Integrace integrovaného agenta s řešením Kaspersky Sandbox

Pro integraci se součástí Sandbox je vyžadováno přidání Kaspersky Sandbox. Součást Sandbox můžete vybrat během instalace nebo upgradu a dále použitím úlohy Změna součástí aplikace.

Abyste mohli součást používat, musí být splněny následující podmínky:

• Kaspersky Security Center 13.2. Starší verze této aplikace neumožňují v případě reakce na hrozbu vytváření samostatných úloh Kontrola IOC.
• Součást lze spravovat pouze pomocí webové konzoly. Tuto součást nemůžete spravovat pomocí konzoly pro správu (MMC).
• Je aktivována aplikace a na její funkčnost se vztahuje licence.
• Přenos dat na server pro správu je povolen.

  Chcete-li používat všechny funkce řešení Kaspersky Sandbox, musí být povolen přenos dat o souborech v karanténě. Tato data jsou nutná k získání informací o souborech umístěných do karantény na počítači prostřednictvím webové konzoly. Můžete si například stáhnout soubor z karantény za účelem analýzy ve webové konzole.

  Jak povolit přenos dat na server pro správu ve webové konzole

  1. V hlavním okně webové konzoly vyberte možnosti Devices → Policies & profiles.
  2. Klikněte na název zásad aplikace Kaspersky Endpoint Security.

     Otevře se okno vlastností zásad.

  3. Vyberte kartu Application settings.
  4. Přejděte na General settings → Reports and Storage.
  5. V bloku Data transfer to Administration Server zaškrtněte políčko About Quarantine files.
  6. Uložte změny.

     

     Nastavení přenosu dat na server pro správu

• Je navázáno připojení na pozadí mezi webovou konzolou aplikace Kaspersky Security Center a serverem pro správu

  Aby součást Kaspersky Sandbox fungovala se serverem pro správu prostřednictvím webové konzoly aplikace Kaspersky Security Center, musíte navázat nové bezpečné připojení, připojení na pozadí. Podrobnosti o integraci aplikace Kaspersky Security Center s ostatními řešeními společnosti Kaspersky najdete v nápovědě k aplikaci Kaspersky Security Center.

  Navázání připojení na pozadí ve webové konzole

  1. V hlavním okně webové konzoly vyberte možnosti Settings → Integration.
  2. Přejděte do části Integration.
  3. Zapněte přepínač Establish a background connection for integration Enabled.
  4. Uložte změny.

  Není-li navázáno připojení na pozadí mezi webovou konzolou aplikace Kaspersky Security Center a serverem pro správu, v rámci reakce na hrozbu nelze vytvářet samostatné úlohy kontroly IOC.

• Chcete-li konfigurovat důvěryhodné připojení k serveru Sandbox, musíte si připravit certifikát TLS. Poté musíte přidat certifikát do počítače pomocí zásady. Musíte také přidat certifikát na server Sandbox.

  Ověření na obou stranách pomocí kryptokontejneru není pro Kaspersky Sandbox dostupné.

  Certifikát TLS můžete také přidat ve webové konzole nebo lokálně pomocí příkazového řádku.

• Je povolena součást Kaspersky Sandbox.

  Integraci s řešením Kaspersky Sandbox můžete povolit nebo zakázat ve webové konzole nebo lokálně pomocí příkazového řádku.

Postup povolení nebo zakázání integrace s řešením Kaspersky Sandbox:

1. V hlavním okně webové konzoly vyberte možnosti Devices → Policies & profiles.
2. Klikněte na název zásad aplikace Kaspersky Endpoint Security.

   Otevře se okno vlastností zásad.

3. Vyberte kartu Application settings.
4. Přejděte na Detection and Response → Sandbox.
5. Pomocí přepínače Integration with Sandbox ENABLED můžete tuto součást povolit nebo zakázat.
6. V bloku Integration mode vyberte provozní režim součásti: Kaspersky Sandbox (automatic file submission for scanning).
7. Klikněte na odkaz Server connection settings.

   Tím se otevře okno nastavení připojení k serveru Kaspersky Sandbox.

8. V bloku Server TLS certificate klikněte na Add a vyberte soubor certifikátu TLS.

   Kaspersky Endpoint Security může mít pro server Kaspersky Sandbox pouze jeden certifikát TLS. Pokud jste již dříve přidali certifikát TLS, bude tento certifikát odvolán. Používá se pouze poslední přidaný certifikát.

9. Konfigurace pokročilých nastavení připojení pro servery Kaspersky Sandbox:
   • Timeout. Časový limit připojení pro server Sandbox. Po uplynutí nastaveného časového limitu odešle aplikace Kaspersky Endpoint Security požadavek na další server. Pokud je rychlost připojení nízká nebo je připojení nestabilní, můžete prodloužit časový limit připojení pro server. Doporučovaný časový limit požadavku je 0,5 sekundy a méně.
   • Request queue. Velikost složky fronty žádostí. Při odesílání více objektů ke kontrole v součásti Sandbox vytvoří Kaspersky Endpoint Security frontu požadavků. Ve výchozím nastavení je velikost složky fronty žádostí omezena na 100 MB. Jakmile je dosaženo maximální velikosti, Sandbox přestane přidávat nové žádosti do fronty a odešle odpovídající událost do aplikace Kaspersky Security Center. Velikost složky fronty žádostí můžete konfigurovat v závislosti na konfiguraci serveru.
10. V bloku Servers klikněte na tlačítko Add.
11. Otevře se okno; v okně zadejte adresu a port serveru součásti Sandbox (IPv4, IPv6, DNS).

    Podrobnosti o nasazení virtuálních bitových kopií a konfiguraci serverů Sandbox najdete v nápovědě k řešení Kaspersky Sandbox.

12. Uložte změny.

Kaspersky Endpoint Security tak ověří certifikát TLS. Pokud je certifikát úspěšně ověřen, aplikace Kaspersky Endpoint Security soubor nahraje soubor certifikátu do počítače během další synchronizace s aplikací Kaspersky Security Center. Pokud jste přidali dva certifikáty TLS, Kaspersky Sandbox použije k navázání důvěryhodného připojení nejnovější certifikát. Provozní stav součásti zkontrolujete zobrazením Report on status of application components. Provozní stav součásti můžete také zobrazit ve zprávách v místním rozhraní aplikace Kaspersky Endpoint Security. Součást Sandbox bude přidána do seznamu součástí aplikace Kaspersky Endpoint Security.

Kaspersky Endpoint Security ukládá informace o fungování součásti Kaspersky Sandbox do zprávy. Zpráva také obsahuje informace o chybách. Pokud se zobrazí chyba s popisem, který odpovídá formátu Error code: XXX (např. 0xa67b01f4), kontaktujte technickou podporu.

Začátek stránky