Sandbox

Kaspersky Endpoint Security für Windows enthält einen integrierten Agenten zur Integration mit der Lösung Kaspersky Sandbox. Die Komponente „Sandbox“ erkennt und blockiert automatisch komplexe Bedrohungen auf Computern. „Sandbox“ analysiert das Verhalten von Objekten, um schädliche Aktivitäten zu erkennen sowie Aktivitäten, die für gezielte Angriffe auf die IT-Infrastruktur eines Unternehmens charakteristisch sind. „Sandbox“ analysiert und untersucht Objekte auf speziellen Servern, auf denen virtuelle Abbilder von Microsoft Windows-Betriebssystemen bereitstehen („Sandbox“-Server). Einzelheiten über diese Lösung finden Sie in der Hilfe zu Kaspersky Sandbox und in der Hilfe zu Kaspersky Anti Targeted Attack Platform.

Kaspersky Endpoint Security für Windows unterstützt ab Version 12.7 die Sandbox-Komponente, die Teil der Lösung Kaspersky Anti Targeted Attack Platform ist. Im Gegensatz zur Lösung Kaspersky Sandbox erlaubt es die Komponente KATA Sandbox nur, Dateien manuell über das Kontextmenü der Datei zu untersuchen.

KATA Sandbox erfordert die Bereitstellung von Kaspersky Anti Targeted Attack Platform 7.0 höher.

Die Komponente kann nur über die „Kaspersky Security Center Web Console“ verwaltet werden. Sie können diese Komponente nicht mit der Verwaltungskonsole (MMC) verwalten.

Einstellungen der Komponente „Sandbox“

Einstellung

Beschreibung

Integrationsmodus

  • Kaspersky Sandbox (manuelle Datei-Übermittlung zur Untersuchung). Integration in die Lösung Kaspersky Sandbox
  • KATA Sandbox (manuelle Datei-Übermittlung zur Untersuchung). Integration in die Sandbox-Komponente der Lösung Kaspersky Anti Targeted Attack Platform.

TLS-Serverzertifikat

Um eine vertrauenswürdige Verbindung mit dem Sandbox-Server zu konfigurieren, müssen Sie ein TLS-Zertifikat erstellen. Anschließend müssen Sie das Zertifikat mithilfe einer Richtlinie dem Computer hinzufügen. Außerdem müssen Sie das Zertifikat zum Sandbox-Server hinzufügen. Wenn Sie den Typ KATA Sandbox (manuelle Datei-Übermittlung zur Untersuchung) ausgewählt haben, müssen Sie das Zertifikat zum Central Node-Server hinzufügen.

Einstellungen der Serververbindung

Timeout. Verbindungstimeout für den Sandbox-Server. Nach Ablauf des festgelegten Timeouts sendet Kaspersky Endpoint Security eine Anfrage an den nächsten Server. Bei niedriger Verbindungsgeschwindigkeit oder instabiler Verbindung können Sie das Verbindungstimeout für den Server erhöhen. Das empfohlene Anforderungstimeout ist 0,5 Sekunden oder weniger.

Anforderungswarteschlange. Größe des Ordners der Anforderungswarteschlange. Wenn mehrere Objekte zur Untersuchung in der Sandbox gesendet werden, erstellt Kaspersky Endpoint Security eine Warteschlange für Anfragen. Die Größe des Ordners der Anforderungswarteschlange ist standardmäßig auf 100 MB begrenzt. Wenn die maximale Größe erreicht wird, fügt „Sandbox“ keine neuen Anforderungen zur Warteschlange hinzu und sendet ein entsprechendes Ereignis an Kaspersky Security Center. Abhängig von Ihrer Serverkonfiguration können Sie die Größe des Ordners der Anforderungswarteschlange anpassen.

TLS-Serverzertifikat. Um eine vertrauenswürdige Verbindung mit dem Sandbox-Server zu konfigurieren, müssen Sie ein TLS-Zertifikat erstellen. Anschließend müssen Sie das Zertifikat mithilfe einer Richtlinie dem Computer hinzufügen. Außerdem müssen Sie das Zertifikat zum Sandbox-Server hinzufügen.

Zwei-Wege-Authentifizierung verwenden (nur für KATA Sandbox). Zwei-Wege-Authentifizierung beim Aufbau einer sicheren Verbindung zwischen Kaspersky Endpoint Security und dem Central Node-Server. Um die Zwei-Wege-Authentifizierung zu verwenden, müssen Sie die Zwei-Wege-Authentifizierung in den Einstellungen des Central Node-Servers aktivieren, dann einen Krypto-Container anfordern und ein Kennwort festlegen, um den Krypto-Container zu schützen. Ein Krypto-Container ist ein PFX-Archiv mit einem Zertifikat und einem privaten Schlüssel. Einen Krypto-Container können Sie in der Konsole von Kaspersky Anti Targeted Attack Platform anfordern (siehe Anleitung in der Hilfe zu Kaspersky Anti Targeted Attack Platform). Nachdem Sie die Sandbox-Server-Einstellungen konfiguriert haben, müssen Sie die Zwei-Wege-Authentifizierung in den Einstellungen von Kaspersky Endpoint Security aktivieren und einen kennwortgeschützten Krypto-Container laden.

Server

Verbindungseinstellungen für die „Sandbox“-Server. Die Server verwenden bereitgestellte virtuelle Abbilder von Microsoft Windows-Betriebssystemen, um die zu untersuchenden Objekte auszuführen. Sie können eine IP-Adresse (IPv4 oder IPv6) oder einen vollständig qualifizierten Domänennamen angeben.

Aktion beim Fund einer Bedrohung

Kopie in die Quarantäne verschieben, Objekt löschen. Wenn diese Option ausgewählt ist, löscht Kaspersky Endpoint Security das auf dem Computer gefundene schädliche Objekt. Bevor das Objekts gelöscht wird, erstellt Kaspersky Endpoint Security eine Backup-Kopie für den Fall, dass das Objekt später wiederhergestellt werden muss. Kaspersky Endpoint Security verschiebt die Backup-Kopie in die Quarantäne.

Untersuchung wichtiger Bereiche ausführen. Wenn diese Option ausgewählt ist, führt Kaspersky Endpoint Security die Untersuchung wichtiger Bereiche aus. Kaspersky Endpoint Security untersucht standardmäßig den Kernel-Speicher, die laufenden Prozesse und die Bootsektoren.

IOC-Untersuchungsaufgabe erstellen. Wenn diese Option ausgewählt ist, erstellt Kaspersky Endpoint Security automatisch die IOC-Untersuchung (eigenständige IOC-Untersuchungsaufgabe). Für diese Aufgabe können Sie den Ausführungsmodus, den Untersuchungsbereich und die Aktion bei einer IOC-Erkennung anpassen: Objekt löschen, Aufgabe Untersuchung wichtiger Bereiche ausführen. Um andere Einstellungen der Aufgabe IOC-Untersuchung zu ändern, gehen Sie zu den Aufgabeneinstellungen.

IOC-Untersuchungsbereich

Bereiche mit kritischen Dateien. Wenn diese Option ausgewählt ist, untersucht Kaspersky Endpoint Security nur kritische Dateibereiche des Computers auf IOCs. Dazu zählen Kernel-Speicher und Bootsektoren.

Dateibereiche auf Systemlaufwerken des Computers. Wenn diese Option ausgewählt ist, untersucht Kaspersky Endpoint Security das Systemlaufwerk des Computers auf IOCs.

IOC-Untersuchungsaufgabe ausführen

Manuell. In diesem Ausführungsmodus können Sie die Aufgabe IOC-Untersuchung zu einem geeigneten Zeitpunkt manuell starten.

Wenn Bedrohung erkannt wurde. In diesem Modus führt Kaspersky Endpoint Security die IOC-Untersuchung automatisch aus, wenn eine Bedrohung erkannt wird.

Nur ausführen, wenn der Computer inaktiv ist. In diesem Modus führt Kaspersky Endpoint Security die Aufgabe IOC-Untersuchung aus, wenn der Bildschirmschoner aktiv oder der Bildschirm gesperrt ist. Wenn der Benutzer den Computer entsperrt, hält Kaspersky Endpoint Security die Aufgabe an. Es kann also mehrere Tage dauern, bis die Aufgabe abgeschlossen wird.

Nach oben