Kaspersky Sandbox

Khi tương tác với Kaspersky Sandbox, ứng dụng cho phép bạn:

• Thêm chứng chỉ TLS để kết nối bảo mật với máy chủ Kaspersky Sandbox.
• Thêm máy chủ Kaspersky Sandbox.
• Chọn một hành động ứng phó với mối đe dọa.
• Quét các dấu hiệu về sự xâm nhập (IOC).

Kaspersky Sandbox yêu cầu phải có Kaspersky Security Center phiên bản 13.2. Các phiên bản trước của Kaspersky Security Center không cho phép tạo các tác vụ Quét IOC độc lập để ứng phó với mối đe dọa.

Chỉ có thể quản lý thành phần này bằng Bảng điều khiển web. Bạn không thể quản lý thành phần này bằng Bảng điều khiển quản trị (MMC).

Tích hợp với Kaspersky Sandbox

Tích hợp với Kaspersky Sandbox liên quan đến các bước sau:

1. Cài đặt thành phần Kaspersky Sandbox

   Bạn có thể chọn thành phần Kaspersky Sandbox trong quá trình cài đặt hoặc nâng cấp, cũng như sử dụng tác vụ Thay đổi thành phần ứng dụng.

   Sau khi thực thi tác vụ Change application components, trạng thái của tác vụ được hiển thị không đúng. Thay vì trạng thái Completed successfully, tác vụ lại có trạng thái Scheduled. Tuy nhiên, tác vụ vẫn có thể được hoàn tất thành công. Đảm bảo rằng thành phần mới được cài đặt trong thuộc tính máy tính của bảng điều khiển Kaspersky Security Center (Applications → Kaspersky Endpoint Security cho Windows → Components) hoặc trong giao diện cục bộ của ứng dụng.

2. Thêm một chứng chỉ TLS

   Để cấu hình kết nối được tin tưởng với máy chủ Kaspersky Sandbox, bạn phải chuẩn bị chứng chỉ TLS. Tiếp theo, bạn phải thêm chứng chỉ vào máy chủ Kaspersky Sandbox và chính sách Kaspersky Endpoint Security. Để biết chi tiết về cách chuẩn bị chứng chỉ và thêm chứng chỉ vào máy chủ, hãy tham khảo Trợ giúp của Kaspersky Sandbox.

   Cách thêm một chứng chỉ TLS bằng Bảng điều khiển web

   1. Trong cửa sổ chính của Bảng điều khiển web, hãy chọn Devices → Policies & profiles.
   2. Nhấn vào tên của chính sách Kaspersky Endpoint Security.

      Cửa sổ thuộc tính chính sách sẽ được mở ra.

   3. Chọn thẻ Application settings.
   4. Vào Detection and Response → Kaspersky Sandbox.
   5. Nhấn vào Thiết lập kết nối máy chủ.

      Thao tác này sẽ mở ra cửa sổ thiết lập kết nối máy chủ Kaspersky Sandbox.

   6. Trong mục Server TLS certificate, hãy nhấn vào Thêm và chọn tập tin chứng chỉ TLS.

      Kaspersky Endpoint Security chỉ có thể có một chứng chỉ TLS cho máy chủ Kaspersky Sandbox. Nếu bạn đã thêm chứng chỉ TLS trước đó, chứng chỉ đó sẽ bị thu hồi. Chỉ chứng chỉ được thêm cuối cùng mới được sử dụng.

   7. Cấu hình thiết lập kết nối nâng cao cho máy chủ Kaspersky Sandbox:
      • Thời gian chờ yêu cầu. Thời gian chờ kết nối cho máy chủ Kaspersky Sandbox. Sau khi hết thời gian chờ đã được cấu hình, Kaspersky Endpoint Security sẽ gửi yêu cầu đến máy chủ tiếp theo. Bạn có thể tăng thời gian chờ kết nối cho Kaspersky Sandbox nếu tốc độ kết nối của bạn thấp hoặc nếu kết nối không ổn định. Giá trị mặc định là 5 giây.
      • Kaspersky Sandbox request queue. Kích thước của thư mục hàng chờ yêu cầu. Khi một đối tượng được truy cập trên máy tính (tệp thực thi được khởi chạy hoặc tài liệu được mở, ví dụ như ở định dạng DOCX hoặc PDF), Kaspersky Endpoint Security cũng có thể gửi đối tượng cần quét bởi Kaspersky Sandbox. Nếu có nhiều yêu cầu, Kaspersky Endpoint Security sẽ tạo một hàng chờ yêu cầu. Theo mặc định, kích thước của thư mục hàng chờ yêu cầu được giới hạn ở 100 MB. Sau khi đạt đến kích thước tối đa, Kaspersky Sandbox ngừng thêm các yêu cầu mới vào hàng chờ và gửi sự kiện tương ứng đến Kaspersky Security Center. Bạn có thể cấu hình kích thước của thư mục hàng đợi yêu cầu tùy thuộc vào cấu hình máy chủ của bạn.
   8. Lưu các thay đổi của bạn.

   Kết quả là Kaspersky Endpoint Security sẽ xác minh chứng chỉ TLS. Nếu chứng chỉ được xác minh thành công, Kaspersky Endpoint Security sẽ tải tập tin chứng chỉ đó lên máy tính trong lần đồng bộ hóa tiếp theo với Kaspersky Security Center. Nếu bạn đã thêm hai chứng chỉ TLS thì Kaspersky Sandbox sẽ sử dụng chứng chỉ mới nhất để thiết lập kết nối được tin tưởng.

   Bạn cũng có thể thêm chứng chỉ TLS vào máy tính cục bộ bằng cách sử dụng dòng lệnh.

3. Bật thành phần Kaspersky Sandbox

   Bạn có thể bật hoặc tắt thành phần này trong thiết lập chính sách của Kaspersky Endpoint Security cho Windows.

   Để sử dụng thành phần này, cần đáp ứng các điều kiện sau:

   • Ứng dụng được kích hoạt và chức năng được giấy phép hỗ trợ.
   • Thành phần Kaspersky Sandbox được bật.

   Cách bật hoặc tắt Kaspersky Sandbox bằng Bảng điều khiển web

   1. Trong cửa sổ chính của Bảng điều khiển web, hãy chọn Devices → Policies & profiles.
   2. Nhấn vào tên của chính sách Kaspersky Endpoint Security.

      Cửa sổ thuộc tính chính sách sẽ được mở ra.

   3. Chọn thẻ Application settings.
   4. Vào Detection and Response → Kaspersky Sandbox.
   5. Sử dụng công tắc bật/tắt Integration with Kaspersky Sandbox để bật hoặc tắt thành phần.
   6. Lưu các thay đổi của bạn.

   Bạn cũng có thể bật hoặc tắt Kaspersky Sandbox cục bộ bằng cách sử dụng dòng lệnh.

   Kết quả là thành phần Kaspersky Sandbox được bật. Kiểm tra trạng thái hoạt động của thành phần bằng cách xem Báo cáo trạng thái thành phần ứng dụng. Bạn cũng có thể xem trạng thái hoạt động của một thành phần trong mục báo cáo trong giao diện cục bộ của Kaspersky Endpoint Security. Thành phần Kaspersky Sandbox sẽ được thêm vào danh sách các thành phần của Kaspersky Endpoint Security.

4. Kết nối máy tính với máy chủ Kaspersky Sandbox

   Để kết nối máy tính với máy chủ Kaspersky Sandbox bằng ảnh máy ảo của hệ điều hành, bạn phải nhập địa chỉ máy chủ và cổng. Để biết chi tiết về việc triển khai ảnh máy ảo và cấu hình máy chủ Kaspersky Sandbox, hãy tham khảo Trợ giúp của Kaspersky Sandbox.

   Cách kết nối máy tính với máy chủ Kaspersky Sandbox bằng Bảng điều khiển web

   1. Trong cửa sổ chính của Bảng điều khiển web, hãy chọn Devices → Policies & profiles.
   2. Nhấn vào tên của chính sách Kaspersky Endpoint Security.

      Cửa sổ thuộc tính chính sách sẽ được mở ra.

   3. Chọn thẻ Application settings.
   4. Vào Detection and Response → Kaspersky Sandbox.
   5. Trong mục Máy chủ Kaspersky Sandbox, hãy nhấn vào Thêm.
   6. Thao tác này sẽ mở ra một cửa sổ; trong cửa sổ đó, hãy nhập địa chỉ máy chủ Kaspersky Sandbox (IPv4, IPv6, DNS) và cổng.
   7. Lưu các thay đổi của bạn.
5. Thiết lập một kết nối trong nền giữa Bảng điều khiển web Kaspersky Security Center và Máy chủ quản trị

   Để Kaspersky Sandbox hoạt động với Máy chủ quản trị thông qua Bảng điều khiển web Kaspersky Security Center, bạn phải thiết lập một kết nối bảo mật mới, một kết nối nền. Để biết chi tiết về việc tích hợp Kaspersky Security Center với các giải pháp khác của Kaspersky, hãy tham khảo Trợ giúp của Kaspersky Security Center.

   Thiết lập một kết nối nền trong Bảng điều khiển web

   1. Trong cửa sổ chính của Bảng điều khiển web, hãy chọn Console settings → Tích hợp.
   2. Vào mục Cross-service integration.
   3. Tắt công tắc bật/tắt Establish a background connection for cross-service integration.
   4. Lưu các thay đổi của bạn.

   Nếu một kết nối nền giữa Bảng điều khiển web Kaspersky Security Center và Máy chủ quản trị không được thiết lập thì các tác vụ quét IOC độc lập có thể không được tạo làm một phần của Threat Response.

6. Cho phép truyền dữ liệu đến Máy chủ quản trị

   Để sử dụng tất cả các tính năng của Kaspersky Sandbox, đảm bảo rằng truyền dữ liệu tập tin trong khu vực cách ly được bật. Đây là dữ liệu phải có để lấy thông tin về các tập tin được cách ly trên máy tính thông qua Bảng điều khiển web. Ví dụ: bạn có thể tải về một tập tin từ khu vực cách ly để phân tích trong Bảng điều khiển web.

   Cách bật truyền dữ liệu đến Máy chủ quản trị trong Bảng điều khiển web

   1. Trong cửa sổ chính của Bảng điều khiển web, hãy chọn Devices → Policies & profiles.
   2. Nhấn vào tên của chính sách Kaspersky Endpoint Security.

      Cửa sổ thuộc tính chính sách sẽ được mở ra.

   3. Chọn thẻ Application settings.
   4. Chọn Thiết lập tổng quát → Báo cáo và lưu trữ.
   5. Dưới mục Truyền dữ liệu đến Máy chủ quản trị, hãy chọn ô Thông tin về các tập tin trong khu vực cách ly.
   6. Lưu các thay đổi của bạn.

Chuyển đổi từ Kaspersky Endpoint Agent sang Kaspersky Endpoint Security cho Windows

Nếu bạn đang sử dụng Kaspersky Endpoint Security 11.7.0 hoặc mới hơn, được cài đặt thành phần Kaspersky Sandbox thì khả năng tương tác với giải pháp Kaspersky Sandbox sẽ khả dụng ngay sau khi cài đặt. Thành phần Kaspersky Sandbox không tương thích với Kaspersky Endpoint Agent. Nếu Kaspersky Endpoint Agent được cài đặt trên máy tính, khi Kaspersky Endpoint Security được cập nhật lên phiên bản 11.7.0, Kaspersky Sandbox sẽ tiếp tục hoạt động với Kaspersky Endpoint Security. Ngoài ra, Kaspersky Endpoint Agent sẽ bị gỡ bỏ khỏi máy tính. Để hoàn tất chuyển đổi từ Kaspersky Endpoint Agent sang Kaspersky Endpoint Security cho Windows, bạn cần chuyển thiết lập chính sách và tác vụ bằng Trình hướng dẫn chuyển đổi.

Nếu bạn đang sử dụng Kaspersky Endpoint Security 11.4.0–11.6.0, để có khả năng tương tác với Kaspersky Sandbox, ứng dụng này sẽ có cả Kaspersky Endpoint Agent. Bạn có thể cài đặt Kaspersky Endpoint Agent để chạy cùng Kaspersky Endpoint Security.

Thành phần Kaspersky Sandbox là một phần của Kaspersky Endpoint Security, hỗ trợ khả năng tương tác với giải pháp Kaspersky Sandbox 2.0. Giải pháp Kaspersky Sandbox 1.0 không được hỗ trợ.