Создание пользовательских правил Sandbox

Если вы выбрали пользовательские операционные системы для проверки объектов, вам также нужно создать пользовательские правила, которые определяют, какие объекты следует проверять и в какой операционной системе.

Создавать правила отправки объектов на проверку в преднастроенные операционные системы не требуется, Kaspersky EDR Expert отправляет туда объекты автоматически.

Чтобы добавить пользовательское правило Sandbox:

  1. В главном окне приложения перейдите в раздел Detection and ResponseРесурсы и сервисыПравила Sandbox.
  2. Нажмите на кнопку Добавить.

    Откроется окно создания правила.

  3. Настройте следующие параметры:
    • Включите переключатель Статус правила, если вы хотите включить правило сразу после его создания.
    • Выберите Владелец тенанта.
    • Выберите виртуальную машину, на которой нужно выполнять проверку файлов.

      Вы можете выбирать только виртуальные машины, с выбранными вами пользовательским операционными системами.

    • В блоке Критерии сопоставления выберите, хотите ли вы использовать критерии Маска, Категория файлов или Оба в качестве критерия сопоставления.
    • Если вы выбрали Маска или Оба в качестве критерия соответствия:
      • Укажите значение для поля Маска для имен файлов, которые будут отправлены в Sandbox в соответствии с правилом.

        Вы можете указать несколько значений, каждое в отдельной строке.

        Вы можете использовать символы подстановки * и ?. Другие символы подстановки не поддерживаются.

      • Укажите необязательную значение Маска исключений для файлов, которые должны быть исключены из проверки, даже если их имена соответствуют указанной ранее маске.

        Вы можете указать несколько значений, каждое в отдельной строке.

        Вы можете использовать символы подстановки * и ?. Другие символы подстановки не поддерживаются.

    • Если вы выбрали Категория файлов или Оба в качестве критерия соответствия:

      В раскрывающемся списке Категория файлов выберите категории файлов, которые будут отправлены в Sandbox в соответствии с правилом.

    • Чтобы ограничить размер файлов, отправляемых в Sandbox, нажмите на кнопку Добавить размер файла, а затем укажите значения Минимальный и Максимальный для размера файла. Таким образом, вы можете установить несколько диапазонов размеров.
  4. Нажмите на кнопку Сохранить.

Правило отобразится в списке пользовательских правил Sandbox.

Особенности проверки архивов

Проверка архивов выполняется следующим образом:

  1. Kaspersky EDR Expert распаковывает архив.
  2. Если какие-либо файлы из архива соответствуют правилу, Kaspersky EDR Expert отправляет их на проверку.

Файлы с расширением MSI обрабатываются аналогично архивам.

В начало