Kaspersky Endpoint Security para Windows incluye un agente incorporado para la integración con la solución Kaspersky Sandbox. El componente Sandbox detecta y bloquea automáticamente las amenazas avanzadas en los equipos. Sandbox analiza el comportamiento de los objetos para detectar la actividad maliciosa y la actividad característica de los ataques dirigidos a la infraestructura de TI de la organización. Sandbox analiza los objetos en servidores especiales con imágenes virtuales implementadas de los sistemas operativos Microsoft Windows (servidores de Sandbox). Para obtener más información sobre la solución, consulte la Ayuda de Kaspersky Sandbox y la Ayuda de Kaspersky Anti Targeted Attack Platform.
A partir de la versión 12.7, Kaspersky Endpoint Security para Windows admite el componente Sandbox que forma parte de la solución Kaspersky Anti Targeted Attack Platform. A diferencia de la solución de Kaspersky Sandbox, el componente KATA Sandbox solo permite analizar archivos manualmente desde el menú contextual del archivo.
KATA Sandbox requiere la implementación de Kaspersky Anti Targeted Attack Platform 7.0 o una versión posterior.
El componente se puede administrar solo mediante el uso de Kaspersky Security Center Web Console. No puede administrar este componente mediante el uso de la Consola de administración (MMC).
Configuración del componente Sandbox
Parámetro |
Descripción |
---|---|
Modo de integración |
|
Configuración de conexión con el servidor |
Tiempo de espera. Tiempo de espera de la conexión al servidor de Sandbox (para Kaspersky Sandbox) o al servidor de Central Node (para KATA). Una vez transcurrido el tiempo de espera configurado, Kaspersky Endpoint Security envía una solicitud al siguiente servidor. Puede aumentar el tiempo de conexión agotado para el servidor si su velocidad de conexión es baja o si la conexión es inestable. El tiempo de espera recomendado para las solicitudes es de 0,5 segundos o menos. Cola de solicitudes. Tamaño de la carpeta de cola de solicitudes. Al enviar varios objetos para su análisis en Sandbox, Kaspersky Endpoint Security crea una cola de solicitudes. De forma predeterminada, el tamaño de la carpeta de la cola de solicitudes está limitado a 100 MB. Una vez que se alcanza el tamaño máximo, Sandbox deja de agregar nuevas solicitudes a la cola y envía el evento correspondiente a Kaspersky Security Center. Puede configurar el tamaño de la carpeta de cola de solicitudes en función de la configuración de su servidor. Certificado TLS del servidor. Para configurar una conexión de confianza con el servidor de Sandbox (para Kaspersky Sandbox) o el servidor de Central Node (para KATA), debe preparar un certificado TLS. Luego, debe agregar el certificado al equipo mediante una directiva. También debe agregar el certificado al servidor de Sandbox (para Kaspersky Sandbox) o al servidor de Central Node (para KATA). Usar autenticación bidireccional (solo para KATA Sandbox). Autenticación bidireccional al establecer una conexión segura entre Kaspersky Endpoint Security y el servidor de Central Node. Para usar la autenticación bidireccional, debe habilitarla en la configuración del servidor de Central Node y, a continuación, obtener un contenedor criptográfico y establecer una contraseña para proteger el contenedor criptográfico. Un contenedor criptográfico es un archivo de almacenamiento PFX con un certificado y una clave privada. Puede obtener un contenedor criptográfico en la consola de Kaspersky Anti Targeted Attack Platform (consulte las instrucciones en la Ayuda de Kaspersky Anti Targeted Attack Platform). Después de configurar los ajustes del servidor de Sandbox, también debe habilitar la autenticación bidireccional en los ajustes de Kaspersky Endpoint Security y cargar un contenedor criptográfico protegido con contraseña. |
Servidores |
Kaspersky Sandbox. Configuración de la conexión del servidor de Sandbox. Los servidores utilizan imágenes virtuales implementadas de los sistemas operativos Microsoft Windows para ejecutar objetos que necesitan ser analizados. Puede ingresar una dirección IP (IPv4 o IPv6) o un nombre de dominio completo. KATA Sandbox. Configuración de conexión del servidor de Central Node. Central Node elige la configuración óptima para el análisis y equilibra la carga entre los servidores de Sandbox. |
Acción al detectar una amenaza |
Mover la copia a la Cuarentena, eliminar objeto. Si esta opción está seleccionada, Kaspersky Endpoint Security elimina el objeto malicioso que se encuentra en el equipo. Antes de eliminar el objeto, Kaspersky Endpoint Security crea una copia de seguridad en caso de que sea necesario restaurar el objeto más adelante. Kaspersky Endpoint Security mueve la copia de seguridad a Cuarentena. Ejecutar el análisis de las áreas críticas. Si esta opción está seleccionada, Kaspersky Endpoint Security ejecuta la tarea Análisis de áreas críticas. De forma predeterminada, Kaspersky Endpoint Security analiza la memoria del kernel, los procesos en ejecución y los sectores de inicio del disco. Crear tarea de análisis de IOC. Si esta opción está seleccionada, Kaspersky Endpoint Security crea automáticamente la tarea Análisis de IOC (tarea de análisis de IOC independiente). Para esta tarea, puede configurar el modo de ejecución, el alcance del análisis y la acción en la detección de IOC: eliminar objeto, ejecutar la tarea Análisis de áreas críticas. Para modificar otros opciones de la tarea Análisis de IOC, vaya a la configuración de la tarea. |
Alcance del análisis de IOC |
Áreas críticas del archivo. Si esta opción esta seleccionada, Kaspersky Endpoint Security realiza un análisis de IOC solo en áreas críticas del archivo del equipo: memoria del núcleo y sectores de inicio. Áreas de archivos en las unidades del sistema del equipo. Si esta opción está seleccionada, Kaspersky Endpoint Security realiza un análisis de IOC en la unidad del sistema del equipo. |
Ejecute la tarea de análisis de IOC |
Manualmente. Modo de ejecución en el que puede iniciar la tarea de Análisis de IOC manualmente en el momento que sea conveniente para usted. Después de que se detecta una amenaza. Modo de ejecución en el que Kaspersky Endpoint Security ejecuta la tarea de Análisis de IOC automáticamente cada vez que se detecta una amenaza. Ejecutar solo cuando el equipo esté inactivo. Modo de ejecución en el que Kaspersky Endpoint Security ejecuta la tarea de Análisis de IOC si el protector de pantalla está activo o la pantalla está bloqueada. Si el usuario desbloquea el equipo, Kaspersky Endpoint Security pone la tarea en pausa. Esto significa que la tarea puede tardar varios días en completarse. |