Интеграция с Sandbox
Технология Sandbox позволяет выполнять на специальных серверах с развернутыми виртуальными образами операционных систем анализ и проверку объектов для выявления вредоносной активности и признаков целевых атак на ИТ-инфраструктуру организации.
Приложение Kaspersky Endpoint Security может взаимодействовать с Sandbox на платформе Open Single Management Platform (OSMP) или на платформе Kaspersky Anti Targeted Attack Platform. В зависимости от платформы взаимодействие приложения Kaspersky Endpoint Security с Sandbox обеспечивает сервер Sandbox – сервер OSMP или сервер с компонентом Central Node.
Интеграцию c Sandbox обеспечивает компонент приложения Kaspersky Endpoint Security Sandbox.
Во время интеграции с Sandbox устройства с Kaspersky Endpoint Security устанавливают защищенные соединения по протоколу HTTPS с серверами, обеспечивающими интеграцию. Для обеспечения безопасности соединения используются следующие сертификаты, выданные сервером OSMP или сервером Central Node:
- Сертификат сервера. Соединение шифруется с помощью TLS-сертификата сервера. Вы можете повысить уровень безопасности соединения, включив проверку сертификата сервера на стороне Kaspersky Endpoint Security. Для этого вам нужно добавить сертификат сервера перед включением интеграции с Sandbox.
- Сертификат клиента. Этот сертификат используется для дополнительной защиты подключения с помощью двусторонней аутентификации (то есть проверки устройств с приложением Kaspersky Endpoint Security сервером OSMP или сервером Central Node). Один и тот же сертификат клиента может использоваться несколькими устройствами. По умолчанию сервер не выполняет проверку сертификатов клиентов, но двусторонняя аутентификация может быть включена на стороне платформы OSMP или Kaspersky Anti Targeted Attack Platform. В этом случае вам нужно включить двустороннюю аутентификацию в параметрах компонента Sandbox и добавить сертификат клиента (криптоконтейнер с сертификатом и закрытым ключом).
Сертификаты для защиты соединения с серверами, обеспечивающими взаимодействие с Sandbox, предоставляет администратор платформы OSMP или Kaspersky Anti Targeted Attack Platform.
Если в общих параметрах приложения Kaspersky Endpoint Security настроено использование прокси-сервера, то для подключения к серверам, обеспечивающими взаимодействие с Sandbox, используется прокси-сервер.
Отправка файлов и директорий на проверку в Sandbox может выполняться в одном из следующих режимов:
- Вручную. При этом режиме вы можете отправить объекты на проверку в Sandbox вручную с помощью команды или из графического интерфейса.
- Только автоматический. Приложение автоматически отправляет объекты на проверку, при этом отправить объекты на проверку в Sandbox вручную невозможно.
- Автоматический и ручной. Приложение автоматически отправляет объекты на проверку, при этом вы можете отправить объекты на проверку в Sandbox вручную с помощью команды или из графического интерфейса.
По умолчанию интеграция с Sandbox выключена. Вы можете включать и выключать компонент Sandbox, а также настраивать следующие параметры интеграции с помощью Web Console и командной строки:
- Выбирать режим отправки объектов на проверку (вручную, только автоматический, автоматический и ручной).
- Выбирать действия, которые приложение будет выполнять при обнаружении угрозы (в асинхронном режиме отправки объекта в Sandbox):
- Удалять файл с обнаруженным объектом и помещать копию файла на карантин.
- Запускать задачу проверки важных областей. По умолчанию приложение проверяет память процессов, память ядра, загрузочные секторы, объекты автозапуска и путь к обнаруженному объекту.
- Создавать задачу поиска IOC. Приложение автоматически создает задачу поиска IOC, вы можете настроить режим запуска задачи, область поиска и действие при обнаружении IOC (удалить обнаруженный объект, запустить задачу проверки важных областей).
- Настраивать общие параметры подключения к серверам Sandbox.
- Добавлять и удалять сертификаты серверов Sandbox.
- Настраивать двустороннюю аутентификацию при подключении к серверам Sandbox и добавлять сертификаты клиента.
В начало