Kaspersky Sandbox

Kaspersky Endpoint Security 11.7.0 現在有一個內建代理,用於與 Kaspersky Sandbox 解決方案進行整合。Kaspersky Sandbox 解決方案可偵測和自動封鎖電腦上的進階威脅。Kaspersky Sandbox 會分析物件行為以偵測惡意行動和組織的 IT 基礎架構上的針對性攻擊所特有的活動。Kaspersky Sandbox 會分析和掃描部署了 Microsoft Windows 作業系統的虛擬影像的特殊伺服器(Kaspersky Sandbox 伺服器)上的物件。有關解決方案的詳情,請參閱 Kaspersky Sandbox 說明

該元件只可以使用卡巴斯基安全管理中心網頁主控台進行管理。您不能使用管理主控台 (MMC) 管理此元件。

Kaspersky Sandbox 元件設定

參數

描述

伺服器 TLS 憑證

若要配置與 Kaspersky Sandbox 伺服器的受信任連線,您必須 TLS 憑證。接下來您必須將憑證新增至 Kaspersky Sandbox 伺服器和 Kaspersky Endpoint Security 政策。有關準備憑證和將憑證新增至伺服器的詳情,請參見 Kaspersky Sandbox 說明

逾時

Kaspersky Sandbox 伺服器連線逾時。配置的逾時經過後,Kaspersky Endpoint Security 會傳送請求給下一個伺服器。如果您的連線速度慢或者連線不穩定,您可以增加 Kaspersky Sandbox 的連線逾時。建議的請求逾時為 0.5 秒鐘或更短。

Kaspersky Sandbox 請求佇列

請求佇列資料夾大小當在電腦上存取物件時(啟動可執行檔或者開啟文件,例如以 DOCX 或者 PDF 格式),Kaspersky Endpoint Security 也可以傳送物件供 Kaspersky Sandbox 掃描。如果有多個請求,Kaspersky Endpoint Security 會建立一個請求佇列。預設情況下,請求佇列資料夾大小限制為 100 MB。在達到最大的大小後,Kaspersky Sandbox 會停止向佇列新增請求並將相應事件傳送到卡巴斯基安全管理中心。您可以根據伺服器配置來設定請求佇列資料夾大小。

Kaspersky Sandbox 伺服器

Kaspersky Sandbox 伺服器連線設定。伺服器使用部署的 Microsoft Windows 作業系統的虛擬影像來執行需要掃描的物件。您可以輸入一個 IP 位址(IPv4 或者 IPv6)或者完全限定網域名稱。

偵測到威脅後的動作

將副本移動到隔離,刪除物件。如果選擇該選項,Kaspersky Endpoint Security 會刪除在電腦上發現的惡意物件。在刪除物件之前,Kaspersky Endpoint Security 會建立備份副本以防物件以後需要還原。Kaspersky Endpoint Security 會將備份副本移動到隔離。

對關鍵區域執行掃描。如果選擇該選項,Kaspersky Endpoint Security 將執行“關鍵區域掃描工作”。預設情況下,Kaspersky Endpoint Security 會掃描內核記憶體、執行處理序和磁碟的開啟磁區。

建立 IOC 掃描工作。如果選擇該選項,Kaspersky Endpoint Security 會自動建立 IOC 掃描工作(IOC 自動掃描工作)。對於此工作,您可以配置執行模式、掃描範圍和偵測到 IOC 後的動作:刪除物件,執行關鍵區域掃描工作。若要修改 “IOC 掃描”工作的其它設定,請前往工作設定。

IOC 掃描範圍

關鍵檔案區域。如果選擇該選項,則 Kaspersky Endpoint Security 僅在電腦的關鍵檔案區域執行 IOC 掃描:內核記憶體和開機磁區。

電腦的系統磁碟機上的檔案區域。如果選擇該選項,則 Kaspersky Endpoint Security 會在電腦的系統磁碟機上執行 IOC 掃描。

執行 IOC 掃描工作

手動。執行模式,您可以在其中在選擇的時間手動啟動“IOC 掃描”工作。

偵測到威脅後。執行模式,只要偵測到威脅 Kaspersky Endpoint Security 就執行 IOC 掃描工作。

僅在電腦空閒時執行。執行模式,如果熒幕保護程式啟動或者熒幕被鎖定則 Kaspersky Endpoint Security 執行 IOC 掃描工作。如果使用者解鎖了電腦,Kaspersky Endpoint Security 會暫停工作。這意味著工作可能會費時數天完成。

頁面頂部