Kaspersky Anti Targeted Attack (KATA) Platform

Работа с политиками (правилами запрета)

14 мая 2024

ID 247413

При работе в веб-интерфейсе приложения пользователи с ролью Старший сотрудник службы безопасности могут управлять правилами запрета запуска файлов и процессов на выбранных хостах с помощью политик. Например, вы можете запретить запуск приложений, использование которых считаете небезопасным, на выбранном хосте с компонентом Endpoint Agent. Приложение идентифицирует файлы по их хешу с помощью алгоритмов хеширования MD5 и SHA256. Вы можете создавать, включать и отключать, удалять и изменять правила запрета. Кроме того, по ссылке с названием алгоритма хеширования в таблице правил запрета вы можете выполнять такие действия по поиску объектов, событий или обнаружений, по которым сработали правила запрета, как Найти события, Найти обнаружения, Найти на TIP или Найти на virustotal.com.

В режиме распределенного решения и мультитенантности правила запрета могут быть следующих типов:

  • Глобальный – созданные на PCN. Действие этих правил запрета распространяется на хосты, подключенные к этому серверу PCN и ко всем серверам SCN, подключенным к этому серверу PCN. Правила запрета относятся к тенанту, в рамках которого пользователь работает в веб-интерфейсе программы.
  • Локальный – созданные на сервере SCN. Действие этих правил запрета распространяется только на хосты, подключенные к этому серверу SCN. Правила запрета относятся к тенанту, в рамках которого пользователь работает в веб-интерфейсе программы.

Пользователи с ролью Старший сотрудник службы безопасности могут создавать, редактировать, удалять, включать и отключать, а также импортировать правила запрета в рамках тех тенантов, к данным которых у них есть доступ.

У пользователей с ролью Сотрудник службы безопасности нет доступа к политикам.

Пользователи с ролью Аудитор могут просматривать таблицу правил запрета запуска файлов и процессов, а также информацию о выбранном правиле запрета без возможности редактирования.

Все изменения в правилах запрета применяются на хостах после установки авторизованного соединения с выбранными хостами. Если соединение с хостами отсутствует, на хостах продолжают действовать старые правила запрета. Изменения в правилах запрета не влияют на уже запущенные процессы.

Правила запрета могут быть созданы автоматически на основе предустановленных политик (далее также "предустановок"), добавленных по умолчанию. При включенных предустановках приложение создает правило запрета на основе обнаружения компонента Sandbox со средним или высоким уровнем важности. Созданное правило запрета блокирует запуск файла по его MD5-хешу. Пользователи с ролью Старший сотрудник службы безопасности могут включать и отключать предустановки.

Предустановки не поддерживаются в режиме распределенного решения и мультитенантности.

Для правил запрета, которые были созданы автоматически или импортированы, доступны такие же операции, что и для правил, созданных вручную.

На каждый хеш файла можно создать только одно правило запрета.

Максимальное поддерживаемое количество правил запрета в системе составляет 50 000.

Правила запрета действуют, только когда компонент Endpoint Agent запущен на хосте. Если попытка запуска файла будет совершена до запуска компонента или после завершения работы компонента на хосте, то запуск файла не будет заблокирован.

Управление правилами запрета запуска файлов и процессов на выбранных хостах с помощью политик доступно только при интеграции компонента Endpoint Agent с сервером Central Node и осуществляется только через веб-интерфейс Kaspersky Anti Targeted Attack Platform.

Если в роли компонента Endpoint Agent вы используете Kaspersky Endpoint Security для Windows, вам нужно учитывать, что приложение поддерживает запрет запуска определенного набора расширений файлов офисного формата и набора интерпретаторов скриптов.

В этом разделе

Просмотр таблицы правил запрета

Настройка отображения таблицы правил запрета

Просмотр правила запрета

Создание правила запрета

Импорт правил запрета

Включение и отключение правила запрета

Включение и отключение предустановок

Удаление правил запрета

Фильтрация правил запрета по имени

Фильтрация правил запрета по типу

Фильтрация правил запрета по хешу файла

Фильтрация правил запрета по имени сервера

Сброс фильтра правил запрета

Вам помогла эта статья?
Что нам нужно улучшить?
Спасибо за ваш отзыв, вы помогаете нам становиться лучше!
Спасибо за ваш отзыв, вы помогаете нам становиться лучше!