Принцип работы решения Kaspersky Sandbox

Решение Kaspersky Sandbox работает по следующему принципу:

  1. В момент обращения к объекту (запуска исполняемого файла или открытия документа, например, в формате DOCX или PDF) на рабочей станции программа защиты рабочих станций (EPP) принимает решение о необходимости дополнительной проверки объекта с помощью Kaspersky Sandbox.
  2. Если программа EPP приняла решение о необходимости дополнительной проверки объекта с помощью Kaspersky Sandbox, она отправляет запрос на проверку объекта программе Kaspersky Endpoint Agent. До получения результата проверки от Kaspersky Endpoint Agent программа EPP блокирует доступ к объекту.
  3. Kaspersky Endpoint Agent проверяет, был ли этот объект недавно проверен в Kaspersky Sandbox.

    Время, по истечении которого объект считается проверенным давно, предустановлено на основании опыта антивирусных специалистов "Лаборатории Касперского".

    • Если объект проверялся недавно, Kaspersky Endpoint Agent отправляет результат проверки в EPP. Если объект представляет угрозу, выполняются действия над объектами, настроенные в EPP. Подробнее о настройке действий см. в документации используемой EPP.

      В EPP может быть настроено действие Удалять объект.

    • Если объект не проверялся или проверялся давно, Kaspersky Endpoint Agent сообщает EPP об отсутствии данных об объекте и отправляет объект на проверку в Kaspersky Sandbox. EPP разрешает доступ к объекту.
  4. Kaspersky Sandbox проверяет объект и передает результат проверки объекта в Kaspersky Endpoint Agent. Если объект представляет угрозу, Kaspersky Endpoint Agent выполняет действия по реагированию на угрозы, настроенные в политике Kaspersky Security Center.

    Информация об обнаруженных угрозах хранится в Kaspersky Sandbox до обновления баз программы.

См. также

Kaspersky Sandbox

Комплект поставки

Аппаратные и программные требования

В начало