Работа с пользовательскими правилами Sandbox

Пользователи с ролями Старший сотрудник службы безопасности и Администратор могут создать правила для проверки файлов и URL-адресов в пользовательских средах. Если правила не добавлены, объекты не отправляются на проверку.

Вы можете создавать, редактировать, удалять, включать и отключать правила. Правила для проверки файлов можно также импортировать и экспортировать.

Для отправки объектов на проверку в преднастроенных образах правила создавать не требуется. Kaspersky Anti Targeted Attack Platform по умолчанию отправляет на проверку объекты, которые требуется проверить.

В режиме распределенного решения вам нужно создать правила для проверки файлов в пользовательских средах на каждом сервере PCN и SCN, с которого вы хотите отправлять файлы на проверку.

Пользователи с ролью Аудитор могут просматривать список правил. Для пользователей с ролью Сотрудник службы безопасности просмотр раздела недоступен.

Просмотр таблицы пользовательских правил Sandbox

Чтобы просмотреть таблицу пользовательских правил Sandbox:

1. В окне веб-интерфейса приложения выберите раздел Пользовательские правила, подраздел Sandbox.
2. Откройте вкладку Файлы или URL-адреса.

Отобразится таблица пользовательских правил Sandbox для проверки файлов или URL-адресов.

В таблице пользовательских правил для проверки файлов содержится следующая информация:

• Создано – время создания правила.
• Виртуальная машина – имя виртуальной машины, на которую отправляются файлы для проверки.
• Маска – маска файлов, отправляемых на проверку.
• Исключение по маске – маска файлов, которые исключены из проверки.
• Категория файла – категории файлов, отправляемых на проверку.
• Состояние – состояние правила. Может иметь значения Включено и Выключено.

В таблице пользовательских правил для проверки URL-адресов содержится следующая информация:

• Создано – время создания правила.
• Виртуальная машина – имя виртуальной машины, на которую отправляются файлы для проверки.
• Состояние – состояние правила. Может иметь значения Включено и Выключено.

В начало

Настройка отображения таблицы правил Sandbox

Вы можете настроить отображение столбцов, а также порядок их следования в таблице.

Чтобы настроить отображение таблицы:

1. В окне веб-интерфейса приложения выберите раздел Пользовательские правила, подраздел Sandbox.
2. Откройте вкладку Файлы или URL-адреса.

   Отобразится таблица пользовательских правил Sandbox для проверки файлов или URL-адресов.

3. В заголовочной части таблицы нажмите на кнопку .

   Отобразится окно Настройка таблицы.

4. Если вы хотите включить отображение столбца в таблице, установите флажок рядом с названием того параметра, который должен отображаться в таблице.

   Если вы не хотите, чтобы параметр отображался в таблице, снимите флажок.

   Должен быть установлен хотя бы один флажок.

5. Если вы хотите изменить порядок отображения столбцов в таблице, наведите курсор мыши на строку с нужным параметром, нажмите на кнопку и переместите строку с параметром в нужное место.
6. Если вы хотите восстановить параметры отображения таблицы по умолчанию, нажмите на ссылку По умолчанию.
7. Нажмите на кнопку Применить.

Отображение таблицы правил будет настроено.

Фильтрация и поиск правил Sandbox

Чтобы отфильтровать или найти правила Sandbox по требуемым критериям:

1. В окне веб-интерфейса приложения выберите раздел Пользовательские правила, подраздел Sandbox.
2. Откройте вкладку Файлы или URL-адреса.
3. Выполните следующие действия в зависимости от критерия фильтрации:
   • По времени создания
     1. По ссылке Создано откройте окно настройки фильтрации.
     2. Выберите один из следующих вариантов:
        • За все время, если вы хотите, чтобы приложение отображало в таблице правила, созданные за все время.
        • Прошедший час, если вы хотите, чтобы приложение отображало в таблице правила, созданные за предыдущий час.
        • Прошедшие сутки, если вы хотите, чтобы приложение отображало в таблице правила, созданные за предыдущий день.
        • Пользовательский диапазон, если вы хотите, чтобы приложение отображало в таблице правила, созданные за указанный вами период.
     3. Если вы выбрали Пользовательский диапазон, выберите даты начала и конца периода и нажмите на кнопку Применить.
   • По названию виртуальной машины
     1. По ссылке Виртуальная машина откройте окно настройки фильтрации.
     2. Введите один или несколько символов имени виртуальной машины.
     3. Нажмите на кнопку Применить.

В таблице отобразятся только правила, соответствующие заданным условиям.

Вы можете использовать несколько фильтров одновременно.

Сброс фильтра правил Sandbox

Чтобы сбросить фильтрацию правил Sandbox по одному или нескольким условиям:

1. В окне веб-интерфейса приложения выберите раздел Пользовательские правила, подраздел Sandbox.
2. Откройте вкладку Файлы или URL-адреса.
3. Нажмите на кнопку справа от того заголовка столбца таблицы правил, условия фильтрации по которому вы хотите сбросить.

   Если вы хотите сбросить несколько условий фильтрации, выполните действия по сбросу для каждого из условий.

Выбранные фильтры будут сброшены.

В таблице отобразятся только правила, соответствующие заданным условиям.

Просмотр информации о пользовательском правиле Sandbox

Чтобы просмотреть информацию о пользовательском правиле Sandbox:

1. В окне веб-интерфейса приложения выберите раздел Пользовательские правила, подраздел Sandbox.
2. Откройте вкладку Файлы или URL-адреса.
3. Выберите правило, информацию о котором вы хотите просмотреть.

Откроется окно с информацией о правиле.

Окно с информацией о пользовательском правиле для проверки файлов содержит следующую информацию:

• Состояние – состояние правила запрета.
• Виртуальная машина – виртуальная машина, на которой проверяются файлы по этому правилу.
• Маска – маска файлов, которые отправляются на проверку.
• Исключение по маске – маска файлов, которые исключены из проверки.
• Категория файла – категории файлов, которые отправляются на проверку.
• Размер файла – размер проверяемых файлов.

Окно с информацией о пользовательском правиле для проверки URL-адресов содержит следующую информацию:

• Виртуальная машина – виртуальная машина, на которой проверяются URL-адреса.
• Состояние – состояние правила запрета.

Создание пользовательского правила Sandbox для проверки файлов

Чтобы добавить пользовательское правило Sandbox для проверки файлов:

1. В окне веб-интерфейса приложения выберите раздел Пользовательские правила, подраздел Sandbox.
2. Откройте вкладку Файлы.
3. Нажмите на кнопку Добавить.
4. Выберите Создать правило.

   Откроется окно создания правила.

5. Задайте значения следующих параметров:
   1. Состояние – состояние правила запрета. Установите флажок, если вы хотите включить правило.
   2. Виртуальная машина – виртуальная машина, на которой будут проверяться файлы по этому правилу.

      Для выбора доступны только виртуальные машины с пользовательскими образами операционных систем. Эти виртуальные машины должны входить в набор операционных систем, выбранных на сервере Central Node.

   3. Укажите хотя бы одно из значений: маску или категорию файла. Если вы заполните все поля, то правило сработает для файлов, которые подпадают под условия по категории и размеру или по маске и размеру и при этом не являются исключениями.
      • Маска – маска файлов, которые вы хотите отправлять на проверку. Вы можете указать несколько значений.

        Чтобы указать маску, используйте метасимволы * и ?. Другие метасимволы не поддерживаются.

      • Исключение по маске – маска файлов, которые требуется исключить из проверки. Вы можете указать несколько значений.

        Чтобы указать исключения по маске, используйте метасимволы * и ?. Другие метасимволы не поддерживаются.

      • Категория файла – категории файлов, которые вы хотите отправлять на проверку. Вы можете указать несколько категорий.

        Вы можете посмотреть полный список расширений для каждой категории в разделе Список расширений для категорий файлов.

      • Размер файла – размер проверяемых файлов.
      • Если вы хотите задать несколько интервалов, нажмите на кнопку Добавить размер файла.
6. Нажмите на кнопку Добавить.

Правило будет создано.

Если вы хотите отправлять на проверку архив, вам нужно учитывать особенности проверки архивов.

Проверка архивов осуществляется следующим образом:

1. Kaspersky Anti Targeted Attack Platform распаковывает архив.
2. Файлы из архива, соответствующие правилу, отправляются на проверку.

Файлы с расширением MSI проверяются так же, как архивы.

Создание пользовательского правила Sandbox для проверки URL-адреса

Чтобы добавить пользовательское правило Sandbox для проверки URL-адресов:

1. В окне веб-интерфейса приложения выберите раздел Пользовательские правила, подраздел Sandbox.
2. Откройте вкладку URL-адреса.
3. Нажмите на кнопку Добавить.
4. Выберите Создать правило.

   Откроется окно создания правила.

5. Задайте значения следующих параметров:
   1. Виртуальная машина – виртуальная машина, на которой будут проверяться URL-адреса.

      Для выбора доступны только виртуальные машины с пользовательскими образами операционных систем. Эти виртуальные машины должны входить в набор операционных систем, выбранных на сервере Central Node.

   2. Состояние – состояние правила запрета. Установите флажок, если вы хотите включить правило.
6. Нажмите на кнопку Добавить.

Правило будет создано.

Копирование пользовательского правила Sandbox

Чтобы копировать пользовательское правило Sandbox:

1. В окне веб-интерфейса приложения выберите раздел Пользовательские правила, подраздел Sandbox.
2. Откройте вкладку Файлы или URL-адреса.
3. Выберите нужное правило.
4. В окне просмотра правила нажмите на кнопку Скопировать.

Правило будет скопировано со всеми параметрами. Вы можете изменить значения параметров при необходимости.

Импорт пользовательских правил Sandbox для проверки файлов

Чтобы импортировать пользовательские правила Sandbox для проверки файлов:

1. В окне веб-интерфейса приложения выберите раздел Пользовательские правила, подраздел Sandbox.
2. Откройте вкладку Файлы.
3. Нажмите на кнопку Добавить.
4. Выберите Импортировать правила.
5. Откроется окно загрузки файла.
6. Выберите файл, который вы хотите импортировать.
7. Нажмите на кнопку Open.

Файл будет импортирован.

Изменение пользовательского правила Sandbox

Чтобы изменить пользовательское правило Sandbox:

1. В окне веб-интерфейса приложения выберите раздел Пользовательские правила, подраздел Sandbox.
2. Откройте вкладку Файлы или URL-адреса.

   Отобразится таблица пользовательских правил Sandbox для проверки файлов или URL-адресов.

3. Выберите правило.

Откроется окно редактирования правила.

Для редактирования доступны следующие поля:

• В пользовательских правилах Sandbox для проверки файлов:
  • Состояние – состояние правила запрета. Установите флажок, если вы хотите включить правило.
  • Виртуальная машина – виртуальная машина, на которой будут проверяться файлы по этому правилу.

    Для выбора доступны только виртуальные машины с пользовательскими образами операционных систем. Эти виртуальные машины должны входить в набор операционных систем, выбранных на сервере Central Node.

  • Укажите хотя бы одно из значений: маску или категорию файла. Если вы заполните все поля, то правило сработает для файлов, которые подпадают под условия по категории и размеру или по маске и размеру и при этом не являются исключениями.
    • Маска – маска файлов, которые вы хотите отправлять на проверку. Вы можете указать несколько значений.

      Чтобы указать маску, используйте метасимволы * и ?. Другие метасимволы не поддерживаются.

    • Исключение по маске – маска файлов, которые требуется исключить из проверки. Вы можете указать несколько значений.

      Чтобы указать исключения по маске, используйте метасимволы * и ?. Другие метасимволы не поддерживаются.

    • Категория файла – категории файлов, которые вы хотите отправлять на проверку. Вы можете указать несколько категорий.

      Вы можете посмотреть полный список расширений для каждой категории в разделе Список расширений для категорий файлов.

    • Размер файла – размер проверяемых файлов.

      Если вы хотите задать несколько интервалов, нажмите на кнопку Добавить размер файла.

• В пользовательских правилах Sandbox для проверки URL-адресов:
  • Виртуальная машина – виртуальная машина, на которой будут проверяться URL-адреса.

    Для выбора доступны только виртуальные машины с пользовательскими образами операционных систем. Эти виртуальные машины должны входить в набор операционных систем, выбранных на сервере Central Node.

  • Состояние – состояние правила запрета. Установите флажок, если вы хотите включить правило.

Включение и отключение пользовательских правил Sandbox

Чтобы включить или отключить использование правила Sandbox:

1. В окне веб-интерфейса приложения выберите раздел Пользовательские правила, подраздел Sandbox.
2. Откройте вкладку Файлы или URL-адреса.

   Отобразится таблица пользовательских правил Sandbox для проверки файлов или URL-адресов.

3. В строке с нужным правилом в столбце Состояние включите или выключите переключатель.

Использование правила будет включено или отключено.

Чтобы включить или отключить использование всех или нескольких правил Sandbox:

1. В окне веб-интерфейса приложения выберите раздел Пользовательские правила, подраздел Sandbox.
2. Откройте вкладку Файлы или URL-адреса.

   Отобразится таблица пользовательских правил Sandbox для проверки файлов или URL-адресов.

3. Установите флажки слева от правил, использование которых вы хотите включить или отключить.

   Вы можете выбрать все правила, установив флажок в строке с заголовками столбцов.

   В нижней части окна отобразится панель управления.

4. Нажмите на кнопку Включить или Отключить, чтобы включить или отключить использование выбранных правил.

Использование выбранных правил будет включено или отключено.

Экспорт пользовательских правил Sandbox для проверки файлов

Чтобы экспортировать пользовательские правила Sandbox для проверки объектов:

1. В окне веб-интерфейса приложения выберите раздел Пользовательские правила, подраздел Sandbox.
2. Откройте вкладку Файлы.
3. Нажмите на кнопку Экспортировать.

Файл с правилами будет сохранен на ваш локальный компьютер. Файл загружается в формате JSON.

Удаление пользовательских правил Sandbox

Пользователи с ролью Старший сотрудник службы безопасности могут удалить одно или несколько пользовательских правил Sandbox, а также все правила сразу.

Чтобы удалить пользовательское правило Sandbox:

1. В окне веб-интерфейса приложения выберите раздел Пользовательские правила, подраздел Sandbox.
2. Откройте вкладку Файлы или URL-адреса.

   Отобразится таблица пользовательских правил Sandbox для проверки файлов или URL-адресов.

3. Выберите правило, которое вы хотите удалить.

   Откроется окно с информацией об этом правиле.

4. Нажмите на кнопку Удалить.

   Откроется окно подтверждения действия.

5. Нажмите на кнопку Да.

Правило будет удалено.

Чтобы удалить все или несколько пользовательских правил Sandbox:

1. В окне веб-интерфейса приложения выберите раздел Пользовательские правила, подраздел Sandbox.
2. Откройте вкладку Файлы или URL-адреса.

   Отобразится таблица пользовательских правил Sandbox для проверки файлов или URL-адресов.

3. Установите флажки слева от правил, которые вы хотите удалить.

   Вы можете выбрать все правила, установив флажок в строке с заголовками столбцов.

   В нижней части окна отобразится панель управления.

4. Нажмите на кнопку Удалить.

   Откроется окно подтверждения действия.

5. Нажмите на кнопку Да.

Выбранные правила будут удалены.

Список расширений для категорий файлов

Список расширений для категорий файлов приведен в таблице ниже.

Расширения для категорий файлов

В начало