Kaspersky Sandbox

Kaspersky Endpoint Security 11.7.0 comprend désormais le module Kaspersky Sandbox. Ce module permet l'interopérabilité avec la solution Kaspersky Sandbox. La solution Kaspersky Sandbox détecte et bloque automatiquement les menaces avancées sur les ordinateurs. Kaspersky Sandbox analyse le comportement des objets pour détecter les activités malveillantes et les activités caractéristiques d'attaques ciblées sur l'infrastructure informatique de l'organisation. Kaspersky Sandbox analyse les objets sur des serveurs spéciaux sur lesquels des images virtuelles des systèmes d'exploitation Microsoft Windows (serveurs Kaspersky Sandbox) ont été déployées. Pour en savoir plus sur la solution, consultez l'aide de Kaspersky Sandbox.

Lorsque vous interagissez avec Kaspersky Sandbox, l'application vous permet de faire ce qui suit :

Ajouter un certificat TLS pour se connecter en toute sécurité aux serveurs Kaspersky Sandbox.
Ajouter des serveurs Kaspersky Sandbox.
Sélectionner une action de réponse aux menaces.
Rechercher des indicateurs de compromission (IOC).

Kaspersky Sandbox nécessite Kaspersky Security Center version 13.2. Les versions antérieures de Kaspersky Security Center ne permettent pas la création de tâches autonomes d'analyse IOC pour la réponse aux menaces.

Le module peut être administré uniquement à l'aide de Web Console. Vous ne pouvez pas gérer ce module à l'aide de la Console d'administration (MMC).

Intégration avec Kaspersky Sandbox

L'intégration avec Kaspersky Sandbox comprend les étapes suivantes :

Installation du module Kaspersky Sandbox
Vous pouvez sélectionner le module Kaspersky Sandbox lors de l'installation ou de la mise à niveau ainsi qu'à l'aide de la tâche Modification de la sélection des modules de l'application.

Suite à l'exécution de la tâche Modification de la sélection des modules de l'application, l'état de la tâche s'affiche de manière incorrecte. Au lieu de Terminé(e) avec succès, la tâche a l'état Planifié. Cependant, la tâche peut toujours être terminée avec succès. Assurez-vous que le nouveau module est installé dans les propriétés de l'ordinateur de la console Kaspersky Security Center (Applications → Kaspersky Endpoint Security for Windows → Modules) ou dans l'interface locale de l'application.
Ajout d'un certificat TLS
Pour configurer une connexion de confiance avec les serveurs de Kaspersky Sandbox, vous devez préparer un certificat TLS. Ensuite, vous devez ajouter le certificat aux serveurs Kaspersky Sandbox et à la stratégie de Kaspersky Endpoint Security. Pour en savoir plus sur la préparation du certificat et l'ajout du certificat aux serveurs, consultez l'aide de Kaspersky Sandbox.

Ajout d'un certificat TLS à l'aide de Web Console
1. Dans la fenêtre principale de Web Console, sélectionnez la section Appareils → Stratégies et profils.
2. Cliquez sur le nom de la stratégie de Kaspersky Endpoint Security.
  La fenêtre des propriétés de la stratégie s'ouvre.
3. Choisissez l'onglet Paramètres des applications.
4. Accédez à Detection and Response → Kaspersky Sandbox.
5. Cliquez sur Paramètres de connexion au serveur.
  La fenêtre des paramètres de connexion du serveur Kaspersky Sandbox s'ouvre.
6. Sous Certificat TLS du serveur, cliquez sur Ajouter et sélectionnez le fichier du certificat TLS.
  Kaspersky Endpoint Security ne peut avoir qu'un seul certificat TLS pour un serveur Kaspersky Sandbox. Si vous avez ajouté un certificat TLS auparavant, ce certificat est révoqué. Seul le dernier certificat ajouté est utilisé.
7. Configurez les paramètres de connexion avancés pour les serveurs Kaspersky Sandbox :
  - Le délai d'attente de la requête est écoulé. Délai d'attente de la connexion avec le serveur Kaspersky Sandbox. Une fois le délai d'attente configuré écoulé, Kaspersky Endpoint Security envoie une requête au serveur suivant. Vous pouvez augmenter le délai d'attente de connexion avec Kaspersky Sandbox si votre vitesse de connexion est faible ou si la connexion est instable. La valeur par défaut est de 5 secondes.
  - File d'attente des requêtes de Kaspersky Sandbox. Taille du dossier de la file d'attente des requêtes. Lors de l'accès à un objet sur l'ordinateur (lancement d'un fichier exécutable ou ouverture d'un document, par exemple au format DOCX ou PDF), Kaspersky Endpoint Security peut également envoyer l'objet pour qu'il soit analysé par Kaspersky Sandbox. S'il y a plusieurs requêtes, Kaspersky Endpoint Security crée une file d'attente de requêtes. Par défaut, la taille du dossier de la file d'attente des requêtes est limitée à 100 Mo. Lorsque la taille maximale est atteinte, Kaspersky Sandbox cesse d'ajouter de nouvelles requêtes à la file d'attente et envoie l'événement correspondant à Kaspersky Security Center. Vous pouvez configurer la taille du dossier de la file d'attente des requêtes en fonction de la configuration de votre serveur.
8. Enregistrez vos modifications.
Kaspersky Endpoint Security vérifie alors le certificat TLS. Si le certificat est validé, Kaspersky Endpoint Security charge le fichier du certificat sur l'ordinateur lors de la prochaine synchronisation avec Kaspersky Security Center. Si vous avez ajouté deux certificats TLS, Kaspersky Sandbox utilisera le dernier certificat pour établir une connexion de confiance.
Vous pouvez également ajouter un certificat TLS à l'ordinateur localement en utilisant la ligne de commande.
Activation du module Kaspersky Sandbox
Vous pouvez activer ou désactiver le module dans les paramètres de la stratégie de Kaspersky Endpoint Security for Windows.

Pour utiliser le module, les conditions suivantes doivent être remplies :
- L'application est activée, et la fonctionnalité est couverte par la licence.
- Le module Kaspersky Sandbox est activé.
Activation ou désactivation de Kaspersky Sandbox à l'aide de Web Console
1. Dans la fenêtre principale de Web Console, sélectionnez la section Appareils → Stratégies et profils.
2. Cliquez sur le nom de la stratégie de Kaspersky Endpoint Security.
  La fenêtre des propriétés de la stratégie s'ouvre.
3. Choisissez l'onglet Paramètres des applications.
4. Accédez à Detection and Response → Kaspersky Sandbox.
5. Utilisez le commutateur Intégration avec Kaspersky Sandbox pour activer ou désactiver le module.
6. Enregistrez vos modifications.
Vous pouvez également activer ou désactiver Kaspersky Sandbox localement en utilisant la ligne de commande.

Ainsi, le module Kaspersky Sandbox est activé. Vérifiez l'état de fonctionnement du module en consultant le rapport sur l'état des modules de l'application. Vous pouvez également consulter l'état de fonctionnement d'un module dans les rapports de l'interface locale de Kaspersky Endpoint Security. Le module Kaspersky Sandbox est ajouté à la liste des modules de Kaspersky Endpoint Security.
Connexion des ordinateurs aux serveurs Kaspersky Sandbox
Pour connecter des ordinateurs aux serveurs Kaspersky Sandbox avec des images virtuelles de systèmes d'exploitation, vous devez saisir une adresse de serveur et un port. Pour en savoir plus sur le déploiement des images virtuelles et la configuration des serveurs Kaspersky Sandbox, consultez l'aide de Kaspersky Sandbox.

Connexion d'ordinateurs aux serveurs Kaspersky Sandbox à l'aide de Web Console
1. Dans la fenêtre principale de Web Console, sélectionnez la section Appareils → Stratégies et profils.
2. Cliquez sur le nom de la stratégie de Kaspersky Endpoint Security.
  La fenêtre des propriétés de la stratégie s'ouvre.
3. Choisissez l'onglet Paramètres des applications.
4. Accédez à Detection and Response → Kaspersky Sandbox.
5. Sous Serveurs Kaspersky Sandbox, cliquez sur Ajouter.
6. Une fenêtre s'ouvre. Dans la fenêtre, saisissez l'adresse du serveur Kaspersky Sandbox (IPv4, IPv6, DNS) ainsi que le port.
7. Enregistrez vos modifications.
Établissement d'une connexion d'arrière-plan entre Kaspersky Security Center Web Console et le Serveur d'administration
Pour que Kaspersky Sandbox fonctionne avec le Serveur d'administration via Kaspersky Security Center Web Console, vous devez établir une nouvelle connexion sécurisée, une connexion en arrière-plan. Pour en savoir plus sur l'intégration de Kaspersky Security Center avec les autres solutions de Kaspersky, consultez l'aide de Kaspersky Security Center.

Établissement d'une connexion en arrière-plan dans Web Console
1. Dans la fenêtre principale de Web Console, choisissez Paramètres de la console → Intégration.
2. Accédez à la section Intégration interservices.
3. Activer la fonction Établir une connexion en arrière-plan pour l'intégration interservices.
4. Enregistrez vos modifications.
En l'absence de connexion en arrière-plan entre Kaspersky Security Center Web Console et le Serveur d'administration, il est impossible de créer des tâches d'analyse IOC autonome dans le cadre de la réponse aux menaces.
Activation du transfert de données au Serveur d'administration
Pour utiliser toutes les fonctionnalités de Kaspersky Sandbox, assurez-vous que le transfert de données des fichiers de quarantaine est activé. Ces données sont requises pour obtenir des informations à propos des fichiers mis en quarantaine sur un ordinateur via Web Console. Par exemple, vous pouvez télécharger un fichier de la quarantaine pour l'analyser dans Web Console.

Comment activer le transfert de données vers le Serveur d'administration dans Web Console ?
1. Dans la fenêtre principale de Web Console, sélectionnez la section Appareils → Stratégies et profils.
2. Cliquez sur le nom de la stratégie de Kaspersky Endpoint Security.
  La fenêtre des propriétés de la stratégie s'ouvre.
3. Choisissez l'onglet Paramètres des applications.
4. Sélectionnez Paramètres généraux → Rapports et stockage.
5. Sous Transfert des données au Serveur d'administration, cochez la case À propos des fichiers de la Quarantaine.
6. Enregistrez vos modifications.

Migration de Kaspersky Endpoint Agent vers Kaspersky Endpoint Security for Windows

Si vous utilisez Kaspersky Endpoint Security 11.7.0 ou une version plus récente avec le module Kaspersky Sandbox installé, l'interopérabilité avec la solution Kaspersky Sandbox est possible immédiatement après l'installation. Le module Kaspersky Sandbox n'est pas compatible avec Kaspersky Endpoint Agent. Si Kaspersky Endpoint Agent est installé sur l'ordinateur, lors de la mise à jour de Kaspersky Endpoint Security vers la version 11.7.0, Kaspersky Sandbox continue de fonctionner avec Kaspersky Endpoint Security. De plus, Kaspersky Endpoint Agent sera supprimé de l'ordinateur. Pour terminer la migration de Kaspersky Endpoint Agent vers Kaspersky Endpoint Security for Windows, vous devez transférer les paramètres de stratégie et de tâche à l'aide de l'Assistant de migration.

Si vous utilisez Kaspersky Endpoint Security 11.4.0-11.6.0 pour l'interopérabilité avec Kaspersky Sandbox, l'application comprend Kaspersky Endpoint Agent. Vous pouvez installer Kaspersky Endpoint Agent en même temps que Kaspersky Endpoint Security.

Le module Kaspersky Sandbox qui fait partie de Kaspersky Endpoint Security prend en charge l'interopérabilité avec la solution 2.0 de Kaspersky Sandbox. La solution 1.0 de Kaspersky Sandbox n'est pas prise en charge.

Haut de page