Справка Kaspersky Anti Targeted Attack Platform
Kaspersky Anti Targeted Attack Platform
- Что нового
- О Kaspersky Threat Intelligence Portal
- Комплект поставки
- Аппаратные и программные требования
- Ограничения текущей версии программы
О предоставлении данных
- Служебные данные программы
- Данные компонентов Central Node и Sensor
- Данные компонента Sandbox
- Данные, пересылаемые между компонентами программы
- Данные в файлах трассировки программы
- Данные Kaspersky Endpoint Agent для Windows
- Данные Kaspersky Endpoint Agent для Linux
Лицензирование программы
- О Лицензионном соглашении
- О лицензии
- О лицензионном сертификате
- О ключе
- О файле ключа
- Просмотр информации о лицензии и добавленных ключах
- Просмотр текста Лицензионного соглашения в веб-интерфейсе Central Node
- Просмотр текста Политики конфиденциальности в веб-интерфейсе Central Node
- Просмотр информации о стороннем коде, используемом в программе
- Просмотр текста Лицензионного соглашения в веб-интерфейсе Sandbox
- Просмотр текста Лицензионного соглашения на компьютере с Kaspersky Endpoint Agent
- Добавление ключа
- Замена ключа
- Удаление ключа
- Режимы работы программы в соответствии с лицензией
Архитектура программы
- Компонент Sensor
- Компонент Central Node
- Компонент Sandbox
- Компонент Kaspersky Endpoint Agent
Принцип работы программы
Распределенное решение и мультитенантность
- Сценарий перехода в режим распределенного решения и мультитенантности
- Изменения в параметрах программы при переходе в режим распределенного решения и мультитенантности
- Назначение серверу роли PCN
- Назначение серверу роли SCN
- Обработка запросов на подключение SCN к PCN
- Просмотр информации о тенантах, серверах PCN и SCN
- Добавление тенанта на сервере PCN
- Удаление тенанта на сервере PCN
- Изменение названия тенанта на сервере PCN
- Отключение SCN от PCN
- Изменения в параметрах программы при отключении SCN от PCN
- Вывод сервера SCN из эксплуатации
Руководство по масштабированию
- Типовые схемы развертывания и установки компонентов программы
- Калькулятор масштабирования
Установка и первоначальная настройка программы
- Подготовка к установке компонентов программы
- Порядок установки и настройки компонентов программы
- Установка компонента Sandbox
- Развертывание компонентов Central Node и Sensor в виде кластера
  - Развертывание сервера хранения данных
  - Развертывание обрабатывающего сервера
- Установка компонентов Central Node и Sensor на сервере
- Установка компонента Sensor на отдельном сервере
Настройка параметров масштабирования программы
Настройка интеграции Kaspersky Anti Targeted Attack Platform с программой Kaspersky Endpoint Agent
- Настройка доверенного соединения Kaspersky Anti Targeted Attack Platform с программой Kaspersky Endpoint Agent
- Скачивание TLS-сертификата сервера Central Node на компьютер
- Генерация TLS-сертификата сервера Central Node в веб-интерфейсе Kaspersky Anti Targeted Attack Platform
- Загрузка самостоятельно подготовленного TLS-сертификата сервера Central Node через веб-интерфейс Kaspersky Anti Targeted Attack Platform
- Загрузка TLS-сертификата сервера Central Node или Sensor в Kaspersky Endpoint Agent
- Включение проверки TLS-сертификата Kaspersky Endpoint Agent в веб-интерфейсе Kaspersky Anti Targeted Attack Platform
- Генерация TLS-сертификата Kaspersky Endpoint Agent в веб-интерфейсе Kaspersky Anti Targeted Attack Platform и скачивание крипто-контейнера
- Загрузка самостоятельно подготовленного TLS-сертификата Kaspersky Endpoint Agent через веб-интерфейс Kaspersky Anti Targeted Attack Platform
- Просмотр таблицы TLS-сертификатов Kaspersky Endpoint Agent в веб-интерфейсе Kaspersky Anti Targeted Attack Platform
- Фильтрация и поиск TLS-сертификатов Kaspersky Endpoint Agent в веб-интерфейсе Kaspersky Anti Targeted Attack Platform
- Удаление TLS-сертификатов Kaspersky Endpoint Agent в веб-интерфейсе Kaspersky Anti Targeted Attack Platform
- Настройка проверки TLS-сертификата Kaspersky Endpoint Agent сервером Central Node и загрузка крипто-контейнера в Kaspersky Endpoint Agent
- Настройка перенаправления трафика от Kaspersky Endpoint Agent на сервер Sensor
  - Включение перенаправления трафика от Kaspersky Endpoint Agent на сервер Sensor
  - Авторизация компонента Sensor на сервере Central Node
- Генерация TLS-сертификата сервера Sensor в меню администратора сервера Sensor
- Загрузка самостоятельно подготовленного TLS-сертификата сервера Sensor через меню администратора сервера Sensor
- Скачивание TLS-сертификата сервера Sensor на компьютер
- Настройка интеграции и доверенного соединения с Kaspersky Anti Targeted Attack Platform на стороне Kaspersky Endpoint Agent
Начало работы с программой
- Начало работы в веб-интерфейсе для управления масштабированием
- Начало работы в веб-интерфейсе программы под учетной записью локального администратора
- Начало работы в меню администратора программы
- Начало работы с программой в режиме Technical Support Mode
Управление учетными записями администраторов и пользователей программы
- Создание учетной записи администратора веб-интерфейса программы
- Создание учетной записи пользователя веб-интерфейса программы
- Настройка отображения таблицы учетных записей пользователей
- Просмотр таблицы учетных записей пользователей
- Фильтрация учетных записей
- Cброс фильтра учетных записей
- Изменение прав доступа учетной записи пользователя веб-интерфейса программы
- Включение и отключение учетной записи администратора или пользователя веб-интерфейса программы
- Изменение пароля учетной записи администратора или пользователя программы
- Изменение пароля своей учетной записи
Аутентификация с помощью доменных учетных записей
- Создание keytab-файла
- Настройка интеграции с Active Directory
- Отключение интеграции с Active Directory
Участие в Kaspersky Security Network и использование Kaspersky Private Security Network
- Просмотр Положения о KSN и настройка участия в KSN
- Включение использования KPSN
- Настройка подключения к локальной репутационной базе KPSN
- Настройка сохранения информации в локальную репутационную базу KPSN
- Отказ от участия в KSN и использования KPSN
Работа с компонентом Sandbox через веб-интерфейс
- Обновление баз компонента Sandbox
- Настройка соединения компонентов Sandbox и Central Node
  - Обработка запросов на подключение от серверов Central Node в веб-интерфейсе Sandbox
- Настройка сетевых интерфейсов компонента Sandbox
- Обновление системы Sandbox
- Установка даты и времени системы Sandbox
- Установка и настройка образов операционных систем и программ для работы компонента Sandbox
- Загрузка журнала системы Sandbox на жесткий диск
- Экспорт параметров Sandbox
- Импорт параметров Sandbox
- Перезагрузка сервера Sandbox
- Выключение сервера Sandbox
- Изменение пароля учетной записи администратора Sandbox
Администратору: работа в веб-интерфейсе программы
- Интерфейс Kaspersky Anti Targeted Attack Platform
- Мониторинг работы программы
- Управление серверами Central Node, PCN или SCN с помощью веб-интерфейса программы
- Управление компонентом Sensor
- Управление кластером
- Уведомления о максимальной загрузке центрального процессора и оперативной памяти серверов Central Node и Sensor
  - Настройка максимального допустимого значения загрузки центрального процессора и оперативной памяти серверов Central Node и Sensor
- Настройка соединения с протоколом SNMP
  - Описание объектов MIB Kaspersky Anti Targeted Attack Platform
- Работа с информацией о хостах с Kaspersky Endpoint Agent
- Настройка интеграции с компонентом Sandbox
- Настройка интеграции с внешними системами
- Настройка интеграции с Kaspersky Managed Detection and Response
- Настройка интеграции с SIEM-системой
- Управление журналом активности
- Обновление баз программы
  - Выбор источника обновления баз
  - Запуск обновления баз вручную
- Создание списка паролей для архивов
Сотруднику службы безопасности: работа в веб-интерфейсе программы
- Интерфейс Kaspersky Anti Targeted Attack Platform
- Выбор тенанта для работы в веб-интерфейсе программы
- Мониторинг работы программы
  - О виджетах и схемах расположения виджетов
  - Добавление виджета на текущую схему расположения виджетов
  - Перемещение виджета на текущей схеме расположения виджетов
  - Удаление виджета с текущей схемы расположения виджетов
  - Сохранение схемы расположения виджетов в PDF
  - Настройка периода отображения данных на виджетах
  - Настройка масштаба отображения виджетов
  - Основные принципы работы с виджетами типа "Обнаружения"
  - Просмотр состояния работоспособности модулей и компонентов программы
- Просмотр таблицы обнаружений
- Настройка отображения таблицы обнаружений
- Фильтрация, сортировка и поиск обнаружений
  - Фильтрация обнаружений по наличию статуса VIP
  - Фильтрация и поиск обнаружений по времени
  - Фильтрация обнаружений по степени важности
  - Фильтрация и поиск обнаружений по категориям обнаруженных объектов
  - Фильтрация и поиск обнаружений по полученной информации
  - Фильтрация и поиск обнаружений по адресу источника
  - Фильтрация и поиск обнаружений по адресу назначения
  - Фильтрация и поиск обнаружений по имени сервера
  - Фильтрация и поиск обнаружений по названию технологии
  - Фильтрация и поиск обнаружений по состоянию их обработки пользователем
  - Сортировка обнаружений в таблице
  - Быстрое создание фильтра обнаружений
  - Сброс фильтра обнаружений
- Просмотр обнаружений
  - Просмотр информации об обнаружении
  - Общая информация об обнаружении любого типа
  - Информация в блоке Информация об объекте
  - Информация в блоке Информация об обнаружении
  - Информация в блоке Результаты проверки
  - Информация в блоке Правило IDS
  - Информация в блоке Сетевое событие
  - Результаты проверки в Sandbox
  - Результаты IOC-проверки
  - Информация в блоке Хосты
  - Информация в блоке Журнал изменений
  - Отправка данных об обнаружении
- Рекомендации по обработке обнаружений
  - Рекомендации по обработке AM-обнаружений
  - Рекомендации по обработке TAA-обнаружений
  - Рекомендации по обработке SB-обнаружений
  - Рекомендации по обработке IOC-обнаружений
  - Рекомендации по обработке YARA-обнаружений
  - Рекомендации по обработке IDS-обнаружений
- Действия пользователей над обнаружениями
  - Назначение обнаружений определенному пользователю
  - Отметка о завершении обработки одного обнаружения
  - Отметка о завершении обработки обнаружений
  - Изменение статуса VIP обнаружений
  - Добавление комментария к обнаружению
- Поиск угроз по базе событий
  - Поиск событий в режиме исходного кода
  - Поиск событий в режиме конструктора
  - Сортировка событий в таблице
  - Изменение условий поиска событий
  - Поиск событий по результатам их обработки в программах EPP
  - Загрузка IOC-файла и поиск событий по условиям, заданным в IOC-файле
  - Создание правила TAA (IOA) на основе условий поиска событий
- Информация о событиях
  - Просмотр таблицы событий
  - Настройка отображения таблицы событий
  - Просмотр информации о событии
  - Информация о событиях в дереве событий
    - Просмотр информации о родительском процессе в дереве событий
    - Просмотр информации о событиях, инициированных родительским процессом, в дереве событий
    - Просмотр информации о хосте в дереве событий
  - Рекомендации по обработке событий
    - Выполнение рекомендации по изоляции хоста
    - Выполнение рекомендации по запрету запуска файла
    - Выполнение рекомендации по созданию задачи
  - Информация о событии Запущен процесс
  - Информация о событии Завершен процесс
  - Информация о событии Загружен модуль
  - Информация о событии Удаленное соединение
  - Информация о событии Правило запрета
  - Информация о событии Заблокирован документ
  - Информация о событии Изменен файл
  - Информация о событии Журнал событий ОС
  - Информация о событии Изменение в реестре
  - Информация о событии Прослушан порт
  - Информация о событии Загружен драйвер
  - Информация о событии Обнаружение
  - Информация о событии Результат обработки обнаружения
  - Информация о событии Интерпретированный запуск файла
  - Информация о событии AMSI-проверка
  - Информация о событии Интерактивный ввод команд в консоли
- Работа с информацией о хостах с Kaspersky Endpoint Agent
  - Просмотр таблицы хостов с Kaspersky Endpoint Agent на отдельном сервере Central Node
  - Настройка отображения таблицы хостов с Kaspersky Endpoint Agent
  - Просмотр информации о хосте
  - Фильтрация и поиск хостов с Kaspersky Endpoint Agent по имени хоста
  - Фильтрация и поиск хостов с Kaspersky Endpoint Agent, изолированных от сети
  - Фильтрация и поиск хостов с Kaspersky Endpoint Agent по именам серверов PCN и SCN
  - Фильтрация и поиск хостов с Kaspersky Endpoint Agent по IP-адресу компьютера
  - Фильтрация и поиск хостов с Kaspersky Endpoint Agent по версии операционной системы на компьютере
  - Фильтрация и поиск хостов с Kaspersky Endpoint Agent по версии Kaspersky Endpoint Agent
  - Фильтрация и поиск хостов с Kaspersky Endpoint Agent по их активности
  - Быстрое создание фильтра хостов с Kaspersky Endpoint Agent
  - Сброс фильтра хостов с Kaspersky Endpoint Agent
  - Настройка показателей активности Kaspersky Endpoint Agent
  - Поддерживаемые интерпретаторы и процессы
- Сетевая изоляция хостов с Kaspersky Endpoint Agent
  - Создание правила сетевой изоляции
  - Добавление исключения из правила сетевой изоляции
  - Удаление правила сетевой изоляции
  - Ограничения, действующие при сетевой изоляции
- Автоматическая отправка файлов с хостов с Kaspersky Endpoint Agent на проверку компоненту Sandbox по правилам TAA (IOA) "Лаборатории Касперского"
  - Включение и отключение автоматической отправки файлов с хостов с Kaspersky Endpoint Agent на проверку компоненту Sandbox
- Работа с задачами
  - Просмотр таблицы задач
  - Просмотр информации о задаче
  - Создание задачи получения файла
  - Создание задачи сбора форензики
  - Создание задачи получения ключа реестра
  - Создание задачи получения метафайлов NTFS
  - Создание задачи получения дампа памяти процесса
  - Создание задачи получения образа диска
  - Создание задачи получения дампа оперативной памяти
  - Создание задачи завершения процесса
  - Создание задачи проверки хостов с помощью правил YARA
  - Создание задачи управления службами
  - Создание задачи выполнения программы
  - Создание задачи удаления файла
  - Создание задачи помещения файла на карантин
  - Создание задачи восстановления файла из карантина
  - Создание копии задачи
  - Удаление задач
  - Фильтрация задач по времени создания
  - Фильтрация задач по типу
  - Фильтрация задач по имени
  - Фильтрация задач по имени и пути к файлу
  - Фильтрация задач по описанию
  - Фильтрация задач по имени сервера
  - Фильтрация задач по имени пользователя, создавшего задачу
  - Фильтрация задач по состоянию обработки
  - Сброс фильтра задач
- Работа с политиками (правилами запрета)
  - Просмотр таблицы правил запрета
  - Настройка отображения таблицы правил запрета
  - Просмотр правила запрета
  - Создание правила запрета
  - Импорт правил запрета
  - Включение и отключение правила запрета
  - Включение и отключение предустановок
  - Удаление правил запрета
  - Фильтрация правил запрета по имени
  - Фильтрация правил запрета по типу
  - Фильтрация правил запрета по хешу файла
  - Фильтрация правил запрета по имени сервера
  - Сброс фильтра правил запрета
- Работа с пользовательскими правилами
  - Об использовании индикаторов компрометации (IOC) и атаки (IOA) для поиска угроз
  - Работа с пользовательскими правилами IOC
  - Работа с пользовательскими правилами TAA (IOA)
  - Работа с пользовательскими правилами IDS
  - Работа с пользовательскими правилами YARA
- Работа с объектами в Хранилище и на карантине
  - Просмотр таблицы объектов, помещенных в Хранилище
  - Просмотр информации об объекте, загруженном в Хранилище через веб-интерфейс
  - Просмотр информации об объекте, помещенном в Хранилище по задаче получения файла
  - Просмотр информации об объекте, помещенном в Хранилище по задаче получения данных
  - Скачивание объектов из Хранилища
  - Загрузка объектов в Хранилище
  - Отправка объектов из Хранилища на проверку
  - Удаление объектов из Хранилища
  - Фильтрация объектов в Хранилище по типу объекта
  - Фильтрация объектов в Хранилище по описанию объекта
  - Фильтрация объектов в Хранилище по результатам проверки
  - Фильтрация объектов в Хранилище по имени сервера Central Node, PCN или SCN
  - Фильтрация объектов в Хранилище по источнику объекта
  - Фильтрация объектов по времени помещения в Хранилище
  - Сброс фильтра объектов в Хранилище
  - Просмотр таблицы объектов, помещенных на карантин на компьютерах с Kaspersky Endpoint Agent
  - Просмотр информации об объекте на карантине
  - Восстановление объекта из карантина
  - Получение копии объекта на карантине на сервер Kaspersky Anti Targeted Attack Platform
  - Удаление информации об объекте, помещенном на карантин, из таблицы
  - Фильтрация информации об объектах, помещенных на карантин, по типу объекта
  - Фильтрация информации об объектах, помещенных на карантин, по описанию объекта
  - Фильтрация информации об объектах, помещенных на карантин, по имени хоста
  - Фильтрация информации об объектах, помещенных на карантин, по времени
  - Сброс фильтра информации об объектах на карантине
- Работа с отчетами
  - Просмотр таблицы шаблонов и отчетов
  - Создание шаблона
  - Создание отчета по шаблону
  - Просмотр отчета
  - Скачивание отчета на локальный компьютер
  - Изменение шаблона
  - Фильтрация шаблонов по имени
  - Фильтрация шаблонов по имени пользователя, создавшего шаблон
  - Фильтрация шаблонов по времени создания
  - Сброс фильтра шаблонов
  - Удаление шаблона
  - Фильтрация отчетов по времени создания
  - Фильтрация отчетов по имени
  - Фильтрация отчетов по имени сервера с компонентом Central Node
  - Фильтрация отчетов по имени пользователя, создавшего отчет
  - Сброс фильтра отчетов
  - Удаление отчета
- Работа с правилами присвоения обнаружениям статуса VIP
  - Просмотр таблицы правил присвоения статуса VIP
  - Создание правила присвоения статуса VIP
  - Удаление правила присвоения статуса VIP
  - Изменение правила присвоения статуса VIP
  - Импорт списка правил присвоения статуса VIP
  - Экспорт списка правил присвоения статуса VIP
  - Фильтрация и поиск по типу правила присвоения статуса VIP
  - Фильтрация и поиск по значению правила присвоения статуса VIP
  - Фильтрация и поиск по описанию правила присвоения статуса VIP
  - Сброс фильтра правил присвоения статуса VIP
- Работа со списком исключений из проверки
  - Просмотр таблицы данных, исключенных из проверки
  - Добавление правила исключения из проверки
  - Удаление правила исключения из проверки
  - Изменение правила, добавленного в исключения из проверки
  - Экспорт списка данных, исключенных из проверки
  - Фильтрация правил в списке исключений из проверки по критерию
  - Поиск правил в списке исключений из проверки по значению
  - Сброс фильтра правил в списке исключений из проверки
- Работа с IDS-исключениями
  - Просмотр таблицы правил IDS, добавленных в исключения
  - Добавление правила IDS в исключения
  - Редактирование описания правила IDS, добавленного в исключения
  - Удаление правил IDS из исключений
- Работа с TAA-исключениями
  - Просмотр таблицы правил TAA (IOA), добавленных в исключения
  - Добавление правила TAA (IOA) в исключения
  - Просмотр правила TAA (IOA), добавленного в исключения
  - Удаление правил TAA (IOA) из исключений
- Создание списка паролей для архивов
- Просмотр параметров сервера
- Просмотр таблицы серверов с компонентом Sandbox
- Просмотр таблицы серверов с компонентом Sensor
- Просмотр таблицы внешних систем
Отправка уведомлений
- Просмотр таблицы правил для отправки уведомлений
- Создание правила для отправки уведомлений об обнаружениях
- Создание правила для отправки уведомлений о работе компонентов программы
- Включение и отключение правила для отправки уведомлений
- Изменение правила для отправки уведомлений
- Удаление правила для отправки уведомлений
- Фильтрация и поиск правил отправки уведомлений по типу правила
- Фильтрация и поиск правил отправки уведомлений по теме уведомлений
- Фильтрация и поиск правил отправки уведомлений по адресу электронной почты
- Фильтрация и поиск правил отправки уведомлений по их состоянию
- Сброс фильтра правил отправки уведомлений
Управление программой Kaspersky Endpoint Agent для Windows
- Установка и удаление Kaspersky Endpoint Agent
- Активация Kaspersky Endpoint Agent
- Управление Kaspersky Endpoint Agent в Консоли администрирования Kaspersky Security Center
- Управление Kaspersky Endpoint Agent в Kaspersky Security Center Web Console
- Управление Kaspersky Endpoint Agent через интерфейс командной строки
Управление программой Kaspersky Endpoint Agent для Linux
- Установка и удаление Kaspersky Endpoint Agent для Linux
- Управление Kaspersky Endpoint Agent для Linux c помощью Консоли администрирования Kaspersky Security Center
  - Управление политиками Kaspersky Endpoint Agent для Linux
    - Создание политики Kaspersky Endpoint Agent для Linux
    - Включение параметров в политике Kaspersky Endpoint Agent для Linux
  - Управление задачами обновления баз и модулей Kaspersky Endpoint Agent
- Управление Kaspersky Endpoint Agent для Linux c помощью Kaspersky Security Center Web Console
  - Управление политиками Kaspersky Endpoint Agent для Linux
    - Создание политики Kaspersky Endpoint Agent для Linux
    - Включение параметров в политике Kaspersky Endpoint Agent для Linux
  - Управление задачами обновления баз и модулей Kaspersky Endpoint Agent
- Управление Kaspersky Endpoint Agent для Linux с помощью командной строки
- Проверка целостности компонентов программы Kaspersky Endpoint Agent для Linux
Создание резервной копии и восстановление программы
- Создание резервной копии параметров сервера Central Node из меню администратора программы
- Загрузка файла с резервной копией параметров сервера с сервера Central Node или PCN на жесткий диск компьютера
- Загрузка файла с резервной копией параметров сервера с вашего компьютера на сервер Central Node
- Восстановление параметров сервера из резервной копии через меню администратора программы
- Создание резервной копии программы в режиме Technical Support Mode
- Восстановление программы из резервной копии в режиме Technical Support Mode
Обновление Kaspersky Anti Targeted Attack Platform
- Обновление компонента Central Node
- Состав и объем данных, сохраняемых при обновлении программы Kaspersky Anti Targeted Attack Platform
Взаимодействие с внешними системами по API
- Интеграция внешней системы с Kaspersky Anti Targeted Attack Platform
- API для проверки объектов внешних систем
- API для получения внешними системами информации об обнаружениях программы
  - Запрос на вывод информации об обнаружениях
  - Состав передаваемых данных
- API для управления действиями по реагированию на угрозы
Источники информации о программе
Обращение в Службу технической поддержки
- Получение информации о Kaspersky Endpoint Agent для Linux для Службы технической поддержки
- Способы получения технической поддержки
- Техническая поддержка через Kaspersky CompanyAccount
Глоссарий
- Advanced persistent threat (APT)
- Anti-Malware Engine
- Backdoor-программа
- Central Node
- CSRF-атака
- End User License Agreement
- ICAP-данные
- Intrusion Detection System
- IOA
- IOC
- IOC-файл
- Kaspersky Anti Targeted Attack Platform
- Kaspersky Endpoint Agent
- Kaspersky Private Security Network
- Kaspersky Secure Mail Gateway
- Kaspersky Security Network (KSN)
- Kaspersky Threat Intelligence Portal
- KATA
- KEDR
- Kerberos-аутентификация
- Keytab-файл
- MIB (Management Information Base)
- MITM-атака
- NTP-сервер
- OpenIOC
- Sandbox
- Sensor
- SIEM-система
- SPAN
- Syslog
- Targeted Attack Analyzer
- TLS-шифрование
- YARA
- Альтернативный поток данных
- Атака "нулевого дня"
- Вредоносные веб-адреса
- Дамп
- Зеркалированнный трафик
- Имя субъекта-службы (SPN)
- Локальная репутационная база KPSN
- Мультитенантность
- Правила YARA
- Правило TAA (IOA)
- Пропускная способность канала связи
- Распределенное решение
- Сигнатура
- Статус VIP
- Тенант
- Техника MITRE
- Трассировка
- Угрозы нового поколения
- Уязвимость "нулевого дня"
- Фишинговые URL-адреса
- Целевая атака
Информация о стороннем коде
Уведомления о товарных знаках

Принцип работы программы

Программа Kaspersky Anti Targeted Attack Platform включает в себя два функциональных блока:

Kaspersky Anti Targeted Attack (далее также "KATA"), обнаруживающий угрозы по периметру IT-инфраструктуры предприятия.
Kaspersky Endpoint Detection and Response (далее также "KEDR"), обеспечивающий защиту компьютеров локальной сети организации.

Вы можете использовать как полную функциональность программы (ключ KATA и ключ KEDR), так и неполную (только ключ KATA или только ключ KEDR).

Принцип работы Kaspersky Anti Targeted Attack

Kaspersky Anti Targeted Attack включает в себя следующие компоненты:

Компоненты Sensor, Central Node и Sandbox взаимодействуют между собой по следующему принципу:

Компонент Sensor получает зеркалированный SPAN-, ERSPAN-, RSPAN-трафик, объекты и метаинформацию HTTP-, FTP-, SMTP- и DNS-протоколов, данные HTTP- и FTP-трафика, а также HTTPS-трафика (если администратор настроил подмену SSL-сертификата на прокси-сервере), копии сообщений электронной почты и производит с полученными данными следующие действия:
- Проверяет интернет-трафик на наличие признаков вторжения в IT-инфраструктуру организации с помощью технологии Intrusion Detection System (далее также "IDS").
  Технология IDS позволяет распознать и обнаружить сетевую активность по 80 протоколам, в частности по 53 протоколам прикладного уровня модели TCP/IP, фиксируя подозрительный трафик и сетевые атаки. В числе поддерживаемых протоколов TCP, UDP, FTP, TFTP, SSH, SMTP, SMB, CIF, SSL, HTTP, HTTP/2, HTTPS, TLS, ICMPv4, ICMPv6, IPv4, IPv6, IRC, LDAP, NFS, DNS, RDP, DCERPC, MS-RPC, WebSocket, Citrix и другие.
- Проверяет репутацию файлов и URL-адресов по базе знаний Kaspersky Security Network (далее также "KSN") или Kaspersky Private Security Network (далее также "KPSN").
- Отправляет объекты и файлы на проверку компоненту Central Node.
В качестве компонента Sensor также может использоваться почтовый сенсор – сервер или виртуальная машина, на которой установлена программа "Лаборатории Касперского" Kaspersky Secure Mail Gateway (далее также "KSMG") или Kaspersky Security для Linux Mail Server (далее также "KLMS").
Компонент Central Node проверяет файлы и объекты с помощью антивирусных баз, баз YARA-правил, создаваемых пользователями Kaspersky Anti Targeted Attack, при необходимости отправляет файлы и объекты на проверку компоненту Sandbox.
Компонент Sandbox анализирует поведение объектов в виртуальных операционных системах для выявления вредоносной активности и признаков целевых атак на IT-инфраструктуру организации и отправляет данные о результатах проверки на сервер Central Node.

При обнаружении угроз сервер Central Node записывает информацию о них в базу обнаружений. Вы можете просмотреть таблицу обнаружений в разделе Обнаружения веб-интерфейса программы или сформировав отчет об обнаружениях.

Информация об обнаружениях также может публиковаться в SIEM-систему, которая используется в вашей огранизации, и во внешние системы. Информация об обнаружениях компонента Sandbox может публиковаться в локальную репутационную базу Kaspersky Private Security Network.

Принцип работы Kaspersky Endpoint Detection and Response

Kaspersky Endpoint Detection and Response включает в себя следующие компоненты:

Central Node.
Kaspersky Endpoint Agent.
Компонент представлен программами Kaspersky Endpoint Agent для Windows, Kaspersky Endpoint Agent для Linux и Kaspersky Endpoint Security для Windows.
Sandbox.
Опциональный компонент.

В качестве прокси-сервера для соединений, исходящих от компонента Kaspersky Endpoint Agent, может использоваться компонент Sensor.

Компоненты Kaspersky Endpoint Agent и Central Node взаимодействуют между собой по следующему принципу:

Программы Kaspersky Endpoint Agent для Windows и Kaspersky Endpoint Agent для Linux устанавливаются на отдельных компьютерах, входящих в IT-инфраструктуру организации, и осуществляют постоянное наблюдение за процессами, открытыми сетевыми соединениями и изменяемыми файлами. Данные наблюдения отправляются на сервер с компонентом Central Node. На основе этих данных формируются события.
Kaspersky Endpoint Agent для Windows передает на сервер Central Node данные о следующих событиях:
- Запущен процесс;
- Загружен модуль;
- Удаленное соединение;
- Правило запрета;
- Заблокирован документ;
- Изменен файл;
- Журнал событий ОС;
- Изменение в реестре;
- Прослушан порт;
- Загружен драйвер;
- Интерпретированный запуск файла;
- Интерактивный ввод команд в консоли.
Kaspersky Endpoint Agent для Linux передает на сервер Central Node данные о следующих событиях:
- Запущен процесс;
- Изменен файл;
- Журнал событий ОС.
Программы могут интегрироваться с программами защиты рабочих станций (Endpoint Protection Platform (далее также "EPP")).

Kaspersky Endpoint Agent для Windows может интегрироваться со следующими программами EPP:
- Kaspersky Endpoint Security для Windows.
- Kaspersky Security для Windows Server.
- Kaspersky Security для виртуальных сред Легкий Агент для Windows.
Kaspersky Endpoint Agent для Linux может интегрироваться с программой Kaspersky Endpoint Security для Linux.

В этом случае программа Kaspersky Endpoint Agent также передает на сервер Central Node данные об угрозах, обнаруженных программами EPP, и о результатах обработки угроз этими программами.

Программы EPP, Kaspersky Endpoint Agent и сервер Central Node взаимодействуют между собой по следующему принципу:
Программы EPP передают Kaspersky Endpoint Agent данные об обнаруженных угрозах и о результате обработки угроз.
Программа Kaspersky Endpoint Security для Windows также может передавать Kaspersky Endpoint Agent для Windows данные об отправке сторонним приложением с поддержкой Antimalware Scan Interface (далее также "AMSI") объектов (например, скриптов PowerShell) в Kaspersky Endpoint Security для Windows для дополнительной проверки.
Программа Kaspersky Endpoint Agent передает данные наблюдения за процессами, открытыми сетевыми соединениями и изменяемыми файлами, а также данные, полученные от программ EPP, на сервер Central Node.
Сервер Central Node обрабатывает полученные данные и отображает в веб-интерфейсе программы соответствующие события.

В результате обработки данных программ EPP формируются события Обнаружение, Результат обработки обнаружения, AMSI-проверка (при интеграции Kaspersky Endpoint Agent для Windows с Kaspersky Endpoint Security для Windows).

События, поступающие на сервер Central Node, отмечаются правилами TAA (IOA). В результате разметки для событий, требующих внимания пользователя, формируются обнаружения. При наличии компонента Sandbox вы можете также включить автоматическую отправку файлов с хостов Kaspersky Endpoint Agent на проверку компоненту Sandbox в соответствии с правилами TAA (IOA) "Лаборатории Касперского".

При интеграции сервера Central Node с Kaspersky Endpoint Agent для Windows вы можете осуществлять следующие меры по реагированию на обнаруженные угрозы:

Работать с файлами и программами путем выполнения задач Завершить процесс, Собрать форензику, Запустить YARA-проверку, Выполнить программу, Получить файл, Удалить файл, Поместить файл на карантин, Восстановить файл из карантина, Управление службами, Получить образ диска, Получить дамп памяти на хостах с Kaspersky Endpoint Agent.
Настраивать политики запрета запуска файлов и процессов на выбранных хостах с Kaspersky Endpoint Agent.
Изолировать отдельные хосты с Kaspersky Endpoint Agent от сети.
Работать с правилами TAA (IOA) для классификации и анализа событий.
Работать с файлами открытого стандарта описания индикаторов компрометации OpenIOC (IOC-файлы) для поиска признаков целевых атак, зараженных и возможно зараженных объектов на хостах с Kaspersky Endpoint Agent и в базе обнаружений.

При интеграции сервера Central Node с Kaspersky Endpoint Agent для Linux вы можете осуществлять следующие меры по реагированию на обнаруженные угрозы:

Работать с файлами и программами путем выполнения задач Получить файл, Выполнить программу.
Работать с правилами TAA (IOA) для классификации и анализа событий.

Принцип работы Kaspersky Anti Targeted Attack Platform показан на рисунке ниже.

kata_standalone_scheme

Принцип работы Kaspersky Anti Targeted Attack Platform

Вы можете настраивать параметры каждого компонента Central Node отдельно или управлять несколькими компонентами централизованно в режиме распределенного решения.

Распределенное решение представляет собой двухуровневую иерархию серверов Central Node. В этой структуре выделяется главный сервер управления – Primary Central Node (PCN) и подчиненные серверы – Secondary Central Node (SCN).

Принцип работы Kaspersky Anti Targeted Attack Platform в режиме распределенного решения показан на рисунке ниже.

kata_distributed