Integratie van de ingebouwde agent met Kaspersky Sandbox
Het toevoegen van de Kaspersky Sandbox-component is vereist voor integratie met Kaspersky Sandbox. U kunt het Sandbox-component selecteren tijdens: installatie of upgrade, alsook tijdens het gebruik van de taak Programmaonderdelen wijzigen.
Voor het gebruik van het onderdeel moet aan de volgende voorwaarden worden voldaan:
- Kaspersky Security Center 13.2. In eerdere versies van Kaspersky Security Center is het niet mogelijk om alleenstaande IOC-scantaken te maken als reactie op bedreigingen.
- Het onderdeel kan alleen worden beheerd met behulp van de webconsole. U kunt dit onderdeel niet beheren met de Beheerconsole (MMC).
- Het programma is geactiveerd en de functionaliteit valt onder de licentie.
- Gegevensoverdracht naar Administration Server is ingeschakeld.
Wilt u alle functies van Kaspersky Sandbox gebruiken, dan moet u ervoor zorgen dat overdracht van quarantainebestandsgegevens is ingeschakeld. De gegevens zijn nodig om via Webconsole informatie te verkrijgen over bestanden die op een computer in quarantaine zijn geplaatst. U kunt bijvoorbeeld een bestand vanuit quarantaine downloaden voor analyse in Webconsole.
Gegevensoverdracht naar de Administration Server inschakelen in Webconsole
- Er is een achtergrondverbinding tot stand gebracht tussen Kaspersky Security Center Webconsole en Administration Server
Om Kaspersky Sandbox te laten werken met Administration Server via Kaspersky Security Center Webconsole, moet u een nieuwe beveiligde verbinding tot stand brengen, een achtergrondverbinding. Voor informatie over de integratie van Kaspersky Security Center met andere Kaspersky-oplossingen raadpleegt u de Help van Kaspersky Security Center.
Een achtergrondverbinding tot stand brengen in Webconsole
Als er geen achtergrondverbinding tussen Kaspersky Security Center Webconsole en Administration Server tot stand is gebracht, kunnen er geen zelfstandige IOC-scantaken worden gemaakt als onderdeel van Threat Response.
- Om een vertrouwde verbinding met de Sandbox-server te configureren, moet u een TLS-certificaat voorbereiden. Vervolgens moet u het certificaat met behulp van een beleid aan de computer toevoegen. U moet het certificaat ook toevoegen aan de Sandbox-server.
Tweerichtingsverificatie met behulp van een crypto-container is niet beschikbaar voor Kaspersky Sandbox.
U kunt in webconsole of ook lokaal een TLS-certificaat aan de computer toevoegen met behulp van de opdrachtregel.
- Het onderdeel Kaspersky Sandbox wordt ingeschakeld.
U kunt de integratie met Kaspersky Sandbox in webonsole of lokaal in- of uitschakelen met de opdrachtregel.
De integratie met Kaspersky Sandbox in- of uitschakelen:
- Selecteer in het hoofdvenster van de webconsole achtereenvolgens Assets (Devices) → Policies & profiles.
- Klik op de naam van het Kaspersky Endpoint Security-beleid.
U ziet nu het venster met de beleidseigenschappen.
- Selecteer het tabblad Application settings.
- Ga naar Detection and Response → Sandbox.
- Gebruik de schakelaar Integration with Sandbox ENABLED om de component in of uit te schakelen.
- Selecteer in het blok Integration mode de uitvoermodus voor het onderdeel: Kaspersky Sandbox (automatic file submission for scanning).
- Klik op de koppeling Server connection settings.
Dit opent het venster Kaspersky Sandbox-serververbindingsinstellingen.
- Klik in het blok Server TLS certificate op Add en selecteer het TLS-certificaatbestand.
Kaspersky Endpoint Security kan slechts één TLS-certificaat hebben voor een Kaspersky Sandbox-server. Als u al eerder een TLS-certificaat hebt toegevoegd, dan wordt dat certificaat ingetrokken. Alleen het laatst toegevoegde certificaat wordt gebruikt.
- Configureer geavanceerde verbindingsinstellingen voor Kaspersky Sandbox-servers:
- Timeout. Verbindingstime-out voor de Sandbox-server. Nadat de geconfigureerde time-out is verstreken, stuurt Kaspersky Endpoint Security een verzoek naar de volgende server. U kunt de verbindingstime-out voor de server verlengen als uw verbindingssnelheid laag is of als de verbinding onstabiel is. De aanbevolen timeout voor een aanvraag is 0,5 seconden of minder.
- Request queue. Grootte van de verzoekwachtrijmap. Bij het verzenden van meerdere objecten om te scannen in Sandbox, maakt Kaspersky Endpoint Security een wachtrij voor aanvragen. Standaard is de grootte van de verzoekwachtrijmap beperkt tot 100 MB. Nadat de maximale grootte is bereikt, stopt Sandbox met het toevoegen van nieuwe verzoeken aan de wachtrij en stuurt het de bijbehorende gebeurtenis naar Kaspersky Security Center. U kunt de grootte van de verzoekwachtrijmap configureren, afhankelijk van uw serverconfiguratie.
- In het blok Servers, klikt u op de knop Add.
- Dit opent een venster; voer in dat venster het Sandbox-serveradres (IPv4, IPv6, DNS) en de poort in.
Raadpleeg voor details over het inzetten van virtuele afbeeldingen en het configureren van Sandbox-servers de Kaspersky Sandbox Help.
- Sla uw wijzigingen op.
Als resultaat controleert Kaspersky Endpoint Security het TLS-certificaat. Als het certificaat met succes is geverifieerd, zal Kaspersky Endpoint Security het bestand uploaden en naar de computer sturen tijdens de volgende synchronisatie met Kaspersky Security Center. Als u twee TLS-certificaten hebt toegevoegd, gebruikt Kaspersky Sandbox het nieuwste certificaat om een vertrouwde verbinding tot stand te brengen. Controleer de werkingsstatus van het onderdeel door het Report on status of application components te bekijken. U kunt de werkingsstatus van een onderdeel ook in rapporten bekijken in de lokale interface van Kaspersky Endpoint Security. Het onderdeel Sandbox wordt toegevoegd aan de lijst met Kaspersky Endpoint Security-onderdelen.
Kaspersky Endpoint Security slaat informatie op over de werking van het onderdeel Kaspersky Sandbox in een rapport. Het rapport bevat ook informatie over fouten. Als u een fout krijgt met een beschrijving die past bij de Error code: XXX indeling (bijvoorbeeld, 0xa67b01f4), neem dan contact op met de Technische Support.