Управление задачами Kaspersky Endpoint Agent

В этом разделе приведены инструкции по управлению задачами Kaspersky Endpoint Agent.

Создание задач

В разделе приведена инструкция для Kaspersky Endpoint Agent для Windows. Эта инструкция может быть частично или полностью неприменима к Kaspersky Endpoint Agent для Linux. Актуальную инструкцию для Kaspersky Endpoint Agent для Linux смотрите в справке решения, в составе которого вы используете программу: Kaspersky Anti Targeted Attack Platform или Kaspersky Managed Detection and Response.

Чтобы создать задачу:

1. В главном окне Kaspersky Security Center Web Console перейдите в раздел Устройства → Задачи.
2. Нажмите на кнопку Добавить.

   Запустится мастер создания задачи.

3. В раскрывающемся списке Программа выберите Kaspersky Endpoint Agent.
4. В раскрывающемся списке Тип задачи выберите нужный тип задачи и следуйте дальнейшим шагам мастера.
5. Чтобы изменить заданные по умолчанию значения параметров задачи сразу после ее создания, установите флажок Открыть окно свойств задачи после ее создания на странице Завершение создания задачи.

   Если вы не установите этот флажок, задача будет создана с заданными по умолчанию значениями параметров, которые вы можете изменить позже в любое время для каждого из следующих типов задач:

   • Активация программы
   • Поиск IOC
   • Аудит безопасности
   • Удалить файл
   • Поместить файл на карантин
   • Завершить процесс
   • Запустить процесс
   • Обновление баз и модулей программы
6. Нажмите на кнопку Готово.

Задача будет создана и отобразится в списке задач.

Вы можете запускать созданную задачу вручную или настроить автоматический запуск задачи по расписанию.

Просмотр списка задач

Чтобы просмотреть список задач,

в главном окне веб-консоли перейдите в раздел Устройства → Задачи.

Отобразится список задач. Задачи сгруппированы по названиям программ, к которым они относятся.

Удаление задач из списка

Чтобы удалить задачи из списка задач на сервере Kaspersky Security Center:

1. В главном окне Kaspersky Security Center Web Console перейдите в раздел Устройства → Задачи.

   Отобразится список задач.

2. В отобразившемся списке задач установите флажки напротив задач, которые вы хотите удалить.
3. Нажмите на кнопку Удалить.

   Откроется окно подтверждения действия.

4. Нажмите на кнопку Да.

Выбранные задачи будут удалены из списка.

Настройка расписания запуска задач

В разделе приведена инструкция для Kaspersky Endpoint Agent для Windows. Эта инструкция может быть частично или полностью неприменима к Kaspersky Endpoint Agent для Linux. Актуальную инструкцию для Kaspersky Endpoint Agent для Linux смотрите в справке решения, в составе которого вы используете программу: Kaspersky Anti Targeted Attack Platform или Kaspersky Managed Detection and Response.

Чтобы настроить запуск задачи по расписанию:

1. В главном окне Kaspersky Security Center Web Console перейдите в раздел Устройства → Задачи.
2. Чтобы открыть окно настройки параметров задачи, нажмите на имя задачи.
3. На закладке Расписание в разделе Общие переведите переключатель из положения Расписание выключено в положение Запускать по расписанию.
4. В раскрывающемся списке Периодичность выберите один из следующих вариантов: В указанное время, Каждый час, Каждый день, Каждую неделю или При запуске программы.
5. Если вы выбрали запуск задачи В указанное время, укажите время и дату запуска задачи.
6. Если вы выбрали запуск задачи Каждый час, Каждый день или Каждую неделю, настройте параметры запуска задачи:
   1. В поле Каждый задайте периодичность запуска задачи. Например, 1 раз в день или 2 раза в неделю по вторникам и четвергам.
   2. В полях Время запуска и Дата запуска задайте время и дату начала действия расписания.
7. Чтобы выполнить расширенную настройку расписания, выберите раздел Дополнительно и выполните следующие действия:
   1. Если вы хотите задать максимальное время ожидания выполнения задачи, установите флажок Завершать задачу, выполняющуюся более и укажите, через сколько часов и минут задача будет автоматически завершаться.
   2. Если вы хотите, чтобы расписание запуска задачи действовало до определенной даты, установите флажок Отменить расписание с и укажите дату окончания действия расписания.
   3. Если вы хотите, чтобы программа при первой возможности запускала задачи, не выполненные вовремя, установите флажок Запускать пропущенные задачи.
   4. Если вы хотите избежать одновременного обращения большого количества устройств к Серверу администрирования и запускать задачу на устройствах не точно по расписанию, а случайным образом в течение определенного интервала времени, установите флажок Распределять время запуска задач в интервале и задайте интервал запуска в минутах.
8. Нажмите на кнопку Сохранить.

Запуск задач вручную

Программа запускает задачи в соответствии с расписанием, заданным в свойствах каждой задачи. Вы можете запустить задачу вручную в любое время.

Чтобы запустить задачу вручную:

1. В главном окне Kaspersky Security Center Web Console перейдите в раздел Устройства → Задачи.
2. В отобразившемся списке задач установите флажок напротив задачи, которую вы хотите запустить.
3. Нажмите на кнопку Запустить.

Задача будет запущена. Вы можете проверить статус задачи в графе Статус или нажав на кнопку Результат выполнения.

Создание задач активации Kaspersky Endpoint Agent

В разделе приведена инструкция для Kaspersky Endpoint Agent для Windows. Эта инструкция может быть частично или полностью неприменима к Kaspersky Endpoint Agent для Linux. Актуальную инструкцию для Kaspersky Endpoint Agent для Linux смотрите в справке решения, в составе которого вы используете программу: Kaspersky Anti Targeted Attack Platform или Kaspersky Managed Detection and Response.

Вы можете активировать Kaspersky Endpoint Agent с помощью лицензионного ключа из хранилища ключей Kaspersky Security Center. Подробную информацию об управлении лицензионными ключами с помощью Kaspersky Security Center см. в Справке Kaspersky Security Center.

Чтобы создать задачу активации Kaspersky Endpoint Agent:

1. В главном окне Kaspersky Security Center Web Console перейдите в раздел Устройства → Задачи.
2. Нажмите на кнопку Добавить.

   Запустится мастер создания задачи.

3. В раскрывающемся списке Программа выберите Kaspersky Endpoint Agent.
4. В раскрывающемся списке Тип задачи выберите Активация программы.
5. В поле Название задачи задайте отображаемое имя задачи.
6. Если вы хотите создать задачу для устройств определенной группы Сервера администрирования, выполните следующие действия:
   1. В блоке параметров Выбор устройств, которым будет назначена задача выберите Группа устройств и нажмите Далее.
   2. Выберите нужную группу Сервера администрирования и нажмите Далее.
7. Если вы хотите создать задачу для определенных устройств по диапазону IP-адресов, NetBIOS-именам, DNS-именам или выбрать из списка устройств, обнаруженных в сети Сервером администрирования, выполните следующие действия:
   1. В блоке параметров Выбор устройств, которым будет назначена задача выберите Выбранные устройства или импортируемые устройства из списка и нажмите Далее.
   2. Добавьте в список устройства по нужным критериям и нажмите Далее.
8. Если вы хотите создать задачу для устройств из определенной выборки, выполните следующие действия:
   1. В блоке параметров Выбор устройств, которым будет назначена задача выберите Выборка и нажмите Далее.
   2. Укажите нужную выборку из списка и нажмите Далее.
9. В окне Выберите лицензионный ключ выберите нужный лицензионный ключ из списка доступных в хранилище ключей Kaspersky Security Center.
10. Если вы хотите добавить этот лицензионный ключ в качестве дополнительного для автоматического продления срока действия лицензии, установите флажок Использовать в качестве дополнительного ключа.
11. Нажмите Далее.
12. В окне Выбор учетной записи для запуска задачи выберите нужную учетную запись и нажмите Далее.
13. Чтобы изменить заданные по умолчанию значения параметров задачи сразу после ее создания, установите флажок Открыть окно свойств задачи после ее создания на странице Завершение создания задачи.
14. Нажмите на кнопку Готово.

Задача будет создана и отобразится в списке задач.

Вы можете запускать созданную задачу вручную или настроить автоматический запуск задачи по расписанию.

Настройка параметров задачи обновления баз и модулей программы

В разделе приведена инструкция для Kaspersky Endpoint Agent для Windows. Эта инструкция может быть частично или полностью неприменима к Kaspersky Endpoint Agent для Linux. Актуальную инструкцию для Kaspersky Endpoint Agent для Linux смотрите в справке решения, в составе которого вы используете программу: Kaspersky Anti Targeted Attack Platform или Kaspersky Managed Detection and Response.

Создание задачи выполняется предварительно отдельным этапом.

Если во время создания задачи, вы установили флажок Открыть окно свойств задачи после ее создания на странице Завершение создания задачи, то переходите сразу к пункту 4 приведенной далее инструкции.

Чтобы настроить параметры задачи обновления баз и модулей программы:

1. В главном окне Kaspersky Security Center Web Console перейдите в раздел Устройства → Задачи.
2. Чтобы открыть окно настройки параметров задачи, нажмите на имя задачи.
3. Выберите закладку Параметры программы.
4. Выберите раздел Параметры подключения.
5. Если вы используете Kaspersky Security Center, в блоке параметров Источник обновлений выберите один из следующих вариантов:
   • Сервер администрирования Kaspersky Security Center.
   • Серверы обновлений "Лаборатории Касперского".
   • Другие HTTP-, FTP-серверы или сетевые папки.
6. Если вы используете Kaspersky Security Center Cloud Console, в блоке параметров Источник обновлений выберите один из следующих вариантов:
   • Точки распространения. Использование в качестве источника обновлений устройства с установленным Агентом администрирования.

     Подробная информация об использовании точек распространения доступна в справке Kaspersky Security Center Cloud Console.

   • Серверы обновлений "Лаборатории Касперского". Использование в качестве источника обновлений серверов обновлений "Лаборатории Касперского".
7. Если вы хотите включить параметр Использовать серверы обновлений "Лаборатории Касперского", если указанные пользователем серверы недоступны, установите флажок рядом с названием параметра.

   Недоступно в Kaspersky Security Center Cloud Console.

8. Если вы выбрали источник обновления баз Другие HTTP-, FTP-серверы или сетевые папки, выполните следующие действия:

   Недоступно в Kaspersky Security Center Cloud Console.

   1. Нажмите на ссылку Параметры, чтобы открыть окно Пользовательские источники обновлений.
   2. Добавьте источники обновлений в список, выполнив следующие действия:
      1. Нажмите на кнопку Добавить.
      2. В открывшемся диалоговом окне в поле Веб-адрес введите адрес сервера обновлений (HTTP или FTP), либо путь к сетевой или локальной папке, содержащей файлы обновлений, и нажмите на кнопку OK.
      3. Если вы хотите использовать этот источник для обновления баз, установите переключатель рядом с его адресом в положение Включить.

         Выполняйте аналогичные действия для добавления каждого нового источника.

      4. Нажмите на кнопку OK.

         Окно Пользовательские источники обновлений закроется.

9. Выберите раздел Параметры обновления.
10. В блоке параметров Параметры обновления выберите, при каких условиях программа будет проверять доступность обновлений модулей программы:
    • Не проверять доступность обновлений. Kaspersky Endpoint Agent не будет проверять доступность обновлений модулей программы.
    • Только проверять наличие важных обновлений модулей программы. Kaspersky Endpoint Agent будет проверять доступность только важных обновлений модулей программы.
    • Загружать и устанавливать важные обновления модулей программы. Kaspersky Endpoint Agent будет проверять доступность обновлений модулей программы и будет загружать и устанавливать критические обновления модулей программы.
11. Если вы хотите, чтобы программа отображала уведомление обо всех плановых обновлениях программных модулей, имеющихся в источнике обновлений, установите флажок Получать информацию о доступных запланированных обновлениях модулей программы.
12. Нажмите на кнопку Сохранить.

Вы можете запускать созданную задачу вручную или настроить автоматический запуск задачи по расписанию.

Управление стандартными задачами поиска IOC

В разделе приведена инструкция для Kaspersky Endpoint Agent для Windows. Эта инструкция может быть частично или полностью неприменима к Kaspersky Endpoint Agent для Linux. Актуальную инструкцию для Kaspersky Endpoint Agent для Linux смотрите в справке решения, в составе которого вы используете программу: Kaspersky Anti Targeted Attack Platform или Kaspersky Managed Detection and Response.

Стандартные задачи поиска IOC – групповые или локальные задачи, которые создаются и настраиваются вручную в Kaspersky Security Center или через интерфейс командной строки. Для запуска задач используются IOC-файлы, подготовленные пользователем.

В задаче поиска IOC можно указать только файл с IOC-правилами. Файлы с другими типами правил не поддерживаются в рамках задачи поиска IOC.

В этом разделе приведены инструкции по управлению стандартными задачами поиска IOC.

Требования к IOC-файлам

В разделе приведена инструкция для Kaspersky Endpoint Agent для Windows. Эта инструкция может быть частично или полностью неприменима к Kaspersky Endpoint Agent для Linux. Актуальную инструкцию для Kaspersky Endpoint Agent для Linux смотрите в справке решения, в составе которого вы используете программу: Kaspersky Anti Targeted Attack Platform или Kaspersky Managed Detection and Response.

При создании задач Поиск IOC учитывайте следующие требования и ограничения, связанные с

• Kaspersky Endpoint Agent поддерживает IOC-файлы с расширением ioc и xml открытого стандарта описания индикаторов компрометации OpenIOC версий 1.0 и 1.1.
• В задаче поиска IOC можно указать только файл с IOC-правилами. Файлы с другими типами правил не поддерживаются в рамках задачи поиска IOC.
• Если при создании задачи Поиск IOC вы загрузите IOC-файлы, часть из которых не поддерживается Kaspersky Endpoint Agent, то при запуске задачи программа будет использовать только поддерживаемые IOC-файлы.
• Если при создании задачи Поиск IOC все загруженные вами IOC-файлы не поддерживаются Kaspersky Endpoint Agent, то задача может быть запущена, но в результате выполнения задачи не будут обнаружены индикаторы компрометации.
• Семантические ошибки и неподдерживаемые программой IOC-термины и теги в IOC-файлах не приводят к ошибкам выполнения задачи. На таких участках IOC-файлов программа фиксирует отсутствие совпадения.
• Идентификаторы всех IOC-файлов

  Пример идентификатора IOC-файла:

  <ioc xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns:xsd="http://www.w3.org/2001/XMLSchema" id="43e6a866-4f85-4ce2-a369-eabf786ba711" last-modified="2019-05-09T11:08:38" xmlns="http://schemas.mandiant.com/2010/ioc">

  , которые используются в одной задаче Поиск IOC, должны быть уникальными. Наличие IOC-файлов с одинаковыми идентификаторами может повлиять на корректность результатов выполнения задачи.
• Размер одного IOC-файла не должен превышать 3 МБ. Использование файлов большего размера приводит к завершению задач Поиск IOC с ошибкой. При этом суммарный размер всех добавленных файлов в IOC-коллекции может превышать 3 МБ.
• Рекомендуется создавать на каждую угрозу по одному IOC-файлу. Это облегчает чтение результатов задачи Поиск IOC.

В таблице ниже приведены особенности и ограничения поддержки стандарта OpenIOC программой.

Особенности и ограничения поддержки стандарта OpenIOC версий 1.0 и 1.1

Поддерживаемые IOC-термины

В разделе приведена инструкция для Kaspersky Endpoint Agent для Windows. Эта инструкция может быть частично или полностью неприменима к Kaspersky Endpoint Agent для Linux. Актуальную инструкцию для Kaspersky Endpoint Agent для Linux смотрите в справке решения, в составе которого вы используете программу: Kaspersky Anti Targeted Attack Platform или Kaspersky Managed Detection and Response.

В файле, который можно загрузить по ссылке ниже, приведена таблица с полным списком IOC-терминов стандарта OpenIOC, поддерживаемых программой Kaspersky Endpoint Agent.

ЗАГРУЗИТЬ ФАЙЛ IOC_TERMS.XLSX

Настройка параметров стандартной задачи поиска IOC

В разделе приведена инструкция для Kaspersky Endpoint Agent для Windows. Эта инструкция может быть частично или полностью неприменима к Kaspersky Endpoint Agent для Linux. Актуальную инструкцию для Kaspersky Endpoint Agent для Linux смотрите в справке решения, в составе которого вы используете программу: Kaspersky Anti Targeted Attack Platform или Kaspersky Managed Detection and Response.

Создание задачи выполняется предварительно отдельным этапом.

Если во время создания задачи, вы установили флажок Открыть окно свойств задачи после ее создания на странице Завершение создания задачи, то переходите сразу к пункту 4 приведенной далее инструкции.

В задаче поиска IOC можно указать только файл с IOC-правилами. Файлы с другими типами правил не поддерживаются в рамках задачи поиска IOC.

Чтобы настроить параметры стандартной задачи поиска IOC:

1. В главном окне Kaspersky Security Center Web Console перейдите в раздел Устройства → Задачи.
2. Чтобы открыть окно настройки параметров задачи, нажмите на имя задачи.
3. Выберите закладку Параметры программы.
4. В разделе Параметры поиска IOC настройте IOC-коллекцию, выполнив следующие действия:
   1. В блоке параметров IOC-коллекция нажмите на кнопку Переопределить IOC-файлы.
   2. В открывшемся диалоговом окне нажмите на кнопку Добавить IOC-файлы и укажите IOC-файлы, которые вы хотите использовать для задачи.

      Для одной задачи поиска IOC можно выбрать несколько IOC-файлов.

   3. Нажмите на кнопку ОК, чтобы закрыть диалоговое окно.

      Если при создании задачи Поиск IOC вы загрузите IOC-файлы, часть из которых не поддерживается Kaspersky Endpoint Agent, то при запуске задачи программа будет использовать только поддерживаемые IOC-файлы.

   4. Если вы хотите посмотреть список всех IOC-файлов, которые включены в IOC-коллекцию, а также получить информацию о каждом IOC-файле, выполните следующие действия:
      1. Нажмите на ссылку с именами всех загруженных IOC-файлов в блоке параметров IOC-файлы.

         Откроется окно Содержимое IOC ().

      2. Чтобы просмотреть детальную информацию об отдельном IOC-файле, на закладке IOC-коллекция в списке файлов нажмите на имя нужного IOC-файла.

         В открывшемся окне отображена информация о выбранном IOC-файле.

      3. Чтобы закрыть окно с информацией о выбранном IOC-файле, нажмите на кнопку ОК или Отмена.
      4. Чтобы просмотреть информацию сразу обо всех загруженных IOC-файлах, перейдите на закладку Данные IOC.

         В рабочей области окна отображена информация о каждом загруженном IOC-файле.

      5. Если вы хотите, чтобы определенный IOC-файл не использовался при запуске задачи поиска IOC, на закладке IOC-коллекция переведите переключатель рядом с его именем из положения Включить в положение Исключить.
      6. Нажмите на кнопку ОК, чтобы сохранить изменения и закрыть окно Содержимое IOC ().
   5. Если вы хотите экспортировать созданную IOC-коллекцию, нажмите на кнопку Экспортировать IOC-коллекцию.

      В открывшемся окне можно задать имя файла, а также выбрать папку, в которую вы хотите его сохранить.

   6. Нажмите на кнопку Сохранить.

      Программа создаст файл формата ZIP в указанной папке.

   7. В блоке параметров Ретроспективный поиск IOC настройте параметры
      ретроспективного режима поиска IOC

      

      Ретроспективный поиск IOC - это режим работы задачи Поиск IOC, при котором Kaspersky Endpoint Agent выполняет поиск

      индикаторов компрометации

      IOC (Indicator of Compromise, индикатор компрометации) – это набор данных о вредоносном объекте или действии.

      по данным, полученным за указанный пользователем интервал времени. Режим предназначен для поиска индикаторов компрометации по данным сетевой активности защищаемых устройств. Kaspersky Endpoint Agent анализирует данные в журналах операционной системы и браузеров на устройствах.

      Режим Ретроспективный поиск IOC доступен только для Стандартных задач поиска IOC.

      :
      1. В блоке параметров Ретроспективный поиск IOC включите параметр Выполнять Ретроспективный поиск IOC в интервале.
      2. Укажите временной интервал.

         Во время выполнения задачи программа анализирует данные, собранные за указанный вами интервал времени, включая границы указанного интервала (с 00:00 даты начала до 23:59 даты окончания). По умолчанию задан интервал, начинающийся в 00:00 дня, предшествующего дню создания задачи, и заканчивающийся в 23:59 дня создания задачи.

         Если во время выполнения задачи Поиск IOC со включенным параметром Выполнять Ретроспективный поиск IOC в интервале программа не обнаруживает данных для анализа за указанный временной интервал, программа не информирует об этом. В этом случае программа сообщает об отсутствии индикаторов компрометации в отчете о выполнении задачи.

   8. В блоке параметров Действия настройте ответные действия при обнаружении индикатора компрометации:
      1. Установите флажок Принять ответные действия при обнаружении индикатора компрометации.
      2. Установите флажок Изолировать устройство от сети, чтобы программа Kaspersky Endpoint Agent выполняла сетевую изоляцию устройства, на котором обнаружен индикатор компрометации.
      3. Установите флажок Поместить на карантин и удалить, чтобы поместить обнаруженный объект на карантин и удалить его с устройства.
      4. Установите флажок EPP запустить проверку важных областей на устройстве, чтобы программа Kaspersky Endpoint Agent отправляла программе EPP команду на выполнение проверки важных областей на всех устройствах группы администрирования, на которых обнаружены индикаторы компрометации.

      Если включен параметр Поместить на карантин и удалить или Запустить проверку важных областей, в качестве ответных действий Kaspersky Endpoint Agent может признать обнаруженные файлы зараженными и удалить их с устройства.

   9. В блоке параметров Защита критических системных файлов установите флажок Не выполнять действий над критическими системными файлами, если вы хотите защитить критические системные файлы от помещения на карантин и удаления при обнаружении индикатора компрометации.

      Опция доступна, только если в блоке параметров Действия выбрано Поместить на карантин и удалить.

      При выбранной опции, если объект оказывается критическим системным файлом, программа не выполняет никаких действий с этим объектом. Информация об этом записывается в отчете о выполнении задачи.

5. В разделе Дополнительно выберите типы данных (IOC-документы), которые необходимо анализировать во время выполнения задачи, и настройте дополнительные параметры поиска:
   1. В блоке параметров Выберите типы данных (IOC-документы) для анализа во время поиска IOC установите флажки рядом с нужными IOC-документами.

      В зависимости от загруженных IOC-файлов, некоторые флажки могут быть неактивными.

      Kaspersky Endpoint Agent автоматически выбирает типы данных (IOC-документы) для задачи Поиск IOC в соответствии с содержанием загруженных IOC-файлов. Не рекомендуется самостоятельно отменять выбор типов данных.

   2. Если установлен флажок Анализировать данные файлов (FileItem), нажмите на ссылку Дополнительно (FileItem) и в открывшемся окне Параметры проверки документа FileItem выберите области на дисках защищаемого устройства, в которых необходимо искать индикаторы компрометации.

      Вы можете выбрать одну из предзаданных областей, а также указать пути до нужных областей самостоятельно.

   3. Нажмите на кнопку ОК, чтобы сохранить изменения и закрыть окно Параметры проверки документа FileItem.
   4. Если установлен флажок Анализировать данные WEL (EventLogItem), нажмите на ссылку Дополнительно (EventLogItem) и в открывшемся окне Параметры проверки документа EventLogItem настройте дополнительные параметры анализа событий:
      • Проверять только события, зафиксированные в течение указанного периода.

        Если флажок установлен, во время выполнения задачи учитываются только те события, которые были зафиксированы в указанный период.

      • Проверять события, относящиеся к следующим каналам.

        Список каналов, которые анализируются во время выполнения задачи.

   5. Нажмите на кнопку ОК, чтобы сохранить изменения и закрыть окно Параметры проверки документа FileItem.
6. Нажмите на кнопку Сохранить.

Вы можете запускать созданную задачу вручную или настроить автоматический запуск задачи по расписанию.

Просмотр результатов выполнения задачи поиска IOC

В разделе приведена инструкция для Kaspersky Endpoint Agent для Windows. Эта инструкция может быть частично или полностью неприменима к Kaspersky Endpoint Agent для Linux. Актуальную инструкцию для Kaspersky Endpoint Agent для Linux смотрите в справке решения, в составе которого вы используете программу: Kaspersky Anti Targeted Attack Platform или Kaspersky Managed Detection and Response.

Чтобы просмотреть результаты выполнения задачи Поиск IOC:

1. В главном окне Kaspersky Security Center Web Console перейдите в раздел Устройства → Задачи.
2. Чтобы открыть окно настройки параметров задачи, нажмите на имя задачи.
3. Выберите закладку Параметры программы.
4. Выберите раздел Результаты поиска IOC.
5. В раскрывающемся списке Устройство выберите, для каких устройств вы хотите просмотреть результаты выполнения задачи поиска IOC.

   Отобразится сводная таблица результатов выполнения задачи на выбранных устройствах.

   Если на устройствах обнаружены индикаторы компрометации, в столбце Результаты отображается обнаружены индикаторы компрометации.

6. Если вы хотите просмотреть подробную информацию об обнаруженных индикаторах компрометации на определенном устройстве, выполните следующие действия:
   1. Нажмите на ссылку обнаружены индикаторы компрометации в строке с именем нужного устройства.

      Откроется окно Результаты поиска IOC со списком всех IOC-файлов, использованных в рамках задачи. Если на выбранном устройстве присутствует объект, который совпадает с определенным индикатором компрометации, в столбце Статус отображается совпадает.

   2. Нажмите на ссылку совпадает в строке с именем нужного IOC-файла.

      Откроется окно Карточка инцидента IOC.

      Карточка инцидента IOC содержит информацию об объектах на устройстве, совпавших с условиями обработанного IOC-файла, а также текст совпавших веток или отдельных условий из этого IOC-файла.

      Просмотр Карточки инцидента IOC недоступен для IOC-файлов, при проверке которых не было обнаружено совпадений на устройстве.

Настройка параметров задачи Поместить файл на карантин

В разделе приведена инструкция для Kaspersky Endpoint Agent для Windows. Эта инструкция может быть частично или полностью неприменима к Kaspersky Endpoint Agent для Linux. Актуальную инструкцию для Kaspersky Endpoint Agent для Linux смотрите в справке решения, в составе которого вы используете программу: Kaspersky Anti Targeted Attack Platform или Kaspersky Managed Detection and Response.

Если вы считаете, что на компьютере находится зараженный или возможно зараженный файл, вы можете изолировать его, поместив на карантин.

Создание задачи выполняется предварительно отдельным этапом.

Если во время создания задачи, вы установили флажок Открыть окно свойств задачи после ее создания на странице Завершение создания задачи, то переходите сразу к пункту 4 приведенной далее инструкции.

Чтобы настроить параметры задачи Поместить файл на карантин:

1. В главном окне Kaspersky Security Center Web Console перейдите в раздел Устройства → Задачи.
2. Чтобы открыть окно настройки параметров задачи, нажмите на имя задачи.
3. Выберите закладку Параметры программы.
4. В раскрывающемся списке Укажите файл, который требуется поместить на карантин выберите одно из следующих значений: Указать файл по полному пути или Задать файл по пути к папке и контрольной сумме.
5. Если вы выбрали Указать файл по полному пути, укажите значение в поле Полный путь к файлу.
6. Если вы выбрали Задать файл по пути к папке и контрольной сумме, настройте следующие параметры:
   • В раскрывающемся списке Тип контрольной суммы выберите одно из следующих значений: MD5 или SHA256.
   • Укажите значение в поле Контрольная сумма файла.
   • Укажите значение в поле Путь к папке файла.
7. В блоке параметров Действия после помещения файла на карантин выберите, необходимо ли удалять файл с защищаемого устройства после помещения на карантин.

   Если файл заблокирован другим процессом, то файл будет удален только после перезагрузки устройства.

8. В блоке параметров Защита критических системных файлов установите флажок Не выполнять действий над критическими системными файлами, если вы хотите исключить критические системные файлы из области применения задачи.

   При выбранной опции, если объект оказывается критическим системным файлом, программа не выполняет никаких действий с этим объектом. Информация об этом записывается в отчете о выполнении задачи.

9. Нажмите на кнопку Сохранить.

Вы можете запускать созданную задачу вручную или настроить автоматический запуск задачи по расписанию.

Если файл заблокирован другим процессом, то задача будет отображаться со статусом Выполнено, но сам файл будет помещен на карантин только после перезагрузки устройства. Рекомендуется проверить успешность выполнения задачи после перезагрузки устройства.

Задача помещения файла на карантин может завершиться с ошибкой Доступ запрещен, если вы пытаетесь поместить на карантин исполняемый файл, и он запущен в настоящий момент. Чтобы решить проблему, создайте задачу завершения процесса для этого файла, а затем повторите попытку создания задачи помещения файла на карантин.

Настройка параметров задачи Удалить файл

В разделе приведена инструкция для Kaspersky Endpoint Agent для Windows. Эта инструкция может быть частично или полностью неприменима к Kaspersky Endpoint Agent для Linux. Актуальную инструкцию для Kaspersky Endpoint Agent для Linux смотрите в справке решения, в составе которого вы используете программу: Kaspersky Anti Targeted Attack Platform или Kaspersky Managed Detection and Response.

Создание задачи выполняется предварительно отдельным этапом.

Если во время создания задачи, вы установили флажок Открыть окно свойств задачи после ее создания на странице Завершение создания задачи, то переходите сразу к пункту 4 приведенной далее инструкции.

Чтобы настроить параметры задачи Удалить файл:

1. В главном окне Kaspersky Security Center Web Console перейдите в раздел Устройства → Задачи.
2. Чтобы открыть окно настройки параметров задачи, нажмите на имя задачи.
3. Выберите закладку Параметры программы.
4. В списке Файл, который нужно удалить нажмите на кнопку Добавить.
5. Откроется диалоговое окно Файл, который нужно удалить.
6. В раскрывающемся списке Укажите файл, который нужно удалить выберите одно из следующих значений: Указать файл по полному пути или Задать файл по пути к папке и контрольной сумме.
7. Если вы выбрали Указать файл по полному пути, укажите значение в поле Полный путь к файлу.
8. Если вы выбрали Задать файл по пути к папке и контрольной сумме, настройте следующие параметры:
   • В раскрывающемся списке Тип контрольной суммы выберите одно из следующих значений: MD5 или SHA256.
   • Укажите значение в поле Контрольная сумма файла.
   • Укажите значение в поле Путь к папке файла.
   • Установите флажок Включить подпапки, чтобы программа удаляла все вхождения объекта не только в указанной папке, но и во всех ее подпапках.
9. Нажмите на кнопку OK, чтобы добавить заданный объект в список Файл, который нужно удалить.

   Вы можете указать несколько объектов для удаления в рамках одной задачи Удалить файл.

10. В блоке параметров Защита критических системных файлов установите флажок Не выполнять действий над критическими системными файлами, если вы хотите исключить критические системные файлы из области применения задачи.

    При выбранной опции, если объект оказывается критическим системным файлом, программа не выполняет никаких действий с этим объектом. Информация об этом записывается в отчете о выполнении задачи.

11. Нажмите на кнопку Сохранить.

Вы можете запускать созданную задачу вручную или настроить автоматический запуск задачи по расписанию.

Если файл заблокирован другим процессом, то задача будет отображаться со статусом Выполнено, но сам файл будет удален только после перезагрузки устройства. Рекомендуется проверить успешность удаления файла после перезагрузки устройства.

Удаление файла с подключенного сетевого диска не поддерживается.

Настройка параметров задачи Запустить процесс

В разделе приведена инструкция для Kaspersky Endpoint Agent для Windows. Эта инструкция может быть частично или полностью неприменима к Kaspersky Endpoint Agent для Linux. Актуальную инструкцию для Kaspersky Endpoint Agent для Linux смотрите в справке решения, в составе которого вы используете программу: Kaspersky Anti Targeted Attack Platform или Kaspersky Managed Detection and Response.

Задача Запустить процесс позволяет запустить необходимую программу или команду на устройстве.

Создание задачи выполняется предварительно отдельным этапом.

Если во время создания задачи, вы установили флажок Открыть окно свойств задачи после ее создания на странице Завершение создания задачи, то переходите сразу к пункту 4 приведенной далее инструкции.

Чтобы настроить параметры задачи Запустить процесс:

1. В главном окне Kaspersky Security Center Web Console перейдите в раздел Устройства → Задачи.
2. Чтобы открыть окно настройки параметров задачи, нажмите на имя задачи.
3. Выберите закладку Параметры программы.
4. Если вы хотите запустить программу с помощью командной строки (cmd.exe) или выполнить команду, введите необходимую команду в поле Исполняемая команда.
5. Если вы хотите запустить программу напрямую, выполните следующие действия:
   1. Укажите путь к исполняемому файлу программы в поле Рабочая папка.
   2. Укажите ключи запуска программы в поле Аргументы.
6. Нажмите на кнопку Сохранить.

Вы можете запускать созданную задачу вручную или настроить автоматический запуск задачи по расписанию.

Настройка параметров задачи Завершить процесс

В разделе приведена инструкция для Kaspersky Endpoint Agent для Windows. Эта инструкция может быть частично или полностью неприменима к Kaspersky Endpoint Agent для Linux. Актуальную инструкцию для Kaspersky Endpoint Agent для Linux смотрите в справке решения, в составе которого вы используете программу: Kaspersky Anti Targeted Attack Platform или Kaspersky Managed Detection and Response.

Если вы считаете, что запущенный на устройстве процесс может угрожать безопасности устройства или локальной сети организации, вы можете завершить его.

Создание задачи выполняется предварительно отдельным этапом.

Если во время создания задачи, вы установили флажок Открыть окно свойств задачи после ее создания на странице Завершение создания задачи, то переходите сразу к пункту 4 приведенной далее инструкции.

Чтобы настроить параметры задачи Завершить процесс:

1. В главном окне Kaspersky Security Center Web Console перейдите в раздел Устройства → Задачи.
2. Чтобы открыть окно настройки параметров задачи, нажмите на имя задачи.
3. Выберите закладку Параметры программы.
4. В поле Полный путь к файлу укажите путь к файлу процесса, который вы хотите завершить.
5. В раскрывающемся списке Тип контрольной суммы выберите одно из следующих значений: Не задан, MD5 или SHA256.
6. Если вы выбрали MD5 или SHA256, укажите значение в поле Контрольная сумма.
7. Если вы хотите, чтобы программа учитывала регистр символов в пути к файлу процесса, установите флажок Путь с учетом регистра символов.
8. В блоке параметров Защита критических системных файлов установите флажок Не выполнять действий над критическими системными файлами, если вы хотите исключить критические системные файлы из области применения задачи.

   При выбранной опции, если объект оказывается критическим системным файлом, программа не выполняет никаких действий с этим объектом. Информация об этом записывается в отчете о выполнении задачи.

9. Нажмите на кнопку Сохранить.

Вы можете запускать созданную задачу вручную или настроить автоматический запуск задачи по расписанию.