Автоматическая отправка файлов с хостов с компонентом Endpoint Agent на проверку в Sandbox по правилам TAA (IOA) "Лаборатории Касперского"

Если функция включена, приложение может автоматически отправлять файлы с хостов с компонентом Endpoint Agent на проверку компоненту Sandbox в соответствии с правилами TAA (IOA) "Лаборатории Касперского". Отправка файлов на проверку осуществляется по следующему принципу:

1. Kaspersky Anti Targeted Attack Platform проверяет базу событий и отмечает события, соответствующие правилам TAA (IOA).
2. При наличии соответствующих условий в правилах TAA (IOA), Kaspersky Anti Targeted Attack Platform отправляет файлы на проверку компоненту Sandbox.

   Запросы на отправку файлов на проверку компоненту Sandbox не отображаются в веб-интерфейсе Kaspersky Anti Targeted Attack Platform.

3. По результатам проверки приложение может записать обнаружения в базу обнаружений.

   Вы можете просмотреть созданные обнаружения, отфильтровав их по показателю Сведения – Автоотправка в Sandbox.

При включении автоматической отправки файлов на проверку компоненту Sandbox объем обрабатываемого компонентом трафика может значительно увеличиться. Если сервер с компонентом Sandbox не рассчитан на увеличение нагрузки, часть объектов из очереди запросов на обработку будет заменена запросами на обработку файлов, отправленных на проверку автоматически.

Чтобы избежать потери объектов из очереди запросов на обработку, вы можете выполнить следующие действия:

• Развернуть дополнительные серверы Sandbox.
• Отключить функцию автоматической отправки файлов на проверку компоненту Sandbox.
• Добавить в исключения правила TAA (IOA), по которым Kaspersky Anti Targeted Attack Platform наиболее часто отправляет файлы на проверку компоненту Sandbox.

  Информация о правилах, по которым Kaspersky Anti Targeted Attack Platform наиболее часто отправляет файлы на проверку компоненту Sandbox, отображается на виджете Отправлено в Sandbox по правилам TAA. Вы можете добавить этот виджет на текущую схему расположения виджетов.

  При добавлении правила в исключения прекращается также разметка событий и создание обнаружений по этому правилу.

Список файлов, которые могут быть отправлены автоматически на проверку компоненту Sandbox, приведен в таблице ниже.

Список файлов, которые могут быть отправлены автоматически на проверку компоненту Sandbox

Информация о файлах, отправленных на проверку компоненту Sandbox, не отображаются в веб-интерфейсе Kaspersky Anti Targeted Attack Platform.

Включение и отключение автоматической отправки файлов с хостов с компонентом Endpoint Agent на проверку компоненту Sandbox

Чтобы включить или отключить автоматическую отправку файлов на проверку компоненту Sandbox по правилам TAA (IOA) "Лаборатории Касперского":

1. В окне веб-интерфейса приложения выберите раздел Параметры, подраздел Endpoint Agents.
2. В блоке параметров Автоматическая отправка файлов в Sandbox выполните следующие действия:
   • Установите флажок Отправлять файлы, если хотите включить автоматическую отправку файлов.

     По умолчанию функция включена.

   • Снимите флажок Отправлять файлы, если хотите отключить автоматическую отправку файлов.

     Отключение функции не влияет на работу правил TAA (IOA): будет отключена только автоматическая отправка файлов.

3. Нажмите на кнопку Применить.

Автоматическая отправка файлов на проверку компоненту Sandbox по правилам TAA (IOA) "Лаборатории Касперского" будет включена или отключена.

В

режиме распределенного решения

Двухуровневая иерархия серверов с установленными компонентами Central Node, в которой выделяется главный сервер управления – Primary Central Node (PCN) и подчиненные серверы – Secondary Central Node (SCN).

мультитенантности

Режим работы, при котором Kaspersky Anti Targeted Attack Platform используется для защиты инфраструктуры нескольких организаций или филиалов одной организации одновременно.