配置威胁响应操作

如果 Sandbox 检测到恶意活动，Kaspersky Endpoint Security 会自动执行威胁响应操作（例如，删除对象并启动关键区域扫描）。

要配置威胁响应操作：

1. 在 Web Console 的主窗口中，选择“设备” → “策略和配置文件”。
2. 单击 Kaspersky Endpoint Security 策略的名称。

   策略属性窗口将打开。

3. 选择应用程序设置选项卡。
4. 选择 Detection and Response → Sandbox。
5. 在“检测到威胁后的操作”块中选择相关操作：
   • “将副本移动到隔离区，删除对象”。如果选择此选项，Kaspersky Endpoint Security 删除在计算机上发现的恶意对象。删除对象之前，Kaspersky Endpoint Security 创建备份副本，以便日后对其进行恢复。Kaspersky Endpoint Security 移动备份副本到隔离区。
   • “对关键区域运行扫描”。如果选择此选项，Kaspersky Endpoint Security 运行关键区域扫描任务。默认情况下, Kaspersky Endpoint Security 会扫描内核内存、运行进程和磁盘的引导扇区。
   • “创建 IOC 扫描任务”。如果选择此选项，Kaspersky Endpoint Security 将自动创建 IOC 扫描(自主 IOC 扫描任务)。对于此任务，您可以配置运行模式、扫描范围和 IOC 检测操作：删除对象、运行关键区域扫描任务。要修改 IOC 扫描任务的其他设置，请转到任务设置。
6. 如有必要，在“IOC 扫描范围”块配置“IOC 扫描”任务设置。
   • “关键文件区域”。如果选择此选项，Kaspersky Endpoint Security 仅在计算机的关键文件区域（内核内存和引导扇区）执行 IOC 扫描。
   • “计算机系统驱动器上的文件区域”。如果选择此选项，Kaspersky Endpoint Security 在计算机的系统驱动器上执行 IOC 扫描。
7. 如有必要，在“运行 IOC 扫描任务”块配置“IOC 扫描”任务设置。
   • “手动”。您可以在方便时手动启动“IOC 扫描”任务的运行模式。
   • “检测到威胁后”。Kaspersky Endpoint Security 在检测到威胁时自动运行 IOC 扫描任务。
   • “仅在计算机空闲时运行”。Kaspersky Endpoint Security 在屏幕保护程序处于活动状态或屏幕被锁定时运行 IOC 扫描任务。如果用户解锁计算机，Kaspersky Endpoint Security 将暂停任务。这意味着任务可能需要几天才能完成。
8. 配置“IOC 扫描”的高级任务设置。
9. 保存更改。

页面顶部