Работа с политиками (правилами запрета)

При работе в веб-интерфейсе программы пользователи с ролью Старший сотрудник службы безопасности могут управлять правилами запрета запуска файлов и процессов на выбранных хостах с помощью политик. Например, вы можете запретить запуск программ, использование которых считаете небезопасным, на выбранном хосте с Kaspersky Endpoint Agent. Программа идентифицирует файлы по их хешу с помощью алгоритмов хеширования MD5 и SHA256. Вы можете создавать, включать и отключать, удалять и изменять правила запрета. Кроме того, по ссылке с названием алгоритма хеширования в таблице правил запрета вы можете выполнять такие действия по поиску объектов, событий или обнаружений, по которым сработали правила запрета, как Найти события, Найти обнаружения, Найти на TIP или Найти на virustotal.com.

В

режиме распределенного решения

Двухуровневая иерархия серверов с установленными компонентами Central Node, в которой выделяется главный сервер управления – Primary Central Node (PCN) и подчиненные серверы – Secondary Central Node (SCN).

Двухуровневая иерархия серверов с установленными компонентами Central Node, в которой выделяется главный сервер управления – Primary Central Node (PCN) и подчиненные серверы – Secondary Central Node (SCN).

Двухуровневая иерархия серверов с установленными компонентами Central Node, в которой выделяется главный сервер управления – Primary Central Node (PCN) и подчиненные серверы – Secondary Central Node (SCN).

Двухуровневая иерархия серверов с установленными компонентами Central Node, в которой выделяется главный сервер управления – Primary Central Node (PCN) и подчиненные серверы – Secondary Central Node (SCN).

Двухуровневая иерархия серверов с установленными компонентами Central Node, в которой выделяется главный сервер управления – Primary Central Node (PCN) и подчиненные серверы – Secondary Central Node (SCN).

Двухуровневая иерархия серверов с установленными компонентами Central Node, в которой выделяется главный сервер управления – Primary Central Node (PCN) и подчиненные серверы – Secondary Central Node (SCN).

мультитенантности

Режим работы, при котором Kaspersky Anti Targeted Attack Platform используется для защиты инфраструктуры нескольких организаций или филиалов одной организации одновременно.

Режим работы, при котором Kaspersky Anti Targeted Attack Platform используется для защиты инфраструктуры нескольких организаций или филиалов одной организации одновременно.

Режим работы, при котором Kaspersky Anti Targeted Attack Platform используется для защиты инфраструктуры нескольких организаций или филиалов одной организации одновременно.

Режим работы, при котором Kaspersky Anti Targeted Attack Platform используется для защиты инфраструктуры нескольких организаций или филиалов одной организации одновременно.

Режим работы, при котором Kaspersky Anti Targeted Attack Platform используется для защиты инфраструктуры нескольких организаций или филиалов одной организации одновременно.

Режим работы, при котором Kaspersky Anti Targeted Attack Platform используется для защиты инфраструктуры нескольких организаций или филиалов одной организации одновременно.

• Глобальный – созданные на PCN. Действие этих правил запрета распространяется на хосты, подключенные к этому серверу PCN и ко всем серверам SCN, подключенным к этому серверу PCN. Правила запрета относятся к тенанту, в рамках которого пользователь работает в веб-интерфейсе программы.
• Локальный – созданные на сервере SCN. Действие этих правил запрета распространяется только на хосты, подключенные к этому серверу SCN. Правила запрета относятся к тенанту, в рамках которого пользователь работает в веб-интерфейсе программы.

Пользователи с ролью Старший сотрудник службы безопасности могут создавать, редактировать, удалять, включать и отключать, а также импортировать правила запрета в рамках тех тенантов, к данным которых у них есть доступ.

У пользователей с ролью Сотрудник службы безопасности нет доступа к политикам.

Пользователи с ролью Аудитор могут просматривать таблицу правил запрета запуска файлов и процессов, а также информацию о выбранном правиле запрета без возможности редактирования.

Все изменения в правилах запрета применяются на хостах после установки авторизованного соединения с выбранными хостами. Если соединение с хостами отсутствует, на хостах продолжают действовать старые правила запрета. Изменения в правилах запрета не влияют на уже запущенные процессы.

Правила запрета могут быть созданы автоматически на основе предустановленных политик (далее также "предустановок"), добавленных по умолчанию. При включенных предустановках программа создает правило запрета на основе обнаружения компонента Sandbox со средним или высоким уровнем важности. Созданное правило запрета блокирует запуск файла по его MD5-хешу. Пользователи с ролью Старший сотрудник службы безопасности могут включать и отключать предустановки.

Предустановки не поддерживаются в режиме распределенного решения и мультитенантности.

Для правил запрета, которые были созданы автоматически или импортированы, доступны такие же операции, что и для правил, созданных вручную.

На каждый хеш файла можно создать только одно правило запрета.

Максимальное поддерживаемое количество правил запрета в системе составляет 50 000.

Правила запрета действуют, только когда программа Kaspersky Endpoint Agent запущена на хосте. Если попытка запуска файла будет совершена до запуска программы Kaspersky Endpoint Agent или после завершения работы программы Kaspersky Endpoint Agent на хосте, то запуск файла не будет заблокирован.

Управление правилами запрета запуска файлов и процессов на выбранных хостах с помощью политик доступно при интеграции Kaspersky Endpoint Agent с сервером Central Node и осуществляется только через веб-интерфейс Kaspersky Anti Targeted Attack Platform.

Просмотр таблицы правил запрета

Таблица правил запрета находится в разделе Политики окна веб-интерфейса программы.

В таблице содержится следующая информация:

1. Тип – тип правила в зависимости от режима работы программы и роли сервера, на котором оно создано:
   • Глобальный – созданные на PCN. Действие этих правил запрета распространяется на хосты, подключенные к этому серверу PCN и ко всем серверам SCN, подключенным к этому серверу PCN. Правила запрета относятся к тенанту, в рамках которого пользователь работает в веб-интерфейсе программы.
   • Локальный – созданные на сервере SCN. Действие этих правил запрета распространяется только на хосты, подключенные к этому серверу SCN. Правила запрета относятся к тенанту, в рамках которого пользователь работает в веб-интерфейсе программы.
2. Имя – имя правила запрета.
3. Серверы – имена серверов с ролью PCN или SCN, на которые распространяется правило запрета.

   Поле отображается, только когда вы используете режим распределенного решения и мультитенантности.

4. Хосты – имя сервера с компонентом Central Node, на хосты которого распространяется правило запрета.

   Поле отображается, только когда вы используете отдельный сервер Central Node.

5. Хеш файла – алгоритм хеширования, применяющийся для идентификации файла.

   Идентификация файла может осуществляться по одному из следующих алгоритмов хеширования:

   • MD5.
   • SHA256.

   По ссылке с названием алгоритма хеширования раскрывается список, в котором вы можете посмотреть хеш файла, а также выбрать одно из следующих действий:

   • Добавить в фильтр.
   • Исключить из фильтра.
   • Найти на TIP

     Информационная система "Лаборатории Касперского". Содержит и отображает информацию о репутации файлов и URL-адресов.

     Информационная система "Лаборатории Касперского". Содержит и отображает информацию о репутации файлов и URL-адресов.

     .
   • Найти на virustotal.com (для SHA256).
   • Найти события.

     В результате выполнения этого действия откроется раздел Поиск угроз с событиями, уже отфильтрованными по выбранному вами хешу.

   • Найти обнаружения.

     В результате выполнения этого действия откроется раздел Обнаружения с обнаружениями, уже отфильтрованными по выбранному вами хешу.

   • Включить правило запрета.
   • Отключить правило запрета.
   • Удалить правило запрета.
   • Скопировать значение в буфер.
6. Состояние – текущее состояние правила запрета.

   Правило запрета может находиться в одном из следующих состояний:

   • Включено.
   • Отключено.

Настройка отображения таблицы правил запрета

Вы можете настроить отображение столбцов, а также порядок их следования в таблице правил запрета.

Чтобы настроить отображение таблицы правил запрета:

1. В окне веб-интерфейса программы выберите раздел Политики.

   Откроется таблица правил запрета.

2. В заголовочной части таблицы нажмите на кнопку .

   Отобразится окно Настройка таблицы.

3. Если вы хотите включить отображение столбца в таблице, установите флажок рядом с названием того параметра, который должен отображаться в таблице.

   Если вы не хотите, чтобы параметр отображался в таблице, снимите флажок.

   Должен быть установлен хотя бы один флажок.

4. Если вы хотите изменить порядок отображения столбцов в таблице, наведите курсор мыши на строку с нужным параметром, нажмите на кнопку и переместите строку с параметром в нужное место.
5. Если вы хотите восстановить параметры отображения таблицы по умолчанию, нажмите на ссылку По умолчанию.
6. Нажмите на кнопку Применить.

Отображение таблицы правил запрета будет настроено.

Просмотр правила запрета

Чтобы просмотреть правило запрета:

1. В окне веб-интерфейса программы выберите раздел Политики.

   Откроется таблица правил запрета.

2. Выберите правило запрета, которое вы хотите просмотреть.

Правило запрета содержит следующую информацию:

• События – ссылка, по которой открывается раздел Поиск угроз с условием поиска, содержащим выбранное вами правило запрета.
• Состояние – текущее состояние правила запрета.

  Правило запрета может находиться в одном из следующих состояний:

  • Включено.
  • Отключено.
• Закладка Сведения со следующей информацией:
  • MD5/SHA256 – хеш файла, запрещенного к запуску.

    По ссылке MD5/SHA256 раскрывается список, в котором вы можете выбрать одно из следующих действий:

    • Найти на TIP.
    • Найти события.
    • Найти обнаружения.
    • Скопировать значение в буфер.
  • Имя – имя правила запрета или файла, запрещенного к запуску.
  • Тип – тип правила в зависимости от режима работы программы и роли сервера, на котором оно создано:
    • Глобальный – созданные на PCN. Действие этих правил запрета распространяется на хосты, подключенные к этому серверу PCN и ко всем серверам SCN, подключенным к этому серверу PCN. Правила запрета относятся к тенанту, в рамках которого пользователь работает в веб-интерфейсе программы.
    • Локальный – созданные на сервере SCN. Действие этих правил запрета распространяется только на хосты, подключенные к этому серверу SCN. Правила запрета относятся к тенанту, в рамках которого пользователь работает в веб-интерфейсе программы.
  • Уведомление – состояние параметра Показывать пользователю уведомление о блокировке запуска файла.
  • Запрет для – список хостов, на которые распространяется правило запрета.

    Если запрет действует на всех хостах, отображается надпись Всех хостов.

• Закладка Журнал изменений содержит список изменений запрета: время изменения, имя пользователя, изменившего запрет, и действия над запретом.

Создание правила запрета

Чтобы создать правило запрета:

1. В окне веб-интерфейса программы выберите раздел Политики.

   Откроется таблица правил запрета.

2. Нажмите на кнопку Добавить.
3. Выберите Создать правило.

   Откроется окно создания правила запрета.

4. Задайте значения следующих параметров:
   1. Состояние – состояние правила запрета:
      • Если вы хотите включить правило запрета, переведите переключатель в положение Вкл.
      • Если вы хотите отключить правило запрета, переведите переключатель в положение Откл.
   2. MD5/SHA256 – MD5- или SHA256-хеш файла или
      потока данных

      Потоки данных файловой системы NTFS (alternate data streams), предназначенные для размещения дополнительных атрибутов или информации к файлу.

      Каждый файл в файловой системе NTFS представляет собой набор потоков (streams). В одном из них находится содержимое файла, которое мы сможем увидеть, открыв файл, остальные (альтернативные) предназначены для размещения метаинформации и обеспечивают, например, совместимость системы NTFS с другими системами, такими как старая файловая система Macintosh – Hierarchical File System (HFS). Потоки можно создавать, удалять, сохранять отдельно, переименовывать и даже запускать как процесс.

      Альтернативные потоки могут использоваться злоумышленниками для скрытой передачи или получения данных с компьютера.

      , запуск которого вы хотите запретить.
   3. Имя – имя правила запрета.
   4. Если вы хотите, чтобы программа выводила уведомление о срабатывании правила запрета пользователю компьютера, на который распространяется запрет, установите флажок Показывать пользователю уведомление о блокировке запуска файла.

      Если вы установили флажок Показывать пользователю уведомление о блокировке запуска файла, при попытке запуска запрещенного файла пользователю будет показано уведомление о том, что сработало правило запрета запуска этого файла.

   5. Запрет для – область применения правила запрета:
      • Если вы хотите применить правило запрета на всех хостах всех серверов, выберите вариант Всех хостов.
      • Если вы хотите применить правило запрета на выбранных серверах, выберите вариант Выбранных серверов и справа от названия параметра Серверы установите флажки рядом с теми именами серверов, на которых вы хотите применить правило запрета.

        Этот вариант доступен только при включенном режиме распределенного решения и мультитенантности.

      • Если вы хотите применить правило запрета на выбранных хостах, выберите вариант Выбранных хостов и перечислите эти хосты в поле Хосты.

      Для хостов с программой Kaspersky Endpoint Agent для Linux функция создания правила запрета не предусмотрена. Если при создании правила запрета в качестве области применения правила вы выберете хост с программой Kaspersky Endpoint Agent для Linux или все хосты, правило запрета не будет применено или будет применено только к хостам с программой Kaspersky Endpoint Agent для Windows.

5. Нажмите на кнопку Добавить.

Будет создан запрет на запуск файла.

Вы также можете импортировать правила запрета.

Для пользователей с ролью Аудитор функция создания правила запрета на запуск файла недоступна.

У пользователей с ролью Сотрудник службы безопасности нет доступа к правилам запрета.

Импорт правил запрета

Вы можете импортировать файл с MD5- и SHA256-хешами файлов, запуск которых хотите запретить. Для каждого хеша Kaspersky Anti Targeted Attack Platform создаст отдельное правило запрета.

Максимальный размер импортируемого файла - 10 МБ. На одной строке должен располагаться только один хеш.

Чтобы импортировать правила запрета:

1. В окне веб-интерфейса программы выберите раздел Политики.

   Откроется таблица правил запрета.

2. Нажмите на кнопку Добавить.
3. Выберите Импортировать правила.

   Откроется окно импорта правил запрета.

4. Задайте значения следующих параметров:
   1. Состояние – состояние правила запрета:
      • Если вы хотите включить все импортированные правила запрета, переведите переключатель в положение Вкл.
      • Если вы хотите отключить все импортированные правила запрета, переведите переключатель в положение Откл.
   2. Если вы хотите, чтобы программа выводила уведомление о срабатывании правил запрета пользователю компьютера, на который распространяется запрет, установите флажок Показывать пользователю уведомление о блокировке запуска файла.

   Поле Запрет для недоступно для редактирования. По умолчанию правила запрета, созданные на сервере PCN, распространяются на все хосты, подключенные к этому серверу PCN и ко всем серверам SCN, подключенным к этому серверу PCN (если вы используете режим распределенного решения и мультитенантности).

5. Загрузите файл с хешами файлов, для которых вы хотите создать правила запрета, с помощью кнопки Обзор.

   Откроется окно выбора файлов.

6. Выберите файл, который вы хотите загрузить, и нажмите на кнопку Открыть.

   Окно выбора файлов закроется.

7. Нажмите на кнопку Добавить.

Правила будут импортированы.

Для пользователей с ролью Аудитор функция импорта правил запрета на запуск файла недоступна.

У пользователей с ролью Сотрудник службы безопасности нет доступа к правилам запрета.

Включение и отключение правила запрета

Чтобы включить или отключить правило запрета:

1. В окне веб-интерфейса программы выберите раздел Политики.

   Откроется таблица правил запрета.

2. В строке с правилом запрета, которое вы хотите включить или отключить, в столбце Состояние выполните одно из следующих действий:
   • Если вы хотите включить правило запрета, переведите переключатель в положение Включено.

     Выбранное вами правило запрета будет включено.

   • Если вы хотите отключить правило запрета, переведите переключатель в положение Отключено.

     Выбранное вами правило запрета будет отключено.

Для пользователей с ролью Аудитор функция включения и отключения правил запрета недоступна.

У пользователей с ролью Сотрудник службы безопасности нет доступа к правилам запрета запуска файлов и процессов на выбранных хостах с помощью политик.

Включение и отключение предустановок

Чтобы включить или отключить предустановки:

1. В окне веб-интерфейса программы выберите раздел Политики.

   Откроется таблица правил запрета.

2. Выберите закладку Предустановки.
3. В строке с предустановкой, которую вы хотите включить или отключить, в столбце Состояние переведите переключатель в положение Включено или Отключено.

Предустановка будет включена или отключена. При отключении предустановки все ранее автоматически созданные правила запрета сохранятся.

Удаление правил запрета

Вы можете удалить одно или несколько правил запрета, а также все правила запрета сразу.

Чтобы удалить одно правило запрета:

1. В окне веб-интерфейса программы выберите раздел Политики.

   Откроется таблица правил запрета.

2. Нажмите на правило запрета, которое вы хотите удалить.

   Откроется окно сведений о правиле запрета.

3. Нажмите на кнопку Удалить.

   Откроется окно подтверждения действия.

4. Нажмите на кнопку Да.

Правило запрета будет удалено.

Чтобы удалить все или несколько правил запрета:

1. В окне веб-интерфейса программы выберите раздел Политики.

   Откроется таблица правил запрета.

2. Установите флажки напротив правил запрета, которые вы хотите удалить.

   Вы можете выбрать все правила запрета, установив флажок в строке с заголовками столбцов.

3. В панели управления в нижней части окна нажмите на кнопку Удалить.

   Откроется окно подтверждения действия.

4. Нажмите на кнопку Да.

Выбранные правила запрета будут удалены.

Для пользователей с ролью Аудитор функция удаления правил запрета недоступна.

У пользователей с ролью Сотрудник службы безопасности нет доступа к правилам запрета запуска файлов и процессов на выбранных хостах с помощью политик.

Фильтрация правил запрета по имени

Чтобы отфильтровать правила запрета по имени:

1. В окне веб-интерфейса программы выберите раздел Политики.

   Откроется таблица правил запрета.

2. По ссылке Имя откройте меню фильтрации запретов.
3. В раскрывающемся списке выберите один из следующих операторов фильтрации запретов:
   • Содержит.
   • Не содержит.
4. В поле ввода укажите один или несколько символов имени правила запрета.
5. Если вы хотите добавить условие фильтрации по другому критерию, нажмите на кнопку и выполните действия по указанию условия фильтрации.
6. Нажмите на кнопку Применить.

В таблице правил запрета отобразятся только правила запрета, соответствующие заданным вами условиям.

Вы можете использовать несколько фильтров одновременно.

Фильтрация правил запрета по типу

Если вы используете режим распределенного решения и мультитенантности, вы можете отфильтровать правила запрета по их типу.

Чтобы отфильтровать правила запрета по типу:

1. В окне веб-интерфейса программы выберите раздел Политики.

   Откроется таблица правил запрета.

2. По ссылке Тип откройте меню фильтрации правил запрета.
3. Выберите один из следующих вариантов отображения правил запрета:
   • Все, если вы хотите, чтобы отображались все правила запрета независимо от типа.
   • Глобальный, если вы хотите, чтобы отображались только правила запрета, созданные на PCN. Действие этих правил запрета распространяется на хосты, подключенные к этому серверу PCN и ко всем серверам SCN, подключенным к этому серверу PCN. Правила запрета относятся к тенанту, в рамках которого пользователь работает в веб-интерфейсе программы.
   • Локальный, если вы хотите, чтобы отображались только правила запрета, созданные на сервере SCN. Действие этих правил запрета распространяется только на хосты, подключенные к этому серверу SCN. Правила запрета относятся к тенанту, в рамках которого пользователь работает в веб-интерфейсе программы.

В таблице правил запрета отобразятся только правила запрета, соответствующие заданным вами условиям.

Вы можете использовать несколько фильтров одновременно.

Фильтрация правил запрета по хешу файла

Чтобы отфильтровать правила запрета по хешу файла:

1. В окне веб-интерфейса программы выберите раздел Политики.

   Откроется таблица правил запрета.

2. По ссылке Хеш файла откройте меню фильтрации правил запрета.
3. В раскрывающемся списке выберите один из следующих операторов фильтрации запретов:
   • Содержит.
   • Не содержит.
4. В поле ввода укажите один или несколько символов хеша файла.
5. Если вы хотите добавить условие фильтрации по другому критерию, нажмите на кнопку и выполните действия по указанию условия фильтрации.
6. Нажмите на кнопку Применить.

В таблице правил запрета отобразятся только правила запрета, соответствующие заданным вами условиям.

Вы можете использовать несколько фильтров одновременно.

Фильтрация правил запрета по имени сервера

Если вы используете режим распределенного решения и мультитенантности, вы можете отфильтровать правила запрета по серверам, на которые распространяется действие правил запрета.

Чтобы отфильтровать правила запрета по имени сервера:

1. В окне веб-интерфейса программы выберите раздел Политики.

   Откроется таблица правил запрета.

2. По ссылке Серверы откройте меню фильтрации правил запрета.
3. Установите флажки напротив тех серверов, по которым вы хотите отфильтровать правила запрета.
4. Нажмите на кнопку Применить.

В таблице правил запрета отобразятся только правила запрета, соответствующие заданным вами условиям.

Вы можете использовать несколько фильтров одновременно.

Сброс фильтра правил запрета

Чтобы сбросить фильтр правил запрета по одному или нескольким условиям фильтрации:

1. В окне веб-интерфейса программы выберите раздел Политики.

   Откроется таблица правил запрета.

2. Нажмите на кнопку справа от того заголовка столбца таблицы правил запрета, условия фильтрации по которому вы хотите сбросить.

   Если вы хотите сбросить несколько условий фильтрации, выполните действия по сбросу каждого из условий фильтрации.

Выбранные фильтры будут сброшены.

В таблице правил запрета отобразятся только правила запрета, соответствующие заданным вами условиям.