Управление активацией Kaspersky Endpoint Agent

В разделе приведена инструкция для Kaspersky Endpoint Agent для Windows. Эта инструкция может быть частично или полностью неприменима к Kaspersky Endpoint Agent для Linux. Актуальную инструкцию для Kaspersky Endpoint Agent для Linux смотрите в справке решения, в составе которого вы используете программу: Kaspersky Anti Targeted Attack Platform или Kaspersky Managed Detection and Response.

Чтобы управлять активацией программы через интерфейс командной строки:

1. На устройстве запустите интерпретатор командной строки (например, Command Prompt cmd.exe) с правами учетной записи локального администратора.
2. С помощью команды cd перейдите в папку, где находится файл agent.exe.

   Например, введите команду cd "C:\Program Files (x86)\Kaspersky Lab\Endpoint Agent\" и нажмите на клавишу ENTER.

3. Введите одну из следующих команд и нажмите на клавишу ENTER:
   • Чтобы активировать программу с помощью кода активации или файла ключа:

     agent.exe --license=add <код активации или путь к файлу ключа>

     Для активации программы с помощью кода активации защищаемое устройство должно быть подключено к интернету.

   • Чтобы указать дополнительный ключ для автоматического продления срока действия лицензии:

     agent.exe --license=reserve <код активации или путь к файлу ключа>

   • Чтобы удалить добавленный основной или дополнительный ключ:

     agent.exe --license=delete <серийный номер ключа>

   • Чтобы просмотреть статус добавленных ключей:

     agent.exe --license=show

Коды возврата команды --license:

• -305 – срок действия добавляемого ключа истек.
• 2 – неопределенная программная ошибка.
• -302 – добавляемый ключ находится в списке запрещенных ключей.
• -301 – добавляемый ключ не подходит для активации Kaspersky Endpoint Agent.
• -303 – файл ключа поврежден.
• 4 – синтаксические ошибки.
• -304 – указан некорректный путь к файлу ключа.

Управление аутентификацией Kaspersky Endpoint Agent

Здесь приведена информация для Kaspersky Endpoint Agent для Windows. Эта информация может быть частично или полностью неприменима к Kaspersky Endpoint Agent для Linux. Полную информацию о Kaspersky Endpoint Agent для Linux смотрите в справке решения, в составе которого вы используете программу: Kaspersky Anti Targeted Attack Platform или Kaspersky Managed Detection and Response.

Чтобы управлять аутентификацией программы через интерфейс командной строки:

1. На устройстве запустите интерпретатор командной строки (например, Command Prompt cmd.exe) с правами учетной записи локального администратора.
2. С помощью команды cd перейдите в папку, где находится файл agent.exe.

   Например, вы можете ввести команду cd "C:\Program Files (x86)\Kaspersky Lab\Endpoint Agent\" и нажать на клавишу Enter.

3. Выполните следующую команду и нажмите на клавишу Enter:

   agent.exe --proxy={enable|disable|show} --mode={auto|custom} --server=<адрес_прокси-сервера> --port=<номер_порта> --use-auth={yes|no} --proxy-user=<имя_пользователя> --proxy-password=<пароль_пользователя> --bypass-local={yes|no}

Описание параметров аутентификации представлено в следующей таблице:

Параметры команды аутентификации.

Настройка трассировки

В разделе приведена инструкция для Kaspersky Endpoint Agent для Windows. Эта инструкция может быть частично или полностью неприменима к Kaspersky Endpoint Agent для Linux. Актуальную инструкцию для Kaspersky Endpoint Agent для Linux смотрите в справке решения, в составе которого вы используете программу: Kaspersky Anti Targeted Attack Platform или Kaspersky Managed Detection and Response.

Kaspersky Endpoint Agent не создает папку для сохранения файлов трассировки или файлов дампа на устройстве автоматически. Необходимо указать папку, которая уже доступна на устройстве.

Чтобы настроить трассировку в программе Kaspersky Endpoint Agent через интерфейс командной строки:

1. На устройстве запустите интерпретатор командной строки (например, Command Prompt cmd.exe) с правами учетной записи локального администратора.
2. С помощью команды cd перейдите в папку, где находится файл agent.exe.

   Например, введите команду cd "C:\Program Files (x86)\Kaspersky Lab\Endpoint Agent\" и нажмите на клавишу ENTER.

3. Введите одну из следующих команд и нажмите на клавишу ENTER:
   • agent.exe --trace=enable --folder <путь к папке для сохранения файлов трассировки>, чтобы включить трассировку.

     Трассировка будет включена для всех процессов Kaspersky Endpoint Agent, запущенных в текущий момент. Файлы трассировки будут создаваться в папке, которую вы указали.

     Убедитесь, что папка, которую вы указали, доступна на управляемом устройстве. Иначе файлы трассировки не будут созданы.

   • agent.exe --trace=enable --folder <путь к папке для сохранения файлов трассировки> --rotation=yes --rotate-file-size=<максимальный размер файла в МБ> --rotate-files-count=<максимальное количество файлов>, чтобы включить трассировку в режиме перезаписи старых файлов трассировки при достижении указанных значений размера и количества файлов.

     Указанное ограничение по количеству файлов применяется для каждого отлаживаемого процесса Kaspersky Endpoint Agent отдельно, поэтому суммарное количество файлов для всех процессов может превышать заданное значение. Если с параметром --rotation=yes не указать параметры --rotate-file-size или --rotate-files-count (один из, или оба), то программа использует значения по умолчанию. По умолчанию задан 1 файл размером в 50 МБ.

   • agent.exe --trace=disable, чтобы выключить трассировку.

     Трассировка будет отключена для всех процессов Kaspersky Endpoint Agent, запущенных в текущий момент.

   • agent.exe --trace=show, чтобы просмотреть текущее состояние трассировки и путь к папке для сохранения файлов трассировки.

     Отобразятся значения параметров trace.enable (true, если трассировка включена или false, если трассировка отключена) и trace.folder (путь к папке).

Коды возврата команды --trace:

• -1 – команда не поддерживается.
• 0 – команда выполнена успешно.
• 1 – команде не передан обязательный аргумент.
• 2 – общая ошибка.
• 4 – синтаксическая ошибка.
• 5 – объект не найден (не найден путь, указанный в качестве пути к папке с файлами журнала трассировки).
• 9 – неверная операция (например, попытка выполнения команды --trace=disable, если трассировка уже отключена).

Настройка создания дампа процессов Kaspersky Endpoint Agent

В разделе приведена инструкция для Kaspersky Endpoint Agent для Windows. Эта инструкция может быть частично или полностью неприменима к Kaspersky Endpoint Agent для Linux. Актуальную инструкцию для Kaspersky Endpoint Agent для Linux смотрите в справке решения, в составе которого вы используете программу: Kaspersky Anti Targeted Attack Platform или Kaspersky Managed Detection and Response.

Чтобы настроить создание дампа процессов Kaspersky Endpoint Agent через интерфейс командной строки программы:

1. На устройстве запустите интерпретатор командной строки (например, Command Prompt cmd.exe) с правами учетной записи локального администратора.
2. С помощью команды cd перейдите в папку, где находится файл agent.exe.

   Например, введите команду cd "C:\Program Files (x86)\Kaspersky Lab\Endpoint Agent\" и нажмите на клавишу ENTER.

3. Введите одну из следующих команд и нажмите на клавишу ENTER:
   • agent.exe --dump=enable --folder <путь к папке, в которой вы хотите создавать дамп>, чтобы включить создание дампа процессов Kaspersky Endpoint Agent.

     Создание дампа будет включено для всех процессов Kaspersky Endpoint Agent, запущенных в текущий момент. Файлы дампа будут создаваться в папке, которую вы указали.

     Убедитесь, что папка, которую вы указали, доступна на управляемом устройстве. Иначе файлы дампа не будут созданы.

   • agent.exe --dump=disable, чтобы отключить создание дампа.

     Создание дампа будет отключено для всех процессов Kaspersky Endpoint Agent, запущенных в текущий момент.

   • agent.exe --dump=show, чтобы просмотреть текущее состояние создания дампа и путь к папке с файлами дампа.

     Отобразятся значения параметров dump.enable (true, если создание дампа включено или false, если создание дампа отключено) и dump.folder (путь к папке).

Коды возврата команды --dump:

• -1 – команда не поддерживается.
• 0 – команда выполнена успешно.
• 1 – команде не передан обязательный аргумент.
• 2 – общая ошибка.
• 4 – синтаксическая ошибка.
• 5 – объект не найден (не найден путь, указанный в качестве пути к папке с файлами дампа).
• 9 – неверная операция (например, попытка выполнения команды --dump=disable, если создание дампа уже отключено).

Просмотр информации о параметрах карантина и объектах на карантине

В разделе приведена инструкция для Kaspersky Endpoint Agent для Windows. Эта инструкция может быть частично или полностью неприменима к Kaspersky Endpoint Agent для Linux. Актуальную инструкцию для Kaspersky Endpoint Agent для Linux смотрите в справке решения, в составе которого вы используете программу: Kaspersky Anti Targeted Attack Platform или Kaspersky Managed Detection and Response.

Чтобы просмотреть информацию о параметрах карантина и объектах, находящихся на карантине, через интерфейс командной строки:

1. На устройстве запустите интерпретатор командной строки (например, Command Prompt cmd.exe) с правами учетной записи локального администратора.
2. С помощью команды cd перейдите в папку, где находится файл agent.exe.

   Например, введите команду cd "C:\Program Files (x86)\Kaspersky Lab\Endpoint Agent\" и нажмите на клавишу ENTER.

3. Введите одну из следующих команд и нажмите на клавишу ENTER:
   • agent.exe --quarantine=show [--pwd=<текущий пароль пользователя>], чтобы просмотреть список объектов, помещенных на карантин.

   Отобразится следующая информация обо всех объектах, находящихся в папке карантина, указанной при настройке параметров карантина:

   • Идентификаторы объектов, помещенных на карантин к текущему моменту (параметр ouid).
   • Имена объектов, помещенных на карантин (имя + расширение).
   • Дата и время помещения объекта на карантин (UTC).
   • Исходный путь к файлу, помещенному на карантин, и путь восстановления файла из карантина, заданный по умолчанию (без имени файла).
   • Размер файла, помещенного на карантин (в байтах).
   • Учетная запись пользователя, с правами которой выполнялась задача помещения файла на карантин.
   • Статус объекта:
     • DETECT, если файл был помещен на карантин программой EPP или в рамках действий по реагированию на угрозу, обнаруженную Kaspersky Sandbox. Например, в результате локального действия Поместить на карантин и удалить или глобального действия Поместить на карантин и удалить при обнаружении IOC.
     • CUSTOM, если файл был помещен на карантин вручную, в результате выполнения команды --quarantine=add.
   • Способ, которым файл был помещен на карантин:
     • AUTOMATIC_<название программы, обнаружившей угрозу в файле, помещенном на карантин>, если файл был помещен на карантин программой EPP или в рамках действий по реагированию на угрозу, обнаруженную Kaspersky Sandbox. Например, в результате локального действия Поместить на карантин и удалить или глобального действия Поместить на карантин и удалить при обнаружении IOC.
     • BY USER, если файл был помещен на карантин вручную, в результате выполнения команды --quarantine=add.
   • agent.exe --quarantine=limits, чтобы просмотреть текущие значения параметров Максимальный размер Карантина (МБ) и Пороговое значение места на диске (МБ), а также статусы применения этих параметров (статусы флажков), заданные при настройке параметров карантина.

Коды возврата команды --quarantine:

• -1 – команда не поддерживается.
• 0 – команда выполнена успешно.
• 1 – команде не передан обязательный аргумент.
• 2 – общая ошибка.
• 4 – синтаксическая ошибка.

Действия над объектами на карантине

В разделе приведена инструкция для Kaspersky Endpoint Agent для Windows. Эта инструкция может быть частично или полностью неприменима к Kaspersky Endpoint Agent для Linux. Актуальную инструкцию для Kaspersky Endpoint Agent для Linux смотрите в справке решения, в составе которого вы используете программу: Kaspersky Anti Targeted Attack Platform или Kaspersky Managed Detection and Response.

Чтобы выполнить действия над объектами, находящимися на карантине программы Kaspersky Endpoint Agent через интерфейс командной строки:

1. На устройстве запустите интерпретатор командной строки (например, Command Prompt cmd.exe) с правами учетной записи локального администратора.
2. С помощью команды cd перейдите в папку, где находится файл agent.exe.

   Например, введите команду cd "C:\Program Files (x86)\Kaspersky Lab\Endpoint Agent\" и нажмите на клавишу ENTER.

3. Выполните следующие действия и нажмите на клавишу ENTER:
   • Если вы хотите безвозвратно удалить объекты, находящиеся на карантине, выполните команду:

     agent.exe --quarantine=delete --ouid=<идентификаторы объектов на карантине через запятую. Обязательный параметр> [--pwd=<текущий пароль пользователя>].

     Объекты с указанными идентификаторами будут удалены из папки карантина , указанной при настройке параметров карантина.

   • Если вы хотите восстановить объекты из карантина, выполните команду:

     agent.exe --quarantine=restore --ouid=<идентификаторы объектов на карантине через запятую. Обязательный параметр> [--path-type=<один из вариантов выбора папки назначения при восстановлении объекта из карантина: original|custom|settings. Необязательный параметр> --path=<путь к папке назначения для восстановленных объектов. Обязательный параметр, если передан параметр --path-type и указано значение original>] [--action=<одно из действий над объектом: replace|rename. Необязательный параметр>] [--pwd=<текущий пароль пользователя>].

   • Если вы хотите поместить объект на карантин, выполните одну из следующих команд:
     • agent.exe --quarantine=add [--file=<полный путь к объекту, который вы хотите поместить на карантин>] [--pwd=<текущий пароль пользователя>].
     • agent.exe --quarantine=add [--hash=<хеш объекта, который вы хотите поместить на карантин. Обязательный параметр, если вы не указываете полный путь к объекту и передаете параметр --hashalg >]--hashalg=<один из типов хеша: md5|sha256. Обязательный параметр, если вы не указываете полный путь к объекту> [--file=<путь к папке с объектом, который вы хотите поместить на карантин>] [--pwd=<текущий пароль пользователя>].

   Параметры команд при выполнении действий над объектами на карантине

   Параметр	Описание
   --ouid	Обязательный параметр. В параметре передается уникальный числовой (int64) идентификатор объекта на карантине. Отображается при просмотре информации об объектах на карантине (команда --quarantine=show).
   --path-type=<original|custom|settings>	Параметр описывает логику выбора папки назначения при восстановлении объекта из карантина. Если параметр не передан, объект будет восстановлен в исходную папку – папку, в которой находился объект до помещения его на карантин. Если исходная папка недоступна, объект будет восстановлен в папку, указанную при настройке параметров карантина. Если параметр передан со значением <original>, объект будет восстановлен в исходную папку – папку, в которой находился объект до помещения его на карантин. Если исходная папка недоступна, объект будет восстановлен в папку, указанную при настройке параметров карантина. Если параметр передан со значением <settings>, объект будет восстановлен в папку, указанную при настройке параметров карантина. Если папка недоступна, задача завершается с ошибкой. Если параметр передан со значением <custom>, объект будет восстановлен в папку, путь к которой вы укажете для параметра --path. Если папка недоступна, задача завершается с ошибкой.
   --path=<путь к папке назначения для восстановленных объектов>	Обязательный параметр, если передан параметр --path-type со значением <custom>. Параметр определяет путь, по которому вы хотите создать папку для объектов, восстановленных из карантина, если вы не хотите использовать папку, в которой находился объект до помещения его на карантин и папку, указанную при настройке параметров карантина.
   --action=<replace|rename>	Параметр определяет действие над объектом, которое вы хотите выполнить, если при восстановлении объекта из карантина папка назначения для восстановленных объектов содержит файл с таким же именем. Если параметр не передан, восстановленный объект будет переименован: к первоначальному имени объекта будет добавлен суффикс _restored. Если параметр передан со значением <rename>, восстановленный объект будет переименован: к первоначальному имени объекта будет добавлен суффикс _restored. Если параметр передан со значением <replace>, первоначальный объект будет заменен на восстановленный объект.
   --file=<полный путь к объекту, который вы хотите поместить на карантин>	Обязательный параметр, если не передан параметр –-hashalg. Параметр задает полный путь к объекту, который вы хотите поместить на карантин.
   --hashalg=<md5|sha256>	Обязательный параметр, если не передан параметр –-file и не указан полный путь к объекту, который вы хотите поместить на карантин. Параметр задает алгоритм хеширования, по которому будет рассчитана контрольная сумма объекта, который вы хотите поместить на карантин. Параметр может быть передан с одним из двух значений: <md5> или <sha256>.
   --hash=<контрольная сумма файла>	Обязательный параметр, если передан параметр –-hashalg. Параметр задает контрольную сумму объекта, который вы хотите поместить на карантин.
   --file=<папка с файлом>	Обязательный параметр, если передан параметр –-hashalg. Параметр задает путь к папке с объектом, который вы хотите поместить на карантин и хеш которого вы указали в параметре –-hash.
   --pwd=<текущий пароль пользователя>	Позволяет ввести пароль пользователя, под учетной записью которого выполняется команда.

Коды возврата команды --quarantine:

• -1 – команда не поддерживается.
• 0 – команда выполнена успешно.
• 1 – команде не передан обязательный аргумент.
• 2 – общая ошибка.
• 4 – синтаксическая ошибка.

Управление параметрами интеграции с компонентом KATA Central Node

В разделе приведена инструкция для Kaspersky Endpoint Agent для Windows. Эта инструкция может быть частично или полностью неприменима к Kaspersky Endpoint Agent для Linux. Актуальную инструкцию для Kaspersky Endpoint Agent для Linux смотрите в справке решения, в составе которого вы используете программу: Kaspersky Anti Targeted Attack Platform или Kaspersky Managed Detection and Response.

Чтобы управлять параметрами интеграции программы Kaspersky Endpoint Agent с компонентом KATA Central Node через интерфейс командной строки Kaspersky Endpoint Agent:

1. На устройстве запустите интерпретатор командной строки (например, Command Prompt cmd.exe) с правами учетной записи локального администратора.
2. С помощью команды cd перейдите в папку, где находится файл agent.exe.

   Например, введите команду cd "C:\Program Files (x86)\Kaspersky Lab\Endpoint Agent\" и нажмите на клавишу ENTER.

3. Выполните следующую команду и нажмите на клавишу ENTER:

   agent.exe --message-broker=<enable|disable|show> --type=<kata> --use-proxy={yes|no} --compression=<yes|no> --partitioning-strategy=<automatic|user> [--message-key=<ключ сообщения> --topic=<тема> --partition=<user specific partition>] --tls=<yes|no> --servers=<адрес>:<порт>[;<адрес>:<порт>[; …]] [--timeout=<максимальное время ожидания ответа сервера KATA] [--pinned-certificate=<полный путь к файлу TLS-сертификата>] [--client-certificate=<полный путь к файлу сертификата>] --client-password=<пароль к архиву формата PFX> --sync-period=<период отправки запросов на синхронизацию>

   Параметры команды --message-broker при управлении параметрами интеграции Kaspersky Endpoint Agent с компонентом KATA Central Node

   Параметр	Описание
   --message-broker=<enable|disable|show>	Обязательный параметр. Позволяет включить, отключить и просмотреть состояние программы Kaspersky Endpoint Agent с компонентом KATA Central Node. --message-broker=<enable> включает интеграцию. --message-broker=<disable> отключает интеграцию. --message-broker=<show> отображает состояние интеграции Kaspersky Endpoint Agent с компонентом KATA Central Node.
   --type=<kata>	Обязательный параметр. Позволяет указать компонент KATA Central Node для управления параметрами интеграции программы Kaspersky Endpoint Agent с этим компонентом.
   --use-proxy={yes|no}	Обязательный параметр. Позволяет включить и отключить использование прокси-сервера в брокере сообщений для отправки сообщений в KATA.
   --compression=<yes|no>	Необязательный параметр. Позволяет включить или отключить сжатие данных, передаваемых между Kaspersky Endpoint Agent и компонентом KATA Central Node. По умолчанию включено.
   ---tls=<yes|no>	Необязательный параметр. Позволяет включить или отключить использование доверенного соединения Kaspersky Endpoint Agent с компонентом KATA Central Node. --tls=<yes> включает использование доверенного соединения. --tls=<no> отключает использование доверенного соединения.
   --servers=<адрес>:<порт>[;<адрес>:<порт>[; …]]	Обязательный параметр. Позволяет добавить один или несколько серверов KATA. Kaspersky Endpoint Agent подключается к первому серверу из списка. Если подключение не удается, Kaspersky Endpoint Agent подключается ко второму серверу и так далее по списку.
   --timeout=<максимальное время ожидания ответа сервера KATA>	Необязательный параметр. Позволяет задать максимальное время ожидания ответа сервера KATA в миллисекундах.
   --pinned-certificate=<полный путь к файлу TLS-сертификата>	Обязательный параметр, если передан параметр --tls со значением <yes>. Позволяет добавить TLS-сертификат соединения Kaspersky Endpoint Agent с сервером KATA.
   --client-certificate=<полный путь к файлу сертификата>	Позволяет добавить пользовательский сертификат соединения Kaspersky Endpoint Agent с сервером KATA.
   --client-password=<пароль к архиву формата PFX>	Позволяет ввести пароль к архиву формата PFX, содержащему пользовательский сертификат соединения Kaspersky Endpoint Agent с сервером KATA.
   --sync-period=<период отправки запросов на синхронизацию>	Позволяет задать период отправки запросов на синхронизацию параметров и задач Kaspersky Endpoint Agent с KATA Central Node.
   --throttling=<yes|no>	Позволяет включить или выключить регулирование количества запросов. Функция регулирования количества запросов позволяет ограничить поток событий низкой важности от Kaspersky Endpoint Agent к компоненту Central Node.
   --event-limit=<количество событий в час>	Позволяет задать максимальное количество событий в час. Программа анализирует поток данных телеметрии и ограничивает передачу событий низкой важности, если поток передаваемых событий стремится превысить заданную величину.
   --exceed-limit=<величина порога>	Позволяет задать порог превышения лимита событий. Если поток однотипных событий низкой важности превысит заданный порог в процентах от общего количества событий, то именно этот тип событий будет ограничен. Можно задать величину от 5 до 100 (без символа %).

Запуск обновления баз или модулей Kaspersky Endpoint Agent

В разделе приведена инструкция для Kaspersky Endpoint Agent для Windows. Эта инструкция может быть частично или полностью неприменима к Kaspersky Endpoint Agent для Linux. Актуальную инструкцию для Kaspersky Endpoint Agent для Linux смотрите в справке решения, в составе которого вы используете программу: Kaspersky Anti Targeted Attack Platform или Kaspersky Managed Detection and Response.

Чтобы запустить обновление баз или модулей программы Kaspersky Endpoint Agent через интерфейс командной строки:

1. На устройстве запустите интерпретатор командной строки (например, Command Prompt cmd.exe) с правами учетной записи локального администратора.
2. С помощью команды cd перейдите в папку, где находится файл agent.exe.

   Например, введите команду cd "C:\Program Files (x86)\Kaspersky Lab\Endpoint Agent\" и нажмите на клавишу ENTER.

3. Выполните следующую команду и нажмите на клавишу ENTER:

   agent.exe --update=bases|modules [--source=<адреса пользовательских источников обновлений баз, разделенные точкой с запятой без пробела>|kl|ksc]

   Параметры команд при запуске обновления баз Kaspersky Endpoint Agent

   Параметр	Описание
   --update=bases|modules	Обязательный параметр. Позволяет указать тип обновления: --update=bases позволяет запустить обновление баз программы. --update=modules позволяет запустить обновление модулей программы.
   --source=<адреса пользовательских источников обновления баз>|kl|ksc]	Необязательный параметр. Позволяет выбрать источник обновления баз. --source=<адреса пользовательских источников обновлений баз> позволяет указать источник обновлений баз Другие HTTP-, FTP-серверы или сетевые папки и задать путь к сетевой папке или IP-адрес, FTP или HTTP-адрес сервера, с которого программа будет загружать обновления баз. Вы можете указать несколько адресов пользовательских источников обновлений баз, разделенных точкой с запятой без пробела (";"). Программа будет загружать обновления с первого доступного источника обновлений баз. Если все адреса будут недоступны, задача завершится с ошибкой. --source=kl позволяет указать источник обновления баз Серверы обновлений "Лаборатории Касперского". Если серверы будут недоступны, задача завершится с ошибкой. --source=ksc позволяет указать источник обновления баз Сервер администрирования Kaspersky Security Center. Если Сервер администрирования будет недоступен, задача завершится с ошибкой.

Коды возврата команды --update=bases:

• -1 – команда не поддерживается.
• 0 – команда выполнена успешно.
• 1 – команде не передан обязательный аргумент.
• 2 – общая ошибка.
• 4 – синтаксическая ошибка.
• 8 – ошибка прав доступа.
• 200 – все объекты актуальны.
• -206 – файлы обновлений отсутствуют в указанном источнике обновлений баз или имеют неизвестный формат.
• -209 – ошибка подключения к источнику обновлений баз.
• -232 – ошибка подключения к прокси-серверу.
• -234 – ошибка подключения к Kaspersky Security Center.
• -236 – базы программы повреждены.

Запуск, остановка и просмотр текущего состояния программы

В разделе приведена инструкция для Kaspersky Endpoint Agent для Windows. Эта инструкция может быть частично или полностью неприменима к Kaspersky Endpoint Agent для Linux. Актуальную инструкцию для Kaspersky Endpoint Agent для Linux смотрите в справке решения, в составе которого вы используете программу: Kaspersky Anti Targeted Attack Platform или Kaspersky Managed Detection and Response.

Чтобы запустить, остановить или просмотреть текущее состояние программы Kaspersky Endpoint Agent через интерфейс командной строки:

1. На устройстве запустите интерпретатор командной строки (например, Command Prompt cmd.exe) с правами учетной записи локального администратора.
2. С помощью команды cd перейдите в папку, где находится файл agent.exe.

   Например, введите команду cd "C:\Program Files (x86)\Kaspersky Lab\Endpoint Agent\" и нажмите на клавишу ENTER.

3. Выполните следующую команду и нажмите на клавишу ENTER:

   agent.exe --product=<start|stop|state> [--pwd=<текущий пароль пользователя>]

   Параметры команд при запуске, остановке и просмотре текущего состояния Kaspersky Endpoint Agent

   Параметр	Описание
   --product=<start|stop|state>	Позволяет запустить, остановить или просмотреть текущее состояние программы. --product=<start> запускает программу. --product=<stop> останавливает программу. Если в программе настроена защита паролем, для выполнения команды --product=<stop> требуется ввести пароль. --product=<state> отображает текущее состояние программы: запущена или остановлена.
   --pwd=<текущий пароль пользователя>	Позволяет ввести пароль пользователя, с правами учетной записи которого выполняется команда.

Коды возврата команды --product=<start|stop|state>:

• -1 – команда не поддерживается.
• 0 – команда выполнена успешно.
• 1 – команде не передан обязательный аргумент.
• 2 – общая ошибка.
• 4 – синтаксическая ошибка.
• 8 – ошибка прав доступа.
• 9 – неверная операция (например, попытка выполнения команды --product=start, если программа уже запущена).

Защита программы паролем

В разделе приведена инструкция для Kaspersky Endpoint Agent для Windows. Эта инструкция может быть частично или полностью неприменима к Kaspersky Endpoint Agent для Linux. Актуальную инструкцию для Kaspersky Endpoint Agent для Linux смотрите в справке решения, в составе которого вы используете программу: Kaspersky Anti Targeted Attack Platform или Kaspersky Managed Detection and Response.

Чтобы ограничить выполнение действий с программой Kaspersky Endpoint Agent, которые могут привести к снижению уровня защиты компьютера пользователя и данных, обрабатываемых на этом компьютере, а также к снижению уровня самозащиты программы, требуется защитить программу паролем.

Ввод пароля требуется для выполнения следующих команд в интерфейсе командной строки Kaspersky Endpoint Agent:

• --sandbox=disable
• --sandbox=show
• --sandbox=enable --tls=no
• --sandbox=enable --pinned-certificate=<полный путь к файлу TLS-сертификата соединения Kaspersky Endpoint Agent с Kaspersky Sandbox>
• --quarantine=delete –ouid
• --quarantine=show
• --quarantine=restore
• --quarantine=add
• --product=stop
• --password=reset
• --isolation=disable
• --prevention=disable
• --selfdefense
• --license=delete
• --message-broker --type=kata <параметры>
• --event --action=enable
• --event --action=disable

Для ввода пароля используйте параметр --pwd=<текущий пароль пользователя>.

Также требуется вводить пароль при выполнении следующих действий над программой:

• удаление программы и удаленная деинсталляция программы с помощью Kaspersky Security Center;
• обновление программы (upgrade);
• восстановление программы (repair);
• работа в мастере установки программы;
• работа в интерфейсе командной строки.

После включения защиты паролем и применения политики Kaspersky Security Center, на всех устройствах управляемой группы Kaspersky Endpoint Agent применяется единый пароль.

После отключения защиты паролем в политике параметры защиты паролем сохраняются для локального устройства с возможностью редактирования.

Пароль хранится в параметрах программы в зашифрованном виде (как контрольная сумма).

Для ввода пароля используйте параметр --pwd=<текущий пароль пользователя>.

Чтобы настроить защиту паролем программы Kaspersky Endpoint Agent через интерфейс командной строки:

1. На устройстве запустите интерпретатор командной строки (например, Command Prompt cmd.exe) с правами учетной записи локального администратора.
2. С помощью команды cd перейдите в папку, где находится файл agent.exe.

   Например, введите команду cd "C:\Program Files (x86)\Kaspersky Lab\Endpoint Agent\" и нажмите на клавишу ENTER.

3. Выполните одну из следующих команд и нажмите на клавишу ENTER:
   • agent.exe --password=state, чтобы просмотреть текущий статус защиты программы паролем.
   • agent.exe --password=set --pwd=<текущий пароль пользователя> --new=<новый пароль пользователя>, чтобы установить новый пароль пользователя.
   • agent.exe --password=reset --pwd=<текущий пароль пользователя>, чтобы сбросить пароль пользователя.

Защита служб программы технологией PPL

В разделе приведена инструкция для Kaspersky Endpoint Agent для Windows. Эта инструкция может быть частично или полностью неприменима к Kaspersky Endpoint Agent для Linux. Актуальную инструкцию для Kaspersky Endpoint Agent для Linux смотрите в справке решения, в составе которого вы используете программу: Kaspersky Anti Targeted Attack Platform или Kaspersky Managed Detection and Response.

В Kaspersky Endpoint Agent реализована защита служб программы с помощью технологии Protected Process Light (PPL).

Защита служб программы с помощью технологии Protected Process Light (PPL) может применяться только для следующих операционных систем:

• для рабочих станций – Windows 10 версия 1703 RS2 и выше;
• для серверов – Windows Server 2016 версия 1709 и выше.

Процессы, исполняющиеся с признаком PPL, не могут быть остановлены или изменены другими процессами без признака PPL.

Использование признака PPL для служб программы позволяет защитить службы от вредоносных воздействий извне и попыток компрометации.

Чтобы настроить защиту служб программы технологией PPL через интерфейс командной строки:

1. На устройстве запустите интерпретатор командной строки (например, Command Prompt cmd.exe) с правами учетной записи локального администратора.
2. С помощью команды cd перейдите в папку, где находится файл agent.exe.

   Например, введите команду cd "C:\Program Files (x86)\Kaspersky Lab\Endpoint Agent\" и нажмите на клавишу ENTER.

3. Выполните одну из следующих команд и нажмите на клавишу ENTER:
   • agent.exe --ppl=show [--pwd=<текущий пароль пользователя>], чтобы просмотреть текущий статус защиты служб программы технологией PPL.
   • agent.exe --ppl=disable [--pwd=<текущий пароль пользователя>], чтобы отключить защиту служб программы технологией PPL.

Коды возврата команды --ppl:

• 0 – команда выполнена успешно.
• 2 – общая ошибка.
• 4 – синтаксическая ошибка.
• 8 – ошибка прав доступа.

Управление параметрами самозащиты

В разделе приведена инструкция для Kaspersky Endpoint Agent для Windows. Эта инструкция может быть частично или полностью неприменима к Kaspersky Endpoint Agent для Linux. Актуальную инструкцию для Kaspersky Endpoint Agent для Linux смотрите в справке решения, в составе которого вы используете программу: Kaspersky Anti Targeted Attack Platform или Kaspersky Managed Detection and Response.

Чтобы управлять параметрами самозащиты через интерфейс командной строки Kaspersky Endpoint Agent:

1. На устройстве запустите интерпретатор командной строки (например, Command Prompt cmd.exe) с правами учетной записи локального администратора.
2. С помощью команды cd перейдите в папку, где находится файл agent.exe.

   Например, введите команду cd "C:\Program Files (x86)\Kaspersky Lab\Endpoint Agent\" и нажмите на клавишу ENTER.

3. Выполните следующую команду и нажмите на клавишу ENTER:

   agent.exe --selfdefense=<enable|disable>

Управление фильтрацией событий

В разделе приведена инструкция для Kaspersky Endpoint Agent для Windows. Эта инструкция может быть частично или полностью неприменима к Kaspersky Endpoint Agent для Linux. Актуальную инструкцию для Kaspersky Endpoint Agent для Linux смотрите в справке решения, в составе которого вы используете программу: Kaspersky Anti Targeted Attack Platform или Kaspersky Managed Detection and Response.

Чтобы управлять фильтрацией событий через интерфейс командной строки Kaspersky Endpoint Agent:

1. На устройстве запустите интерпретатор командной строки (например, Command Prompt cmd.exe) с правами учетной записи локального администратора.
2. С помощью команды cd перейдите в папку, где находится файл agent.exe.

   Например, введите команду cd "C:\Program Files (x86)\Kaspersky Lab\Endpoint Agent\" и нажмите на клавишу ENTER.

3. Выполните следующую команду и нажмите на клавишу ENTER:

   agent.exe --event =<createprocess|loadimage|registry|network|eventlog|filechange|accountloggon|codeinjection|wmiactivity> --action=<enable|disable|show>

Управление стандартными задачами поиска IOC

В разделе приведена инструкция для Kaspersky Endpoint Agent для Windows. Эта инструкция может быть частично или полностью неприменима к Kaspersky Endpoint Agent для Linux. Актуальную инструкцию для Kaspersky Endpoint Agent для Linux смотрите в справке решения, в составе которого вы используете программу: Kaspersky Anti Targeted Attack Platform или Kaspersky Managed Detection and Response.

Стандартные задачи поиска IOC – групповые или локальные задачи, которые создаются и настраиваются вручную в Kaspersky Security Center или через интерфейс командной строки. Для запуска задач используются IOC-файлы, подготовленные пользователем.

В задаче поиска IOC можно указать только файл с IOC-правилами. Файлы с другими типами правил не поддерживаются в рамках задачи поиска IOC.

Чтобы создать и настроить стандартную задачу поиска IOC через интерфейс командной строки:

1. На устройстве запустите интерпретатор командной строки (например, Command Prompt cmd.exe) с правами учетной записи локального администратора.
2. С помощью команды cd перейдите в папку, где находится файл agent.exe.

   Например, введите команду cd "C:\Program Files (x86)\Kaspersky Lab\Endpoint Agent\" и нажмите на клавишу ENTER.

3. Выполните следующую команду и нажмите на клавишу Enter:

   agent.exe --scan-ioc {[--path=<путь к папке с IOC-файлами>] | [<полный путь к IOC-файлу>]} [--process=no] [--hint=<полный путь к исполняемому файлу процесса|полный путь к файлу>] [--registry=no] [--dnsentry=no] [--arpentry=no] [--ports=no] [–services=no] [--system=no] [--users=no] [--volumes=no] [--eventlog=no] [--datetime=<дата публикации события>] [--channels=<список каналов>] [--files=no] [--network=no] [--url=no] [--drives=<all|system|critical|custom>] [--excludes=<список исключений>][--scope=<настраиваемый список папок>] [--retro]

   Если команда --scan-ioc передана только с обязательными параметрами, Kaspersky Endpoint Agent выполняет проверку с параметрами по умолчанию.

   Если команда --scan-ioc передана с двумя обязательными параметрами одновременно (--path=<путь к папке с IOC-файлами> и <полный путь к IOC-файлу>), Kaspersky Endpoint Agent выполняет проверку всех переданных IOC-файлов.

   Параметры команд при запуске и настройке стандартных задач поиска IOC

   Параметры	Описание
   --scan-ioc	Обязательный параметр. Запускает стандартную задачу поиска IOC на устройстве.
   --path=<путь к папке с IOC-файлами>	Путь к папке с IOC-файлами, по которым требуется выполнять поиск. Обязательный параметр, если не задан параметр <полный путь к IOC-файлу>.
   <полный путь к IOC-файлу>	Полный путь к IOC-файлу с расширением ioc или xml, по которому требуется выполнять поиск. Обязательный параметр, если не задан параметр --path=<путь к папке с IOC-файлами>. Передается без аргумента --path.
   --process=<no>	Необязательный параметр. Параметр выключает анализ данных о процессах при проверке. Если параметр передан со значением <no>, Kaspersky Endpoint Agent не учитывает запущенные на устройстве процессы при выполнении проверки. Если в IOC-файле указаны IOC-термины IOC-документа ProcessItem, они игнорируются (определяются как отсутствие совпадения). Если параметр не передан, Kaspersky Endpoint Agent проверяет данные о процессах, только если IOC-документ ProcessItem описан в переданном на проверку IOC-файле.
   --hint=<полный путь к исполняемому файлу процесса|полный путь к файлу>	Необязательный параметр. Параметр позволяет сузить область анализируемых данных для проверки IOC-документов ProcessItem и FileItem, путем указания конкретного файла. В качестве значения параметра может быть задан: <полный путь к исполняемому файлу процесса (ProcessItem)> – ProcessItem <полный путь к файлу> – FileItem Параметр может быть передан только совместно с аргументами --process=yes и --files=yes.
   --dnsentry=no	Необязательный параметр. Параметр выключает анализ данных о записях в локальном кеше DNS (IOC-документ DnsEntryItem) при поиске IOC. Если параметр передан со значением <no>, Kaspersky Endpoint Agent не проверяет локальный кеш DNS. Если в IOC-файле указаны термины IOC-документа DnsEntryItem, они игнорируются (определяются как отсутствие совпадения). Если параметр не передан, Kaspersky Endpoint Agent проверяет локальный кеш DNS, только если IOC-документ DnsEntryItem описан в переданном на проверку IOC-файле.
   --arpentry=no	Необязательный параметр. Параметр выключает анализ данных о записях в ARP-таблице (документ ArpEntryItem) при поиске IOC. Если параметр передан со значением <no>, Kaspersky Endpoint Agent не проверяет таблицу ARP. Если в IOC-файле указаны термины IOC-документа ArpEntryItem, они игнорируются (определяются как отсутствие совпадения). Если параметр не передан, Kaspersky Endpoint Agent проверяет ARP-таблицу, только если IOC-документ ArpEntryItem описан в переданном на проверку IOC-файле.
   --ports=no	Необязательный параметр. Параметр выключает анализ данных о портах, открытых на прослушивание (документ PortItem) при поиске IOC. Если параметр передан со значением <no>, Kaspersky Endpoint Agent не проверяет таблицу активных соединений на устройстве. Если в IOC-файле указаны термины IOC-документа PortItem, они игнорируются (определяются как отсутствие совпадения). Если параметр не передан, Kaspersky Endpoint Agent проверяет таблицу активных соединений, только если IOC-документ PortItem описан в переданном на проверку IOC-файле.
   --services=no	Необязательный параметр. Параметр выключает анализ данных о службах, установленных на устройстве (документ ServiceItem) при поиске IOC. Если параметр передан со значением <no>, Kaspersky Endpoint Agent не проверяет данные о службах, установленных на устройстве. Если в IOC-файле указаны термины IOC-документа ServiceItem, они игнорируются (определяются как отсутствие совпадения). Если параметр не передан, Kaspersky Endpoint Agent проверяет данные о службах, только если IOC-документ ServiceItem описан в переданном на проверку IOC-файле.
   --volumes=no	Необязательный параметр. Параметр выключает анализ данных о томах (документ VolumeItem) при поиске IOC. Если параметр передан со значением <no>, Kaspersky Endpoint Agent не проверяет данные о томах на устройстве. Если в IOC-файле указаны термины IOC-документа VolumeItem, они игнорируются (определяются как отсутствие совпадения). Если параметр не передан, Kaspersky Endpoint Agent проверяет данные о томах, только если IOC-документ VolumeItem описан в переданном на проверку IOC-файле.
   --eventlog=no	Необязательный параметр. Параметр выключает анализ данных о записях в журнале событий Windows (документ EventLogItem) при поиске IOC. Если параметр передан со значением <no>, Kaspersky Endpoint Agent не проверяет записи в журнале событий Windows. Если в IOC-файле указаны термины IOC-документа EventLogItem, они игнорируются (определяются как отсутствие совпадения). Если параметр не передан, Kaspersky Endpoint Agent проверяет записи в журнале событий Windows, только если IOC-документ EventLogItem описан в переданном на проверку IOC-файле.
   --datetime=<дата публикации события>	Необязательный параметр. Параметр позволяет включать и выключать учет даты публикации события в журнале событий Windows при определении области поиска IOC для соответствующего IOC-документа. При поиске IOC Kaspersky Endpoint Agent будет обрабатывать только события, опубликованные в период с указанного времени и даты и до момента выполнения задачи. В качестве значения параметра Kaspersky Endpoint Agent позволяет задать дату публикации события. Проверка будет выполняться только для событий, опубликованных в журнале событий Windows после указанной даты и до момента выполнения проверки. Если параметр не передан, Kaspersky Endpoint Agent проверяет события с любой датой публикации. Параметр TaskSettings::BaseSettings::EventLogItem::datetime недоступен для редактирования. Параметр используется, только если IOC-документ EventLogItem описан в переданном на проверку IOC-файле.
   --channel=<список каналов>	Необязательный параметр. Параметр позволяет передать список имен каналов (журналов), для которых требуется выполнить поиск IOC. Если этот параметр передан, при выполнении задачи поиска IOC Kaspersky Endpoint Agent будет учитывать только события, опубликованные в указанных журналах. Имя журнала задается в формате строки, в соответствии с именем журнала (канала), указанного в свойствах этого журнала (параметр Full Name) или в свойствах события (параметр <Channel></Channel> в xml-схеме события). По умолчанию (в том числе, если параметр не передан) поиск IOC выполняется для каналов Application, System, Security. Параметру может быть передано несколько значений (через пробел). Параметр используется только в том случае, если IOC-документ EventLogItem описан в переданном на проверку IOC.
   --system=no	Необязательный параметр. Параметр выключает анализ данных об окружении (IOC-документ SystemInfoItem) при поиске IOC. Если параметр передан со значением <no>, Kaspersky Endpoint Agent не анализирует данные об окружении. Если в IOC-файле указаны термины IOC-документа SystemInfoItem, они игнорируются (определяются как отсутствие совпадения). Если параметр не передан, Kaspersky Endpoint Agent анализирует данные об окружении, только если IOC-документ SystemInfoItem описан в переданном на проверку IOC-файле.
   --users=no	Необязательный параметр. Параметр выключает анализ данных о пользователях (IOC-документ UserItem) при поиске IOC. Если параметр передан со значением <no>, Kaspersky Endpoint Agent не анализирует данные о пользователях, созданных в системе. Если в IOC-файле указаны термины IOC-документа UserItem, они игнорируются (определяются как отсутствие совпадения). Если параметр не передан, Kaspersky Endpoint Agent анализирует данные о пользователях, созданных в системе, только если IOC-документ UserItem описан в переданном на проверку IOC-файле.
   --files=no	Необязательный параметр. Параметр выключает анализ данных о файлах (IOC-документ FileItem) при поиске IOC. Если параметр передан со значением <no>, Kaspersky Endpoint Agent не анализирует данные о файлах. Если в IOC-файле указаны термины IOC-документа FileItem, они игнорируются (определяются как отсутствие совпадения). Если параметр не передан, Kaspersky Endpoint Agent анализирует данные о файлах, только если IOC-документ FileItem описан в переданном на проверку IOC-файле.
   --network=no	Необязательный параметр. Параметр включает поиск угроз на основе IOC-документа Network при поиске IOC. Если параметр передан со значением <no>, Kaspersky Endpoint Agent не выполняет поиск угроз на основе IOC-документа Network. Если в IOC-файле указаны термины IOC-документа Network, они игнорируются (определяются как отсутствие совпадения). Если параметр не передан, Kaspersky Endpoint Agent включает поиск угроз на основе IOC-документа Network, только если IOC-документ Network описан в переданном на проверку IOC-файле.
   --url=no	Необязательный параметр. Параметр включает поиск угроз на основе IOC-документа UrlHistoryItem при поиске IOC. Если параметр передан со значением <no>, Kaspersky Endpoint Agent не выполняет поиск угроз на основе IOC-документа UrlHistoryItem. Если в IOC-файле указаны термины IOC-документа UrlHistoryItem, они игнорируются (определяются как отсутствие совпадения). Если параметр не передан, Kaspersky Endpoint Agent включает поиск угроз на основе IOC-документа UrlHistoryItem, только если IOC-документ UrlHistoryItem описан в переданном на проверку IOC-файле.
   --drives=<all|system|critical|custom>	Необязательный параметр. Параметр позволяет задать область поиска IOC при анализе данных для IOC-документа FileItem. Можно задать одно из следующих значений параметра: <all> – программа проверяет все доступные файловые области. <system> – программа проверяет только файлы, расположенные в папках, в которых установлена ОС. <critical> – программа проверяет только временные файлы в пользовательских и системных папках. <custom> – программа проверяет только файлы в указанных пользователем областях. Если параметр не передан, проверка выполняется в критических областях.
   --excludes=<список исключений>	Необязательный параметр. Параметр позволяет задать области исключений при анализе данных для IOC-документа FileItem. В параметре можно передать несколько путей через пробел. Если параметр не передан, проверка выполняется без исключений.
   --scope=<настраиваемый список папок>	Необязательный параметр. Параметр становится обязательным, если передан параметр --drives=custom. Параметр позволяет задать список областей проверки. В параметре можно передать несколько путей через пробел.
   --retro	Необязательный параметр. Параметр передается для запуска задачи в режиме Ретроспективный поиск IOC Ретроспективный поиск IOC - это режим работы задачи Поиск IOC, при котором Kaspersky Endpoint Agent выполняет поиск индикаторов компрометации IOC (Indicator of Compromise, индикатор компрометации) – это набор данных о вредоносном объекте или действии. по данным, полученным за указанный пользователем интервал времени. Режим предназначен для поиска индикаторов компрометации по данным сетевой активности защищаемых устройств. Kaspersky Endpoint Agent анализирует данные в журналах операционной системы и браузеров на устройствах. Режим Ретроспективный поиск IOC доступен только для Стандартных задач поиска IOC. . Дополнительно с этим параметром можно передать временной интервал, в рамках которого программа должна выполнять ретроспективный поиск IOC при помощи параметров: --start-time=<дата и время начала интервала> --end-time=<время окончания интервала> Пример: agent.exe --scan-ioc --path=<путь к папке с IOC-файлами> --retro --start-time=2021-05-21T10:30:00Z --end-time=2021-05-24T10:30:00Z Если временной интервал не передан, то используется интервал, начинающийся за сутки от момента запуска задачи и заканчивающийся датой и временем в момент запуска задачи.

Коды возврата команды --scan-ioc:

• -1 – команда не поддерживается версией Kaspersky Endpoint Agent, которая установлена на устройстве.
• 0 – команда выполнена успешно.
• 1 – команде не передан обязательный аргумент.
• 2 – общая ошибка.
• 4 – синтаксическая ошибка.

Если команда была выполнена успешно (код 0) и в процессе выполнения были обнаружены индикаторы компрометации, Kaspersky Endpoint Agent выводит в командную строку следующие данные о результатах выполнения задачи:

Данные, которые программа выводит в командную строку при обнаружении IOC

Управление сканированием файлов и процессов по YARA-правилам

Здесь приведена информация для Kaspersky Endpoint Agent для Windows. Эта информация может быть частично или полностью неприменима к Kaspersky Endpoint Agent для Linux. Полную информацию о Kaspersky Endpoint Agent для Linux смотрите в справке решения, в составе которого вы используете программу: Kaspersky Anti Targeted Attack Platform или Kaspersky Managed Detection and Response.

Сканирование YARA представляет собой процессы, которые вы можете создавать и настраивать вручную через интерфейс командной строки. Для запуска сканирования используются

YARA-файлы

YARA-файлы – это файлы с расширением yara или yar, которые содержат YARA-правила.

YARA-правила представляют собой описание сигнатур целевых атак и вторжений в IT-инфраструктуру организации. По этим правилам Kaspersky Endpoint Agent производит проверку объектов. Если правило выполняется, анализатор выносит заключение о заражении с соответствующими подробностями в журнале.

YARA-файлы – это файлы с расширением yara или yar, которые содержат YARA-правила.

YARA-правила представляют собой описание сигнатур целевых атак и вторжений в IT-инфраструктуру организации. По этим правилам Kaspersky Endpoint Agent производит проверку объектов. Если правило выполняется, анализатор выносит заключение о заражении с соответствующими подробностями в журнале.

В задаче сканирования YARA можно указать только файл с YARA-правилами. Файлы с другими типами правил не поддерживаются в рамках задачи сканирования YARA.

Чтобы запустить сканирование YARA через интерфейс командной строки:

1. На устройстве запустите интерпретатор командной строки (например, Command Prompt cmd.exe) с правами учетной записи локального администратора.
2. С помощью команды cd перейдите в папку, где находится файл agent.exe.

   Например, вы можете ввести команду cd "C:\Program Files (x86)\Kaspersky Lab\Endpoint Agent\" и нажать на клавишу Enter.

3. Выполните следующую команду и нажмите на клавишу Enter:

   agent.exe --scan-yara [<путь к yara-файлу>] [--path=<путь к папке с yara-правилами>] [--fast-scan] [--tag-hint=<тег правила>] [--id-hint=<идентификатор правила>] [--max-rules=<максимальное количество правил сканирования>] [--timeout=<остановка сканирования по истечении указанного времени в секундах>] [--recursive] [--scan_folders [<список папок для сканирования>] [--scan-memory] [--scan-process <имя процесса>][--max-size=<размер файла в байтах>] [--excludes <список объектов для сканирования>] [--includes <список объектов для сканирования>]

   Если команда --scan-yara передана только с обязательными параметрами, Kaspersky Endpoint Agent выполняет проверку с параметрами по умолчанию.
   

Описание параметров сканирования представлено в следующей таблице.

Параметры команд при запуске и настройке сканирования YARA

Параметры	Описание
--scan-yara [<полный путь к yara-файлу>]	Обязательный параметр. Запускает сканирование YARA на устройстве. Проверка выполняется по правилам из YARA-файлов с расширением yara или yar. Параметру может быть передано несколько значений через пробел. Хотя бы одно значение <полный путь к yara-файлу> должен быть указано, если не задан параметр --path. Если в дополнение к аргументам параметра --scan-yara также задан параметр --path, при сканировании используются как указанные в аргументах файлы с YARA-правилами, так и файлы из папки параметра --path.
--path=<путь к папке с yara-файлами>	Путь к папке с YARA-файлами, по которым требуется выполнять поиск. Обязательный параметр, если не задан параметр <полный путь к yara-файлу>.
--fast-scan	Необязательный параметр. Параметр запускает проверку в режиме быстрого сканирования. Для каждого объекта сканирования в журнале фиксируется одно вхождение обнаруженного маркера, при этом дубликаты обнаруженных маркеров не отображаются в журнале. Использование данного параметра позволяет сократить время проверки больших файлов. Если параметр не передан, выполняется стандартная проверка и дубликаты обнаруженных маркеров отображаются в журнале.
--tag-hint=<тег правила>	Необязательный параметр. Параметр позволяет учитывать при сканировании только правила с указанным тегом. Можно указать только одно значение параметра. Правила без тегов или с другими тегами, помимо указанных в параметре, игнорируются при сканировании. Если параметр не передан, при сканировании учитываются все правила.
--id-hint=<идентификатор правила>	Необязательный параметр. Параметр позволяет учитывать при сканировании только правила с указанным идентификатором. Можно указать только одно значение параметра. Правила без идентификаторов или с другими идентификаторами, помимо указанных в параметре, игнорируются при сканировании. Если параметр не передан, при сканировании учитываются все правила.
--max-rules=<максимальное количество правил сканирования>	Необязательный параметр. Параметр задаёт лимит уникальных сработавших правил обнаружения, при превышении которого проверка прекращается. Если значение параметра не задано или равно 0, проверка выполняется без ограничений.
--timeout=<остановка сканирования по истечении указанного времени в секундах>	Необязательный параметр. Параметр указывает продолжительность проверки в секундах. По истечении указанного времени проверка будет остановлена. Если значение параметра не задано или равно 0, проверка выполняется без ограничений.
--recursive	Необязательный параметр. Параметр запускает рекурсивную проверку вложенных папок в рамках значения [<список папок для сканирования>].
--scan_folders [< Дополнительно в параметрах --scan-folders, --excludes, --includes в качестве аргументов можно указывать ссылки на файлы аргументов с префиксом "@". Файлы аргументов - это текстовые файлы в кодировке UTF-8, которые содержат списки объектов для обработки с использованием соответствующего параметра в командной строке. Пример: Файл my_rules.txt содержит две строки: c:\trusted\*.* *.abc Файл rules2.txt содержит одну строку: img_*.jpg В случае запуска сканирования с параметрами вида "--scan-folders --exclude *.txt @my_rules.txt *.xml @rules2.txt" будет проведено сканирование всех файлов на всех дисках, за исключением файлов с расширениями "txt", файлов в папке "c:\trusted", файлов с расширением "abc", файлов с расширением "xml" и файлов по маске "img_*.jpg". список папок для сканирования>]	Необязательный параметр. Параметр запускает сканирование файлов по указанному списку папок. Если значение параметра <список папок для сканирования> не задано, сканирование производится рекурсивно на всех локальных дисках, кроме сетевых, облачных и подключаемых.
--scan-memory	Необязательный параметр. Параметр запускает сканирование памяти всех запущенных процессов.
--scan-process <имя процесса>	Необязательный параметр. Параметр запускает сканирование памяти только для указанных процессов. Для значения <имя процесса> поддерживаются стандартные маски "?" и "*".
--max-size=<размер файла в байтах>	Необязательный параметр. Сканирование выполняется только для тех файлов, размер которых не превышает заданное значение. Файлы большего размера пропускаются при сканировании.
--includes <список объектов для сканирования>	Необязательный параметр. Параметр позволяет ограничить область сканирования. Можно задать несколько значений параметра через пробел. Доступные значения: имя файла; путь к файлу; маска имени файла; маска пути к файлу. Передается с параметром --scan-folders. Пример: --scan-folders c:\*.* --recursive --includes *.exe c:\temp\*.* *.dll – сканирование будет проведено для всех файлов с расширениями "exe" и "dll" на диске С:, а также будут просканированы рекурсивно все файлы в папке c:\temp
--excludes <список объектов для сканирования>	Необязательный параметр. Параметр исключает указанные файлы или папки из сканирования. Можно задать несколько значений параметра через пробел. Доступные значения: имя файла; путь к файлу; маска имени файла; маска пути к файлу. Передается с параметром --scan-folders. Пример: --scan-folders c:\*.* --excludes readme.txt c:\trusted\*.* *.xml – при сканировании будут пропущены файлы readme.txt, все файлы из папки c:\trusted, а также все файлы с расширением xml в корневой папке на диске C:.

Коды возврата команды --scan-yara:

• -1 – команда не поддерживается версией Kaspersky Endpoint Agent, которая установлена на устройстве.
• 0 – команда выполнена успешно.
• 1 – команде не передан обязательный аргумент.
• 2 – общая ошибка.
• 4 – синтаксическая ошибка.
• 5 – не найден один или несколько файлов с YARA-правилами из указанных в значении параметра.
  

Если команда была выполнена успешно (код 0) и в процессе выполнения были обнаружены индикаторы компрометации, Kaspersky Endpoint Agent выводит в командную строку результаты сканирования. Описание результатов сканирования представлено в следующей таблице:

Данные, которые программа выводит в командную строку при обнаружении сигнатур YARA.

Управление сканированием объектов точек автозапуска по YARA-правилам

Здесь приведена информация для Kaspersky Endpoint Agent для Windows. Эта информация может быть частично или полностью неприменима к Kaspersky Endpoint Agent для Linux. Полную информацию о Kaspersky Endpoint Agent для Linux смотрите в справке решения, в составе которого вы используете программу: Kaspersky Anti Targeted Attack Platform или Kaspersky Managed Detection and Response.

Сканирование YARA для

В задаче сканирования YARA для объектов точек автозапуска можно указать только файл с YARA-правилами. Файлы с другими типами правил не поддерживаются в рамках задачи сканирования YARA.

По умолчанию сканирование объектов по правилам YARA осуществляется для следующих типов точек автозапуска:

• Logon
• Run
• Explorer
• Shell
• Office
• Internet Explorer
• Tasks
• Services
• Drivers
• Telephony
• Cryptography
• Debuggers
• COM
• Session Manager
• Network
• LSA
• Applications
• Codecs
• Shellex
• Unspecified

Чтобы запустить сканирование YARA для точек автозапуска через интерфейс командной строки:

1. На устройстве запустите интерпретатор командной строки (например, Command Prompt cmd.exe) с правами учетной записи локального администратора.
2. С помощью команды cd перейдите в папку, где находится файл agent.exe.

   Например, вы можете ввести команду cd "C:\Program Files (x86)\Kaspersky Lab\Endpoint Agent\" и нажать на клавишу Enter.

3. Выполните следующую команду и нажмите на клавишу Enter:

   agent.exe --scan-yara [<путь к yara-файлу>] [--path=<путь к папке с yara-правилами>] --scan-autoruns=yes [--fast-scan] [--tag-hint=<тег правила>] [--id-hint=<идентификатор правила>] [--max-rules=<максимальное количество правил сканирования>] [--timeout=<остановка сканирования по истечении указанного времени в секундах>] [--max-size=<размер файла в байтах>] [--exclude-autoruns=COM]

   Если команда --scan-yara --scan-autoruns передана только с обязательными параметрами, Kaspersky Endpoint Agent выполняет проверку с параметрами по умолчанию.

Описание параметров сканирования представлено в следующей таблице.

Параметры команд при запуске и настройке сканирования YARA

Коды возврата команды --scan-yara:

• -1 – команда не поддерживается версией Kaspersky Endpoint Agent, которая установлена на устройстве.
• 0 – команда выполнена успешно.
• 1 – команде не передан обязательный аргумент.
• 2 – общая ошибка.
• 4 – синтаксическая ошибка.
• 5 – не найден один или несколько файлов с YARA-правилами из указанных в значении параметра.
  

Если команда была выполнена успешно (код 0) и в процессе выполнения были обнаружены индикаторы компрометации, Kaspersky Endpoint Agent выводит в командную строку результаты сканирования. Описание результатов сканирования представлено в следующей таблице:

Данные, которые программа выводит в командную строку при обнаружении сигнатур YARA.

Создание дампа памяти

В разделе приведена инструкция для Kaspersky Endpoint Agent для Windows. Эта инструкция может быть частично или полностью неприменима к Kaspersky Endpoint Agent для Linux. Актуальную инструкцию для Kaspersky Endpoint Agent для Linux смотрите в справке решения, в составе которого вы используете программу: Kaspersky Anti Targeted Attack Platform или Kaspersky Managed Detection and Response.

Вы можете создать дамп памяти компьютера, на котором установлена программа Kaspersky Endpoint Agent.

Перед созданием дампа памяти рекомендуем завершить процессы критически важных программ. После создания дампа памяти рекомендуем перезагрузить компьютер, для которого создан дамп памяти.

Чтобы создать дамп памяти через интерфейс командной строки Kaspersky Endpoint Agent:

1. На устройстве запустите интерпретатор командной строки (например, Command Prompt cmd.exe) с правами учетной записи локального администратора.
2. С помощью команды cd перейдите в папку, где находится файл agent.exe.

   Например, введите команду cd "C:\Program Files (x86)\Kaspersky Lab\Endpoint Agent\" и нажмите на клавишу ENTER.

3. Введите команду:

   agent.exe --memory-dump --path=<путь к локальной или сетевой папке, в которой вы хотите сохранить дамп памяти> [--user=<имя пользователя> --pwd=<пароль>].

   Имя пользователя и пароль необходимы, если доступ к папке для сохранения дампа памяти защищен паролем.

   Убедитесь, что папка для сохранения дампа памяти, доступна для записи. Иначе файл дампа не будет создан.

4. Нажмите на клавишу ENTER.

   В указанной папке Kaspersky Endpoint Agent создаст файл дампа памяти с названием MemoryDump_<имя хоста>_<дата и время старта записи файла>.dmp.

   Параметры команды для создания дампа памяти

   Параметр	Описание
   --path	Обязательный параметр. Параметр передает полный путь к локальной или сетевой папке, в которую программа сохраняет дамп памяти. Имя сетевой папки должно быть указано в UNC-формате.
   --user	Параметр передает логин для доступа к папке, указанной с помощью параметра --path. Если параметр не задан, для создания дампа памяти необходим доступ к папке для учетной записи SYSTEM.
   --pwd	Параметр передает пароль для доступа к папке, указанной с помощью параметра --path. Если параметр не задан, для создания дампа памяти необходим доступ к папке для учетной записи SYSTEM.

Коды возврата команды --memory-dump:

• -1 – команда не поддерживается.
• 0 – команда выполнена успешно.
• 1 – команде не передан обязательный аргумент.
• 2 – общая ошибка.
• 4 – синтаксическая ошибка.

Kaspersky Endpoint Agent не выполняет шифрование и сжатие файла дампа памяти. Если необходимо, вы можете настроить шифрование и сжатие папки для сохранения дампа памяти с помощью сторонних инструментов.

Чтобы Kaspersky Endpoint Agent мог сохранять файл дампа памяти в сетевую папку в зашифрованном виде, требуется настроить использование SMB-протокола версии 3 или выше.

Создание дампа диска

В разделе приведена инструкция для Kaspersky Endpoint Agent для Windows. Эта инструкция может быть частично или полностью неприменима к Kaspersky Endpoint Agent для Linux. Актуальную инструкцию для Kaspersky Endpoint Agent для Linux смотрите в справке решения, в составе которого вы используете программу: Kaspersky Anti Targeted Attack Platform или Kaspersky Managed Detection and Response.

Вы можете создать дамп физического или логического диска компьютера, на котором установлена программа Kaspersky Endpoint Agent.

Чтобы создать дамп диска через интерфейс командной строки Kaspersky Endpoint Agent:

1. На устройстве запустите интерпретатор командной строки (например, Command Prompt cmd.exe) с правами учетной записи локального администратора.
2. С помощью команды cd перейдите в папку, где находится файл agent.exe.

   Например, введите команду cd "C:\Program Files (x86)\Kaspersky Lab\Endpoint Agent\" и нажмите на клавишу ENTER.

   Введите команду:

   agent.exe --disk-image --volume=<имя диска> [--format=<формат файла, RAW или EWF>] [--max-size=<размер в байтах>] [--segment-size=<размер в байтах>] --path=<путь к локальной или сетевой папке, в которой вы хотите сохранить дамп диска> [--user=<имя пользователя> --pwd=<пароль>]

   Имя пользователя и пароль необходимы, если доступ к папке для сохранения дампа диска защищен паролем.

   Убедитесь, что папка для сохранения дампа диска, доступна для записи. Иначе файл дампа не будет создан.

3. Нажмите на клавишу ENTER.

   В указанной папке Kaspersky Endpoint Agent создаст файл дампа диска с названием в формате <имя диска>_<дата и время старта записи файла>.<расширение>.

   Расширение файла дампа диска может быть следующим:

   • Если в команде для создания дампа диска указан формат RAW (--format=RAW):
     • если дамп диска не разделен (не задан параметр --segment-size), то файл дампа диска имеет расширение raw;
     • если дамп диска разделен (задан параметр --segment-size), то части дампа имеют расширение 001, 002, 003 и далее по порядку до 999.
   • Если в команде для создания дампа диска указан формат EWF (--format=EWF):
     • если дамп диска не разделен (не задан параметр --segment-size), то файл дампа диска имеет расширение E01;
     • если дамп диска разделен (задан параметр --segment-size), то части дампа имеют расширение E01, E02, ..., E99; EAA, EAB, ..., EAZ; FAA, FAB, ..., FZZ, <...>; ZAA, ZAB, ..., ZZZ.

   Параметры команды для создания дампа диска

   Параметр	Описание
   --volume	Обязательный параметр. Параметр передает номер физического диска или имя логического диска, для которого будет создан дамп. Формат номера физического диска: \??\PHYSICALDRIVEN или PHYSICALDRIVEN, где N – порядковый номер диска. Например: \??\PHYSICALDRIVE0, PHYSICALDRIVE1. Формат имени логического диска: N:, где N – буквенное обозначение логического диска. Например, С:. Если вы создаете дамп для логического диска, с которого осуществляется загрузка операционной системы, в качестве имени диска используйте переменную %SystemDrive%.
   --format	Параметр передает формат файла с дампом диска. Возможные значения: RAW или EWF. Если параметр не задан, программа создает дамп диска в формате RAW.
   --max-size	Параметр передает максимальное допустимое значение размера дампа диска в байтах. Если параметр не задан, программа создает дамп диска с максимальным размером 1 099 511 627 776 байт.
   --segment-size	Параметр передает максимальное значение размера частей дампа диска в байтах. При этом минимальный размер частей дампа должен быть больше 33 554 432 байт. Если параметр задан, программа разбивает дамп диска на части указанного размера и архивирует их. Размер архивированных частей дампа меньше указаного с помощью параметра значения. Если параметр не задан, программа не производит разбиение дампа диска на части.
   --path	Обязательный параметр. Параметр передает полный путь к локальной или сетевой папке, в которую программа сохраняет дамп диска. Имя сетевой папки должно быть указано в UNC-формате.
   --user	Параметр передает логин для доступа к папке, указанной с помощью параметра --path. Если параметр не задан, для создания дампа диска необходим доступ к папке для учетной записи SYSTEM.
   --pwd	Параметр передает пароль для доступа к папке, указанной с помощью параметра --path. Если параметр не задан, для создания дампа диска необходим доступ к папке для учетной записи SYSTEM.

Коды возврата команды --memory-dump:

• -1 – команда не поддерживается.
• 0 – команда выполнена успешно.
• 1 – команде не передан обязательный аргумент.
• 2 – общая ошибка.
• 4 – синтаксическая ошибка.

Kaspersky Endpoint Agent не выполняет шифрование и сжатие файла дампа памяти. Если необходимо, вы можете настроить шифрование и сжатие папки для сохранения дампа памяти с помощью сторонних инструментов.

Чтобы Kaspersky Endpoint Agent мог сохранять файл дампа памяти в сетевую папку в зашифрованном виде, требуется настроить использование SMB-протокола версии 3 или выше.