Настройка действий Kaspersky Endpoint Security по реагированию на угрозы, обнаруженные Kaspersky Sandbox
12 августа 2022
ID 219798
Kaspersky Endpoint Security может выполнять действия по реагированию на угрозы, обнаруженные Kaspersky Sandbox.
Вы можете настроить действия следующих типов:
- Локальные – действия, которые будут выполняться на каждой рабочей станции, на которой обнаружена угроза.
- Групповые – действия, которые будут выполняться на всех рабочих станциях группы администрирования, для которой вы настраиваете политику.
Локальные действия:
- Копию поместить на карантин, объект удалить.
При обнаружении угрозы на рабочей станции копия объекта, содержащего угрозу, будет помещена на карантин, а объект будет удален с рабочей станции.
- Запустить проверку важных областей.
При обнаружении угрозы на рабочей станции Kaspersky Endpoint Security проверяет критические области этой рабочей станции. К критическим областям относятся память ядра, объекты, загружаемые при запуске операционной системы, и загрузочные секторы жесткого диска. Подробнее о настройке параметров проверки см. в Справке Kaspersky Endpoint Security для Windows.
Групповые действия:
- Создать задачу поиска IOC.
При обнаружении угрозы на любой из рабочих станций группы администрирования, для которой вы настраиваете политику, Kaspersky Endpoint Security проверяет все рабочие станции этой группы администрирования на наличие объекта, содержащего обнаруженную угрозу.
- Если обнаружен IOC, копию поместить на карантин, объект удалить.
При обнаружении угрозы на любой из рабочих станций группы администрирования, для которой вы настраиваете политику, Kaspersky Endpoint Security проверяет все рабочие станции этой группы администрирования на наличие объекта, содержащего обнаруженную угрозу. Если на каких-то рабочих станциях этой группы администрирования Kaspersky Endpoint Security находит объект, содержащий угрозу, копия этого объекта будет помещается на карантин, а объект удаляется с рабочих станций.
- Если обнаружен IOC, запустить проверку важных областей.
При обнаружении угрозы на любой из рабочих станций группы администрирования, для которой вы настраиваете политику, Kaspersky Endpoint Security проверяет критические области на всех рабочих станциях этой группы администрирования. Подробнее о настройке параметров проверки см. в справке Kaspersky Endpoint Security для Windows.
Для настройки групповых действий по реагированию на угрозы вам требуется настроить права пользователей Kaspersky Security Center Web Console, под учетными записями которых вы хотите управлять задачами поиска IOC.
При настройке действий по реагированию на угрозы учитывайте, что в результате выполнения некоторых из настроенных действий объект, содержащий угрозу, может быть удален с рабочей станции, на которой он был обнаружен.
