Integration des integrierten Agenten in Kaspersky Sandbox
Für die Integration in die Komponente Kaspersky Sandbox muss die Sandbox-Komponente hinzugefügt werden. Sie können die Komponente „Sandbox“ während der Installation oder dem Upgrade auswählen oder die Aufgabe Auswahl der Programmkomponenten ändern verwenden.
Um die Komponente zu verwenden, müssen folgende Bedingungen erfüllt sein:
Kaspersky Security Center 13.2 In älteren Versionen von Kaspersky Security Center können keine eigenständigen IOC-Untersuchungsaufgaben zur Reaktion auf Bedrohungen erstellt werden.
Die Komponente kann nur über die „Web Console“ verwaltet werden. Sie können diese Komponente nicht mit der Verwaltungskonsole (MMC) verwalten.
Die Anwendung ist aktiviert und die Funktionalität ist durch die Lizenz abgedeckt.
Die Datenübertragung an den Administrationsserver ist aktiviert.
Um alle Funktionen von Kaspersky Sandbox nutzen zu können, muss die Übertragung von Daten zu Quarantänedateien aktiviert sein. Diese Daten sind erforderlich, um via Web Console Informationen zu Dateien abzurufen, die sich auf dem Computer in der Quarantäne befinden. So können Sie z. B. in Web Console eine Datei aus der Quarantäne zur Analyse herunterladen.
Wählen Sie im „Web Console“-Hauptfenster den Punkt Geräte → Richtlinien und Profile aus.
Klicken Sie auf den Namen der Richtlinie von Kaspersky Endpoint Security.
Das Fenster mit den Richtlinieneigenschaften wird geöffnet.
Wählen Sie die Registerkarte Programmeinstellungen aus.
Gehen Sie zu Allgemeine Einstellungen → Berichte und Speicher.
Aktivieren Sie im Block Datenübertragung an den Administrationsserver das Kontrollkästchen Über Quarantäne-Dateien.
Speichern Sie die vorgenommenen Änderungen.
Einstellungen der Datenübertragung an den Administrationsserver
Es wird eine Hintergrundverbindung zwischen „Kaspersky Security Center Web Console“ und dem Administrationsserver hergestellt.
Damit „Kaspersky Sandbox“ mit dem Administrationsserver über „Kaspersky Security Center Web Console“ funktioniert, müssen Sie eine neue sichere Hintergrundverbindung herstellen. Einzelheiten zur Integration von Kaspersky Security Center mit anderen Lösungen finden Sie in der Hilfe zu Kaspersky Security Center.
Wählen Sie im „Web Console“-Hauptfenster den Punkt Einstellungen → Integration aus.
Wechseln Sie zum Abschnitt Integration.
Aktivieren Sie den Schalter Background-Verbindung für die Integration herstellen Aktiviert.
Speichern Sie die vorgenommenen Änderungen.
Wenn keine Hintergrundverbindung zwischen „Kaspersky Security Center Web Console“ und dem Administrationsserver hergestellt wird, können eigenständige IOC-Untersuchungsaufgaben nicht als Teil von „Threat Response“ erstellt werden.
Um eine vertrauenswürdige Verbindung mit dem Sandbox-Server zu konfigurieren, müssen Sie ein TLS-Zertifikat erstellen. Anschließend müssen Sie das Zertifikat mithilfe einer Richtlinie dem Computer hinzufügen. Außerdem müssen Sie das Zertifikat zum Sandbox-Server hinzufügen.
Die Zwei-Wege-Authentifizierung mithilfe eines Krypto-Containers ist für Kaspersky Sandbox nicht verfügbar.
Ein TLS-Zertifikat können Sie in der „Web Console“ oder lokal über die Befehlszeile hinzufügen.
Die Komponente „Kaspersky Sandbox“ ist aktiviert.
Sie können die Integration mit „Kaspersky Sandbox“ in der „Web Console“ oder lokal über die Befehlszeile aktivieren oder deaktivieren.
Um die Integration mit „Kaspersky Sandbox“ zu aktivieren oder zu deaktivieren:
Wählen Sie im „Web Console“-Hauptfenster den Punkt Geräte → Richtlinien und Profile aus.
Klicken Sie auf den Namen der Richtlinie von Kaspersky Endpoint Security.
Das Fenster mit den Richtlinieneigenschaften wird geöffnet.
Wählen Sie die Registerkarte Programmeinstellungen aus.
Gehen Sie zu Detection and Response → Sandbox.
Verwenden Sie den Schalter Integration mit Sandbox AKTIVIERT, um die Komponente zu aktivieren oder zu deaktivieren.
Wählen Sie im Block Integrationsmodus den Betriebsmodus der Komponente: Kaspersky Sandbox (manuelle Datei-Übermittlung zur Untersuchung).
Klicken Sie auf den Link Einstellungen der Serververbindung.
Dadurch wird das Fenster für die Einstellungen der Verbindung mit den „Kaspersky Sandbox“-Servern geöffnet.
Klicken Sie im Block TLS-Serverzertifikat auf Hinzufügen und wählen Sie die TLS-Zertifikatsdatei aus.
Kaspersky Endpoint Security kann nur ein TLS-Zertifikat für einen „Kaspersky Sandbox“-Server haben. Wenn Sie bereits ein TLS-Zertifikat hinzugefügt haben, wird dieses Zertifikat widerrufen. Nur das zuletzt hinzugefügte Zertifikat wird verwendet.
Passen Sie die erweiterten Verbindungseinstellungen für die „Kaspersky Sandbox“-Server an:
Timeout. Verbindungstimeout für den Sandbox-Server. Nach Ablauf des festgelegten Timeouts sendet Kaspersky Endpoint Security eine Anfrage an den nächsten Server. Bei niedriger Verbindungsgeschwindigkeit oder instabiler Verbindung können Sie das Verbindungstimeout für den Server erhöhen. Das empfohlene Anforderungstimeout ist 0,5 Sekunden oder weniger.
Anforderungswarteschlange. Größe des Ordners der Anforderungswarteschlange. Wenn mehrere Objekte zur Untersuchung in der Sandbox gesendet werden, erstellt Kaspersky Endpoint Security eine Warteschlange für Anfragen. Die Größe des Ordners der Anforderungswarteschlange ist standardmäßig auf 100 MB begrenzt. Wenn die maximale Größe erreicht wird, fügt „Sandbox“ keine neuen Anforderungen zur Warteschlange hinzu und sendet ein entsprechendes Ereignis an Kaspersky Security Center. Abhängig von Ihrer Serverkonfiguration können Sie die Größe des Ordners der Anforderungswarteschlange anpassen.
Klicken Sie im Block Server auf Hinzufügen.
Dadurch wird ein Fenster geöffnet. Geben Sie in diesem Fenster die Serveradresse (IPv4, IPv6, DNS) und den Port für Sandbox ein.
Einzelheiten zur Bereitstellung virtueller Images und zur Konfiguration von Kaspersky Sandbox-Servern finden Sie in der Hilfe zu Kaspersky Sandbox.
Speichern Sie die vorgenommenen Änderungen.
Daraufhin überprüft Kaspersky Endpoint Security das TLS-Zertifikat. Wenn das Zertifikat erfolgreich verifiziert wurde, lädt Kaspersky Endpoint Security das Zertifikat bei der nächsten Synchronisierung mit Kaspersky Security Center auf den Computer hoch. Wenn Sie zwei TLS-Zertifikate hinzugefügt haben, verwendet Kaspersky Sandbox beim Herstellen einer vertrauenswürdigen Verbindung das aktuellere Zertifikat. Überprüfen Sie den Betriebsstatus der Komponente, indem Sie sich den Bericht über den Status der Programmkomponenten ansehen. Den Betriebsstatus einer Komponente können Sie auch den Berichten in der lokalen Benutzeroberfläche von Kaspersky Endpoint Security entnehmen. Die Komponente Sandbox wir zur Liste der Kaspersky Endpoint Security-Komponenten hinzugefügt.
Kaspersky Endpoint Security speichert Informationen über die Komponente „Kaspersky Sandbox“ in einem Bericht. Der Bericht enthält auch Informationen über Fehler. Wenn Sie eine Fehlermeldung mit einer Beschreibung im Format Error code: XXX (zum Beispiel 0xa67b01f4) erhalten, wenden Sie sich an den Technischen Support.