Sandbox

Kaspersky Endpoint Security para Windows incorpora un agente para la integración con Kaspersky Sandbox. El componente Sandbox detecta y bloquea automáticamente las amenazas avanzadas en los equipos. Sandbox analiza el comportamiento de los objetos para detectar la actividad maliciosa y la actividad característica de los ataques dirigidos a la infraestructura de TI de la organización. Sandbox analiza objetos en servidores especiales con imágenes virtuales desplegadas de los sistemas operativos de Microsoft Windows (servidores de Sandbox). Para obtener información acerca de la solución, consulte la Ayuda de Kaspersky Sandbox y la Ayuda de Kaspersky Anti Targeted Attack Platform.

A partir de la versión 12.7, Kaspersky Endpoint Security para Windows admite el componente Sandbox que forma parte de la solución Kaspersky Anti Targeted Attack Platform. A diferencia de la solución Kaspersky Sandbox, el componente KATA Sandbox solo permite analizar archivos manualmente desde el menú contextual del archivo.

KATA Sandbox requiere que esté implementada Kaspersky Anti Targeted Attack Platform 7.0 o posterior.

El componente solo se puede administrar mediante Kaspersky Security Center Web Console. No puede administrar este componente mediante la Consola de administración (MMC).

Configuración del componente Sandbox

Parámetro

Descripción

Modo de integración

  • Kaspersky Sandbox (envío automático de archivos para su análisis). Integración con la solución Kaspersky Sandbox
  • KATA Sandbox (envío manual de archivos para su análisis). Integración con el componente Sandbox de la solución Kaspersky Anti Targeted Attack Platform.

Certificado TLS del servidor

Para configurar una conexión de confianza con el servidor Sandbox, debe preparar un certificado TLS. A continuación, debe añadir el certificado al equipo mediante una directiva. También debe añadir el certificado al servidor Sandbox. Si seleccionó el tipo KATA Sandbox (envío manual de archivos para su análisis), debe añadir el certificado al servidor de Central Node.

Configuración de conexión a servidor

Tiempo de espera. Tiempo de espera de conexión para el servidor Sandbox. Una vez transcurrido el tiempo de espera configurado, Kaspersky Endpoint Security envía una solicitud al siguiente servidor. Puede aumentar el tiempo de espera de conexión del servidor si su velocidad de conexión es baja o si la conexión es inestable. El tiempo de espera recomendado para las solicitudes es de 0,5 segundos o menos.

Cola de peticiones. Tamaño de la carpeta de cola de solicitudes. Al enviar varios objetos para su análisis en Sandbox, Kaspersky Endpoint Security crea una cola de solicitudes. De forma predeterminada, el tamaño de la carpeta de cola de solicitudes está limitado a 100 MB. Una vez que se alcanza el tamaño máximo, Sandbox deja de añadir nuevas solicitudes a la cola y envía el evento correspondiente a Kaspersky Security Center. Puede configurar el tamaño de la carpeta de cola de solicitudes en función de la configuración de su servidor.

Certificado TLS del servidor. Para configurar una conexión de confianza con el servidor Sandbox, debe preparar un certificado TLS. A continuación, debe añadir el certificado al equipo mediante una directiva. También debe añadir el certificado al servidor Sandbox.

Utilizar autenticación bidireccional (solo para KATA Sandbox). Autenticación bidireccional al establecer una conexión segura entre Kaspersky Endpoint Security y el servidor de Central Node. Para usar la autenticación bidireccional, debe activarla en la configuración del servidor de Central Node y, a continuación, obtener un contenedor criptográfico y establecer una contraseña para protegerlo. Un contenedor criptográfico es un archivo PFX con un certificado y una clave privada. Puede obtener un contenedor criptográfico en la consola de Kaspersky Anti Targeted Attack Platform (consulte las instrucciones en la Ayuda de Kaspersky Anti Targeted Attack Platform). Tras configurar el servidor de Sandbox, también debe activar la autenticación bidireccional en la configuración de Kaspersky Endpoint Security, y cargar un contenedor criptográfico protegido con contraseña.

Servidores

Configuración de la conexión del servidor de Sandbox. Los servidores utilizan imágenes virtuales desplegadas de los sistemas operativos de Microsoft Windows para ejecutar objetos que se deben analizar. Puede introducir una dirección IP (IPv4 o IPv6) o un nombre de dominio completo.

Acción al detectar una amenaza

Mover la copia a la cuarentena, eliminar objeto. Si se selecciona esta opción, Kaspersky Endpoint Security elimina el objeto malicioso que se encuentra en el equipo. Antes de eliminar el objeto, Kaspersky Endpoint Security crea una copia de seguridad en caso de que sea necesario restaurar el objeto más adelante. Kaspersky Endpoint Security mueve la copia de seguridad a la cuarentena.

Ejecutar análisis de áreas críticas. Si se selecciona esta opción, Kaspersky Endpoint Security ejecuta la tarea Análisis de áreas críticas. De forma predeterminada, Kaspersky Endpoint Security analiza la memoria del núcleo, ejecutando procesos, y los sectores de arranque del disco.

Crear tarea de análisis de IOC. Si se selecciona esta opción, Kaspersky Endpoint Security crea la tarea Análisis de IOC automáticamente (tarea de análisis de IOC autónoma). Para esta tarea, puede configurar el modo de ejecución, la cobertura del análisis y la acción al detectar un IOC: eliminar objeto, ejecutar la tarea Análisis de áreas críticas. Para modificar otros parámetros de la tarea Análisis de IOC, vaya a la configuración de la tarea.

Cobertura de análisis de IOC

Áreas críticas de archivos. Si se selecciona esta opción, Kaspersky Endpoint Security realiza un análisis de IOC solo en áreas críticas de archivos del equipo: memoria del núcleo y sectores de arranque.

Áreas de archivos en las unidades de sistema del equipo. Si se selecciona esta opción, Kaspersky Endpoint Security realiza un análisis de IOC en la unidad de sistema del equipo.

Ejecute la tarea de análisis de IOC

Manual. Modo de ejecución en el que puede ejecutar la tarea Análisis de IOC manualmente en el momento que sea conveniente para usted.

Después de detectar la amenaza. Modo de ejecución en el que Kaspersky Endpoint Security ejecuta la tarea Análisis de IOC automáticamente cada vez que se detecta una amenaza.

Ejecutar solo cuando el equipo está inactivo. Modo de ejecución en el que Kaspersky Endpoint Security ejecuta la tarea Análisis de IOC si el protector de pantalla está activo o la pantalla está bloqueada. Si el usuario desbloquea el equipo, Kaspersky Endpoint Security pausa la tarea. Esto significa que la tarea puede tardar varios días en completarse.

Inicio de página