Kaspersky Anti Targeted Attack (KATA) Platform

Автоматическая отправка файлов с хостов с компонентом Endpoint Agent на проверку в Sandbox по правилам TAA (IOA) "Лаборатории Касперского"

14 мая 2024

ID 226232

Если функция включена, приложение может автоматически отправлять файлы с хостов с компонентом Endpoint Agent на проверку компоненту Sandbox в соответствии с правилами TAA (IOA) "Лаборатории Касперского". Отправка файлов на проверку осуществляется по следующему принципу:

  1. Kaspersky Anti Targeted Attack Platform проверяет базу событий и отмечает события, соответствующие правилам TAA (IOA).
  2. При наличии соответствующих условий в правилах TAA (IOA), Kaspersky Anti Targeted Attack Platform отправляет файлы на проверку компоненту Sandbox.

    Запросы на отправку файлов на проверку компоненту Sandbox не отображаются в веб-интерфейсе Kaspersky Anti Targeted Attack Platform.

  3. По результатам проверки приложение может записать обнаружения в базу обнаружений.

    Вы можете просмотреть созданные обнаружения, отфильтровав их по показателю СведенияАвтоотправка в Sandbox.

При включении автоматической отправки файлов на проверку компоненту Sandbox объем обрабатываемого компонентом трафика может значительно увеличиться. Если сервер с компонентом Sandbox не рассчитан на увеличение нагрузки, часть объектов из очереди запросов на обработку будет заменена запросами на обработку файлов, отправленных на проверку автоматически.

Чтобы избежать потери объектов из очереди запросов на обработку, вы можете выполнить следующие действия:

Список файлов, которые могут быть отправлены автоматически на проверку компоненту Sandbox, приведен в таблице ниже.

Список файлов, которые могут быть отправлены автоматически на проверку компоненту Sandbox

Тип события

Тип файла

Запущен процесс

Файл запущенного процесса и файл родительского процесса.

Загружен модуль

Файл загруженного модуля и файл родительского процесса.

Удаленное соединение

Файл родительского процесса.

Правило запрета

Файл приложения, запуск которого был заблокирован, и файл родительского процесса.

Заблокирован документ

Файл документа, запуск которого был заблокирован, и файл родительского процесса.

Изменен файл

Созданный, удаленный или измененный файл и файл родительского процесса.

Журнал событий ОС

Файл процесса (только для Linux).

Изменение в реестре

Файл родительского процесса.

Прослушан порт

Файл родительского процесса.

Загружен драйвер

Файл загруженного драйвера.

Обнаружение

Обнаруженный файл и файл родительского процесса (если есть).

Результат обработки обнаружения

Обнаруженный файл и файл родительского процесса (если есть).

AMSI-проверка

Файл процесса.

Интерпретированный запуск файла

Файла, который был запущен, и файл родительского процесса.

Интерактивный ввод команд в консоли

Файл родительского процесса.

Информация о файлах, отправленных на проверку компоненту Sandbox, не отображаются в веб-интерфейсе Kaspersky Anti Targeted Attack Platform.

В этом разделе

Включение и отключение автоматической отправки файлов с хостов с компонентом Endpoint Agent на проверку компоненту Sandbox

Вам помогла эта статья?
Что нам нужно улучшить?
Спасибо за ваш отзыв, вы помогаете нам становиться лучше!
Спасибо за ваш отзыв, вы помогаете нам становиться лучше!