Автоматическая отправка файлов с хостов с компонентом Endpoint Agent на проверку в Sandbox по правилам TAA (IOA) "Лаборатории Касперского"

Если функция включена, приложение может автоматически отправлять файлы с хостов с компонентом Endpoint Agent на проверку компоненту Sandbox в соответствии с правилами TAA (IOA) "Лаборатории Касперского". Отправка файлов на проверку осуществляется по следующему принципу:

Kaspersky Anti Targeted Attack Platform проверяет базу событий и отмечает события, соответствующие правилам TAA (IOA).
При наличии соответствующих условий в правилах TAA (IOA), Kaspersky Anti Targeted Attack Platform отправляет файлы на проверку компоненту Sandbox.
Запросы на отправку файлов на проверку компоненту Sandbox не отображаются в веб-интерфейсе Kaspersky Anti Targeted Attack Platform.
По результатам проверки приложение может записать обнаружения в базу обнаружений.
Вы можете просмотреть созданные обнаружения, отфильтровав их по показателю Сведения – Автоотправка в Sandbox.

При включении автоматической отправки файлов на проверку компоненту Sandbox объем обрабатываемого компонентом трафика может значительно увеличиться. Если сервер с компонентом Sandbox не рассчитан на увеличение нагрузки, часть объектов из очереди запросов на обработку будет заменена запросами на обработку файлов, отправленных на проверку автоматически.

Чтобы избежать потери объектов из очереди запросов на обработку, вы можете выполнить следующие действия:

Развернуть дополнительные серверы Sandbox.
Отключить функцию автоматической отправки файлов на проверку компоненту Sandbox.
Добавить в исключения правила TAA (IOA), по которым Kaspersky Anti Targeted Attack Platform наиболее часто отправляет файлы на проверку компоненту Sandbox.
Информация о правилах, по которым Kaspersky Anti Targeted Attack Platform наиболее часто отправляет файлы на проверку компоненту Sandbox, отображается на виджете Отправлено в Sandbox по правилам TAA. Вы можете добавить этот виджет на текущую схему расположения виджетов.

При добавлении правила в исключения прекращается также разметка событий и создание обнаружений по этому правилу.

Список файлов, которые могут быть отправлены автоматически на проверку компоненту Sandbox, приведен в таблице ниже.

Список файлов, которые могут быть отправлены автоматически на проверку компоненту Sandbox

Тип события	Тип файла
Запущен процесс	Файл запущенного процесса и файл родительского процесса.
Загружен модуль	Файл загруженного модуля и файл родительского процесса.
Удаленное соединение	Файл родительского процесса.
Правило запрета	Файл приложения, запуск которого был заблокирован, и файл родительского процесса.
Заблокирован документ	Файл документа, запуск которого был заблокирован, и файл родительского процесса.
Изменен файл	Созданный, удаленный или измененный файл и файл родительского процесса.
Журнал событий ОС	Файл процесса (только для Linux).
Изменение в реестре	Файл родительского процесса.
Прослушан порт	Файл родительского процесса.
Загружен драйвер	Файл загруженного драйвера.
Обнаружение	Обнаруженный файл и файл родительского процесса (если есть).
Результат обработки обнаружения	Обнаруженный файл и файл родительского процесса (если есть).
AMSI-проверка	Файл процесса.
Интерпретированный запуск файла	Файла, который был запущен, и файл родительского процесса.
Интерактивный ввод команд в консоли	Файл родительского процесса.

Информация о файлах, отправленных на проверку компоненту Sandbox, не отображаются в веб-интерфейсе Kaspersky Anti Targeted Attack Platform.

В этом разделе

Включение и отключение автоматической отправки файлов с хостов с компонентом Endpoint Agent на проверку компоненту Sandbox

В начало