根据 Kaspersky TAA (IOA) 规则自动从 Kaspersky Endpoint Agent 主机发送文件以供沙箱组件扫描
如果启用了此功能,应用程序可以自动从具有端点代理组件的主机发送文件,以便根据 Kaspersky TAA (IOA) 规则使用沙箱组件进行扫描。文件发送按照以下原则:
- Kaspersky Anti Targeted Attack Platform 检查事件数据库并标记与 TAA (IOA) 规则匹配的事件。
- 如果在 TAA (IOA) 规则中找到相关条件,Kaspersky Anti Targeted Attack Platform 将发送文件供沙箱组件进行扫描。
沙箱组件扫描文件的请求不会显示在 Kaspersky Anti Targeted Attack Platform Web 界面中。
- 根据扫描结果,应用程序可以将警报添加到警报数据库中。
您可以通过按照详细信息–自动发送到 Sandbox属性筛选警报来查看以此方式创建的警报。
如果启用了自动发送供沙箱组件扫描的文件,组件处理的流量会变得非常大。如果沙箱组件服务器无法支持增加的负载,处理请求队列中的某些对象将被替换为被自动发送进行扫描的处理文件请求。
为了避免从处理请求队列中掉落对象,您可以:
- 部署额外的沙箱服务器。
- 禁用自动发送要由沙箱组件扫描的文件。
- 将最常导致 Kaspersky Anti Targeted Attack Platform 发送文件以供沙箱组件进行扫描的 TAA (IOA) 规则添加到排除项中。
有关 Kaspersky Anti Targeted Attack Platform发送文件以供沙箱组件进行扫描的最常用规则的信息显示在按 TAA 规则发送到 Sandbox小组件中。您可以将此小组件添加到当前布局中。
下表列出了可以自动发送供沙箱组件进行扫描的文件。
可以自动发送供沙箱组件进行扫描的文件列表
事件类型 | 文件类型 |
|---|---|
进程已启动 | 已启动进程的文件及其父进程的文件。 |
模块已加载 | 已加载模块的文件及其父进程的文件。 |
到远程主机的连接 | 父进程文件。 |
阻止的应用程序(防止规则) | 被阻止运行的应用程序的文件及其父进程的文件。 |
文件已阻止 | 被阻止运行的文档的文件及其父进程的文件。 |
文件已更改 | 已创建、删除或修改的文件和父进程的文件。 |
系统事件日志 | 进程文件(仅适用于 Linux)。 |
注册表已修改 | 父进程文件。 |
监听的端口 | 父进程文件。 |
驱动程序已加载 | 加载的驱动程序的文件。 |
扫描: 检测 | 检测到的文件及其父进程的文件(如果有)。 |
扫描: 检测处理结果 | 检测到的文件及其父进程的文件(如果有)。 |
AMSI 扫描 | 进程的文件。 |
过程: 解释文件运行 | 已启动的文件及其父进程的文件。 |
过程: 控制台交互式输入 | 父进程文件。 |
有关被发送供沙箱组件进行扫描的文件的信息不显示在 Kaspersky Anti Targeted Attack Platform Web 界面中。