Настройка действий Kaspersky Endpoint Agent по реагированию на угрозы, обнаруженные Kaspersky Sandbox

Kaspersky Endpoint Agent может выполнять действия по реагированию на угрозы, обнаруженные Kaspersky Sandbox.

Вы можете настроить действия следующих типов:

• Локальные – действия, которые будут выполняться на каждой рабочей станции, на которой обнаружена угроза.
• Групповые – действия, которые будут выполняться на всех рабочих станциях группы администрирования, для которой вы настраиваете политику.

Локальные действия:

• Поместить на карантин и удалить.

  При обнаружении угрозы на рабочей станции копия объекта, содержащего угрозу, будет помещена на карантин, а объект будет удален с рабочей станции.

• Уведомить пользователя устройства.

  При обнаружении угрозы на устройстве пользователю устройства будет показано уведомление об обнаруженной угрозе.

  Уведомление отображается, если устройство работает под учетной записью пользователя, под которой была обнаружена угроза. Если устройство выключено или выполнен вход под другой учетной записью, уведомление не отображается.

• Запустить проверку EPP важных областей на устройстве.

  При обнаружении угрозы на хосте Kaspersky Endpoint Agent отправляет команду программе EPP на выполнение проверки важных областей этого устройства. К важным областям относится память ядра, объекты, загружаемые при запуске операционной системы, и загрузочные секторы жесткого диска. Подробнее о настройке параметров проверки см. в документации к используемой EPP.

Групповые действия:

• Запустить Поиск IOC на управляемой группе устройств.

  При обнаружении угрозы на любом из устройств группы администрирования, для которой вы настраиваете политику, Kaspersky Endpoint Agent проверяет все устройства этой группы администрирования на наличие объекта, содержащего обнаруженную угрозу.

• Поместить на карантин и удалить при обнаружении IOC.

  При обнаружении угрозы на любом из устройств группы администрирования, для которой вы настраиваете политику, Kaspersky Endpoint Agent проверяет все устройства этой группы администрирования на наличие объекта, содержащего обнаруженную угрозу. При обнаружении объекта, содержащего угрозу, на каких-либо устройствах этой группы администрирования копия этого объекта будет помещена на карантин, а объект будет удален с устройств.

• Выполнять проверку EPP важных областей на устройстве при обнаружении IOC.

  При обнаружении угрозы на любом из устройств группы администрирования, для которой вы настраиваете политику, Kaspersky Endpoint Agent отправляет команду программе EPP на выполнение проверки важных областей на всех устройствах этой группы администрирования, на которых обнаружен объект, содержащий угрозу. Подробнее о настройке параметров проверки см. в документации к используемой EPP.

Для настройки групповых действий по реагированию на угрозы вам требуется настроить права пользователей Kaspersky Security Center Web Console, под учетными записями которых вы хотите управлять задачами поиска IOC.

При настройке действий по реагированию на угрозы учитывайте, что в результате выполнения некоторых из настроенных действий объект, содержащий угрозу, может быть удален с рабочей станции, на которой он был обнаружен.

Включение и выключение действий по реагированию на угрозы, обнаруженные Kaspersky Sandbox

Чтобы включить или выключить действия по реагированию на угрозы, обнаруженные Kaspersky Sandbox, выполните следующие действия:

1. Откройте Консоль администрирования Kaspersky Security Center.
2. В дереве консоли выберите папку Политики.
3. Выберите политику для программы Kaspersky Endpoint Agent и откройте окно ее параметров одним из следующих способов:
   • Двойным щелчком мыши по названию политики.
   • В контекстном меню политики выберите пункт Свойства.
   • В правой части окна выберите пункт Настроить параметры политики.
4. В разделе Интеграция с Kaspersky Sandbox выберите подраздел Реагирование на угрозы.
5. В блоке параметров Действия:
   • Установите флажок Выполнять действия по реагированию на угрозы, обнаруженные Kaspersky Sandbox, чтобы включить выполнения действий по реагированию на угрозы.
   • Снимите флажок Выполнять действия по реагированию на угрозы, обнаруженные Kaspersky Sandbox, чтобы отключить выполнения действий по реагированию на угрозы.
6. В правом верхнем углу блока параметров измените положение переключателя с Политика не применяется на Политика применяется.
7. Нажмите на кнопки Применить и OK.

Действия по реагированию на угрозы, обнаруженные Kaspersky Sandbox, будут включены или выключены.

Добавление действий по реагированию на угрозы в список действий текущей политики

Чтобы добавить действия по реагированию на угрозы в список действий текущей политики, выполните следующие действия:

1. Откройте Консоль администрирования Kaspersky Security Center.
2. В дереве консоли выберите папку Политики.
3. Выберите политику для программы Kaspersky Endpoint Agent и откройте окно ее параметров одним из следующих способов:
   • Двойным щелчком мыши по названию политики.
   • В контекстном меню политики выберите пункт Свойства.
   • В правой части окна выберите пункт Настроить параметры политики.
4. В разделе Интеграция с Kaspersky Sandbox выберите подраздел Реагирование на угрозы.
5. В блоке параметров Действия установите флажок Выполнять действия по реагированию на угрозы, обнаруженные Kaspersky Sandbox, если он не установлен.
6. Нажмите на кнопку Добавить и в раскрывающемся списке выберите одно из следующих действий:
   • Поместить на карантин и удалить.

     При обнаружении угрозы на устройстве копия объекта, содержащего угрозу, будет помещена на карантин, а объект будет удален с устройства.

   • Уведомить пользователя устройства.

     При обнаружении угрозы на устройстве пользователю устройства будет показано уведомление об обнаруженной угрозе.

     Уведомление отображается, если устройство работает под учетной записью пользователя, под которой была обнаружена угроза.

     Если устройство выключено или выполнен вход под другой учетной записью, уведомление не отображается.

   • EPP выполнять проверку важных областей на устройстве.

     При обнаружении угрозы на устройстве Kaspersky Endpoint Agent отправляет команду программе EPP на выполнение проверки важных областей этого устройства. К важным областям относится память ядра, объекты, загружаемые при запуске операционной системы, и загрузочные секторы жесткого диска. Подробнее о настройке параметров проверки см. в документации к используемой EPP.

   • Запустить Поиск IOC на управляемой группе устройств.

     При обнаружении угрозы на любом из устройств группы администрирования, для которой вы настраиваете политику, Kaspersky Endpoint Agent проверяет все устройства этой группы администрирования на наличие объекта, содержащего обнаруженную угрозу.

   • Поместить на карантин и удалить при обнаружении IOC.

     При обнаружении угрозы на любом из устройств группы администрирования, для которой вы настраиваете политику, Kaspersky Endpoint Agent проверяет все устройства этой группы администрирования на наличие объекта, содержащего обнаруженную угрозу. При обнаружении объекта, содержащего угрозу, на каких-либо устройствах этой группы администрирования копия этого объекта будет помещена на карантин, а объект будет удален с устройств.

   • Выполнять проверку EPP важных областей на устройстве при обнаружении IOC.

     При обнаружении угрозы на любом из устройств группы администрирования, для которой вы настраиваете политику, Kaspersky Endpoint Agent отправляет команду программе EPP на выполнение проверки важных областей на всех устройствах этой группы администрирования, на которых обнаружен объект, содержащий угрозу. Подробнее о настройке параметров проверки см. в документации к используемой EPP.

   Действие будет добавлено в список Выбранные действия.

   При настройке действий по реагированию на угрозы учитывайте, что в результате выполнения некоторых из настроенных действий объект, содержащий угрозу, может быть удален с рабочей станции, на которой он был обнаружен.

7. Если вы хотите удалить действие, выберите его в таблице и нажмите на кнопку Удалить.
8. В правом верхнем углу блока параметров измените положение переключателя с Политика не применяется на Политика применяется.
9. Нажмите на кнопки Применить и OK.

Действия по реагированию на угрозы будут добавлены в список действий текущей политики.

Аутентификация на Сервере администрирования для групповых задач по реагированию на угрозы

Если вы хотите, чтобы программа Kaspersky Endpoint Agent создавала автономные задачи поиска IOC при реагировании на угрозы, вам нужно настроить аутентификацию на Сервере администрирования.

Программа использует специальную учетную запись пользователя на Сервере администрирования, которая имеет ограниченные права и предназначена только для создания Автономных задач поиска IOC.

Специальную учетную запись можно создать только через окно Реагирование на угрозы в свойствах политики Kaspersky Endpoint Agent или в свойствах программы для отдельного устройства. Специальную учетную запись необходимо создать на Сервере администрирования один раз и использовать ее пароль для настройки параметров Реагирование на угрозы в свойствах других устройств или других политик, относящихся к тому же Серверу администрирования.

Невозможно изменить пароль созданной специальной учетной записи для Автономных задач поиска IOC. Если вы забыли пароль от учетной записи, удалите ее стандартными средствами Kaspersky Security Center и повторно создайте учетную запись через окно Реагирование на угрозы.

Чтобы настроить аутентификацию на Сервере администрирования, выполните следующие действия:

1. Откройте Консоль администрирования Kaspersky Security Center.
2. В дереве консоли выберите папку Политики.
3. Выберите политику для программы Kaspersky Endpoint Agent и откройте окно ее параметров одним из следующих способов:
   • Двойным щелчком мыши по названию политики.
   • В контекстном меню политики выберите пункт Свойства.
   • В правой части окна выберите пункт Настроить параметры политики.
4. В разделе Интеграция с Kaspersky Sandbox выберите подраздел Реагирование на угрозы.
5. Если вы хотите проверить наличие специальной учетной записи для Автономных задач поиска IOC или создать такую учетную запись:
   1. В блоке параметров Аутентификация на Сервере администрирования нажмите на кнопку Проверить наличие пользователя.
   2. Блок параметров Аутентификация на Сервере администрирования доступен для редактирования, только если в списке Выбранные действия выбран параметр Запустить Поиск IOC на управляемой группе устройств.
   3. В открывшемся окне в блоке параметров Подключение к Серверу администрирования введите данные для подключения к Серверу администрирования, а также логин и пароль учетной записи Сервера администрирования, у которой есть права на создание новых пользователей.
   4. Нажмите на кнопку Подключиться и проверить наличие пользователя.
   5. Во всплывающем окне ознакомьтесь с информацией о наличии специальной учетной записи и закройте его.
   6. Если учетной записи не существует и вы хотите ее создать, в блоке параметров Создание специального пользователя для Автономных задач поиска IOC в поле Пароль задайте пароль длиной от 8 до 16 символов и нажмите на кнопку Создать специального пользователя.
   7. Блок параметров Создание специального пользователя для Автономных задач поиска IOC становится доступным для редактирования только после проверки наличия специальной учетной записи.
   8. Нажмите на кнопку Выйти, чтобы закрыть окно Пользователь Сервера администрирования для Автономных задач поиска IOC.
6. В блоке параметров Аутентификация на Сервере администрирования в поле Имя пользователя Сервера администрирования введите пароль специальной учетной записи для Автономных задач поиска IOC, созданной ранее.
7. В правом верхнем углу блока параметров измените положение переключателя с Политика не применяется на Политика применяется.
8. Нажмите на кнопку OK.

Аутентификация на Сервере администрирования для Автономных задач поиска IOC будет настроена.

Включение обнаружения легальных программ, которые могут быть использованы злоумышленниками

Вы можете включить обнаружение легальных программ, которые могут быть использованы злоумышленниками для нанесения вреда локальной сети вашей организации. Kaspersky Endpoint Agent будет считать такие программы угрозой и выполнять над ними действия по реагированию на угрозы.

Легальные программы – программы, разрешенные к установке и использованию на рабочих станциях и предназначенные для выполнения задач пользователя. Однако легальные программы некоторых типов при использовании злоумышленниками могут нанести вред рабочей станции или локальной сети организации. Если злоумышленники получат доступ к таким программам или внедрят их на рабочую станцию, они могут использовать некоторые функции таких программ для нарушения безопасности рабочей станции или локальной сети организации.

К таким программам относятся: IRC-клиенты, программы автодозвона, программы для загрузки файлов, мониторы активности компьютерных систем, утилиты для работы с паролями, интернет-серверы служб FTP, HTTP или Telnet.

Если вы хотите включить обнаружение таких программ, выполните следующие действия:

1. Откройте Консоль администрирования Kaspersky Security Center.
2. В дереве консоли выберите папку Политики.
3. Выберите политику для программы Kaspersky Endpoint Agent и откройте окно ее параметров одним из следующих способов:
   • Двойным щелчком мыши по названию политики.
   • В контекстном меню политики выберите пункт Свойства.
   • В правой части окна выберите пункт Настроить параметры политики.
4. В разделе Интеграция с Kaspersky Sandbox выберите подраздел Реагирование на угрозы.
5. В блоке параметров Дополнительные параметры установите флажок Включить обнаружение легальных программ, которые могут быть использованы злоумышленниками.
6. В правом верхнем углу блока параметров измените положение переключателя с Политика не применяется на Политика применяется.
7. Нажмите на кнопку Применить и затем на кнопку OK.

Обнаружение легальных программ, которые могут быть использованы злоумышленниками для нанесения вреда локальной сети вашей организации, будет включено.

Настройка запуска задач поиска IOC

Чтобы настроить запуск задач поиска IOC, выполните следующие действия:

1. Откройте Консоль администрирования Kaspersky Security Center.
2. В дереве консоли выберите папку Политики.
3. Выберите политику для программы Kaspersky Endpoint Agent и откройте окно ее параметров одним из следующих способов:
   • Двойным щелчком мыши по названию политики.
   • В контекстном меню политики выберите пункт Свойства.
   • В правой части окна выберите пункт Настроить параметры политики.
4. В правой части экрана в блоке параметров Области поиска выберите одну из следующих областей, в которых Kaspersky Endpoint Agent будет выполнять поиск IOC:
   • Файловые области на системных дисках устройства.
   • Важные файловые области на устройстве.
5. В блоке параметров Настроить поиск IOC выберите один из следующих вариантов запуска задач поиска IOC:
   • Вручную.

     Задачи поиска IOC будут создаваться автоматически, но не будут запускаться. Вы сможете запускать вручную каждую задачу или все задачи.

   • Сразу после того, как Kaspersky Sandbox обнаружит угрозу.

     Задачи поиска IOC будут автоматически создаваться и запускаться.

   • Запускать в заданный период.

     Задачи поиска IOC будут создаваться автоматически, а запускаться будут в заданный период. Например, в нерабочее время с 20:00 до 7:00.

     Если вы выбрали вариант Запускать в заданный период, в полях Начало периода (чч:мм) и Конец периода (чч:мм) настройте начало и конец периода.

     Все задачи поиска IOC, автоматически созданные до указанного начала периода, запустятся в произвольное время в пределах указанного периода.

     Все задачи поиска IOC, автоматически созданные в пределах указанного периода, запустятся немедленно.

     Все задачи поиска IOC, автоматически созданные после указанного начала периода, запустятся на следующий день.

   Пример: Если вы настроили запуск задач в заданный период с 20:00 до 7:00: Задачи, автоматически созданные в 19:00, запустятся в произвольное время с 20:00 до 7:00. Задачи, автоматически созданные в 21:00, запустятся в 21:00. Задачи, автоматически созданные в 22:00, запустятся на следующий день с 20:00 до 7:00.

6. Нажмите на кнопку OK.
7. Если вы настраиваете параметры политики, в правом верхнем углу блока параметров измените положение переключателя с Не определено на Принудительно.
8. Нажмите на кнопку OK.
9. В окне свойств политики нажмите на кнопку Сохранить.

Запуск задач поиска IOC будет настроен.