Настройка действий Kaspersky Endpoint Security по реагированию на угрозы, обнаруженные Kaspersky Sandbox

Kaspersky Endpoint Security может выполнять действия по реагированию на угрозы, обнаруженные Kaspersky Sandbox.

Вы можете настроить действия следующих типов:

• Локальные – действия, которые будут выполняться на каждой рабочей станции, на которой обнаружена угроза.
• Групповые – действия, которые будут выполняться на всех рабочих станциях группы администрирования, для которой вы настраиваете политику.

Локальные действия:

• Копию поместить на карантин, объект удалить.

  При обнаружении угрозы на рабочей станции копия объекта, содержащего угрозу, будет помещена на карантин, а объект будет удален с рабочей станции.

• Запустить проверку важных областей.

  При обнаружении угрозы на рабочей станции Kaspersky Endpoint Security проверяет критические области этой рабочей станции. К критическим областям относятся память ядра, объекты, загружаемые при запуске операционной системы, и загрузочные секторы жесткого диска. Подробнее о настройке параметров проверки см. в Справке Kaspersky Endpoint Security для Windows.

Групповые действия:

• Создать задачу поиска IOC.

  При обнаружении угрозы на любой из рабочих станций группы администрирования, для которой вы настраиваете политику, Kaspersky Endpoint Security проверяет все рабочие станции этой группы администрирования на наличие объекта, содержащего обнаруженную угрозу.

• Если обнаружен IOC, копию поместить на карантин, объект удалить.

  При обнаружении угрозы на любой из рабочих станций группы администрирования, для которой вы настраиваете политику, Kaspersky Endpoint Security проверяет все рабочие станции этой группы администрирования на наличие объекта, содержащего обнаруженную угрозу. Если на каких-то рабочих станциях этой группы администрирования Kaspersky Endpoint Security находит объект, содержащий угрозу, копия этого объекта будет помещается на карантин, а объект удаляется с рабочих станций.

• Если обнаружен IOC, запустить проверку важных областей.

  При обнаружении угрозы на любой из рабочих станций группы администрирования, для которой вы настраиваете политику, Kaspersky Endpoint Security проверяет критические области на всех рабочих станциях этой группы администрирования. Подробнее о настройке параметров проверки см. в справке Kaspersky Endpoint Security для Windows.

Для настройки групповых действий по реагированию на угрозы вам требуется настроить права пользователей Kaspersky Security Center Web Console, под учетными записями которых вы хотите управлять задачами поиска IOC.

При настройке действий по реагированию на угрозы учитывайте, что в результате выполнения некоторых из настроенных действий объект, содержащий угрозу, может быть удален с рабочей станции, на которой он был обнаружен.

Настройка действий по реагированию на угрозы

Чтобы настроить действия по реагированию на угрозы, выполните следующие действия:

1. В главном окне Web Console выберите Устройства → Политики и профили политик.
2. Нажмите на название политики Kaspersky Endpoint Security.

   Откроется окно свойств политики.

3. Выберите закладку Параметры приложения.
4. Перейдите в раздел Detection and Response → Kaspersky Sandbox.
5. В блоке параметров Действие при обнаружении угрозы установите флажки для следующих параметров:
   • Копию поместить на карантин, объект удалить. Если выбран этот вариант действия, то Kaspersky Endpoint Security удаляет вредоносный объект, обнаруженный на компьютере. Перед удалением объекта Kaspersky Endpoint Security формирует его резервную копию на тот случай, если впоследствии понадобится восстановить объект. Kaspersky Endpoint Security помещает резервную копию на карантин.
   • Запускать проверку важных областей. Если выбран этот вариант действия, то Kaspersky Endpoint Security запускает задачу Проверка важных областей. По умолчанию Kaspersky Endpoint Security проверяет память ядра, запущенные процессы и загрузочные секторы.
   • Создать задачу поиска IOC. Если выбран этот вариант действия, то Kaspersky Endpoint Security автоматически создает задачу Поиск IOC (автономная задача поиска IOC). Вы можете настроить режим запуска задачи, область поиска и действие при обнаружении IOC: удалить объект, запустить задачу Проверка важных областей. Для настройки других параметров задачи Поиск IOC перейдите в свойства задачи.

     Если вы хотите выключить действия по реагированию на угрозы, снимите флажки для параметров, которые хотите выключить.

6. Чтобы настроить действия Kaspersky Endpoint Security при обнаружении IOC, установите флажки для следующих параметров:
   • Если обнаружен IOC, копию поместить на карантин, объект удалить.

     При обнаружении угрозы на любой из рабочих станций группы администрирования, для которой вы настраиваете политику, Kaspersky Endpoint Security проверяет все рабочие станции этой группы администрирования на наличие объекта, содержащего обнаруженную угрозу. Если на каких-то рабочих станциях этой группы администрирования Kaspersky Endpoint Security найдет объект, содержащий угрозу, копия этого объекта будет помещается на карантин, а объект удаляется с рабочих станций.

   • Если обнаружен IOC, запустить проверку важных областей.

     При обнаружении угрозы на любой из рабочих станций группы администрирования, для которой вы настраиваете политику, Kaspersky Endpoint Security проверяет критические области на всех рабочих станциях этой группы администрирования. Подробнее о настройке параметров проверки см. в Справке Kaspersky Endpoint Security для Windows 11.7.

     Если вы хотите выключить действия Kaspersky Endpoint Security при обнаружении IOC, снимите флажки для параметров, которые хотите выключить.

Действия по реагированию на угрозу будут настроены.

Настройка запуска задач поиска IOC

Если Kaspersky Sandbox обнаружил угрозу, в Kaspersky Endpoint Security автоматически создаются задачи поиска IOC (MD5-хешей объектов, в которых была обнаружена угроза) по всем рабочим станциям.

Чтобы просмотреть список задач в Web Console,

в главном окне Web Console перейдите в раздел Устройства → Задачи.

Отобразится список задач.

Вы можете настроить запуск этих задач.

Чтобы настроить запуск задач поиска IOC, выполните следующие действия:

1. В главном окне Web Console выберите Устройства → Политики и профили политик.
2. Нажмите на название политики Kaspersky Endpoint Security.

   Откроется окно свойств политики.

3. Выберите закладку Параметры приложения.
4. Перейдите в раздел Detection and Response → Kaspersky Sandbox.
5. В блоке параметров Запуск задачи поиска IOC выберите один из следующих вариантов запуска задач поиска IOC:
   • Вручную. Режим запуска, при котором вы запускаете задачу Поиск IOC вручную в удобное для вас время.
   • После обнаружения угрозы. Режим запуска, при котором Kaspersky Endpoint Security запускает задачу Поиск IOC автоматически в случае обнаружения угрозы.
   • Во время простоя компьютера. Режим запуска, при котором Kaspersky Endpoint Security запускает задачу Поиск IOC, если включена экранная заставка или компьютер заблокирован. Если пользователь разблокировал компьютер, Kaspersky Endpoint Security приостанавливает выполнение задачи. Таким образом, приложение может выполнять задачу несколько дней.

     Kaspersky Endpoint Security может выполнять задачу несколько дней.

6. В блоке параметров Область поиска IOC выберите один из следующих вариантов области поиска IOC:
   • Важные файловые области. Если выбран этот вариант, Kaspersky Endpoint Security выполняет поиск IOC только в важных файловых областях компьютера: память ядра и загрузочные секторы.
   • Файловые области на системных дисках компьютера. Если выбран этот вариант, Kaspersky Endpoint Security выполняет поиск IOC на системном диске компьютера.
7. Сохраните все внесенные изменения.

Запуск задач поиска IOC будет настроен.