Работа с политиками (правилами запрета)

При работе в веб-интерфейсе приложения пользователи с ролью Старший сотрудник службы безопасности могут управлять правилами запрета запуска файлов и процессов на выбранных хостах с помощью политик. Например, вы можете запретить запуск приложений, использование которых считаете небезопасным, на выбранном хосте с компонентом Endpoint Agent. Приложение идентифицирует файлы по их хешу с помощью алгоритмов хеширования MD5 и SHA256. Вы можете создавать, включать и отключать, удалять и изменять правила запрета. Кроме того, по ссылке с названием алгоритма хеширования в таблице правил запрета вы можете выполнять такие действия по поиску объектов, событий или обнаружений, по которым сработали правила запрета, как Найти события, Найти обнаружения, Найти на TIP или Найти на virustotal.com.

В

режиме распределенного решения

Двухуровневая иерархия серверов с установленными компонентами Central Node, в которой выделяется главный сервер управления – Primary Central Node (PCN) и подчиненные серверы – Secondary Central Node (SCN).

Двухуровневая иерархия серверов с установленными компонентами Central Node, в которой выделяется главный сервер управления – Primary Central Node (PCN) и подчиненные серверы – Secondary Central Node (SCN).

Двухуровневая иерархия серверов с установленными компонентами Central Node, в которой выделяется главный сервер управления – Primary Central Node (PCN) и подчиненные серверы – Secondary Central Node (SCN).

Двухуровневая иерархия серверов с установленными компонентами Central Node, в которой выделяется главный сервер управления – Primary Central Node (PCN) и подчиненные серверы – Secondary Central Node (SCN).

Двухуровневая иерархия серверов с установленными компонентами Central Node, в которой выделяется главный сервер управления – Primary Central Node (PCN) и подчиненные серверы – Secondary Central Node (SCN).

Двухуровневая иерархия серверов с установленными компонентами Central Node, в которой выделяется главный сервер управления – Primary Central Node (PCN) и подчиненные серверы – Secondary Central Node (SCN).

мультитенантности

Режим работы, при котором Kaspersky Anti Targeted Attack Platform используется для защиты инфраструктуры нескольких организаций или филиалов одной организации одновременно.

Режим работы, при котором Kaspersky Anti Targeted Attack Platform используется для защиты инфраструктуры нескольких организаций или филиалов одной организации одновременно.

Режим работы, при котором Kaspersky Anti Targeted Attack Platform используется для защиты инфраструктуры нескольких организаций или филиалов одной организации одновременно.

Режим работы, при котором Kaspersky Anti Targeted Attack Platform используется для защиты инфраструктуры нескольких организаций или филиалов одной организации одновременно.

Режим работы, при котором Kaspersky Anti Targeted Attack Platform используется для защиты инфраструктуры нескольких организаций или филиалов одной организации одновременно.

Режим работы, при котором Kaspersky Anti Targeted Attack Platform используется для защиты инфраструктуры нескольких организаций или филиалов одной организации одновременно.

• Глобальный – созданные на PCN. Действие этих правил запрета распространяется на хосты, подключенные к этому серверу PCN и ко всем серверам SCN, подключенным к этому серверу PCN. Правила запрета относятся к тенанту, в рамках которого пользователь работает в веб-интерфейсе программы.
• Локальный – созданные на сервере SCN. Действие этих правил запрета распространяется только на хосты, подключенные к этому серверу SCN. Правила запрета относятся к тенанту, в рамках которого пользователь работает в веб-интерфейсе программы.

Пользователи с ролью Старший сотрудник службы безопасности могут создавать, редактировать, удалять, включать и отключать, а также импортировать правила запрета в рамках тех тенантов, к данным которых у них есть доступ.

У пользователей с ролью Сотрудник службы безопасности нет доступа к политикам.

Пользователи с ролью Аудитор могут просматривать таблицу правил запрета запуска файлов и процессов, а также информацию о выбранном правиле запрета без возможности редактирования.

Все изменения в правилах запрета применяются на хостах после установки авторизованного соединения с выбранными хостами. Если соединение с хостами отсутствует, на хостах продолжают действовать старые правила запрета. Изменения в правилах запрета не влияют на уже запущенные процессы.

Правила запрета могут быть созданы автоматически на основе предустановленных политик (далее также "предустановок"), добавленных по умолчанию. При включенных предустановках приложение создает правило запрета на основе обнаружения компонента Sandbox со средним или высоким уровнем важности. Созданное правило запрета блокирует запуск файла по его MD5-хешу. Пользователи с ролью Старший сотрудник службы безопасности могут включать и отключать предустановки.

Предустановки не поддерживаются в режиме распределенного решения и мультитенантности.

Для правил запрета, которые были созданы автоматически или импортированы, доступны такие же операции, что и для правил, созданных вручную.

На каждый хеш файла можно создать только одно правило запрета.

Максимальное поддерживаемое количество правил запрета в системе составляет 50 000.

Правила запрета действуют, только когда компонент Endpoint Agent запущен на хосте. Если попытка запуска файла будет совершена до запуска компонента или после завершения работы компонента на хосте, то запуск файла не будет заблокирован.

Управление правилами запрета запуска файлов и процессов на выбранных хостах с помощью политик доступно только при интеграции компонента Endpoint Agent с сервером Central Node и осуществляется только через веб-интерфейс Kaspersky Anti Targeted Attack Platform.

Если в роли компонента Endpoint Agent вы используете Kaspersky Endpoint Security для Windows, вам нужно учитывать, что приложение поддерживает запрет запуска определенного набора расширений файлов офисного формата и набора интерпретаторов скриптов.

Просмотр таблицы правил запрета

Таблица правил запрета находится в разделе Политики окна веб-интерфейса приложения.

В таблице содержится следующая информация:

1. Тип – тип правила в зависимости от режима работы приложения и роли сервера, на котором оно создано:
   • Глобальный – созданные на PCN. Действие этих правил запрета распространяется на хосты, подключенные к этому серверу PCN и ко всем серверам SCN, подключенным к этому серверу PCN. Правила запрета относятся к тенанту, в рамках которого пользователь работает в веб-интерфейсе программы.
   • Локальный – созданные на сервере SCN. Действие этих правил запрета распространяется только на хосты, подключенные к этому серверу SCN. Правила запрета относятся к тенанту, в рамках которого пользователь работает в веб-интерфейсе программы.
2. Имя – имя правила запрета.
3. Автор – имя пользователя, под учетной записью которого было создано правило.
4. Хеш файла – алгоритм хеширования, применяющийся для идентификации файла.

   Идентификация файла может осуществляться по одному из следующих алгоритмов хеширования:

   • MD5.
   • SHA256.

   По ссылке с названием алгоритма хеширования раскрывается список, в котором вы можете посмотреть хеш файла, а также выбрать одно из следующих действий:

   • Добавить в фильтр.
   • Исключить из фильтра.
   • Найти на TIP

     Информационная система "Лаборатории Касперского". Содержит и отображает информацию о репутации файлов и URL-адресов.

     Информационная система "Лаборатории Касперского". Содержит и отображает информацию о репутации файлов и URL-адресов.

     .
   • Найти на virustotal.com (для SHA256).
   • Найти события.

     В результате выполнения этого действия откроется раздел Поиск угроз с событиями, уже отфильтрованными по выбранному вами хешу.

   • Найти обнаружения.

     В результате выполнения этого действия откроется раздел Обнаружения с обнаружениями, уже отфильтрованными по выбранному вами хешу.

   • Включить правило запрета.
   • Отключить правило запрета.
   • Удалить правило запрета.
   • Скопировать значение в буфер.
5. Серверы – имена серверов с ролью PCN или SCN, на которые распространяется правило запрета.

   Поле отображается, если вы используете режим распределенного решения и мультитенантности.

6. Хосты – имя сервера с компонентом Central Node, на хосты которого распространяется правило запрета.

   Поле отображается, только когда вы используете отдельный сервер Central Node.

7. Состояние – текущее состояние правила запрета.

   Правило запрета может находиться в одном из следующих состояний:

   • Включено.
   • Выключено.

Настройка отображения таблицы правил запрета

Вы можете настроить отображение столбцов, а также порядок их следования в таблице правил запрета.

Чтобы настроить отображение таблицы правил запрета:

1. В окне веб-интерфейса приложения выберите раздел Политики.

   Откроется таблица правил запрета.

2. В заголовочной части таблицы нажмите на кнопку .

   Отобразится окно Настройка таблицы.

3. Если вы хотите включить отображение столбца в таблице, установите флажок рядом с названием того параметра, который должен отображаться в таблице.

   Если вы не хотите, чтобы параметр отображался в таблице, снимите флажок.

   Должен быть установлен хотя бы один флажок.

4. Если вы хотите изменить порядок отображения столбцов в таблице, наведите курсор мыши на строку с нужным параметром, нажмите на кнопку и переместите строку с параметром в нужное место.
5. Если вы хотите восстановить параметры отображения таблицы по умолчанию, нажмите на ссылку По умолчанию.
6. Нажмите на кнопку Применить.

Отображение таблицы правил запрета будет настроено.

Просмотр правила запрета

Чтобы просмотреть правило запрета:

1. В окне веб-интерфейса приложения выберите раздел Политики.

   Откроется таблица правил запрета.

2. Выберите правило запрета, которое вы хотите просмотреть.

Правило запрета содержит следующую информацию:

• События – ссылка, по которой открывается раздел Поиск угроз с условием поиска, содержащим выбранное вами правило запрета.
• Состояние – текущее состояние правила запрета.

  Правило запрета может находиться в одном из следующих состояний:

  • Включено.
  • Выключено.
• Закладка Сведения со следующей информацией:
  • MD5/SHA256 – хеш файла, запрещенного к запуску.

    По ссылке MD5/SHA256 раскрывается список, в котором вы можете выбрать одно из следующих действий:

    • Найти на TIP.
    • Найти события.
    • Найти обнаружения.
    • Скопировать значение в буфер.
  • Имя – имя правила запрета или файла, запрещенного к запуску.
  • Тип – тип правила в зависимости от режима работы приложения и роли сервера, на котором оно создано:
    • Глобальный – созданные на PCN. Действие этих правил запрета распространяется на хосты, подключенные к этому серверу PCN и ко всем серверам SCN, подключенным к этому серверу PCN. Правила запрета относятся к тенанту, в рамках которого пользователь работает в веб-интерфейсе программы.
    • Локальный – созданные на сервере SCN. Действие этих правил запрета распространяется только на хосты, подключенные к этому серверу SCN. Правила запрета относятся к тенанту, в рамках которого пользователь работает в веб-интерфейсе программы.
  • Уведомление – состояние параметра Показывать пользователю уведомление о блокировке запуска файла.
  • Запрет для – список хостов, на которые распространяется правило запрета.

    Если запрет действует на всех хостах, отображается надпись Всех хостов.

• Закладка Журнал изменений содержит список изменений запрета: время изменения, имя пользователя, изменившего запрет, и действия над запретом.

Создание правила запрета

Чтобы создать правило запрета:

1. В окне веб-интерфейса приложения выберите раздел Политики.

   Откроется таблица правил запрета.

2. Нажмите на кнопку Добавить.
3. Выберите Создать правило.

   Откроется окно создания правила запрета.

4. Задайте значения следующих параметров:
   1. Состояние – состояние правила запрета:
      • Если вы хотите включить правило запрета, переведите переключатель в положение Вкл.
      • Если вы хотите отключить правило запрета, переведите переключатель в положение Откл.
   2. MD5/SHA256 – MD5- или SHA256-хеш файла или
      потока данных

      Потоки данных файловой системы NTFS (alternate data streams), предназначенные для размещения дополнительных атрибутов или информации к файлу.

      Каждый файл в файловой системе NTFS представляет собой набор потоков (streams). В одном из них находится содержимое файла, которое мы сможем увидеть, открыв файл, остальные (альтернативные) предназначены для размещения метаинформации и обеспечивают, например, совместимость системы NTFS с другими системами, такими как старая файловая система Macintosh – Hierarchical File System (HFS). Потоки можно создавать, удалять, сохранять отдельно, переименовывать и даже запускать как процесс.

      Альтернативные потоки могут использоваться злоумышленниками для скрытой передачи или получения данных с компьютера.

      , запуск которого вы хотите запретить.
   3. Имя – имя правила запрета.
   4. Если вы хотите, чтобы приложение выводило уведомление о срабатывании правила запрета пользователю компьютера, на который распространяется запрет, установите флажок Показывать пользователю уведомление о блокировке запуска файла.

      Если вы установили флажок Показывать пользователю уведомление о блокировке запуска файла, при попытке запуска запрещенного файла пользователю будет показано уведомление о том, что сработало правило запрета запуска этого файла.

   5. Запрет для – область применения правила запрета:
      • Если вы хотите применить правило запрета на всех хостах всех серверов, выберите вариант Всех хостов.
      • Если вы хотите применить правило запрета на выбранных серверах, выберите вариант Выбранных серверов и справа от названия параметра Серверы установите флажки рядом с теми именами серверов, на которых вы хотите применить правило запрета.

        Этот вариант доступен только при включенном режиме распределенного решения и мультитенантности.

      • Если вы хотите применить правило запрета на выбранных хостах, выберите вариант Выбранных хостов и перечислите эти хосты в поле Хосты.

      Если в роли компонента Endpoint Agent вы используете приложение Kaspersky Endpoint Security для Linux, функция создания правила запрета недоступна. Если при создании правила запрета в качестве области применения правила вы выберете хост с приложением Kaspersky Endpoint Security для Linux или все хосты, правило запрета не будет применено или будет применено только к хостам с приложениями Kaspersky Endpoint Agent для Windows и Kaspersky Endpoint Security для Windows.

5. Нажмите на кнопку Добавить.

Будет создан запрет на запуск файла.

Вы также можете импортировать правила запрета.

Для пользователей с ролью Аудитор функция создания правила запрета на запуск файла недоступна.

У пользователей с ролью Сотрудник службы безопасности нет доступа к правилам запрета.

Импорт правил запрета

Вы можете импортировать файл с MD5- и SHA256-хешами файлов, запуск которых хотите запретить. Для каждого хеша Kaspersky Anti Targeted Attack Platform создаст отдельное правило запрета.

Максимальный размер импортируемого файла - 10 МБ. На одной строке должен располагаться только один хеш.

Чтобы импортировать правила запрета:

1. В окне веб-интерфейса приложения выберите раздел Политики.

   Откроется таблица правил запрета.

2. Нажмите на кнопку Добавить.
3. Выберите Импортировать правила.

   Откроется окно импорта правил запрета.

4. Задайте значения следующих параметров:
   1. Состояние – состояние правила запрета:
      • Если вы хотите включить все импортированные правила запрета, переведите переключатель в положение Вкл.
      • Если вы хотите отключить все импортированные правила запрета, переведите переключатель в положение Откл.
   2. Если вы хотите, чтобы приложение выводило уведомление о срабатывании правил запрета пользователю компьютера, на который распространяется запрет, установите флажок Показывать пользователю уведомление о блокировке запуска файла.

   Поле Запрет для недоступно для редактирования. По умолчанию правила запрета, созданные на сервере PCN, распространяются на все хосты, подключенные к этому серверу PCN и ко всем серверам SCN, подключенным к этому серверу PCN (если вы используете режим распределенного решения и мультитенантности).

5. Загрузите файл с хешами файлов, для которых вы хотите создать правила запрета, с помощью кнопки Обзор.

   Откроется окно выбора файлов.

6. Выберите файл, который вы хотите загрузить, и нажмите на кнопку Открыть.

   Окно выбора файлов закроется.

7. Нажмите на кнопку Добавить.

Правила будут импортированы.

Для пользователей с ролью Аудитор функция импорта правил запрета на запуск файла недоступна.

У пользователей с ролью Сотрудник службы безопасности нет доступа к правилам запрета.

Включение и отключение правила запрета

Чтобы включить или отключить правило запрета:

1. В окне веб-интерфейса приложения выберите раздел Политики.

   Откроется таблица правил запрета.

2. В строке с правилом запрета, которое вы хотите включить или отключить, в столбце Состояние выполните одно из следующих действий:
   • Если вы хотите включить правило запрета, переведите переключатель в положение Включено.

     Выбранное вами правило запрета будет включено.

   • Если вы хотите отключить правило запрета, переведите переключатель в положение Выключено.

     Выбранное вами правило запрета будет отключено.

Для пользователей с ролью Аудитор функция включения и отключения правил запрета недоступна.

У пользователей с ролью Сотрудник службы безопасности нет доступа к правилам запрета запуска файлов и процессов на выбранных хостах с помощью политик.

Включение и отключение предустановок

Чтобы включить или отключить предустановки:

1. В окне веб-интерфейса приложения выберите раздел Политики.

   Откроется таблица правил запрета.

2. Выберите закладку Предустановки.
3. В строке с предустановкой, которую вы хотите включить или отключить, в столбце Состояние переведите переключатель в положение Включено или Выключено.

Предустановка будет включена или отключена. При отключении предустановки все ранее автоматически созданные правила запрета сохранятся.

Удаление правил запрета

Вы можете удалить одно или несколько правил запрета, а также все правила запрета сразу.

Чтобы удалить одно правило запрета:

1. В окне веб-интерфейса приложения выберите раздел Политики.

   Откроется таблица правил запрета.

2. Нажмите на правило запрета, которое вы хотите удалить.

   Откроется окно сведений о правиле запрета.

3. Нажмите на кнопку Удалить.

   Откроется окно подтверждения действия.

4. Нажмите на кнопку Да.

Правило запрета будет удалено.

Чтобы удалить все или несколько правил запрета:

1. В окне веб-интерфейса приложения выберите раздел Политики.

   Откроется таблица правил запрета.

2. Установите флажки напротив правил запрета, которые вы хотите удалить.

   Вы можете выбрать все правила запрета, установив флажок в строке с заголовками столбцов.

3. В панели управления в нижней части окна нажмите на кнопку Удалить.

   Откроется окно подтверждения действия.

4. Нажмите на кнопку Да.

Выбранные правила запрета будут удалены.

Для пользователей с ролью Аудитор функция удаления правил запрета недоступна.

У пользователей с ролью Сотрудник службы безопасности нет доступа к правилам запрета запуска файлов и процессов на выбранных хостах с помощью политик.

Фильтрация правил запрета по имени

Чтобы отфильтровать правила запрета по имени:

1. В окне веб-интерфейса приложения выберите раздел Политики.

   Откроется таблица правил запрета.

2. По ссылке Имя откройте меню фильтрации запретов.
3. В раскрывающемся списке выберите один из следующих операторов фильтрации запретов:
   • Содержит.
   • Не содержит.
4. В поле ввода укажите один или несколько символов имени правила запрета.
5. Если вы хотите добавить условие фильтрации по другому критерию, нажмите на кнопку и выполните действия по указанию условия фильтрации.
6. Нажмите на кнопку Применить.

В таблице правил запрета отобразятся только правила запрета, соответствующие заданным вами условиям.

Вы можете использовать несколько фильтров одновременно.

Фильтрация правил запрета по типу

Если вы используете режим распределенного решения и мультитенантности, вы можете отфильтровать правила запрета по их типу.

Чтобы отфильтровать правила запрета по типу:

1. В окне веб-интерфейса приложения выберите раздел Политики.

   Откроется таблица правил запрета.

2. По ссылке Тип откройте меню фильтрации правил запрета.
3. Выберите один из следующих вариантов отображения правил запрета:
   • Все, если вы хотите, чтобы отображались все правила запрета независимо от типа.
   • Глобальный, если вы хотите, чтобы отображались только правила запрета, созданные на PCN. Действие этих правил запрета распространяется на хосты, подключенные к этому серверу PCN и ко всем серверам SCN, подключенным к этому серверу PCN. Правила запрета относятся к тенанту, в рамках которого пользователь работает в веб-интерфейсе приложения.
   • Локальный, если вы хотите, чтобы отображались только правила запрета, созданные на сервере SCN. Действие этих правил запрета распространяется только на хосты, подключенные к этому серверу SCN. Правила запрета относятся к тенанту, в рамках которого пользователь работает в веб-интерфейсе приложения.

В таблице правил запрета отобразятся только правила запрета, соответствующие заданным вами условиям.

Вы можете использовать несколько фильтров одновременно.

Фильтрация правил запрета по хешу файла

Чтобы отфильтровать правила запрета по хешу файла:

1. В окне веб-интерфейса приложения выберите раздел Политики.

   Откроется таблица правил запрета.

2. По ссылке Хеш файла откройте меню фильтрации правил запрета.
3. В раскрывающемся списке выберите один из следующих операторов фильтрации запретов:
   • Содержит.
   • Не содержит.
4. В поле ввода укажите один или несколько символов хеша файла.
5. Если вы хотите добавить условие фильтрации по другому критерию, нажмите на кнопку и выполните действия по указанию условия фильтрации.
6. Нажмите на кнопку Применить.

В таблице правил запрета отобразятся только правила запрета, соответствующие заданным вами условиям.

Вы можете использовать несколько фильтров одновременно.

Фильтрация правил запрета по имени сервера

Если вы используете режим распределенного решения и мультитенантности, вы можете отфильтровать правила запрета по серверам, на которые распространяется действие правил запрета.

Чтобы отфильтровать правила запрета по имени сервера:

1. В окне веб-интерфейса приложения выберите раздел Политики.

   Откроется таблица правил запрета.

2. По ссылке Серверы откройте меню фильтрации правил запрета.
3. Установите флажки напротив тех серверов, по которым вы хотите отфильтровать правила запрета.
4. Нажмите на кнопку Применить.

В таблице правил запрета отобразятся только правила запрета, соответствующие заданным вами условиям.

Вы можете использовать несколько фильтров одновременно.

Сброс фильтра правил запрета

Чтобы сбросить фильтр правил запрета по одному или нескольким условиям фильтрации:

1. В окне веб-интерфейса приложения выберите раздел Политики.

   Откроется таблица правил запрета.

2. Нажмите на кнопку справа от того заголовка столбца таблицы правил запрета, условия фильтрации по которому вы хотите сбросить.

   Если вы хотите сбросить несколько условий фильтрации, выполните действия по сбросу каждого из условий фильтрации.

Выбранные фильтры будут сброшены.

В таблице правил запрета отобразятся только правила запрета, соответствующие заданным вами условиям.