Настройка действий Kaspersky Endpoint Agent по реагированию на угрозы, обнаруженные Kaspersky Sandbox
12 августа 2022
ID 189425
Kaspersky Endpoint Agent может выполнять действия по реагированию на угрозы, обнаруженные Kaspersky Sandbox.
Вы можете настроить действия следующих типов:
- Локальные – действия, которые будут выполняться на каждой рабочей станции, на которой обнаружена угроза.
- Групповые – действия, которые будут выполняться на всех рабочих станциях группы администрирования, для которой вы настраиваете политику.
Локальные действия:
- Поместить на карантин и удалить.
При обнаружении угрозы на рабочей станции копия объекта, содержащего угрозу, будет помещена на карантин, а объект будет удален с рабочей станции.
- Уведомить пользователя устройства.
При обнаружении угрозы на устройстве пользователю устройства будет показано уведомление об обнаруженной угрозе.
Уведомление отображается, если устройство работает под учетной записью пользователя, под которой была обнаружена угроза. Если устройство выключено или выполнен вход под другой учетной записью, уведомление не отображается.
- Запустить проверку EPP важных областей на устройстве.
При обнаружении угрозы на хосте Kaspersky Endpoint Agent отправляет команду программе EPP на выполнение проверки важных областей этого устройства. К важным областям относится память ядра, объекты, загружаемые при запуске операционной системы, и загрузочные секторы жесткого диска. Подробнее о настройке параметров проверки см. в документации к используемой EPP.
Групповые действия:
- Запустить Поиск IOC на управляемой группе устройств.
При обнаружении угрозы на любом из устройств группы администрирования, для которой вы настраиваете политику, Kaspersky Endpoint Agent проверяет все устройства этой группы администрирования на наличие объекта, содержащего обнаруженную угрозу.
- Поместить на карантин и удалить при обнаружении IOC.
При обнаружении угрозы на любом из устройств группы администрирования, для которой вы настраиваете политику, Kaspersky Endpoint Agent проверяет все устройства этой группы администрирования на наличие объекта, содержащего обнаруженную угрозу. При обнаружении объекта, содержащего угрозу, на каких-либо устройствах этой группы администрирования копия этого объекта будет помещена на карантин, а объект будет удален с устройств.
- Выполнять проверку EPP важных областей на устройстве при обнаружении IOC.
При обнаружении угрозы на любом из устройств группы администрирования, для которой вы настраиваете политику, Kaspersky Endpoint Agent отправляет команду программе EPP на выполнение проверки важных областей на всех устройствах этой группы администрирования, на которых обнаружен объект, содержащий угрозу. Подробнее о настройке параметров проверки см. в документации к используемой EPP.
Для настройки групповых действий по реагированию на угрозы вам требуется настроить права пользователей Kaspersky Security Center Web Console, под учетными записями которых вы хотите управлять задачами поиска IOC.
При настройке действий по реагированию на угрозы учитывайте, что в результате выполнения некоторых из настроенных действий объект, содержащий угрозу, может быть удален с рабочей станции, на которой он был обнаружен.
