Настройка действий по реагированию на угрозы

Чтобы настроить действия по реагированию на угрозы, выполните следующие действия:

1. В главном окне Web Console выберите Устройства → Политики и профили политик.
2. Нажмите на название политики Kaspersky Endpoint Security.

   Откроется окно свойств политики.

3. Выберите закладку Параметры приложения.
4. Перейдите в раздел Detection and Response → Kaspersky Sandbox.
5. В блоке параметров Действие при обнаружении угрозы установите флажки для следующих параметров:
   • Копию поместить на карантин, объект удалить. Если выбран этот вариант действия, то Kaspersky Endpoint Security удаляет вредоносный объект, обнаруженный на компьютере. Перед удалением объекта Kaspersky Endpoint Security формирует его резервную копию на тот случай, если впоследствии понадобится восстановить объект. Kaspersky Endpoint Security помещает резервную копию на карантин.
   • Запускать проверку важных областей. Если выбран этот вариант действия, то Kaspersky Endpoint Security запускает задачу Проверка важных областей. По умолчанию Kaspersky Endpoint Security проверяет память ядра, запущенные процессы и загрузочные секторы.
   • Создать задачу поиска IOC. Если выбран этот вариант действия, то Kaspersky Endpoint Security автоматически создает задачу Поиск IOC (автономная задача поиска IOC). Вы можете настроить режим запуска задачи, область поиска и действие при обнаружении IOC: удалить объект, запустить задачу Проверка важных областей. Для настройки других параметров задачи Поиск IOC перейдите в свойства задачи.

     Если вы хотите выключить действия по реагированию на угрозы, снимите флажки для параметров, которые хотите выключить.

6. Чтобы настроить действия Kaspersky Endpoint Security при обнаружении IOC, установите флажки для следующих параметров:
   • Если обнаружен IOC, копию поместить на карантин, объект удалить.

     При обнаружении угрозы на любой из рабочих станций группы администрирования, для которой вы настраиваете политику, Kaspersky Endpoint Security проверяет все рабочие станции этой группы администрирования на наличие объекта, содержащего обнаруженную угрозу. Если на каких-то рабочих станциях этой группы администрирования Kaspersky Endpoint Security найдет объект, содержащий угрозу, копия этого объекта будет помещается на карантин, а объект удаляется с рабочих станций.

   • Если обнаружен IOC, запустить проверку важных областей.

     При обнаружении угрозы на любой из рабочих станций группы администрирования, для которой вы настраиваете политику, Kaspersky Endpoint Security проверяет критические области на всех рабочих станциях этой группы администрирования. Подробнее о настройке параметров проверки см. в Справке Kaspersky Endpoint Security для Windows 11.7.

     Если вы хотите выключить действия Kaspersky Endpoint Security при обнаружении IOC, снимите флажки для параметров, которые хотите выключить.

Действия по реагированию на угрозу будут настроены.