баз, активации программы и работы внешних служб.

Если вы используете NGINX в качестве прокси-сервера, требуется настроить параметр client_max_body_size: значение параметра client_max_body_size должно быть равно максимальному размеру объекта, отправляемого программой Kaspersky Endpoint Security на обработку в программу Kaspersky Sandbox. Иначе NGINX не будет пропускать объекты, превышающие установленное значение. Значение по умолчанию: 1 МБ.

Чтобы настроить параметры соединения с прокси-сервером , выполните следующие действия:

1. В главном окне Web Console перейдите в раздел Устройства → Политики и профили политик.
2. Нажмите на название политики Kaspersky Endpoint Security.
3. Перейдите на закладку Параметры программы.
4. Выберите раздел Общие настройки.
5. Перейдите по ссылке Настройки сети.
6. В группе параметров Настройки прокси-сервера выберите один из следующих вариантов:
   • Использовать прокси-сервер.

     Если вы выбрали этот вариант, настройте параметры подключения к прокси-серверу: адрес прокси-сервера и порт.

   • Автоматически определять настройки прокси-сервера.

     Если выбран этот параметр, настройки параметров прокси-сервера недоступны.

7. Если вы хотите включить использование аутентификации на прокси-сервере, установите флажок Использовать аутентификацию на прокси-сервере и укажите учетные данные пользователя.
8. Если вы хотите выключить использование прокси-сервера при обновлении баз и модулей программы из папки общего доступа, установите флажок Не использовать прокси-сервер для локальных адресов.
9. Сохраните внесенные изменения.

Параметры соединения с прокси-сервером будут настроены.

Настройка интеграции Kaspersky Endpoint Security с Kaspersky Sandbox

В этом разделе содержится информация о том, как настроить интеграцию Kaspersky Endpoint Security с Kaspersky Sandbox. Вам требуется настроить интеграцию и на стороне Kaspersky Endpoint Security через Kaspersky Security Center Web Console и на стороне Kaspersky Sandbox через веб-интерфейс.

Включение и выключение интеграции с Kaspersky Sandbox

Чтобы включить или выключить интеграцию с Kaspersky Sandbox, выполните следующие действия:

1. В главном окне Web Console выберите Устройства → Политики и профили политик.
2. Нажмите на название политики Kaspersky Endpoint Security.

   Откроется окно свойств политики.

3. Выберите закладку Параметры приложения.
4. Перейдите в раздел Detection and Response → Kaspersky Sandbox.
5. Используйте переключатель Интеграция с Kaspersky Sandbox, чтобы включить или выключить компонент.
6. Сохраните внесенные изменения.

Интеграция с Kaspersky Sandbox будет включена или выключена.

Добавление серверов Kaspersky Sandbox в список Kaspersky Endpoint Security

Если вы включили интеграцию с Kaspersky Sandbox, вам требуется добавить серверы Kaspersky Sandbox в список Kaspersky Endpoint Security. Серверы, добавленные в список, будут принимать объекты на обработку от Kaspersky Endpoint Security.

Если вы хотите, чтобы объекты на обработку от Kaspersky Endpoint Security принимал кластер серверов Kaspersky Sandbox, вам требуется добавить в список Kaspersky Endpoint Security хотя бы один сервер Kaspersky Sandbox, входящий в кластер. Рекомендуется добавить в список Kaspersky Endpoint Security все серверы кластера.

Если серверы Kaspersky Sandbox объединены в кластер, в рамках одной политики вам следует добавлять в список только серверы, входящие в один кластер. Если серверы входят в разные кластеры, результат работы решения непредсказуем.

Все серверы в кластере равноправны независимо от того, на базе какого сервера был создан кластер. При обработке объекта на одном из серверов кластера информация о результате обработки сохраняется на всех серверах кластера.

Программа Kaspersky Sandbox балансирует нагрузку между серверами. При интеграции с Kaspersky Endpoint Security объекты, поступающие на обработку в Kaspersky Sandbox от Kaspersky Endpoint Security, обрабатываются на наименее загруженном сервере.

В списке серверов Kaspersky Sandbox программы Kaspersky Endpoint Security отображаются только те серверы, которые вы добавили в этот список. При этом объекты могут обрабатываться любым сервером кластера с учетом балансировки нагрузки. Актуальный список серверов кластера можно просмотреть в веб-интерфейсе Kaspersky Sandbox.

Kaspersky Endpoint Security может подключиться к другому серверу Kaspersky Sandbox из списка при возникновении одной из следующих ошибок:

• Истекло время ожидания ответа от Kaspersky Sandbox (connection timeout).
• Kaspersky Sandbox недоступен (код ошибки 503 или 504).
• Проблема самодиагностики, за исключением проблем с лицензией (код ошибки 500).

При удалении сервера из кластера возможны следующие сценарии обработки объектов:

• Если в списке серверов Kaspersky Sandbox программы Kaspersky Endpoint Security остается хотя бы один сервер этого кластера с актуальным IP-адресом или FQDN, Kaspersky Sandbox продолжит обрабатывать объекты от Kaspersky Endpoint Security.
• Если в списке серверов Kaspersky Sandbox программы Kaspersky Endpoint Security не остается ни одного сервера, входящего в этот кластер, или IP-адреса или FQDN серверов кластера неактуальны, Kaspersky Sandbox не сможет получать и обрабатывать объекты от Kaspersky Endpoint Security.

Чтобы добавить серверы Kaspersky Sandbox в список Kaspersky Endpoint Security, выполните следующие действия:

1. В главном окне Web Console выберите Устройства → Политики и профили политик.
2. Нажмите на название политики Kaspersky Endpoint Security.

   Откроется окно свойств политики.

3. Выберите закладку Параметры приложения.
4. Перейдите в раздел Detection and Response → Kaspersky Sandbox.
5. В блоке Серверы Kaspersky Sandbox нажмите на кнопку Добавить.
6. В открывшемся окне введите адрес сервера Kaspersky Sandbox (IPv4, IPv6, DNS), а также порт подключения к серверу.
7. Сохраните внесенные изменения.
8. Повторите действия для добавления каждого сервера Kaspersky Sandbox в список.

Серверы Kaspersky Sandbox будут добавлены в список Kaspersky Endpoint Security.

Настройка доверенного соединения Kaspersky Sandbox с Kaspersky Endpoint Security для Windows

Вы можете настроить доверенное соединение Kaspersky Sandbox с Kaspersky Endpoint Security в веб-интерфейсе сервера Kaspersky Sandbox.

Установка и настройка доверенного соединения Kaspersky Sandbox с Kaspersky Endpoint Security состоит из следующих этапов:

1. Генерация или загрузка TLS-сертификата соединения с Kaspersky Endpoint Security на сервер Kaspersky Sandbox.

   Если в самостоятельно подготовленном TLS-сертификате предусмотрены ограничения по IP-адресу или имени хоста, вы можете настроить доверенное соединение Kaspersky Endpoint Security только с одним сервером Kaspersky Sandbox. Настроить доверенное соединение Kaspersky Endpoint Security c кластером серверов Kaspersky Sandbox с помощью такого сертификата невозможно.

2. Создание нового кластера на базе сервера, на который был загружен сертификат.
3. Удаление всех серверов, которые вы хотите добавить в созданный на предыдущем шаге кластер, из кластеров, в которые они входят в настоящий момент.
4. Добавление всех нужных серверов в этот кластер.
5. Добавление всех серверов этого кластера Kaspersky Sandbox в список Kaspersky Endpoint Security.
6. Настройка доверенного соединения с Kaspersky Sandbox на стороне Kaspersky Endpoint Security.

Если вы уже объединили серверы в кластер, вам требуется удалить сервер, для которого вы хотите настроить доверенное соединение с Kaspersky Endpoint Security, из кластера, затем создать новый кластер на базе этого сервера и добавить в новый кластер все серверы, предназначенные для работы решения Kaspersky Sandbox.

Если нужные вам серверы входят в другой кластер, вам нужно последовательно удалить их из кластера, в который они входят в настоящий момент, а затем добавить в новый кластер.

В этом случае установка и настройка доверенного соединения Kaspersky Sandbox с Kaspersky Endpoint Security состоит из следующих этапов:

1. Удаление сервера из кластера (если сервер входит в кластер в настоящий момент).
2. Генерация или загрузка TLS-сертификата соединения с Kaspersky Endpoint Security на сервер Kaspersky Sandbox.
3. Создание нового кластера на базе сервера, на который был загружен сертификат.
4. Удаление всех серверов, которые вы хотите добавить в созданный на предыдущем шаге кластер, из кластеров, в которые они входят в настоящий момент.
5. Добавление всех нужных серверов в этот кластер.
6. Добавление всех серверов этого кластера Kaspersky Sandbox в список Kaspersky Endpoint Security.
7. Настройка доверенного соединения с Kaspersky Sandbox на стороне Kaspersky Endpoint Security.

Настройка доверенного соединения на стороне Kaspersky Sandbox

Для настройки доверенного соединения Kaspersky Sandbox с Kaspersky Endpoint Security вам требуется сгенерировать или загрузить TLS-сертификат на стороне Kaspersky Sandbox, а затем сохранить его на компьютере для загрузки в программу Kaspersky Endpoint Security.

Чтобы сгенерировать TLS-сертификат соединения Kaspersky Sandbox с Kaspersky Endpoint Security, выполните следующие действия:

1. В окне веб-интерфейса Kaspersky Sandbox выберите раздел TLS-сертификаты.
2. В блоке TLS-сертификат для соединения с программой EPP нажмите на кнопку Сгенерировать.

   Откроется окно подтверждения действия.

3. Нажмите на кнопку Да.

Kaspersky Sandbox сгенерирует новый TLS-сертификат. Страница автоматически обновится.

Вы можете самостоятельно подготовить TLS-сертификат и загрузить его через веб-интерфейс Kaspersky Sandbox.

Файл TLS-сертификата, предназначенный для загрузки, должен удовлетворять следующим требованиям:

• Файл должен содержать сертификат и закрытый ключ шифрования соединения.
• Файл должен иметь формат PEM.
• Длина закрытого ключа должна быть 2048 бит или более.

Подробнее о подготовке TLS-сертификатов к импорту см. в документации Open SSL.

Чтобы загрузить TLS-сертификат через веб-интерфейс Kaspersky Sandbox, выполните следующие действия:

1. В окне веб-интерфейса Kaspersky Sandbox выберите раздел TLS-сертификаты.
2. В блоке TLS-сертификат для соединения с программой EPP нажмите на кнопку Загрузить.

   Откроется окно выбора файлов.

3. Выберите файл TLS-сертификата, который вы хотите загрузить, и нажмите на кнопку Открыть.

   Окно выбора файлов закроется.

   TLS-сертификат будет добавлен в Kaspersky Sandbox.

Чтобы сохранить файл TLS-сертификата соединения с Kaspersky Endpoint Security на компьютере, выполните следующие действия:

1. В окне веб-интерфейса Kaspersky Sandbox выберите раздел TLS-сертификаты.
2. В блоке TLS-сертификат для соединения с программой EPP нажмите на кнопку Скачать.

   При скачивании в браузере может отобразиться уведомление о том, что файл является потенциально опасным. Это стандартное предупреждение о файлах с расширением .crt. Файл TLS-сертификата не представляет угрозы для компьютера.

Файл TLS-сертификата будет сохранен в папке загрузки браузера.

Настройка доверенного соединения на стороне Kaspersky Endpoint Security

Вы можете настроить доверенное соединение на стороне Kaspersky Endpoint Security через Kaspersky Security Center Web Console или с помощью командной строки (доступно для версии Kaspersky Endpoint Security 11.7).

Чтобы настроить доверенное соединение на стороне Kaspersky Endpoint Security через Kaspersky Security Center Web Console, выполните следующие действия:

1. В главном окне Web Console выберите Устройства → Политики и профили политик.
2. Нажмите на название политики Kaspersky Endpoint Security.

   Откроется окно свойств политики.

3. Выберите закладку Параметры приложения.
4. Перейдите в раздел Detection and Response → Kaspersky Sandbox.
5. Перейдите по ссылке Настройки подключения к серверам.

   Откроется окно с параметрами подключения к серверам Kaspersky Sandbox.

6. В блоке TLS-сертификат серверов нажмите на кнопку Добавить и выберите файл TLS-сертификата.

   В Kaspersky Endpoint Security может быть только один TLS-сертификат сервера Kaspersky Sandbox. Если вы ранее уже добавили TLS-сертификат, то этот сертификат прекращает действовать. Только последний добавленный сертификат будет актуальным.

7. Настройте дополнительные параметры подключения к серверам Kaspersky Sandbox:
   • Время ожидания. Время ожидания соединения с сервером Kaspersky Sandbox. По истечению заданного времени ожидания Kaspersky Endpoint Security отправит запрос на следующий сервер. Вы можете увеличить время ожидания соединения с Kaspersky Sandbox, если у вас низкая скорость соединения или соединение нестабильно. Рекомендованное значение времени ожидания запроса не более 0,5 сек.
   • Очередь запросов Kaspersky Sandbox. Размер папки хранения очереди запросов. При обращении к объекту (запуск исполняемого файла или открытие документа, например, в формате DOCX или PDF) на компьютере Kaspersky Endpoint Security может отправить объект на дополнительную проверку в Kaspersky Sandbox. Если запросов несколько, Kaspersky Endpoint Security создает очередь запросов. По умолчанию размер папки хранения очереди запросов ограничен 100 МБ. После достижения максимального размера Kaspersky Sandbox перестает добавлять новые запросы в очередь и отправляет соответствующее событие в Kaspersky Security Center. Вы можете настроить размер папки хранения очереди запросов в зависимости от конфигурации сервера.
8. Сохраните внесенные изменения.

В результате Kaspersky Endpoint Security проверит TLS-сертификат. Если сертификат прошел проверку, Kaspersky Endpoint Security отправит файл сертификата на компьютер при следующей синхронизации с Kaspersky Security Center. Если вы добавили два TLS-сертификата, Kaspersky Sandbox использует последний сертификат для установки доверенного соединения.

Чтобы настроить доверенное соединение на стороне Kaspersky Endpoint Security с помощью командной строки, выполните следующие действия:

1. На компьютере с установленной программой Kaspersky Endpoint Security запустите интерпретатор командной строки cmd от имени администратора.
2. Перейдите в папку с установленной программой Kaspersky Endpoint Security, в которой расположен файл avp.com.
3. Выполните следующие команды:

   avp.com stop sandbox [/login=<имя пользователя> /password=<пароль>]

   avp.com start sandbox

   avp.com sandbox /set [--tls=yes|no] [--servers=<адрес сервера>:<порт>] [--timeout=<время ожидания соединения с сервером Kaspersky Sandbox (мс)>] [--pinned-certificate=<путь к TLS-сертификату>][/login=<имя пользователя> /password=<пароль>]

   avp.com sandbox /show

   В результате вы получите следующий ответ:

   sandbox.timeout=<время ожидания соединение с сервером Kaspersky Sandbox (мс)>

   sandbox.tls=<статус использования доверенного соединения>

   sandbox.servers=<список серверов Kaspersky Sandbox>

   Для параметров login и password требуется указывать учетные данные пользователя с необходимыми разрешениями.

Замена TLS-сертификата соединения с Kaspersky Endpoint Security

Вы можете заменить TLS-сертификат соединения с Kaspersky Endpoint Security.

Замена TLS-сертификата соединения с Kaspersky Endpoint Security состоит из следующих этапов:

1. Удаление сервера, на котором вы хотите заменить TLS-сертификат, из кластера (если сервер входит в кластер в настоящий момент)
2. Генерация или загрузка TLS-сертификата соединения с Kaspersky Endpoint Security на этот сервер

   Добавленный сертификат заменит имевшийся ранее сертификат. Использование нескольких сертификатов одновременно не предусмотрено.

3. Создание нового кластера на базе этого сервера
4. Удаление всех серверов, которые вы хотите добавить в новый кластер, из кластеров, в которые они входят в настоящий момент
5. Добавление всех нужных серверов в новый кластер
6. Добавление всех серверов нового кластера Kaspersky Sandbox в список Kaspersky Endpoint Security
7. Обновление данных TLS-сертификата Kaspersky Sandbox в Kaspersky Endpoint Security

Управление автономными задачами поиска IOC

Вы можете настраивать параметры автономной задачи поиска IOC, а также просматривать информацию об IOC-обнаружениях.

Об автономных задачах поиска IOC

Автономные задачи поиска IOC создаются автоматически на сервере Kaspersky Security Center, если в политиках Kaspersky Endpoint Security настроено действие по реагированию на угрозу Создать задачу поиска IOC. Также для автоматического создания задачи поиска IOC вам требуется установить фоновое соединение Kaspersky Security Center Web Console с Сервером администрирования.

Вы можете просматривать список задач, удалять неиспользуемые задачи из списка, просматривать результаты выполнения задач, запускать задачи вручную, настраивать параметры автономных задач поиска IOC.

Автономные задачи поиска IOC по умолчанию хранятся на сервере Kaspersky Security Center 7 дней с момента последнего запуска. Если количество задач превышает 100, задачи ротируются.

Kaspersky Endpoint Security удаляет автономную задачу поиска IOC независимо от того, на какой рабочей станции впервые был обнаружен объект и было выполнено действие по реагированию на угрозы. Удаленная задача будет недоступна для всех рабочих станций, входящих в группу администрирования.

Удаление неиспользуемых автономных задач поиска IOC происходит автоматически. Настройка параметров автоматического удаления задач не предусмотрена программой.

Если удаление автономных задач поиска IOC выполняется некорректно или вы хотите изменить поведение программы, обратитесь в Службу технической поддержки "Лаборатории Касперского".

По умолчанию в автономной задачe поиска IOC настроено хранение всех типов событий, возникающих в ходе работы групповых задач. По умолчанию результаты выполнения автономных задач поиска IOC хранятся 30 дней. Вы можете изменить срок хранения результатов выполнения задач.

Рекомендуется не изменять значения параметров хранения результатов выполнения задач, установленные по умолчанию, и не сокращать срок хранения результатов выполнения автономных задач поиска IOC.

Настройка параметров автономной задачи поиска IOC

Чтобы параметры задачи Поиск IOC, выполните следующие действия:

1. В главном окне Web Console выберите папку Устройства → Задачи.
2. В открывшемся списке задач выберите задачу Поиск IOC.
3. Настройте следующие параметры задачи:
   • Имя задачи.
     1. На закладке Общие в поле Имя задачи введите название задачи.
     2. Нажмите на кнопку Сохранить.
   • Срок хранения результатов выполнения задачи на Сервере администрирования.
     1. Перейдите на закладку Параметры.
     2. В поле Уведомления нажмите на кнопку Параметры.
     3. В поле Хранить в базе данных Сервера администрирования в течение (сут.) укажите количество дней, в течение которых на Сервере администрирования будут храниться результаты выполнения задачи.
     4. Нажмите на кнопку Сохранить.
   • Параметры поиска IOC.
     1. Перейдите на закладку Параметры программы.
     2. Выберите раздел Настройки поиска IOC.
     3. Установите флажок Применять действия по реагированию при обнаружении IOC.
     4. Выберите один или несколько вариантов действий по реагированию при обнаружении IOC:
        • Копию поместить на карантин, объект удалить. Если выбран этот вариант действия, то Kaspersky Endpoint Security удаляет вредоносный объект, обнаруженный на компьютере. Перед удалением объекта Kaspersky Endpoint Security формирует его резервную копию на тот случай, если впоследствии понадобится восстановить объект. Kaspersky Endpoint Security помещает резервную копию на карантин.
        • Запускать проверку важных областей. Если выбран этот вариант действия, то Kaspersky Endpoint Security запускает задачу Проверка важных областей. По умолчанию Kaspersky Endpoint Security проверяет память ядра, запущенные процессы и загрузочные секторы.
     5. Нажмите на кнопку Сохранить.
   • Расписание запуска задач поиска IOC.
     1. Перейдите на закладку Расписание.
     2. В списке Запуск по расписанию выберите один из следующих вариантов запуска задачи по расписанию:
        • Один раз.

          Задача запускается один раз в указанный день и время.

        • Каждые N минут.

          Задача выполняется регулярно, с заданным интервалом в минутах, начиная с указанного времени, в день создания задачи.

          По умолчанию задача запускается каждые 30 минут, начиная с текущего системного времени.

        • Каждый N час.

          Задача выполняется регулярно, с заданным интервалом в часах, начиная с указанных даты и времени.

          По умолчанию задача запускается каждые шесть часов, начиная с текущих системной даты и времени.

        • Каждые N дней.

          Задача выполняется регулярно, с заданным интервалом в днях. Также вы можете указать дату и время первого запуска задачи.

          По умолчанию задача запускается каждый день, начиная с текущих системной даты и времени.

        • Еженедельно.

          Задача запускается каждую неделю в указанный день и в указанное время.

        • Ежемесячно.

          Задача выполняется регулярно, в указанные дни каждого месяца, в указанное время.

          По умолчанию дни месяца не выбраны; время начала по умолчанию – 18:00:00.

     3. Если вы хотите выполнить расширенную настройку расписания, в разделе Дополнительные свойства задачи установите следующие флажки:
        • Если вы хотите, чтобы программа при первой возможности запускала задачи обновления баз, не выполненные вовремя, установите флажок Запускать пропущенные задачи.
        • Если вы хотите избежать одновременного обращения большого количества рабочих станций к Серверу администрирования и запускать задачу на рабочих станциях не точно по расписанию, а случайным образом в течение интервала между запусками задач, установите флажок Использовать автоматическое определение случайного интервала между запусками задачи.
        • Если вы хотите избежать одновременного обращения большого количества рабочих станций к Серверу администрирования и запускать задачу на рабочих станциях не точно по расписанию, а в течение определенного интервала времени между запусками задач, выполните следующие действия:
          1. Установите флажок Использовать случайную задержку запуска задачи в интервале (мин).
          2. Задайте значение интервала.
     4. Нажмите на кнопку Сохранить.
   • Просмотр результатов выполнения задач поиска IOC.
     1. Перейдите на закладку Параметры программы.
     2. Выберите раздел Результаты поиска IOC.

        Отобразится таблица результатов поиска IOC.

   • Учетную запись пользователя Kaspersky Security Center, под которой вы хотите запускать задачу.
     1. Перейдите на закладку Параметры.
     2. В поле Учетная запись нажмите на кнопку Параметры.
     3. Выберите учетную запись для запуска задачи.

        Вы можете выбрать учетную запись по умолчанию или создать учетную запись:

        • Если вы выбрали учетную запись по умолчанию, задача будет запускаться под той же учетной записью, под которой была установлена и запущена программа, выполняющая эту задачу.
        • Если вы выбрали создание учетной записи, укажите данные учетной записи, под которой должна запускаться задача. Учетная запись должна иметь необходимые права для выполнения задачи.
     4. Нажмите на кнопку Сохранить.
   • Исключение групп хостов из области действия задачи.
     1. Перейдите на закладку Параметры.
     2. В поле Исключения из области нажмите на кнопку Параметры.
     3. Выберите группы устройств, к которым не будет применяться задача.

        Группы, исключенные из области проверки, могут быть только подгруппами группы администрирования, к которой применяется задача.

4. Сохраните все внесенные изменения.

Параметры задачи поиска IOC будут настроены.

Просмотр информации об IOC-обнаружении

Чтобы просмотреть информацию об IOC-обнаружении, выполните следующие действия:

1. В главном окне Web Console перейдите в раздел Устройства → Задачи.
2. В открывшемся списке выберите задачу Поиск IOC.
3. Перейдите на закладку Параметры программы.
4. Выберите раздел Результаты поиска IOC.

   Отобразится таблица результатов поиска IOC.

5. В раскрывающемся списке Компьютер выберите, для каких рабочих станций вы хотите просмотреть результаты выполнения задачи поиска IOC.

   Отобразится сводная таблица результатов выполнения задачи на выбранных рабочих станциях.

   Если на рабочих станциях обнаружены индикаторы компрометации, в графе Результаты отображается Обнаружены IOC.

6. Если вы хотите просмотреть подробную информацию об обнаруженных индикаторах компрометации на определенной рабочей станции, выполните следующие действия:
   1. Нажмите на ссылку Обнаружены IOC в строке с именем нужной рабочей станции.

      Откроется окно Результаты IOC со списком всех IOC-файлов, использованных в рамках задачи. Если на выбранной рабочей станции присутствует объект, который совпадает с определенным индикатором компрометации, в графе Состояние отображается совпадает.

   2. Нажмите на ссылку совпадает в строке с именем нужного IOC-файла.

      Откроется окно Детали обнаружения.

Окно результатов обработки IOC-обнаружения содержит следующую информацию:

• Раздел Результат:
  • Уникальный идентификатор процесса - идентификатор IOC-файла из заголовка структуры IOC-файла.
  • Описание – имя IOC-файла из заголовка структуры IOC-файла.

  В заголовке раздела отображается идентификатор IOC-файла.

• Раздел Файл:
  • Полный путь – полный путь к файлу, для которого сработал индикатор компрометации.
  • MD5 – MD5-хеш файла, для которого сработал индикатор компрометации.
  • SHA256 – SHA256-хеш файла, для которого сработал индикатор компрометации.
  • Размер в байтах – размер файла, для которого сработал индикатор компрометации.
• В поле IOC отображается структура IOC-файла.

Установка фонового соединения между Kaspersky Security Center Web Console и Сервером администрирования

Для работы Kaspersky Sandbox c Сервером администрирования через Kaspersky Security Center Web Console вам нужно установить безопасное соединение – фоновое соединение. Подробнее об интеграции Kaspersky Security Center с другими решениями "Лаборатории Касперского" см. в справке Kaspersky Security Center. Если фоновое соединение между Kaspersky Security Center Web Console и Сервером администрирования отсутствует, создание автономных задач поиска IOC при реагировании на угрозы недоступно.

Чтобы установить фоновое соединение Kaspersky Security Center Web Console и Сервером администрирования, выполните следующие действия:

1. В главном окне Web Console выберите Параметры консоли → Интеграция.
2. Перейдите в раздел Межсервисная интеграция.
3. Включите переключатель Установить фоновое соединение для межсервисной интеграции.
4. Сохраните внесенные изменения.

Фоновое соединение Kaspersky Security Center Web Console и Сервером администрирования будет установлено.

Настройка действий Kaspersky Endpoint Security по реагированию на угрозы, обнаруженные Kaspersky Sandbox

Kaspersky Endpoint Security может выполнять действия по реагированию на угрозы, обнаруженные Kaspersky Sandbox.

Вы можете настроить действия следующих типов:

• Локальные – действия, которые будут выполняться на каждой рабочей станции, на которой обнаружена угроза.
• Групповые – действия, которые будут выполняться на всех рабочих станциях группы администрирования, для которой вы настраиваете политику.

Локальные действия:

• Копию поместить на карантин, объект удалить.

  При обнаружении угрозы на рабочей станции копия объекта, содержащего угрозу, будет помещена на карантин, а объект будет удален с рабочей станции.

• Запустить проверку важных областей.

  При обнаружении угрозы на рабочей станции Kaspersky Endpoint Security проверяет критические области этой рабочей станции. К критическим областям относятся память ядра, объекты, загружаемые при запуске операционной системы, и загрузочные секторы жесткого диска. Подробнее о настройке параметров проверки см. в Справке Kaspersky Endpoint Security для Windows.

Групповые действия:

• Создать задачу поиска IOC.

  При обнаружении угрозы на любой из рабочих станций группы администрирования, для которой вы настраиваете политику, Kaspersky Endpoint Security проверяет все рабочие станции этой группы администрирования на наличие объекта, содержащего обнаруженную угрозу.

• Если обнаружен IOC, копию поместить на карантин, объект удалить.

  При обнаружении угрозы на любой из рабочих станций группы администрирования, для которой вы настраиваете политику, Kaspersky Endpoint Security проверяет все рабочие станции этой группы администрирования на наличие объекта, содержащего обнаруженную угрозу. Если на каких-то рабочих станциях этой группы администрирования Kaspersky Endpoint Security находит объект, содержащий угрозу, копия этого объекта будет помещается на карантин, а объект удаляется с рабочих станций.

• Если обнаружен IOC, запустить проверку важных областей.

  При обнаружении угрозы на любой из рабочих станций группы администрирования, для которой вы настраиваете политику, Kaspersky Endpoint Security проверяет критические области на всех рабочих станциях этой группы администрирования. Подробнее о настройке параметров проверки см. в справке Kaspersky Endpoint Security для Windows.

Для настройки групповых действий по реагированию на угрозы вам требуется настроить права пользователей Kaspersky Security Center Web Console, под учетными записями которых вы хотите управлять задачами поиска IOC.

При настройке действий по реагированию на угрозы учитывайте, что в результате выполнения некоторых из настроенных действий объект, содержащий угрозу, может быть удален с рабочей станции, на которой он был обнаружен.

Настройка действий по реагированию на угрозы

Чтобы настроить действия по реагированию на угрозы, выполните следующие действия:

1. В главном окне Web Console выберите Устройства → Политики и профили политик.
2. Нажмите на название политики Kaspersky Endpoint Security.

   Откроется окно свойств политики.

3. Выберите закладку Параметры приложения.
4. Перейдите в раздел Detection and Response → Kaspersky Sandbox.
5. В блоке параметров Действие при обнаружении угрозы установите флажки для следующих параметров:
   • Копию поместить на карантин, объект удалить. Если выбран этот вариант действия, то Kaspersky Endpoint Security удаляет вредоносный объект, обнаруженный на компьютере. Перед удалением объекта Kaspersky Endpoint Security формирует его резервную копию на тот случай, если впоследствии понадобится восстановить объект. Kaspersky Endpoint Security помещает резервную копию на карантин.
   • Запускать проверку важных областей. Если выбран этот вариант действия, то Kaspersky Endpoint Security запускает задачу Проверка важных областей. По умолчанию Kaspersky Endpoint Security проверяет память ядра, запущенные процессы и загрузочные секторы.
   • Создать задачу поиска IOC. Если выбран этот вариант действия, то Kaspersky Endpoint Security автоматически создает задачу Поиск IOC (автономная задача поиска IOC). Вы можете настроить режим запуска задачи, область поиска и действие при обнаружении IOC: удалить объект, запустить задачу Проверка важных областей. Для настройки других параметров задачи Поиск IOC перейдите в свойства задачи.

     Если вы хотите выключить действия по реагированию на угрозы, снимите флажки для параметров, которые хотите выключить.

6. Чтобы настроить действия Kaspersky Endpoint Security при обнаружении IOC, установите флажки для следующих параметров:
   • Если обнаружен IOC, копию поместить на карантин, объект удалить.

     При обнаружении угрозы на любой из рабочих станций группы администрирования, для которой вы настраиваете политику, Kaspersky Endpoint Security проверяет все рабочие станции этой группы администрирования на наличие объекта, содержащего обнаруженную угрозу. Если на каких-то рабочих станциях этой группы администрирования Kaspersky Endpoint Security найдет объект, содержащий угрозу, копия этого объекта будет помещается на карантин, а объект удаляется с рабочих станций.

   • Если обнаружен IOC, запустить проверку важных областей.

     При обнаружении угрозы на любой из рабочих станций группы администрирования, для которой вы настраиваете политику, Kaspersky Endpoint Security проверяет критические области на всех рабочих станциях этой группы администрирования. Подробнее о настройке параметров проверки см. в Справке Kaspersky Endpoint Security для Windows 11.7.

     Если вы хотите выключить действия Kaspersky Endpoint Security при обнаружении IOC, снимите флажки для параметров, которые хотите выключить.

Действия по реагированию на угрозу будут настроены.

Настройка запуска задач поиска IOC

Если Kaspersky Sandbox обнаружил угрозу, в Kaspersky Endpoint Security автоматически создаются задачи поиска IOC (MD5-хешей объектов, в которых была обнаружена угроза) по всем рабочим станциям.

Чтобы просмотреть список задач в Web Console,

в главном окне Web Console перейдите в раздел Устройства → Задачи.

Отобразится список задач.

Вы можете настроить запуск этих задач.

Чтобы настроить запуск задач поиска IOC, выполните следующие действия:

1. В главном окне Web Console выберите Устройства → Политики и профили политик.
2. Нажмите на название политики Kaspersky Endpoint Security.

   Откроется окно свойств политики.

3. Выберите закладку Параметры приложения.
4. Перейдите в раздел Detection and Response → Kaspersky Sandbox.
5. В блоке параметров Запуск задачи поиска IOC выберите один из следующих вариантов запуска задач поиска IOC:
   • Вручную. Режим запуска, при котором вы запускаете задачу Поиск IOC вручную в удобное для вас время.
   • После обнаружения угрозы. Режим запуска, при котором Kaspersky Endpoint Security запускает задачу Поиск IOC автоматически в случае обнаружения угрозы.
   • Во время простоя компьютера. Режим запуска, при котором Kaspersky Endpoint Security запускает задачу Поиск IOC, если включена экранная заставка или компьютер заблокирован. Если пользователь разблокировал компьютер, Kaspersky Endpoint Security приостанавливает выполнение задачи. Таким образом, приложение может выполнять задачу несколько дней.

     Kaspersky Endpoint Security может выполнять задачу несколько дней.

6. В блоке параметров Область поиска IOC выберите один из следующих вариантов области поиска IOC:
   • Важные файловые области. Если выбран этот вариант, Kaspersky Endpoint Security выполняет поиск IOC только в важных файловых областях компьютера: память ядра и загрузочные секторы.
   • Файловые области на системных дисках компьютера. Если выбран этот вариант, Kaspersky Endpoint Security выполняет поиск IOC на системном диске компьютера.
7. Сохраните все внесенные изменения.

Запуск задач поиска IOC будет настроен.

Настройка параметров карантина

Одним из действий Kaspersky Endpoint Security по реагированию на угрозы, обнаруженные Kaspersky Sandbox, является помещение объектов, содержащих угрозу, на карантин.

Карантин – это специальное хранилище, в которое помещаются файлы, возможно зараженные вирусами или неизлечимые на момент обнаружения. Файлы на карантине хранятся в зашифрованном виде и не угрожают безопасности рабочей станции.

Kaspersky Security Center формирует общий список объектов, помещенных на карантин на рабочих станциях с программой Kaspersky Endpoint Security. Агенты администрирования рабочих станций передают информацию о файлах на карантине на Сервер администрирования.

Для того чтобы Kaspersky Endpoint Security отправлял данные об объектах, помещенных на карантин, на Сервере администрирования Kaspersky Security Center, нужно включить эту опцию в параметрах карантина в политике Kaspersky Endpoint Security.

Как включить передачу данных на Сервер администрирования в Web Console

Через Web Console можно просматривать свойства объектов, находящихся на карантине на рабочих станциях, запускать проверку этих объектов, удалять объекты, находящиеся на карантине.

Web Console не копирует файлы из карантина на Сервер администрирования. Все объекты находятся на рабочих станциях с программой Kaspersky Endpoint Security. Восстановление объектов из карантина также выполняется на рабочих станциях.

Карантин создается под локальной системной учетной записью пользователя рабочей станции, под которой был обнаружен объект, содержащий угрозу.

Чтобы настроить параметры карантина Kaspersky Endpoint Security, выполните следующие действия:

1. В главном окне Web Console перейдите в раздел Устройства → Политики и профили политик.
2. Нажмите на название политики Kaspersky Endpoint Security.
3. Перейдите на закладку Параметры программы.
4. Выберите раздел Общие настройки.
5. Перейдите по ссылке Отчеты и хранилище.
6. В блоке параметров Карантин выполните следующие действия:
   1. Если вы хотите ограничить размер карантина, в поле Ограничить размер карантина до введите или выберите в списке максимальный размер карантина в МБ.

      Например, вы можете ограничить размер карантина до 200 МБ.

   2. Если вы хотите ограничить долю использования карантина, в поле Уведомлять при заполнении карантина на укажите пороговое значение, по достижении которого программа отправит соответствующее уведомление.

      Например, вы можете задать пороговое значение карантина 50%.

      При достижении порогового значения карантина, Kaspersky Endpoint Security отправляет соответствующее событие в Kaspersky Security Center и публикует событие в журнале событий Windows. При этом программа продолжает помещать новые объекты на карантин.

7. Сохраните все внесенные изменения.

Параметры карантина будут настроены.

Вы можете выполнить действия с объектами на карантине (например, восстановить, удалить, добавить). Восстановление объектов доступно на компьютере с Kaspersky Endpoint Security локально из командной строки.

Настройка синхронизации данных с Сервером администрирования

Вы можете настроить синхронизацию данных о работе программы Kaspersky Endpoint Security на рабочих станциях с Сервером администрирования Kaspersky Security Center.

Чтобы настроить синхронизацию данных с Сервером администрирования, выполните следующие действия:

1. В главном окне Web Console перейдите в раздел Устройства → Политики и профили политик.
2. Нажмите на название политики Kaspersky Endpoint Security.
3. Перейдите на закладку Параметры программы.
4. Выберите раздел Общие настройки.
5. Перейдите по ссылке Отчеты и хранилище.
6. В блоке параметров Передача данных на Сервер администрирования установите флажки рядом с данными, для которых вы хотите настроить синхронизацию с Сервером администрирования.

Синхронизация данных с Сервером администрирования будет настроена.

Мониторинг результатов отправки объектов на проверку Kaspersky Sandbox и выполнения задач поиска IOC

Вы можете осуществлять мониторинг результатов отправки объектов на проверку Kaspersky Sandbox и выполнения задач поиска IOC на хостах следующими способами:

• Включить запись информации о событиях, возникающих при отправке объектов на проверку Kaspersky Sandbox и при запуске задач поиска IOC, в журналы событий Microsoft Windows и / или Kaspersky Endpoint Security.
• Включить отправку уведомлений о событиях.

Чтобы включить запись информации о событиях в журналы событий Microsoft Windows и/или Kaspersky Endpoint Security и отправку уведомлений о событиях, выполните следующие действия:

1. В главном окне Web Console перейдите в раздел Устройства → Политики и профили политик.
2. Нажмите на название политики Kaspersky Endpoint Security.
3. Перейдите на закладку Параметры программы.
4. Выберите раздел Общие настройки.
5. Перейдите по ссылке Интерфейс.
6. В открывшемся окне в разделе Уведомления перейдите по ссылке Настройка уведомлений.

   События распределены по уровням важности в разделах:

   • Критическое.
   • Отказ функционирования.
   • Предупреждение.
   • Информационное сообщение.

   В каждом разделе отображается список типов событий.

7. Если вы хотите включить запись информации о событиях в журналы событий установите флажки Сохранять в локальном отчете или Сохранять в журнале событий Windows.

   Вы можете установить оба флажка одновременно.

   События, напротив которых установлен флажок в графе Сохранять в локальном отчете, отображаются в Журналах приложений и служб в разделе Журнал событий Kaspersky. События, напротив которых установлен флажок в графе Сохранять в журнале событий Windows, отображаются в Журналах Windows в разделе Приложение.

   Чтобы открыть журналы событий Windows, выберите Пуск → Панель управления → Администрирование → Просмотр событий.

   Чтобы сократить количество записей о повторяющихся критических событиях, Kaspersky Endpoint Security записывает каждое первое событие и впоследствии каждое 25 событие для следующих типов событий: Ошибка отправки задачи на проверку в Kaspersky Sandbox, Возникла внутренняя ошибка, Превышена допустимая нагрузка на Kaspersky Sandbox, Узел Kaspersky Sandbox не доступен.

8. Если вы хотите включить отправку уведомлений о событиях, выполните следующие действия:
   • Установите флажок Уведомлять на экране, если вы хотите, чтобы информация о выбранных событиях отображалась на экране в виде всплывающих уведомлений в области уведомлений панели задач Microsoft Windows.
   • Установите флажок Уведомлять по почте, если вы хотите, чтобы уведомления доставлялись по электронной почте.

     Вы можете установить оба флажка одновременно.

     Чтобы уведомления доставлялись на адрес электронной почты, требуется настроить параметры доставки почтовых уведомлений.

     1. В главном окне Web Console перейдите в раздел Устройства → Политики и профили политик.
     2. Нажмите на название политики Kaspersky Endpoint Security.
     3. Перейдите на закладку Параметры программы.
     4. Выберите раздел Общие настройки.
     5. Перейдите по ссылке Уведомления.
     6. В открывшемся окне в разделе Уведомления перейдите по ссылке Настройка почтовых уведомлений.
     7. Установите флажок Отправлять сообщения о событиях.
     8. Настройте параметры уведомлений.
     9. Сохраните изменения.
9. Сохраните внесенные изменения.

Запись информации о событиях в журналы событий Microsoft Windows и/или Kaspersky Endpoint Security и отправка уведомлений о событиях будут включены.

Управление программой Kaspersky Endpoint Agent для Windows

Программа Kaspersky Endpoint Agent обеспечивает коммуникацию

Для оказания поддержки при неполадках в работе программы Kaspersky Endpoint Agent специалисты Службы технической поддержки могут попросить вас в отладочных целях выполнить следующие действия:

• Активировать функциональность получения расширенной диагностической информации.
• Дополнительно настроить отдельные компоненты программы, недоступные для изменения стандартными средствами пользовательского интерфейса.
• Изменить параметры хранения и отправки получаемой диагностической информации.
• Настроить перехват и сохранение в файл сетевого трафика.

Вся информация, необходимая для выполнения перечисленных действий (описание последовательности шагов, изменяемые параметры, конфигурационные файлы, скрипты, дополнительные возможности командной строки, отладочные модули, специализированные утилиты и другое), а также состав данных, собираемых в отладочных целях, будут озвучены вам специалистами Службы технической поддержки. Собранная расширенная диагностическая информация сохраняется на компьютере пользователя. Автоматическая пересылка собранных данных в "Лабораторию Касперского" не выполняется.

Перечисленные выше действия должны выполняться только под руководством специалистов Службы технической поддержки по полученным от них инструкциям. Самостоятельное изменение параметров работы программы способами, не описанными в документации программы или в рекомендациях специалистов Службы технической поддержки, может привести к замедлению и сбоям в работе операционной системы, снижению уровня защиты компьютера, а также к нарушению доступности и целостности обрабатываемой информации.

Начало работы c Kaspersky Endpoint Agent

После того, как вы установили программу Kaspersky Endpoint Agent, вы можете выполнить настройку основных параметров программы:

• Задать набор параметров программы, создав политику Kaspersky Endpoint Agent.

  Вы можете создать политику в Консоли администрирования Kaspersky Security Center Windows, Kaspersky Security Center Web Console или Kaspersky Security Center Cloud Console. Подробнее см. в справке Kaspersky Endpoint Agent 3.13.

• Настроить параметры безопасности Kaspersky Endpoint Agent:
  • Настроить права пользователей.
  • Включить защиту действий в программе паролем.
  • Включить механизм самозащиты программы.
• Настроить использование Kaspersky Security Network.
• Настроить действия по реагированию на угрозы, обнаруженные Kaspersky Sandbox.

Настройка параметров безопасности Kaspersky Endpoint Agent

Для обеспечения максимального уровня безопасности IT-инфраструктуры организации вы можете настроить доступ пользователей и сторонних процессов к Kaspersky Endpoint Agent. Для этого предусмотрены следующие возможности:

• Ограничение прав пользователей на управление параметрами и службами программы.
• Защита действий в программе паролем.
• Механизм самозащиты программы.

Настройка прав пользователей

Вы можете предоставить доступ к Kaspersky Endpoint Agent для отдельных пользователей или групп пользователей. В результате только заданные пользователи смогут управлять параметрами или службами программы.

Чтобы настроить права пользователей, выполните следующие действия:

1. Откройте Консоль администрирования Kaspersky Security Center.
2. В дереве консоли выберите папку Политики.
3. Выберите политику для программы Kaspersky Endpoint Agent и откройте окно ее параметров одним из следующих способов:
   • Двойным щелчком мыши по названию политики.
   • В контекстном меню политики выберите пункт Свойства.
   • В правой части окна выберите пункт Настроить параметры политики.
4. В разделе Параметры программы выберите подраздел Параметры безопасности.
5. В блоке параметров Права пользователей нажмите на кнопку Настроить рядом с названием нужного параметра.

   Откроется окно разрешений для группы Kaspersky Endpoint Agent.

6. В верхнем блоке параметров групп или пользователей выберите группу или пользователя, которому вы хотите предоставить права.
7. В нижнем блоке параметров разрешений для групп или пользователей установите флажки в строках с требуемыми правами.
8. Нажмите на кнопку OK.
9. В правом верхнем углу блока параметров измените положение переключателя с Политика не применяется на Политика применяется.
10. В окне свойств политики нажмите на кнопку OK.

Права пользователей на управление параметрами и/или службами программы будут настроены.

Включение защиты паролем

Неограниченный доступ пользователей к программе и ее параметрам может привести к снижению уровня безопасности хоста в целом. Защита паролем позволяет ограничить доступ пользователей к программе.

Чтобы включить защиту паролем, выполните следующие действия:

1. Откройте Консоль администрирования Kaspersky Security Center.
2. В дереве консоли выберите папку Политики.
3. Выберите политику для программы Kaspersky Endpoint Agent и откройте окно ее параметров одним из следующих способов:
   • Двойным щелчком мыши по названию политики.
   • В контекстном меню политики выберите пункт Свойства.
   • В правой части окна выберите пункт Настроить параметры политики.
4. В разделе Параметры программы выберите подраздел Параметры безопасности.
5. В блоке параметров Защита паролем установите флажок Применить защиту паролем.
6. Задайте пароль и подтвердите его.
7. В правом верхнем углу блока параметров измените положение переключателя с Политика не применяется на Политика применяется.
8. Нажмите на кнопку OK.

Защита паролем будет включена. При попытке пользователя выполнить действие, защищенное паролем, программа предложит пользователю ввести пароль.

Программа не проверяет надежность заданного пароля. Мы рекомендуем использовать сторонние средства для проверки надежности пароля. Пароль считается надежным, если по результатам проверки подтверждена невозможность подбора пароля минимум за 6 месяцев.

Программа не блокирует возможность ввода пароля после множества попыток ввода некорректного пароля.

Включение и отключение механизма самозащиты

Для защиты от вредоносных программ, которые пытаются заблокировать работу Kaspersky Endpoint Agent или удалить программу, в программе реализован механизм самозащиты. Этот механизм предотвращает изменение и удаление файлов программы на жестком диске, процессов в памяти, записей в системном реестре.

Чтобы включить или отключить механизм самозащиты, выполните следующие действия:

1. Откройте Консоль администрирования Kaspersky Security Center.
2. В дереве консоли выберите папку Политики.
3. Выберите политику для программы Kaspersky Endpoint Agent и откройте окно ее параметров одним из следующих способов:
   • Двойным щелчком мыши по названию политики.
   • В контекстном меню политики выберите пункт Свойства.
   • В правой части окна выберите пункт Настроить параметры политики.
4. В разделе Параметры программы выберите подраздел Параметры безопасности.
5. В блоке параметров Самозащита включите или выключите параметр Включить самозащиту модулей программы в памяти.

   По умолчанию параметр включен.

6. В правом верхнем углу блока параметров измените положение переключателя с Политика не применяется на Политика применяется.
7. Нажмите на кнопку OK.

Механизм самозащиты будет включен или отключен.

Настройка параметров соединения с прокси-сервером

Параметры соединения с прокси-сервером используются для обновления баз, активации программы и работы внешних служб.

Если вы используете NGINX в качестве прокси-сервера, настройте параметр client_max_body_size: значение параметра client_max_body_size должно быть равно максимальному размеру объекта, отправляемого программой Kaspersky Endpoint Agent на обработку в программу Kaspersky Sandbox. Иначе NGINX не будет пропускать объекты, превышающие установленное значение. Значение по умолчанию: 1 МБ.

Чтобы настроить параметры соединения с прокси-сервером, выполните следующие действия:

1. Откройте Консоль администрирования Kaspersky Security Center.
2. В дереве консоли выберите папку Политики.
3. Выберите политику для программы Kaspersky Endpoint Agent и откройте окно ее параметров одним из следующих способов:
   • Двойным щелчком мыши по названию политики.
   • В контекстном меню политики выберите пункт Свойства.
   • В правой части окна выберите пункт Настроить параметры политики.
4. В разделе Параметры программы выберите подраздел Общие параметры.
5. Выберите один из следующих вариантов использования прокси-сервера:
   • Не использовать прокси-сервер.
   • Автоматически определять адрес прокси-сервера.
   • Использовать прокси-сервер с указанными параметрами.
6. Если вы выбрали вариант Автоматически определять адрес прокси-сервера, прокси-сервер определяется автоматически для дальнейшей передачи телеметрии.
7. Если вы выбрали вариант Использовать прокси-сервер с указанными параметрами, в полях Имя или IP-адрес сервера и Порт введите адрес и порт прокси-сервера, соединение с которым вы хотите установить.

   По умолчанию используется порт 8080.

8. Если вы хотите использовать NTLM-аутентификацию (протокол сетевой аутентификации NT LAN Manager) при подключении к прокси-серверу:
   1. Установите флажок Использовать NTLM-аутентификацию по имени пользователя и паролю.
   2. В поле Имя пользователя введите имя пользователя из учетной записи, которая будет использоваться для авторизации на прокси-сервере.
   3. В поле Пароль введите пароль подключения к прокси-серверу.

      Вы можете включить отображение символов пароля, нажав на кнопку Показать справа от поля Пароль.

9. Если вы не хотите использовать прокси-сервер для внутренних адресов вашей организации, установите флажок Не использовать прокси-сервер для локальных адресов.
10. Нажмите на кнопку Применить.

    При этом вы вернетесь в окно свойств политики.

11. В правом верхнем углу блока параметров измените положение переключателя с Политика не применяется на Политика применяется.
12. Нажмите на кнопку OK.

Параметры соединения с прокси-сервером будут настроены.

Настройка использования Kaspersky Security Network

Чтобы повысить эффективность защиты компьютера пользователя, Kaspersky Endpoint Agent использует данные, полученные от пользователей во всем мире. Для получения этих данных предназначена сеть Kaspersky Security Network.

Kaspersky Security Network (далее также "KSN") – это инфраструктура облачных служб, предоставляющая доступ к оперативной базе знаний "Лаборатории Касперского" о репутации файлов, интернет-ресурсов и программного обеспечения. Использование данных Kaspersky Security Network обеспечивает более высокую скорость реакции Kaspersky Sandbox на объекты, информация о которых еще не вошла в базы антивирусных программ, повышает эффективность работы некоторых компонентов защиты, а также снижает вероятность ложных срабатываний.

Участие в Kaspersky Security Network позволяет "Лаборатории Касперского" оперативно получать информацию о типах и источниках объектов, информация о которых еще не вошла в базы антивирусных программ, разрабатывать способы их нейтрализации, уменьшать количество ложных срабатываний программы.

Во время участия в Kaspersky Security Network определенная статистика, полученная в результате работы Kaspersky Endpoint Agent, автоматически отправляется в "Лабораторию Касперского". Также для дополнительной проверки в "Лабораторию Касперского" могут отправляться файлы (или их части), в отношении которых существует риск использования их злоумышленником для нанесения вреда компьютеру или данным.

Сбор, обработка и хранение персональных данных пользователя не производится. О данных, которые Kaspersky Endpoint Agent передает в Kaspersky Security Network, вы можете прочитать в Положении о KSN.

Участие в Kaspersky Security Network добровольное. По умолчанию использование KSN отключено. После включения использования KSN, вы можете отключить эту опцию в любой момент времени.

Чтобы включить использование KSN, выполните следующие действия:

1. Откройте Консоль администрирования Kaspersky Security Center.
2. В дереве консоли выберите папку Политики.
3. Выберите политику для программы Kaspersky Endpoint Agent и откройте окно ее параметров одним из следующих способов:
   • Двойным щелчком мыши по названию политики.
   • В контекстном меню политики выберите пункт Свойства.
   • В правой части окна выберите пункт Настроить параметры политики.
4. Выберите раздел Kaspersky Security Network.
5. Ознакомьтесь с Положением о KSN.
6. Если вы согласны с условиями Положения, установите флажок Я подтверждаю, что полностью прочитал(а), понимаю и принимаю положения и условия настоящего Положения о KSN.
7. Установите флажок Включить использование Kaspersky Security Network ("KSN").
8. Если вы хотите использовать Kaspersky Security Center в качестве посредника для передачи телеметрии, установите флажок
   Использовать Kaspersky Security Center в качестве прокси-сервера KSN

   

   Флажок позволяет управлять передачей данных от защищаемых устройств в KSN.

   Если флажок установлен, все данные отправляются в KSN через Kaspersky Security Center.

   Если флажок снят, данные с Сервера администрирования и защищаемых устройств отправляются в KSN напрямую, минуя Kaspersky Security Center. Активная политика определяет, какой тип данных отправляется в KSN напрямую.
   По умолчанию флажок установлен.

   .
9. В правом верхнем углу блока параметров измените положение переключателя с Политика не применяется на Политика применяется.
10. Нажмите на кнопку OK.

Использование KSN будет включено.

Настройка интеграции Kaspersky Endpoint Agent с Kaspersky Sandbox

В этом разделе содержится информация о том, как настроить интеграцию Kaspersky Endpoint Agent с Kaspersky Sandbox. Вам понадобится настроить интеграцию и на стороне Kaspersky Endpoint Agent через консоль администрирования KSC, и на стороне Kaspersky Sandbox через веб-интерфейс.

Включение и отключение интеграции с Kaspersky Sandbox

Чтобы включить или отключить интеграцию с Kaspersky Sandbox, выполните следующие действия:

1. Откройте Консоль администрирования Kaspersky Security Center.
2. В дереве консоли выберите папку Политики.
3. Выберите политику для программы Kaspersky Endpoint Agent и откройте окно ее параметров одним из следующих способов:
   • Двойным щелчком мыши по названию политики.
   • В контекстном меню политики выберите пункт Свойства.
   • В правой части окна выберите пункт Настроить параметры политики.
4. В разделе Интеграция с Kaspersky Sandbox выберите подраздел Параметры интеграции с Kaspersky Sandbox.
5. В блоке параметров Параметры интеграции с Kaspersky Sandbox выполните следующие действия:
   1. Включите или выключите параметр Включить интеграцию с Kaspersky Sandbox.
   2. Включите или выключите параметр Подключаться через прокси-сервер, если это задано в общих параметрах.

      По умолчанию параметр выключен. Программа подключается к серверу Kaspersky Sandbox только напрямую и не использует общие параметры соединения с прокси-сервером. Вы можете включить параметр, если вы хотите, чтобы программа использовала общие параметры соединения с прокси-сервером при подключении к серверу Kaspersky Sandbox.

6. В правом верхнем углу блока параметров измените положение переключателя с Политика не применяется на Политика применяется.
7. Нажмите на кнопку OK.

Интеграция с Kaspersky Sandbox будет включена или отключена.

Настройка доверенного соединения Kaspersky Sandbox с Kaspersky Endpoint Agent

Вы можете настроить доверенное соединение Kaspersky Sandbox с Kaspersky Endpoint Agent в веб-интерфейсе сервера Kaspersky Sandbox.

Установка и настройка доверенного соединения Kaspersky Sandbox с Kaspersky Endpoint Agent состоит из следующих этапов:

1. Генерация или загрузка TLS-сертификата соединения с Kaspersky Endpoint Agent на сервер Kaspersky Sandbox.

   Если в самостоятельно подготовленном TLS-сертификате предусмотрены ограничения по IP-адресу или имени хоста, вы можете настроить доверенное соединение c Kaspersky Endpoint Agent только с одним сервером Kaspersky Sandbox. Настроить доверенное соединение Kaspersky Endpoint Agent c кластером серверов Kaspersky Sandbox с помощью такого сертификата невозможно.

2. Создание нового кластера на базе сервера, на который был загружен сертификат.
3. Удаление всех серверов, которые вы хотите добавить в созданный на предыдущем шаге кластер, из кластеров, в которые они входят в настоящий момент.
4. Добавление всех нужных серверов в этот кластер.
5. Добавление всех серверов этого кластера Kaspersky Sandbox в список Kaspersky Endpoint Agent.
6. Настройка доверенного соединения с Kaspersky Sandbox на стороне Kaspersky Endpoint Agent.

Если вы уже объединили серверы в кластер, вам требуется удалить сервер, для которого вы хотите настроить доверенное соединение с Kaspersky Endpoint Agent, из кластера, затем создать новый кластер на базе этого сервера и добавить в новый кластер все серверы, предназначенные для работы решения Kaspersky Sandbox.

Если нужные вам серверы входят в другой кластер, вам нужно последовательно удалить их из кластера, в который они входят в настоящий момент, а затем добавить в новый кластер.

В этом случае установка и настройка доверенного соединения Kaspersky Sandbox с Kaspersky Endpoint Agent состоит из следующих этапов:

1. Удаление сервера из кластера (если сервер входит в кластер в настоящий момент).
2. Генерация или загрузка TLS-сертификата соединения с Kaspersky Endpoint Agent на сервер Kaspersky Sandbox.
3. Создание нового кластера на базе сервера, на который был загружен сертификат.
4. Удаление всех серверов, которые вы хотите добавить в созданный на предыдущем шаге кластер, из кластеров, в которые они входят в настоящий момент.
5. Добавление всех нужных серверов в этот кластер.
6. Добавление всех серверов этого кластера Kaspersky Sandbox в список Kaspersky Endpoint Agent.
7. Настройка доверенного соединения с Kaspersky Sandbox на стороне Kaspersky Endpoint Agent.

Настройка доверенного соединения на стороне Kaspersky Sandbox

Для настройки доверенного соединения Kaspersky Sandbox с Kaspersky Endpoint Agent вам потребуется сгенерировать или загрузить TLS-сертификат на стороне Kaspersky Sandbox, а затем сохранить его на компьютере для загрузки в программу Kaspersky Endpoint Agent.

1. В окне веб-интерфейса Kaspersky Sandbox выберите раздел TLS-сертификаты.
2. В блоке TLS-сертификат для соединения с программой EPP нажмите на кнопку Сгенерировать.

   Откроется окно подтверждения действия.

3. Нажмите на кнопку Да.

Kaspersky Sandbox сгенерирует новый TLS-сертификат. Страница автоматически обновится.

Вы можете самостоятельно подготовить TLS-сертификат и загрузить его через веб-интерфейс Kaspersky Sandbox.

Файл TLS-сертификата, предназначенный для загрузки, должен удовлетворять следующим требованиям:

• Файл должен содержать сертификат и закрытый ключ шифрования соединения.
• Файл должен иметь формат PEM.
• Длина закрытого ключа должна быть 2048 бит или более.

Подробнее о подготовке TLS-сертификатов к импорту см. в документации Open SSL.

Чтобы загрузить TLS-сертификат через веб-интерфейс Kaspersky Sandbox, выполните следующие действия:

1. В окне веб-интерфейса Kaspersky Sandbox выберите раздел TLS-сертификаты.
2. В блоке TLS-сертификат для соединения с программой EPP нажмите на кнопку Загрузить.

   Откроется окно выбора файлов.

3. Выберите файл TLS-сертификата, который вы хотите загрузить, и нажмите на кнопку Открыть.

   Окно выбора файлов закроется.

TLS-сертификат будет добавлен в Kaspersky Sandbox.

Чтобы сохранить файл TLS-сертификата соединения с Kaspersky Endpoint Security на компьютере, выполните следующие действия:

1. В окне веб-интерфейса Kaspersky Sandbox выберите раздел TLS-сертификаты.
2. В блоке TLS-сертификат для соединения с программой EPP нажмите на кнопку Скачать.

   При скачивании в браузере может отобразиться уведомление о том, что файл является потенциально опасным. Это стандартное предупреждение о файлах с расширением .crt. Файл TLS-сертификата не представляет угрозы для компьютера.

Файл TLS-сертификата будет сохранен в папке загрузки браузера.

Настройка доверенного соединения на стороне Kaspersky Endpoint Agent

Чтобы настроить доверенное соединение Kaspersky Sandbox с Kaspersky Endpoint Agent на стороне Kaspersky Endpoint Agent, выполните следующие действия:

1. Откройте Консоль администрирования Kaspersky Security Center.
2. В дереве консоли выберите папку Политики.
3. Выберите политику для программы Kaspersky Endpoint Agent и откройте окно ее параметров одним из следующих способов:
   • Двойным щелчком мыши по названию политики.
   • В контекстном меню политики выберите пункт Свойства.
   • В правой части окна выберите пункт Настроить параметры политики.
4. В разделе Интеграция с Kaspersky Sandbox выберите подраздел Параметры интеграции с Kaspersky Sandbox.
5. В блоке параметров Параметры интеграции с Kaspersky Sandbox включите параметр Использовать закреплённый сертификат для защиты соединения.
6. Нажмите на кнопку Добавить TLS-сертификат.
7. Выполните одно из следующих действий по добавлению TLS-сертификата, созданного на стороне Kaspersky Sandbox:
   • Добавьте файл сертификата. Для этого нажмите на кнопку Обзор, в открывшемся окне выберите файл сертификата и нажмите на кнопку Открыть.
   • Скопируйте содержимое файла сертификата в поле Вставьте данные TLS-сертификата.

   В Kaspersky Endpoint Agent может быть только один TLS-сертификат сервера Kaspersky Sandbox. Если вы добавляли TLS-сертификат ранее и снова добавили TLS-сертификат, только последний добавленный сертификат будет актуальным.

8. Нажмите на кнопку Добавить.

   Информация о добавленном TLS-сертификате отобразится в блоке параметров Параметры интеграции с Kaspersky Sandbox.

9. В правом верхнем углу блока параметров измените положение переключателя с Политика не применяется на Политика применяется.
10. Нажмите на кнопку OK.

Доверенное соединение с сервером Kaspersky Sandbox будет настроено.

Настройка времени ожидания ответа от Kaspersky Sandbox и параметров очереди запросов

Чтобы настроить время ожидания ответа от Kaspersky Sandbox и параметры очереди запросов на обработку объектов, поступающих от Kaspersky Endpoint Agent в Kaspersky Sandbox, выполните следующие действия:

1. Откройте Консоль администрирования Kaspersky Security Center.
2. В дереве консоли выберите папку Политики.
3. Выберите политику для программы Kaspersky Endpoint Agent и откройте окно ее параметров одним из следующих способов:
   • Двойным щелчком мыши по названию политики.
   • В контекстном меню политики выберите пункт Свойства.
   • В правой части окна выберите пункт Настроить параметры политики.
4. В разделе Интеграция с Kaspersky Sandbox выберите подраздел Расширенные параметры Kaspersky Sandbox.
5. В блоке параметров Время ожидания укажите максимальное время ожидания ответа от сервера.

   Если соединение с сервером Kaspersky Sandbox не будет установлено за указанное время, текущая попытка соединения прервется и Kaspersky Endpoint Agent повторит попытку подключения к серверу.

   По умолчанию установлено значение 5 секунд.

6. В правом верхнем углу блока параметров измените положение переключателя с Политика не применяется на Политика применяется.
7. В блоке параметров Очередь запросов Kaspersky Sandbox в поле Папка очереди укажите путь к папке, в которой будет храниться информация о запросах, отправляемых в Kaspersky Sandbox.

   По умолчанию задана папка %SOYUZAPPDATA%\Sandbox\Queue.

8. В поле Максимальный размер очереди (МБ) укажите максимально допустимый размер очереди запросов в мегабайтах.

   По умолчанию задано 100 МБ.

9. В правом верхнем углу блока параметров измените положение переключателя с Политика не применяется на Политика применяется.
10. Нажмите на кнопку Применить и затем на кнопку OK.

Настройка времени ожидания ответа и параметров очереди запросов на обработку объектов будет завершена.

Добавление серверов Kaspersky Sandbox в список Kaspersky Endpoint Agent

Если вы включили интеграцию с Kaspersky Sandbox, вы можете добавить серверы Kaspersky Sandbox в список Kaspersky Endpoint Agent.

Вы можете добавить несколько серверов Kaspersky Sandbox.

В рамках одной политики добавляйте серверы, входящие в один кластер. Если серверы входят в разные кластеры, результат работы решения непредсказуем.

Все серверы в кластере равноправны независимо от того, на базе какого сервера был создан кластер. Результат обработки одного и того же объекта будет одинаковым на всех серверах кластера.

Программа Kaspersky Sandbox балансирует нагрузку между серверами. Объекты, поступающие на обработку в Kaspersky Sandbox от Kaspersky Endpoint Agent, обрабатываются на наименее загруженном сервере.

Чтобы кластер Kaspersky Sandbox обрабатывал объекты от Kaspersky Endpoint Agent, необходимо добавить в Kaspersky Endpoint Agent хотя бы один сервер, входящий в кластер при интеграции Kaspersky Endpoint Agent с Kaspersky Sandbox.

В списке серверов Kaspersky Sandbox программы Kaspersky Endpoint Agent отображаются только те серверы, которые вы добавили в этот список. При этом объекты могут обрабатываться любым сервером кластера с учетом балансировки нагрузки. Актуальный список серверов кластера можно просмотреть в веб-интерфейсе Kaspersky Sandbox.

Рекомендуется добавить в Kaspersky Endpoint Agent все серверы кластера.

Kaspersky Endpoint Agent может подключиться к другому серверу Kaspersky Sandbox из списка при возникновении одной из следующих ошибок:

• Истекло время ожидания ответа от Kaspersky Sandbox (connection timeout).
• Kaspersky Sandbox недоступен (код ошибки 503 или 504).
• Проблема самодиагностики, за исключением проблем с лицензией (код ошибки 500).

При удалении сервера из кластера возможны следующие сценарии обработки объектов:

• Если в списке серверов Kaspersky Sandbox программы Kaspersky Endpoint Agent остается хотя бы один сервер этого кластера с актуальным IP-адресом или FQDN, Kaspersky Sandbox продолжит обрабатывать объекты от Kaspersky Endpoint Agent.
• Если в списке серверов Kaspersky Sandbox программы Kaspersky Endpoint Agent не остается ни одного сервера, входящего в этот кластер, или IP-адреса или FQDN серверов кластера неактуальны, Kaspersky Sandbox не сможет получать и обрабатывать объекты от Kaspersky Endpoint Agent.

  Для корректной обработки объектов необходимо добавить в Kaspersky Endpoint Agent хотя бы один сервер, входящий в кластер Kaspersky Sandbox.

Чтобы добавить серверы Kaspersky Sandbox в список Kaspersky Endpoint Agent, выполните следующие действия:

1. Откройте Консоль администрирования Kaspersky Security Center.
2. В дереве консоли выберите папку Политики.
3. Выберите политику для программы Kaspersky Endpoint Agent и откройте окно ее параметров одним из следующих способов:
   • Двойным щелчком мыши по названию политики.
   • В контекстном меню политики выберите пункт Свойства.
   • В правой части окна выберите пункт Настроить параметры политики.
4. В разделе Интеграция с Kaspersky Sandbox выберите подраздел Параметры интеграции с Kaspersky Sandbox.
5. В блоке параметров Параметры интеграции с Kaspersky Sandbox включите параметр Включить интеграцию с Kaspersky Sandbox.
6. В блоке параметров Параметры интеграции с Kaspersky Sandbox включите или выключите параметр Подключаться через прокси-сервер, если это задано в общих параметрах.

   По умолчанию параметр выключен. Программа подключается к Kaspersky Sandbox только напрямую и не использует общие параметры соединения с прокси-сервером. Вы можете включить параметр, если вы хотите, чтобы программа использовала общие параметры соединения с прокси-сервером при подключении к Kaspersky Sandbox.

7. В блоке параметров Список серверов Kaspersky Sandbox нажмите на кнопку Добавить.

   Откроется окно Свойства сервера.

8. Введите IP-адрес или полное доменное имя сервера Kaspersky Sandbox, а также порт подключения к серверу.
9. Нажмите на кнопку Добавить.

   Добавленный сервер отобразится в таблице серверов.

10. Повторите действия для добавления каждого сервера Kaspersky Sandbox в список.
11. В правом верхнем углу блока параметров измените положение переключателя с Политика не применяется на Политика применяется.
12. Нажмите на кнопку Применить и затем на кнопку OK.

Серверы Kaspersky Sandbox будут добавлены в список Kaspersky Endpoint Agent.

Настройка действий Kaspersky Endpoint Agent по реагированию на угрозы, обнаруженные Kaspersky Sandbox

Kaspersky Endpoint Agent может выполнять действия по реагированию на угрозы, обнаруженные Kaspersky Sandbox.

Вы можете настроить действия следующих типов:

• Локальные – действия, которые будут выполняться на каждой рабочей станции, на которой обнаружена угроза.
• Групповые – действия, которые будут выполняться на всех рабочих станциях группы администрирования, для которой вы настраиваете политику.

Локальные действия:

• Поместить на карантин и удалить.

  При обнаружении угрозы на рабочей станции копия объекта, содержащего угрозу, будет помещена на карантин, а объект будет удален с рабочей станции.

• Уведомить пользователя устройства.

  При обнаружении угрозы на устройстве пользователю устройства будет показано уведомление об обнаруженной угрозе.

  Уведомление отображается, если устройство работает под учетной записью пользователя, под которой была обнаружена угроза. Если устройство выключено или выполнен вход под другой учетной записью, уведомление не отображается.

• Запустить проверку EPP важных областей на устройстве.

  При обнаружении угрозы на хосте Kaspersky Endpoint Agent отправляет команду программе EPP на выполнение проверки важных областей этого устройства. К важным областям относится память ядра, объекты, загружаемые при запуске операционной системы, и загрузочные секторы жесткого диска. Подробнее о настройке параметров проверки см. в документации к используемой EPP.

Групповые действия:

• Запустить Поиск IOC на управляемой группе устройств.

  При обнаружении угрозы на любом из устройств группы администрирования, для которой вы настраиваете политику, Kaspersky Endpoint Agent проверяет все устройства этой группы администрирования на наличие объекта, содержащего обнаруженную угрозу.

• Поместить на карантин и удалить при обнаружении IOC.

  При обнаружении угрозы на любом из устройств группы администрирования, для которой вы настраиваете политику, Kaspersky Endpoint Agent проверяет все устройства этой группы администрирования на наличие объекта, содержащего обнаруженную угрозу. При обнаружении объекта, содержащего угрозу, на каких-либо устройствах этой группы администрирования копия этого объекта будет помещена на карантин, а объект будет удален с устройств.

• Выполнять проверку EPP важных областей на устройстве при обнаружении IOC.

  При обнаружении угрозы на любом из устройств группы администрирования, для которой вы настраиваете политику, Kaspersky Endpoint Agent отправляет команду программе EPP на выполнение проверки важных областей на всех устройствах этой группы администрирования, на которых обнаружен объект, содержащий угрозу. Подробнее о настройке параметров проверки см. в документации к используемой EPP.

Для настройки групповых действий по реагированию на угрозы вам требуется настроить права пользователей Kaspersky Security Center Web Console, под учетными записями которых вы хотите управлять задачами поиска IOC.

При настройке действий по реагированию на угрозы учитывайте, что в результате выполнения некоторых из настроенных действий объект, содержащий угрозу, может быть удален с рабочей станции, на которой он был обнаружен.

Включение и выключение действий по реагированию на угрозы, обнаруженные Kaspersky Sandbox

Чтобы включить или выключить действия по реагированию на угрозы, обнаруженные Kaspersky Sandbox, выполните следующие действия:

1. Откройте Консоль администрирования Kaspersky Security Center.
2. В дереве консоли выберите папку Политики.
3. Выберите политику для программы Kaspersky Endpoint Agent и откройте окно ее параметров одним из следующих способов:
   • Двойным щелчком мыши по названию политики.
   • В контекстном меню политики выберите пункт Свойства.
   • В правой части окна выберите пункт Настроить параметры политики.
4. В разделе Интеграция с Kaspersky Sandbox выберите подраздел Реагирование на угрозы.
5. В блоке параметров Действия:
   • Установите флажок Выполнять действия по реагированию на угрозы, обнаруженные Kaspersky Sandbox, чтобы включить выполнения действий по реагированию на угрозы.
   • Снимите флажок Выполнять действия по реагированию на угрозы, обнаруженные Kaspersky Sandbox, чтобы отключить выполнения действий по реагированию на угрозы.
6. В правом верхнем углу блока параметров измените положение переключателя с Политика не применяется на Политика применяется.
7. Нажмите на кнопки Применить и OK.

Действия по реагированию на угрозы, обнаруженные Kaspersky Sandbox, будут включены или выключены.

Добавление действий по реагированию на угрозы в список действий текущей политики

Чтобы добавить действия по реагированию на угрозы в список действий текущей политики, выполните следующие действия:

1. Откройте Консоль администрирования Kaspersky Security Center.
2. В дереве консоли выберите папку Политики.
3. Выберите политику для программы Kaspersky Endpoint Agent и откройте окно ее параметров одним из следующих способов:
   • Двойным щелчком мыши по названию политики.
   • В контекстном меню политики выберите пункт Свойства.
   • В правой части окна выберите пункт Настроить параметры политики.
4. В разделе Интеграция с Kaspersky Sandbox выберите подраздел Реагирование на угрозы.
5. В блоке параметров Действия установите флажок Выполнять действия по реагированию на угрозы, обнаруженные Kaspersky Sandbox, если он не установлен.
6. Нажмите на кнопку Добавить и в раскрывающемся списке выберите одно из следующих действий:
   • Поместить на карантин и удалить.

     При обнаружении угрозы на устройстве копия объекта, содержащего угрозу, будет помещена на карантин, а объект будет удален с устройства.

   • Уведомить пользователя устройства.

     При обнаружении угрозы на устройстве пользователю устройства будет показано уведомление об обнаруженной угрозе.

     Уведомление отображается, если устройство работает под учетной записью пользователя, под которой была обнаружена угроза.

     Если устройство выключено или выполнен вход под другой учетной записью, уведомление не отображается.

   • EPP выполнять проверку важных областей на устройстве.

     При обнаружении угрозы на устройстве Kaspersky Endpoint Agent отправляет команду программе EPP на выполнение проверки важных областей этого устройства. К важным областям относится память ядра, объекты, загружаемые при запуске операционной системы, и загрузочные секторы жесткого диска. Подробнее о настройке параметров проверки см. в документации к используемой EPP.

   • Запустить Поиск IOC на управляемой группе устройств.

     При обнаружении угрозы на любом из устройств группы администрирования, для которой вы настраиваете политику, Kaspersky Endpoint Agent проверяет все устройства этой группы администрирования на наличие объекта, содержащего обнаруженную угрозу.

   • Поместить на карантин и удалить при обнаружении IOC.

     При обнаружении угрозы на любом из устройств группы администрирования, для которой вы настраиваете политику, Kaspersky Endpoint Agent проверяет все устройства этой группы администрирования на наличие объекта, содержащего обнаруженную угрозу. При обнаружении объекта, содержащего угрозу, на каких-либо устройствах этой группы администрирования копия этого объекта будет помещена на карантин, а объект будет удален с устройств.

   • Выполнять проверку EPP важных областей на устройстве при обнаружении IOC.

     При обнаружении угрозы на любом из устройств группы администрирования, для которой вы настраиваете политику, Kaspersky Endpoint Agent отправляет команду программе EPP на выполнение проверки важных областей на всех устройствах этой группы администрирования, на которых обнаружен объект, содержащий угрозу. Подробнее о настройке параметров проверки см. в документации к используемой EPP.

   Действие будет добавлено в список Выбранные действия.

   При настройке действий по реагированию на угрозы учитывайте, что в результате выполнения некоторых из настроенных действий объект, содержащий угрозу, может быть удален с рабочей станции, на которой он был обнаружен.

7. Если вы хотите удалить действие, выберите его в таблице и нажмите на кнопку Удалить.
8. В правом верхнем углу блока параметров измените положение переключателя с Политика не применяется на Политика применяется.
9. Нажмите на кнопки Применить и OK.

Действия по реагированию на угрозы будут добавлены в список действий текущей политики.

Аутентификация на Сервере администрирования для групповых задач по реагированию на угрозы

Если вы хотите, чтобы программа Kaspersky Endpoint Agent создавала автономные задачи поиска IOC при реагировании на угрозы, вам нужно настроить аутентификацию на Сервере администрирования.

Программа использует специальную учетную запись пользователя на Сервере администрирования, которая имеет ограниченные права и предназначена только для создания Автономных задач поиска IOC.

Специальную учетную запись можно создать только через окно Реагирование на угрозы в свойствах политики Kaspersky Endpoint Agent или в свойствах программы для отдельного устройства. Специальную учетную запись необходимо создать на Сервере администрирования один раз и использовать ее пароль для настройки параметров Реагирование на угрозы в свойствах других устройств или других политик, относящихся к тому же Серверу администрирования.

Невозможно изменить пароль созданной специальной учетной записи для Автономных задач поиска IOC. Если вы забыли пароль от учетной записи, удалите ее стандартными средствами Kaspersky Security Center и повторно создайте учетную запись через окно Реагирование на угрозы.

Чтобы настроить аутентификацию на Сервере администрирования, выполните следующие действия:

1. Откройте Консоль администрирования Kaspersky Security Center.
2. В дереве консоли выберите папку Политики.
3. Выберите политику для программы Kaspersky Endpoint Agent и откройте окно ее параметров одним из следующих способов:
   • Двойным щелчком мыши по названию политики.
   • В контекстном меню политики выберите пункт Свойства.
   • В правой части окна выберите пункт Настроить параметры политики.
4. В разделе Интеграция с Kaspersky Sandbox выберите подраздел Реагирование на угрозы.
5. Если вы хотите проверить наличие специальной учетной записи для Автономных задач поиска IOC или создать такую учетную запись:
   1. В блоке параметров Аутентификация на Сервере администрирования нажмите на кнопку Проверить наличие пользователя.
   2. Блок параметров Аутентификация на Сервере администрирования доступен для редактирования, только если в списке Выбранные действия выбран параметр Запустить Поиск IOC на управляемой группе устройств.
   3. В открывшемся окне в блоке параметров Подключение к Серверу администрирования введите данные для подключения к Серверу администрирования, а также логин и пароль учетной записи Сервера администрирования, у которой есть права на создание новых пользователей.
   4. Нажмите на кнопку Подключиться и проверить наличие пользователя.
   5. Во всплывающем окне ознакомьтесь с информацией о наличии специальной учетной записи и закройте его.
   6. Если учетной записи не существует и вы хотите ее создать, в блоке параметров Создание специального пользователя для Автономных задач поиска IOC в поле Пароль задайте пароль длиной от 8 до 16 символов и нажмите на кнопку Создать специального пользователя.
   7. Блок параметров Создание специального пользователя для Автономных задач поиска IOC становится доступным для редактирования только после проверки наличия специальной учетной записи.
   8. Нажмите на кнопку Выйти, чтобы закрыть окно Пользователь Сервера администрирования для Автономных задач поиска IOC.
6. В блоке параметров Аутентификация на Сервере администрирования в поле Имя пользователя Сервера администрирования введите пароль специальной учетной записи для Автономных задач поиска IOC, созданной ранее.
7. В правом верхнем углу блока параметров измените положение переключателя с Политика не применяется на Политика применяется.
8. Нажмите на кнопку OK.

Аутентификация на Сервере администрирования для Автономных задач поиска IOC будет настроена.

Включение обнаружения легальных программ, которые могут быть использованы злоумышленниками

Вы можете включить обнаружение легальных программ, которые могут быть использованы злоумышленниками для нанесения вреда локальной сети вашей организации. Kaspersky Endpoint Agent будет считать такие программы угрозой и выполнять над ними действия по реагированию на угрозы.

Легальные программы – программы, разрешенные к установке и использованию на рабочих станциях и предназначенные для выполнения задач пользователя. Однако легальные программы некоторых типов при использовании злоумышленниками могут нанести вред рабочей станции или локальной сети организации. Если злоумышленники получат доступ к таким программам или внедрят их на рабочую станцию, они могут использовать некоторые функции таких программ для нарушения безопасности рабочей станции или локальной сети организации.

К таким программам относятся: IRC-клиенты, программы автодозвона, программы для загрузки файлов, мониторы активности компьютерных систем, утилиты для работы с паролями, интернет-серверы служб FTP, HTTP или Telnet.

Если вы хотите включить обнаружение таких программ, выполните следующие действия:

1. Откройте Консоль администрирования Kaspersky Security Center.
2. В дереве консоли выберите папку Политики.
3. Выберите политику для программы Kaspersky Endpoint Agent и откройте окно ее параметров одним из следующих способов:
   • Двойным щелчком мыши по названию политики.
   • В контекстном меню политики выберите пункт Свойства.
   • В правой части окна выберите пункт Настроить параметры политики.
4. В разделе Интеграция с Kaspersky Sandbox выберите подраздел Реагирование на угрозы.
5. В блоке параметров Дополнительные параметры установите флажок Включить обнаружение легальных программ, которые могут быть использованы злоумышленниками.
6. В правом верхнем углу блока параметров измените положение переключателя с Политика не применяется на Политика применяется.
7. Нажмите на кнопку Применить и затем на кнопку OK.

Обнаружение легальных программ, которые могут быть использованы злоумышленниками для нанесения вреда локальной сети вашей организации, будет включено.

Настройка запуска задач поиска IOC

Чтобы настроить запуск задач поиска IOC, выполните следующие действия:

1. Откройте Консоль администрирования Kaspersky Security Center.
2. В дереве консоли выберите папку Политики.
3. Выберите политику для программы Kaspersky Endpoint Agent и откройте окно ее параметров одним из следующих способов:
   • Двойным щелчком мыши по названию политики.
   • В контекстном меню политики выберите пункт Свойства.
   • В правой части окна выберите пункт Настроить параметры политики.
4. В правой части экрана в блоке параметров Области поиска выберите одну из следующих областей, в которых Kaspersky Endpoint Agent будет выполнять поиск IOC:
   • Файловые области на системных дисках устройства.
   • Важные файловые области на устройстве.
5. В блоке параметров Настроить поиск IOC выберите один из следующих вариантов запуска задач поиска IOC:
   • Вручную.

     Задачи поиска IOC будут создаваться автоматически, но не будут запускаться. Вы сможете запускать вручную каждую задачу или все задачи.

   • Сразу после того, как Kaspersky Sandbox обнаружит угрозу.

     Задачи поиска IOC будут автоматически создаваться и запускаться.

   • Запускать в заданный период.

     Задачи поиска IOC будут создаваться автоматически, а запускаться будут в заданный период. Например, в нерабочее время с 20:00 до 7:00.

     Если вы выбрали вариант Запускать в заданный период, в полях Начало периода (чч:мм) и Конец периода (чч:мм) настройте начало и конец периода.

     Все задачи поиска IOC, автоматически созданные до указанного начала периода, запустятся в произвольное время в пределах указанного периода.

     Все задачи поиска IOC, автоматически созданные в пределах указанного периода, запустятся немедленно.

     Все задачи поиска IOC, автоматически созданные после указанного начала периода, запустятся на следующий день.

   Пример: Если вы настроили запуск задач в заданный период с 20:00 до 7:00: Задачи, автоматически созданные в 19:00, запустятся в произвольное время с 20:00 до 7:00. Задачи, автоматически созданные в 21:00, запустятся в 21:00. Задачи, автоматически созданные в 22:00, запустятся на следующий день с 20:00 до 7:00.

6. Нажмите на кнопку OK.
7. Если вы настраиваете параметры политики, в правом верхнем углу блока параметров измените положение переключателя с Не определено на Принудительно.
8. Нажмите на кнопку OK.
9. В окне свойств политики нажмите на кнопку Сохранить.

Запуск задач поиска IOC будет настроен.

Настройка параметров карантина и восстановления объектов из карантина

Карантин – это специальное локальное хранилище на устройстве с программой Kaspersky Endpoint Agent, в которое помещаются файлы, возможно зараженные вирусами или неизлечимые на момент обнаружения. Файлы на карантине хранятся в зашифрованном виде и не угрожают безопасности устройства.

По умолчанию локальное хранилище карантина расположено в папке %ALLUSERSPROFILE%\Kaspersky Lab\Endpoint Agent\<версия>\Quarantine. По умолчанию объекты, восстановленные из карантина, хранятся в папке %ALLUSERSPROFILE%\Kaspersky Lab\Endpoint Agent\<версия>\Restored.

Kaspersky Security Center формирует общий список объектов, помещенных на карантин на устройствах с программой Kaspersky Endpoint Agent. Агенты администрирования устройств передают информацию о файлах на карантине на Сервер администрирования.

Kaspersky Security Center не копирует файлы из карантина на Сервер администрирования. Все объекты находятся на защищаемых устройствах с программой Kaspersky Endpoint Agent. Восстановление объектов из карантина также выполняется на защищаемых устройствах.

Чтобы настроить параметры карантина Kaspersky Endpoint Agent, выполните следующие действия:

1. Откройте Консоль администрирования Kaspersky Security Center.
2. В дереве консоли выберите папку Политики.
3. Выберите политику для программы Kaspersky Endpoint Agent и откройте окно ее параметров одним из следующих способов:
   • Двойным щелчком мыши по названию политики.
   • В контекстном меню политики выберите пункт Свойства.
   • В правой части окна выберите пункт Настроить параметры политики.
4. В разделе Репозитории выберите подраздел Карантин.
5. В разделе Параметры Карантина настройте параметры карантина:
   1. В поле Папка Карантина укажите путь, по которому будет создана папка карантина на устройствах, или нажмите на кнопку Обзор и выберите путь.

      По умолчанию используется путь %SOYUZAPPDATA%\Quarantine\. Папка Quarantine будет создана на всех устройствах с Kaspersky Endpoint Agent по следующему пути: %ALLUSERSPROFILE%\Kaspersky Lab\Endpoint Agent\4.0.

      Значение переменной %ALLUSERSPROFILE% зависит от операционной системы устройства, на котором установлена программа Kaspersky Endpoint Agent. Например, если программа Kaspersky Endpoint Agent установлена на диске C, путь к папке карантина будет следующим: C:\ProgramData\Kaspersky Lab\Endpoint Agent\4.0\Quarantine.

   2. Чтобы задать максимальный размер карантина, установите флажок Максимальный размер Карантина (МБ) и укажите или выберите в списке максимальный размер карантина в МБ.

      Например, вы можете задать максимальный размер карантина 200 МБ.

      При достижении максимального размера карантина Kaspersky Endpoint Agent публикует соответствующее событие на сервере Kaspersky Security Center и в Журнале событий Windows, но не перестает помещать новые объекты на карантин.

   3. Чтобы задать пороговое значение карантина (место в карантине, оставшееся до достижения максимального размера карантина), установите флажок Пороговое значение места на диске (МБ).

      Например, вы можете задать пороговое значение карантина 50 МБ.

      При достижении порогового значения карантина Kaspersky Endpoint Agent публикует соответствующее событие на сервере Kaspersky Security Center и в Журнале событий Windows, но не перестает помещать новые объекты на карантин.

6. В разделе Восстановление объектов из Карантина в поле Папка для восстановленных объектов укажите путь, по которому будет создана папка для объектов, восстановленных из карантина.

   По умолчанию используется путь %SOYUZAPPDATA%\Restored\. Папка Restored будет создана на всех устройствах с Kaspersky Endpoint Agent по следующему пути: %ALLUSERSPROFILE%\Kaspersky Lab\Endpoint Agent\4.0.

   Значение переменной %ALLUSERSPROFILE% зависит от операционной системы устройства, на котором установлена программа Kaspersky Endpoint Agent. Например, если программа Kaspersky Endpoint Agent установлена на диске C, путь к папке восстановленных из карантина объектов будет следующим: C:\ProgramData\Kaspersky Lab\Endpoint Agent\4.0\Restored.

7. В правом верхнем углу блока параметров измените положение переключателя с Политика не применяется на Политика применяется.
8. Нажмите на кнопку Применить и затем на кнопку OK.

Параметры карантина и восстановления объектов из карантина будут настроены.

Настройка синхронизации данных с Сервером администрирования

Вы можете настроить синхронизацию данных о работе программы Kaspersky Endpoint Agent на рабочих станциях с Сервером администрирования Kaspersky Security Center.

Чтобы настроить синхронизацию данных с Сервером администрирования, выполните следующие действия:

1. Откройте Консоль администрирования Kaspersky Security Center.
2. В дереве консоли выберите папку Политики.
3. Выберите политику для программы Kaspersky Endpoint Agent и откройте окно ее параметров одним из следующих способов:
   • Двойным щелчком мыши по названию политики.
   • В контекстном меню политики выберите пункт Свойства.
   • В правой части окна выберите пункт Настроить параметры политики.
4. В разделе Репозитории выберите подраздел Синхронизация с Сервером администрирования.
5. В разделе Параметры, в подразделе Отправлять следующие данные на Сервер администрирования установите флажок Данные об объектах в Карантине на управляемых устройствах.
6. В правом верхнем углу блока параметров измените положение переключателя с Политика не применяется на Политика применяется.
7. Нажмите на кнопку Применить и затем на кнопку OK.

Синхронизация данных с Сервером администрирования будет настроена.

Работа с задачами Kaspersky Endpoint Agent

В этом разделе описана работа с задачами Kaspersky Endpoint Agent в KSC.

Просмотр списка задач

Чтобы просмотреть список задач на сервере Kaspersky Security Center, выполните следующие действия:

1. Откройте Консоль администрирования Kaspersky Security Center.
2. В дереве консоли выберите папку Задачи.

Отобразится список задач.

Удаление задач из списка

Чтобы удалить задачи из списка задач на сервере Kaspersky Security Center, выполните следующие действия:

1. Откройте Консоль администрирования Kaspersky Security Center.
2. В дереве консоли выберите папку Задачи.
3. В списке задач выберите задачи, которые вы хотите удалить.

   Откроется окно со списком действий, которые вы можете выполнять над задачами.

4. Выберите действие Удалить.

   Откроется окно подтверждения действия.

5. Нажмите на кнопку Да.

Выбранные задачи будут удалены из списка.

Запуск задач вручную

1. Вы можете вручную запустить задачи обновления баз и поиска IOC.

Чтобы вручную запустить одну задачу, выполните следующие действия:

1. Откройте Консоль администрирования Kaspersky Security Center.
2. В дереве консоли выберите папку Задачи.

   Отобразится список задач.

3. Выберите задачу в списке и правой кнопкой мыши раскройте меню действий над задачами.
4. Выберите действие Запустить.

Задача запустится.

Чтобы вручную запустить все задачи, выполните следующие действия:

1. Откройте Консоль администрирования Kaspersky Security Center.
2. В дереве консоли выберите папку Задачи.

   Отобразится список задач.

3. Выберите любую задачу в списке и правой кнопкой мыши раскройте меню действий над задачами.
4. Выберите пункт меню Все задачи и действие Запустить.

Все задачи запустятся.

Просмотр результатов выполнения задач

Вы можете просмотреть результат выполнения задач в течение срока хранения результатов выполнения задач.

Вы можете изменить срок хранения результатов выполнения задач.

Рекомендуется не сокращать срок хранения результатов выполнения задач поиска IOC.

Чтобы просмотреть результат выполнения задачи, выполните следующие действия:

1. Откройте Консоль администрирования Kaspersky Security Center.
2. В дереве консоли выберите папку Задачи.

   Отобразится список задач.

3. Выберите задачу в списке и правой кнопкой мыши раскройте меню действий над задачами.
4. Выберите пункт меню Результаты.

Откроется окно Результат выполнения задачи.

Изменение срока хранения результатов выполнения задач на Сервере администрирования

По умолчанию результаты выполнения задач хранятся на Сервере администрирования 7 дней.

Чтобы изменить срок хранения результатов выполнения задач на Сервере администрирования, выполните следующие действия:

1. Откройте Консоль администрирования Kaspersky Security Center.
2. В дереве консоли выберите папку Задачи.

   Отобразится список задач.

3. Выберите задачу в списке и правой кнопкой мыши раскройте меню действий над задачами.
4. Выберите пункт меню Свойства.

   Откроется окно свойств задачи.

5. В левой части окна выберите раздел Уведомление.
6. В блоке Сохранять информацию о результатах убедитесь, что флажок На Сервере администрирования в течение (сут) установлен и укажите, сколько суток вы хотите хранить результат выполнения задачи.
7. Нажмите на кнопки Применить и OK.

Рекомендуется не сокращать срок хранения результатов выполнения задач поиска IOC.

Управление задачами обновления баз

Вы можете создавать и настраивать параметры задач обновления баз программы.

Создание задачи обновления баз

Чтобы создать задачу обновления баз Kaspersky Endpoint Agent в Kaspersky Security Center, выполните следующие действия:

1. Откройте Консоль администрирования Kaspersky Security Center.
2. В дереве консоли выберите папку Задачи.
3. Нажмите на кнопку Новая задача.

   Запустится мастер создания задачи.

4. Выберите блок типов задач Kaspersky Endpoint Agent и тип задачи Обновление баз и модулей программы.
5. Нажмите на кнопку Далее.

   Запустится мастер создания задачи обновления баз.