Администратору: работа в веб-интерфейсе программы

Этот раздел адресован специалистам, которые осуществляют установку и администрирование Kaspersky Anti Targeted Attack Platform, а также управление серверами PCN и SCN и тенантами в

режиме распределенного решения

Двухуровневая иерархия серверов с установленными компонентами Central Node, в которой выделяется главный сервер управления – Primary Central Node (PCN) и подчиненные серверы – Secondary Central Node (SCN).

Двухуровневая иерархия серверов с установленными компонентами Central Node, в которой выделяется главный сервер управления – Primary Central Node (PCN) и подчиненные серверы – Secondary Central Node (SCN).

Двухуровневая иерархия серверов с установленными компонентами Central Node, в которой выделяется главный сервер управления – Primary Central Node (PCN) и подчиненные серверы – Secondary Central Node (SCN).

Двухуровневая иерархия серверов с установленными компонентами Central Node, в которой выделяется главный сервер управления – Primary Central Node (PCN) и подчиненные серверы – Secondary Central Node (SCN).

Двухуровневая иерархия серверов с установленными компонентами Central Node, в которой выделяется главный сервер управления – Primary Central Node (PCN) и подчиненные серверы – Secondary Central Node (SCN).

Двухуровневая иерархия серверов с установленными компонентами Central Node, в которой выделяется главный сервер управления – Primary Central Node (PCN) и подчиненные серверы – Secondary Central Node (SCN).

Двухуровневая иерархия серверов с установленными компонентами Central Node, в которой выделяется главный сервер управления – Primary Central Node (PCN) и подчиненные серверы – Secondary Central Node (SCN).

Двухуровневая иерархия серверов с установленными компонентами Central Node, в которой выделяется главный сервер управления – Primary Central Node (PCN) и подчиненные серверы – Secondary Central Node (SCN).

Двухуровневая иерархия серверов с установленными компонентами Central Node, в которой выделяется главный сервер управления – Primary Central Node (PCN) и подчиненные серверы – Secondary Central Node (SCN).

Двухуровневая иерархия серверов с установленными компонентами Central Node, в которой выделяется главный сервер управления – Primary Central Node (PCN) и подчиненные серверы – Secondary Central Node (SCN).

Двухуровневая иерархия серверов с установленными компонентами Central Node, в которой выделяется главный сервер управления – Primary Central Node (PCN) и подчиненные серверы – Secondary Central Node (SCN).

Двухуровневая иерархия серверов с установленными компонентами Central Node, в которой выделяется главный сервер управления – Primary Central Node (PCN) и подчиненные серверы – Secondary Central Node (SCN).

Двухуровневая иерархия серверов с установленными компонентами Central Node, в которой выделяется главный сервер управления – Primary Central Node (PCN) и подчиненные серверы – Secondary Central Node (SCN).

Двухуровневая иерархия серверов с установленными компонентами Central Node, в которой выделяется главный сервер управления – Primary Central Node (PCN) и подчиненные серверы – Secondary Central Node (SCN).

Двухуровневая иерархия серверов с установленными компонентами Central Node, в которой выделяется главный сервер управления – Primary Central Node (PCN) и подчиненные серверы – Secondary Central Node (SCN).

Двухуровневая иерархия серверов с установленными компонентами Central Node, в которой выделяется главный сервер управления – Primary Central Node (PCN) и подчиненные серверы – Secondary Central Node (SCN).

Двухуровневая иерархия серверов с установленными компонентами Central Node, в которой выделяется главный сервер управления – Primary Central Node (PCN) и подчиненные серверы – Secondary Central Node (SCN).

Двухуровневая иерархия серверов с установленными компонентами Central Node, в которой выделяется главный сервер управления – Primary Central Node (PCN) и подчиненные серверы – Secondary Central Node (SCN).

Двухуровневая иерархия серверов с установленными компонентами Central Node, в которой выделяется главный сервер управления – Primary Central Node (PCN) и подчиненные серверы – Secondary Central Node (SCN).

Двухуровневая иерархия серверов с установленными компонентами Central Node, в которой выделяется главный сервер управления – Primary Central Node (PCN) и подчиненные серверы – Secondary Central Node (SCN).

Двухуровневая иерархия серверов с установленными компонентами Central Node, в которой выделяется главный сервер управления – Primary Central Node (PCN) и подчиненные серверы – Secondary Central Node (SCN).

Двухуровневая иерархия серверов с установленными компонентами Central Node, в которой выделяется главный сервер управления – Primary Central Node (PCN) и подчиненные серверы – Secondary Central Node (SCN).

Двухуровневая иерархия серверов с установленными компонентами Central Node, в которой выделяется главный сервер управления – Primary Central Node (PCN) и подчиненные серверы – Secondary Central Node (SCN).

Двухуровневая иерархия серверов с установленными компонентами Central Node, в которой выделяется главный сервер управления – Primary Central Node (PCN) и подчиненные серверы – Secondary Central Node (SCN).

Двухуровневая иерархия серверов с установленными компонентами Central Node, в которой выделяется главный сервер управления – Primary Central Node (PCN) и подчиненные серверы – Secondary Central Node (SCN).

Двухуровневая иерархия серверов с установленными компонентами Central Node, в которой выделяется главный сервер управления – Primary Central Node (PCN) и подчиненные серверы – Secondary Central Node (SCN).

Двухуровневая иерархия серверов с установленными компонентами Central Node, в которой выделяется главный сервер управления – Primary Central Node (PCN) и подчиненные серверы – Secondary Central Node (SCN).

Двухуровневая иерархия серверов с установленными компонентами Central Node, в которой выделяется главный сервер управления – Primary Central Node (PCN) и подчиненные серверы – Secondary Central Node (SCN).

Двухуровневая иерархия серверов с установленными компонентами Central Node, в которой выделяется главный сервер управления – Primary Central Node (PCN) и подчиненные серверы – Secondary Central Node (SCN).

Двухуровневая иерархия серверов с установленными компонентами Central Node, в которой выделяется главный сервер управления – Primary Central Node (PCN) и подчиненные серверы – Secondary Central Node (SCN).

Двухуровневая иерархия серверов с установленными компонентами Central Node, в которой выделяется главный сервер управления – Primary Central Node (PCN) и подчиненные серверы – Secondary Central Node (SCN).

Двухуровневая иерархия серверов с установленными компонентами Central Node, в которой выделяется главный сервер управления – Primary Central Node (PCN) и подчиненные серверы – Secondary Central Node (SCN).

Двухуровневая иерархия серверов с установленными компонентами Central Node, в которой выделяется главный сервер управления – Primary Central Node (PCN) и подчиненные серверы – Secondary Central Node (SCN).

мультитенантности

Режим работы, при котором Kaspersky Anti Targeted Attack Platform используется для защиты инфраструктуры нескольких организаций или филиалов одной организации одновременно.

Режим работы, при котором Kaspersky Anti Targeted Attack Platform используется для защиты инфраструктуры нескольких организаций или филиалов одной организации одновременно.

Режим работы, при котором Kaspersky Anti Targeted Attack Platform используется для защиты инфраструктуры нескольких организаций или филиалов одной организации одновременно.

Режим работы, при котором Kaspersky Anti Targeted Attack Platform используется для защиты инфраструктуры нескольких организаций или филиалов одной организации одновременно.

Режим работы, при котором Kaspersky Anti Targeted Attack Platform используется для защиты инфраструктуры нескольких организаций или филиалов одной организации одновременно.

Режим работы, при котором Kaspersky Anti Targeted Attack Platform используется для защиты инфраструктуры нескольких организаций или филиалов одной организации одновременно.

Режим работы, при котором Kaspersky Anti Targeted Attack Platform используется для защиты инфраструктуры нескольких организаций или филиалов одной организации одновременно.

Режим работы, при котором Kaspersky Anti Targeted Attack Platform используется для защиты инфраструктуры нескольких организаций или филиалов одной организации одновременно.

Режим работы, при котором Kaspersky Anti Targeted Attack Platform используется для защиты инфраструктуры нескольких организаций или филиалов одной организации одновременно.

Режим работы, при котором Kaspersky Anti Targeted Attack Platform используется для защиты инфраструктуры нескольких организаций или филиалов одной организации одновременно.

Режим работы, при котором Kaspersky Anti Targeted Attack Platform используется для защиты инфраструктуры нескольких организаций или филиалов одной организации одновременно.

Режим работы, при котором Kaspersky Anti Targeted Attack Platform используется для защиты инфраструктуры нескольких организаций или филиалов одной организации одновременно.

Режим работы, при котором Kaspersky Anti Targeted Attack Platform используется для защиты инфраструктуры нескольких организаций или филиалов одной организации одновременно.

Режим работы, при котором Kaspersky Anti Targeted Attack Platform используется для защиты инфраструктуры нескольких организаций или филиалов одной организации одновременно.

Режим работы, при котором Kaspersky Anti Targeted Attack Platform используется для защиты инфраструктуры нескольких организаций или филиалов одной организации одновременно.

Режим работы, при котором Kaspersky Anti Targeted Attack Platform используется для защиты инфраструктуры нескольких организаций или филиалов одной организации одновременно.

Режим работы, при котором Kaspersky Anti Targeted Attack Platform используется для защиты инфраструктуры нескольких организаций или филиалов одной организации одновременно.

Режим работы, при котором Kaspersky Anti Targeted Attack Platform используется для защиты инфраструктуры нескольких организаций или филиалов одной организации одновременно.

Режим работы, при котором Kaspersky Anti Targeted Attack Platform используется для защиты инфраструктуры нескольких организаций или филиалов одной организации одновременно.

Режим работы, при котором Kaspersky Anti Targeted Attack Platform используется для защиты инфраструктуры нескольких организаций или филиалов одной организации одновременно.

Режим работы, при котором Kaspersky Anti Targeted Attack Platform используется для защиты инфраструктуры нескольких организаций или филиалов одной организации одновременно.

Режим работы, при котором Kaspersky Anti Targeted Attack Platform используется для защиты инфраструктуры нескольких организаций или филиалов одной организации одновременно.

Режим работы, при котором Kaspersky Anti Targeted Attack Platform используется для защиты инфраструктуры нескольких организаций или филиалов одной организации одновременно.

Режим работы, при котором Kaspersky Anti Targeted Attack Platform используется для защиты инфраструктуры нескольких организаций или филиалов одной организации одновременно.

Режим работы, при котором Kaspersky Anti Targeted Attack Platform используется для защиты инфраструктуры нескольких организаций или филиалов одной организации одновременно.

Режим работы, при котором Kaspersky Anti Targeted Attack Platform используется для защиты инфраструктуры нескольких организаций или филиалов одной организации одновременно.

Режим работы, при котором Kaspersky Anti Targeted Attack Platform используется для защиты инфраструктуры нескольких организаций или филиалов одной организации одновременно.

Режим работы, при котором Kaspersky Anti Targeted Attack Platform используется для защиты инфраструктуры нескольких организаций или филиалов одной организации одновременно.

Режим работы, при котором Kaspersky Anti Targeted Attack Platform используется для защиты инфраструктуры нескольких организаций или филиалов одной организации одновременно.

Режим работы, при котором Kaspersky Anti Targeted Attack Platform используется для защиты инфраструктуры нескольких организаций или филиалов одной организации одновременно.

Режим работы, при котором Kaspersky Anti Targeted Attack Platform используется для защиты инфраструктуры нескольких организаций или филиалов одной организации одновременно.

Режим работы, при котором Kaspersky Anti Targeted Attack Platform используется для защиты инфраструктуры нескольких организаций или филиалов одной организации одновременно.

Режим работы, при котором Kaspersky Anti Targeted Attack Platform используется для защиты инфраструктуры нескольких организаций или филиалов одной организации одновременно.

Интерфейс Kaspersky Anti Targeted Attack Platform

Работа с программой осуществляется через веб-интерфейс. Разделы веб-интерфейса программы различаются в зависимости от роли пользователя – Администратор или Старший сотрудник службы безопасности / Сотрудник службы безопасности/Аудитор.

Окно веб-интерфейса программы содержит следующие элементы:

• разделы в левой части и в нижней части окна веб-интерфейса программы;
• закладки в верхней части окна веб-интерфейса программы для некоторых разделов программы;
• рабочую область в нижней части окна веб-интерфейса программы.

Разделы окна веб-интерфейса программы

Веб-интерфейс программы для роли Администратор содержит следующие разделы:

• Мониторинг. Содержит данные мониторинга Kaspersky Anti Targeted Attack Platform.
• Режим работы. Содержит информацию о серверах PCN и SCN и о тенантах в режиме распределенного решения и мультитенантности.
• Endpoint Agents. Содержит информацию о подключенных компьютерах с программой Kaspersky Endpoint Agent и их параметрах.
• Отчеты: Журнал активности. Содержит информацию о параметрах записи информации о действиях пользователей в веб-интерфейсе программы.
• Параметры. Содержит параметры сервера с компонентом Central Node.
• Серверы Sensor. Содержит информацию о подключенных компонентах Sensor и их параметры.
• Серверы Sandbox. Содержит информацию о подключении компонента Central Node к компонентам Sandbox.
• Внешние системы. Содержит информацию об интеграции программы с почтовыми сенсорами.

Рабочая область окна веб-интерфейса программы

В рабочей области отображается информация, просмотр которой вы выбираете в разделах и на закладках окна веб-интерфейса программы, а также элементы управления, с помощью которых вы можете настроить отображение информации.

Пользователи с ролью Аудитор также могут просматривать эти разделы веб-интерфейса программы.

Мониторинг работы программы

Вы можете осуществлять мониторинг работы программы с помощью виджетов в разделе Мониторинг окна веб-интерфейса программы. Вы можете добавлять, удалять, перемещать виджеты, настраивать масштаб отображения виджетов и выбирать период отображения данных.

О виджетах и схемах расположения виджетов

С помощью виджетов вы можете осуществлять мониторинг работы программы.

Схема расположения виджетов – вид рабочей области окна веб-интерфейса программы в разделе Мониторинг. Вы можете добавлять, удалять и перемещать виджеты на схеме расположения виджетов.

В программе доступны следующие виджеты:

• Обработано. Отображение состояния обработки трафика, поступающего от компонента Sensor и программы Kaspersky Endpoint Agent на сервер с компонентом Central Node.
• Очереди. Отображение сведений о количестве и объеме объектов, ожидающих проверки модулями и компонентами программы.
• Время обработки в Sandbox. Отображение среднего времени, за которое были получены результаты проверки объектов компонентом Sandbox.

Если вы используете режим распределенного решения и мультитенантности, в разделе отображаются данные по выбранному вами тенанту и серверу.

Выбор тенанта и сервера для работы в разделе Мониторинг

Если вы используете режим распределенного решения и мультитенантности, перед началом работы в разделе Мониторинг вам нужно выбрать тенант и сервер, данные по которым вы хотите просмотреть.

Чтобы выбрать тенант и сервер для отображения данных в разделе Мониторинг:

1. В правой верхней части окна веб-интерфейса программы нажмите на стрелку рядом с именем сервера.
2. В раскрывшемся меню выберите тенант и нужный вам сервер из списка.

Отобразятся данные по выбранному вами серверу. Если вы хотите изменить тенант и сервер, вам нужно повторить действия по выбору тенанта и сервера.

Добавление виджета на текущую схему расположения виджетов

Чтобы добавить виджет на текущую схему расположения виджетов:

1. В окне веб-интерфейса программы выберите раздел Мониторинг.
2. В верхней части окна нажмите на кнопку .
3. В раскрывающемся списке выберите Изменить.
4. Нажмите на кнопку Виджеты.
5. В появившемся окне Настроить виджеты выполните следующие действия:
   • Если вы хотите добавить виджет Очереди, включите переключатель рядом с названием этого виджета.
   • Если вы хотите добавить виджет Время обработки в Sandbox, включите переключатель рядом с названием этого виджета.
   • Если вы хотите добавить виджет Обработано, нажмите на кнопку рядом с названием этого виджета.

Выбранный виджет будет добавлен на текущую схему расположения виджетов.

Перемещение виджета на текущей схеме расположения виджетов

Чтобы переместить виджет на текущей схеме расположения виджетов:

1. В окне веб-интерфейса программы выберите раздел Мониторинг.
2. В верхней части окна нажмите на кнопку .
3. В раскрывающемся списке выберите Изменить.
4. Выберите виджет, который вы хотите переместить на схеме расположения виджетов.
5. Нажав и удерживая левую клавишу мыши на верхней части виджета, перетащите виджет на другое место схемы расположения виджетов.
6. Нажмите на кнопку Сохранить.

Текущая схема расположения виджетов будет сохранена.

Удаление виджета с текущей схемы расположения виджетов

Чтобы удалить виджет с текущей схемы расположения виджетов:

1. В окне веб-интерфейса программы выберите раздел Мониторинг.
2. В верхней части окна нажмите на кнопку .
3. В раскрывающемся списке выберите Изменить.
4. Нажмите на значок в правом верхнем углу виджета, который вы хотите удалить со схемы расположения виджетов.

   Виджет будет удален из рабочей области окна веб-интерфейса программы.

5. Нажмите на кнопку Сохранить.

Виджет будет удален с текущей схемы расположения виджетов.

Сохранение схемы расположения виджетов в PDF

Чтобы сохранить схему расположения виджетов в PDF:

1. В окне веб-интерфейса программы выберите раздел Мониторинг.
2. В верхней части окна нажмите на кнопку .
3. В раскрывающемся списке выберите Сохранить как PDF.

   Откроется окно Сохранение в PDF.

4. В нижней части окна в раскрывающемся списке Ориентация выберите ориентацию страницы.
5. Нажмите на кнопку Скачать.

   Схема расположения виджетов в формате PDF будет сохранена на жесткий диск вашего компьютера в папку загрузки браузера.

6. Нажмите на кнопку Закрыть.

Настройка периода отображения данных на виджетах

Вы можете настроить отображение данных на виджетах за следующие периоды:

• День.
• Неделя.
• Месяц.

Чтобы настроить отображение данных на виджетах за сутки (с 00:00 до 23:59):

1. В окне веб-интерфейса программы выберите раздел Мониторинг.
2. В правом верхнем углу окна веб-интерфейса программы в раскрывающемся списке периодов отображения данных выберите День.
3. В календаре справа от названия периода День выберите дату, за которую вы хотите получить данные на виджете.

На всех виджетах страницы Мониторинг отобразятся данные за выбранный вами период.

Чтобы настроить отображение данных на виджетах за неделю (с понедельника по воскресенье):

1. В окне веб-интерфейса программы выберите раздел Мониторинг.
2. В правом верхнем углу окна веб-интерфейса программы в раскрывающемся списке периодов отображения данных выберите Неделя.
3. В календаре справа от названия периода Неделя выберите неделю, за которую вы хотите получить данные на виджете.

На всех виджетах страницы Мониторинг отобразятся данные за выбранный вами период.

Чтобы настроить отображение данных на виджетах за месяц (календарный месяц):

1. В окне веб-интерфейса программы выберите раздел Мониторинг.
2. В правом верхнем углу окна веб-интерфейса программы в раскрывающемся списке периодов отображения данных выберите Месяц.
3. В календаре справа от названия периода Месяц выберите месяц, за который вы хотите получить данные на виджете.

На всех виджетах страницы Мониторинг отобразятся данные за выбранный вами период.

Мониторинг приема и обработки входящих данных

На виджете Обработано вы можете оценить статус обработки данных, поступающих от компонента Sensor и программного компонента Kaspersky Endpoint Agent на сервер с компонентом Central Node, и отследить ошибки обработки данных.

Вы можете выбрать компонент (Sensor или Kaspersky Endpoint Agent), поступление данных с которого вы хотите оценить, в раскрывающемся списке справа от названия виджета Обработано.

Вы можете выбрать тип отображения данных в раскрывающемся списке справа от названия компонента (Sensor или Kaspersky Endpoint Agent):

• Текущая загрузка – 5 минут до текущего момента.
• Выбранный период. В этом случае вы также можете настроить период отображения данных на виджетах.

В левой части каждого виджета отображается легенда виджета по цветам, которые используются на самих виджетах.

Если выбран тип отображения данных Текущая загрузка, справа от легенды отображается средняя скорость обработки данных за последние 5 минут.

Если выбран тип отображения данных Выбранный период, справа от легенды отображается средняя скорость поступления трафика на сервер с компонентом Central Node и количество обработанных объектов за выбранный период.

Мониторинг очередей обработки данных модулями и компонентами программы

На виджете Очереди вы можете оценить статус обработки данных модулями программы

Передача данных в очереди измеряется сообщениями.

Вы можете выбрать тип отображения данных в раскрывающемся списке справа от названия виджета Очереди:

• Текущая загрузка – 5 минут до текущего момента.
• Выбранный период. В этом случае вы также можете настроить период отображения данных на виджетах.

В левой части виджета отображается легенда виджета по цветам, которые используются на виджете.

На виджете Очереди отображаются следующие данные:

• Количество сообщений и Объем данных, обработанных модулями и компонентами программы:
  • YARA – синим цветом.
  • Sandbox – фиолетовым цветом.
  • AM Engine – зеленым цветом.
• Не обработано – объем необработанных данных вертикальными линиями красного цвета.

При наведении курсора мыши на виджет появляется всплывающее окно, в котором отображается статус обработки данных модулями программы YARA, AM Engine и компонентом Sandbox, а также объем необработанных данных в определенное время.

Мониторинг обработки данных компонентом Sandbox

На виджете Время обработки в Sandbox отображается среднее время, прошедшее от момента отправки данных на один или несколько серверов с компонентом Sandbox (включая время ожидания отправки) до отображения результатов обработки данных компонентом Sandbox в веб-интерфейсе Kaspersky Anti Targeted Attack Platform в выбранный период.

Вы можете увеличить скорость обработки данных компонентом Sandbox и пропускную способность компонента Sandbox, увеличив количество серверов с компонентом Sandbox и распределив по этим серверам данные, предназначенные для обработки.

Просмотр состояния работоспособности модулей и компонентов программы

Если в работе модулей и компонентов программы возникли проблемы, на которые администратору рекомендуется обратить внимание, в верхней части окна раздела Мониторинг веб-интерфейса программы отображается рамка желтого цвета с предупреждениями.

Пользователю с ролью Локальный администратор, Администратор или Аудитор доступна информация о работоспособности того сервера Central Node, PCN или SCN, на котором он сейчас работает.

Пользователю с ролью Старший сотрудник службы безопасности, Сотрудник службы безопасности или Аудитор доступна следующая информация о работоспособности:

• Если вы используете отдельный сервер Central Node, пользователю доступна информация о работоспособности того сервера Central Node, на котором он сейчас работает.
• Если вы используете режим режим распределенного решения и мультитенантности и пользователь работает на сервере SCN, пользователю доступна информация о работоспособности этого сервера SCN в рамках тех тенантов, к данным которых у него есть доступ.
• Если вы используете режим режим распределенного решения и мультитенантности и пользователь работает на сервере PCN, пользователю доступна информация о работоспособности этого сервера PCN и всех серверов SCN, подключенных к этому серверу, в рамках тех тенантов, к данным которых у него есть доступ.

Чтобы получить более подробную информацию о работоспособности модулей и компонентов программы,

по ссылке Просмотреть сведения откройте окно Работоспособность системы.

В окне Работоспособность системы в зависимости от работоспособности модулей и компонентов программы отображается один из следующих значков:

• Значок , если модули и компоненты программы работают нормально.
• Значок с количеством проблем (например, ), если обнаружены проблемы, на которые администратору рекомендуется обратить внимание. В этом случае в правой части окна Работоспособность системы отображается подробная информация о проблемах.

Окно Работоспособность системы содержит разделы:

• Работоспособность компонентов – статус работы модулей и компонентов программы, карантина, а также обновления баз на всех серверах, на которых работает программа.

  Пример: Если базы одного или нескольких компонентов программы не обновлялись в течение 24 часов, рядом с именем сервера, на котором установлены модули и компоненты программы, отображается значок . Для решения проблемы убедитесь, что серверы обновлений доступны. Если для соединения с серверами обновлений вы используете прокси-сервер, убедитесь, что на прокси-сервере нет ошибок, связанных с подключением к серверам Kaspersky Anti Targeted Attack Platform.

• Обработано – статус приема и обработки входящих данных. Статус формируется на основе следующих критериев:
  • Состояние получения данных с серверов с компонентом Sensor, c сервера или виртуальной машины с почтовым сенсором, с хостов с программой Kaspersky Endpoint Agent.
  • Информация о превышении максимально допустимого времени, которое объекты ожидают в очереди на проверку модулями и компонентами программы.
• Соединение с серверами – состояние соединения между сервером PCN и подключенными серверами SCN (отображается, если вы используете режим распределенного решения и мультитенантности).

В случае обнаружения проблем в работоспособности модулей и компонентов программы, которые вы не можете решить самостоятельно, рекомендуется обратиться в Службу технической поддержки "Лаборатории Касперского".

Управление серверами Central Node, PCN или SCN с помощью веб-интерфейса программы

С помощью веб-интерфейса программы вы можете выполнять следующие действия с сервером, на котором установлен компонент Central Node:

• настраивать дату и время сервера;
• выключать и перезагружать сервер;
• генерировать или загружать самостоятельно подготовленный сертификат сервера;
• настраивать сетевые параметры сервера;
• контролировать уровень заполнения дискового пространства сервера.

Если вы используете режим распределенного решения и мультитенантности, выполняйте действия в веб-интерфейсе того сервера PCN или SCN, параметры которого вы хотите настроить.

Настройка даты и времени сервера

Если вы используете режим распределенного решения и мультитенантности, выполняйте действия в веб-интерфейсе того сервера PCN или SCN, параметры которого вы хотите настроить.

Чтобы настроить дату и время сервера:

1. В окне веб-интерфейса программы выберите раздел Параметры, подраздел Дата и время.
2. В раскрывающемся списке Часовой пояс выберите часовой пояс, в котором находится сервер с компонентом Central Node.

   Вы можете указать страну и часовой пояс, выбрав нужный регион на карте под раскрывающимися списками.

3. В блоке NTP-серверы выполните следующие действия:
   • Если вы хотите добавить новый
     NTP-сервер

     Сервер точного времени, использующий протокол Network Time Protocol.

     , выполните следующие действия:
     1. Нажмите на кнопку Добавить.
     2. В появившемся поле введите IP-адрес или доменное имя NTP-сервера.
     3. Справа от поля нажмите на кнопку .
   • Если вы хотите изменить IP-адрес или доменное имя NTP-сервера, в строке с этим сервером нажмите на кнопку .
   • Если вы хотите удалить NTP-сервер, в строке с этим сервером нажмите на кнопку .
4. Нажмите на кнопку Применить.

Дата и время сервера будут настроены.

Генерация или загрузка TLS-сертификата сервера

Если вы уже используете TLS-сертификат сервера и сгенерируете или загрузите новый сертификат, сертификат, который используется в программе, будет удален и заменен на новый сертификат.

Вам потребуется указать данные нового сертификата везде, где использовался старый.

Если вы замените TLS-сертификат на новый, вам потребуется

• Повторно авторизовать почтовые сенсоры (KSMG, KLMS) на Central Node.
• Повторно настроить соединение Central Node, PCN и SCN с Sandbox.
• Повторно настроить перенаправление трафика от Endpoint Agent на Sensor и доверенное соединение с Endpoint Agent.
• Загрузить новый сертификат в Active Directory (если вы используете Active Directory).

Удалите все правила изоляции хостов Endpoint Agent. Соединение с изолированными хостами будет разорвано, вы не сможете ими управлять.

Вы можете сгенерировать новый сертификат через веб-интерфейс сервера Central Node или загрузить самостоятельно созданный сертификат.

Если вы используете режим распределенного решения и мультитенантности, выполняйте действия в веб-интерфейсе того сервера PCN или SCN, параметры которого вы хотите настроить.

Чтобы сгенерировать TLS-сертификат сервера Central Node:

1. Войдите в веб-интерфейс Kaspersky Anti Targeted Attack Platform под учетной записью администратора.
2. В окне веб-интерфейса программы выберите раздел Параметры, подраздел Сертификаты.
3. В разделе Сертификат сервера нажмите на кнопку Сгенерировать.

   Откроется окно подтверждения действия.

4. Нажмите на кнопку Да.

Kaspersky Anti Targeted Attack Platform сгенерирует новый TLS-сертификат. Страница автоматически обновится.

Связь с почтовыми сенсорами, компонентом Sandbox, программой Kaspersky Endpoint Agent будет прервана до повторной авторизации.

Вы можете самостоятельно подготовить TLS-сертификат и загрузить его через веб-интерфейс Kaspersky Anti Targeted Attack Platform.

Файл TLS-сертификата, предназначенный для загрузки, должен удовлетворять следующим требованиям:

• Файл должен содержать сам сертификат и закрытый ключ шифрования соединения.
• Файл должен иметь формат PEM.
• Длина закрытого ключа должна быть 2048 бит или более.

Подробнее о подготовке TLS-сертификатов к импорту см. в документации Open SSL.

Выполняйте действия по загрузке TLS-сертификат в веб-интерфейсе того сервера, на который вы хотите загрузить сертификат.

Чтобы загрузить cамостоятельно подготовленный TLS-сертификат через веб-интерфейс Kaspersky Anti Targeted Attack Platform:

1. Войдите в веб-интерфейс Kaspersky Anti Targeted Attack Platform под учетной записью администратора.
2. В окне веб-интерфейса программы выберите раздел Параметры, подраздел Сертификаты.
3. В разделе Сертификат сервера нажмите на кнопку Загрузить.

   Откроется окно выбора файлов.

4. Выберите файл TLS-сертификата, который вы хотите загрузить, и нажмите на кнопку Открыть.

   Окно выбора файлов закроется.

TLS-сертификат будет добавлен в Kaspersky Anti Targeted Attack Platform.

Связь с почтовыми сенсорами, компонентом Sandbox, программой Kaspersky Endpoint Agent будет прервана до повторной авторизации.

Скачивание TLS-сертификата сервера на компьютер

Если вы используете режим распределенного решения и мультитенантности, выполняйте действия в веб-интерфейсе того сервера PCN или SCN, параметры которого вы хотите настроить.

Чтобы скачать TLS-сертификат сервера на компьютер:

1. В окне веб-интерфейса программы выберите раздел Параметры, подраздел Сертификаты.
2. В разделе Сертификат сервера нажмите на кнопку Скачать.

Файл сертификата сервера будет сохранен в папке загрузки браузера.

Назначение DNS-имени сервера

Если вы используете режим распределенного решения и мультитенантности, выполняйте действия в веб-интерфейсе того сервера PCN или SCN, параметры которого вы хотите настроить.

Чтобы назначить имя сервера для использования DNS-серверами:

1. В окне веб-интерфейса программы выберите раздел Параметры, подраздел Сетевые параметры.
2. В поле Имя сервера (FQDN) введите полное доменное имя сервера.

   Указывайте имя сервера в формате FQDN (например, host.domain.com или host.domain.subdomain.com).

3. Нажмите на кнопку Применить.

Имя сервера будет назначено.

Настройка параметров DNS

Если вы используете режим распределенного решения и мультитенантности, выполняйте действия в веб-интерфейсе того сервера PCN или SCN, параметры которого вы хотите настроить.

Чтобы настроить параметры DNS:

1. В окне веб-интерфейса программы выберите раздел Параметры, подраздел Сетевые параметры.
2. В блоке параметров Параметры DNS в поле Главный и дополнительный DNS-серверы введите IP-адреса DNS-серверов.
3. Нажмите на кнопку Применить.

Параметры DNS будут настроены.

Настройка параметров сетевого интерфейса

Если вы используете режим распределенного решения и мультитенантности, выполняйте действия в веб-интерфейсе того сервера PCN или SCN, параметры которого вы хотите настроить.

Чтобы настроить параметры сетевого интерфейса:

1. В окне веб-интерфейса программы выберите раздел Параметры, подраздел Сетевые параметры.
2. Выберите сетевой интерфейс, параметры которого вы хотите настроить.

   Откроется окно Изменить сетевой интерфейс.

3. В блоке параметров Состояние выберите один из следующих вариантов:
   • Отключено.
   • Включено, используется DHCP-сервер, если вы хотите, чтобы для сетевого интерфейса использовались параметры, полученные от DHCP-сервера.
   • Включено, настройка вручную, если вы хотите, чтобы для сетевого интерфейса использовались параметры, заданные вручную.
4. Если вы выбрали Включено, настройка вручную, укажите значения для следующих параметров:
   1. В поле IP укажите IP-адрес сетевого интерфейса.
   2. В поле Маска подсети укажите маску подсети сетевого интерфейса.
   3. В поле Шлюз введите IP-адрес шлюза.
5. Нажмите на кнопку Сохранить.

Параметры сетевого интерфейса будут настроены.

Настройка сетевого маршрута для использования по умолчанию

Если вы используете режим распределенного решения и мультитенантности, выполняйте действия в веб-интерфейсе того сервера PCN или SCN, параметры которого вы хотите настроить.

Чтобы настроить сетевой маршрут для использования по умолчанию:

1. В окне веб-интерфейса программы выберите раздел Параметры, подраздел Сетевые параметры.
2. В блоке параметров Сетевой маршрут в раскрывающемся списке Сетевой интерфейс выберите сетевой интерфейс, для которого вы хотите настроить сетевой маршрут.
3. В поле Шлюз введите IP-адрес шлюза.
4. Нажмите на кнопку Применить.

Сетевой маршрут для использования по умолчанию будет настроен.

Настройка параметров соединения с прокси-сервером

Если вы используете режим распределенного решения и мультитенантности, выполняйте действия в веб-интерфейсе того сервера PCN или SCN, параметры которого вы хотите настроить.

Чтобы настроить параметры соединения с прокси-сервером:

1. В окне веб-интерфейса программы выберите раздел Параметры, подраздел Общие параметры.
2. В блоке параметров Прокси-сервер переведите переключатель в положение Включено.
3. В поле Хост укажите URL-адрес прокси-сервера.
4. В поле Порт укажите порт подключения к прокси-серверу.
5. В поле Имя пользователя укажите имя пользователя для аутентификации на прокси-сервере.
6. В поле Пароль укажите пароль для аутентификации на прокси-сервере.
7. Если вы не хотите использовать прокси-сервер при подключении к локальным адресам, установите флажок Не использовать прокси-сервер для локальных адресов.
8. Нажмите на кнопку Применить.

Параметры соединения с прокси-сервером будут настроены.

Настройка параметров соединения с почтовым сервером

Если вы используете режим распределенного решения и мультитенантности, выполняйте действия в веб-интерфейсе того сервера PCN или SCN, параметры которого вы хотите настроить.

Программа может отправлять уведомления об обнаружениях и работе системы. Для этого необходимо настроить параметры сервера для отправки уведомлений.

Чтобы настроить параметры сервера для отправки уведомлений:

1. В окне веб-интерфейса программы выберите раздел Параметры, подраздел Уведомления.
2. Перейдите на вкладку Конфигурация почтового сервера.
3. В поле Хост укажите IP-адрес почтового сервера.
4. В поле Порт укажите порт подключения к почтовому серверу.
5. В поле Отправлять с адреса укажите адрес электронной почты, с которого будут отправляться уведомления.
6. Если вы хотите включить проверку подлинности на почтовом сервере, установите флажок Использовать SMTP-проверку подлинности получателей сообщений.
7. В поле Имя пользователя укажите имя пользователя для аутентификации на сервере для отправки уведомлений.
8. В поле Пароль укажите пароль для аутентификации на сервере для отправки уведомлений.
9. Если вы хотите использовать TLS-шифрование при отправке уведомлений, установите флажок Использовать TLS-шифрование.
10. Если вы хотите проверить сертификат почтового сервера, установите флажок Подтверждать TLS-шифрование.

    В поле Отпечаток сертификата отобразится отпечаток сертификата почтового сервера.

    Если флажок Подтверждать TLS-шифрование не установлен, программа будет считать любой сертификат почтового сервера доверенным.

11. Нажмите на кнопку Применить.

Параметры сервера для отправки уведомлений будут настроены.

Выбор операционных систем для проверки объектов в Sandbox

Если вы используете режим распределенного решения и мультитенантности, выполняйте действия в веб-интерфейсе того сервера PCN или SCN, параметры которого вы хотите настроить.

Вы можете выбрать набор операционных систем, на основе которого будут формироваться задачи на проверку объектов для компонента Sandbox. Вам потребуется установить виртуальные машины с операционными системами, которые соответствуют выбранному набору, на сервере Sandbox.

Чтобы выбрать набор операционных систем:

1. В окне веб-интерфейса программы выберите раздел Серверы Sandbox.
2. Выберите закладку Параметры.
3. В блоке параметров Набор ОС выберите один из вариантов:
   • Windows XP, Windows 7, Windows 10.
   • CentOS 7.8, Windows XP, Windows 7, Windows 10.
   • Astra Linux 1.7, Windows XP, Windows 7, Windows 10.

Kaspersky Anti Targeted Attack Platform будет создавать задачи на проверку объектов в Sandbox в соответствии с выбранным набором.

Если набор операционных систем, установленных на сервере Sandbox, не совпадает с набором, выбранным на сервере Central Node, объекты не отправляются на проверку этому серверу Sandbox. При подключении к серверу Central Node нескольких серверов Sandbox программа отправляет объекты на проверку тем серверам Sandbox, на которых установлены операционные системы, соответствующие выбранному на Central Node набору.

Вы можете изменить набор операционных систем в ходе эксплуатации программы. В этом случае вам нужно убедиться, что конфигурация сервера Sandbox соответствует аппаратным требованиям.

В режиме распределенного решения и мультитенантности настройки набора операционных систем, заданные на сервере PCN, не распространяются на подключенные к нему серверы SCN. Вы можете выбрать набор операционных систем для каждого сервера PCN и SCN отдельно.

Управление компонентом Sensor

Компонент Sensor выполняет прием данных из сетевого и почтового трафика.

Вы можете установить компоненты Sensor и Central Node на одном сервере или на отдельных серверах. Если компонент Sensor установлен на отдельном сервере, необходимо подключить его к серверу с компонентом Central Node.

Если вы используете режим распределенного решения и мультитенантности, выполняйте действия по подключению к серверам PCN или SCN.

Просмотр таблицы серверов с компонентом Sensor

Таблица серверов с компонентом Sensor находится в разделе Серверы Sensor окна веб-интерфейса программы. В таблице содержится следующая информация:

• IP/имя – IP-адрес или доменное имя сервера с компонентом Sensor.
• Тип – тип компонента Sensor. Может принимать следующие значения:
  • Central Node – компонент Sensor установлен на том же сервере, что и компонент Central Node.
  • Удаленный – компонент Sensor установлен на другом сервере или в качестве компонента Sensor используется почтовый сенсор.
• Отпечаток сертификата – отпечаток TLS-сертификата, с помощью которого устанавливается шифрованное соединение между серверами с компонентами Sensor и Central Node.
• KSN/KPSN – состояние подключения к репутационным базам KSN/KPSN.
• SPAN – состояние обработки SPAN-трафика.
• SMTP – состояние интеграции с почтовым сервером по протоколу SMTP.
• ICAP – состояние интеграции с прокси-сервером по протоколу ICAP.
• POP3 – состояние интеграции с почтовым сервером по протоколу POP3.
• Состояние – состояние запроса на подключение.

Обработка запроса на подключение от компонента Sensor

Если вы используете режим распределенного решения и мультитенантности, выполняйте действия в веб-интерфейсе того сервера PCN или SCN, параметры которого вы хотите настроить.

Вы можете принять, отклонить или отозвать ранее принятый запрос на подключение от компонента Sensor.

Чтобы обработать запрос на подключение от компонента Sensor, выполните следующие действия:

1. В окне веб-интерфейса программы выберите раздел Серверы Sensor.

   В таблице Список серверов отобразятся уже подключенные компоненты Sensor, а также запросы на подключение.

2. В строке с запросом на подключение компонента Sensor выполните одно из следующих действий:
   • Если вы хотите подключить компонент Sensor, нажмите на кнопу Принять.
   • Если вы не хотите подключать компонент Sensor, нажмите на кнопку Отклонить.
3. В окне подтверждения нажмите на кнопку Да.

Запрос на подключение от компонента Sensor будет обработан.

Настройка максимального размера проверяемого файла

Если вы используете режим распределенного решения и мультитенантности, выполняйте действия в веб-интерфейсе того сервера PCN или SCN, параметры которого вы хотите настроить.

Чтобы настроить максимальный размер проверяемого файла:

1. В окне веб-интерфейса программы выберите раздел Серверы Sensor.

   Отобразится таблица Список серверов.

2. Выберите компонент Sensor, для которого вы хотите настроить максимальный размер проверяемого файла.

   Откроется страница с параметрами компонента Sensor.

3. Выберите раздел Общие параметры.
4. Если вы хотите, чтобы программа проверяла файлы любых размеров, установите флажок Без ограничений.
5. Если вы хотите установить максимальный размер, при превышении которого программа не будет проверять файлы, выполните следующие действия:
   1. Снимите флажок Без ограничений.
   2. В поле под флажком введите максимально допустимый размер файла.
   3. В раскрывающемся списке справа от поля выберите единицу измерения.
6. Нажмите на кнопку Применить.

Максимальный размер проверяемого файла будет настроен.

Настройка получения зеркалированного трафика со SPAN-портов

Если вы используете режим распределенного решения и мультитенантности, выполняйте действия в веб-интерфейсе того сервера PCN или SCN, параметры которого вы хотите настроить.

Чтобы настроить получение зеркалированного трафика со SPAN-портов:

1. В окне веб-интерфейса программы выберите раздел Серверы Sensor.

   Отобразится таблица Список серверов.

2. Выберите компонент Sensor, для которого вы хотите настроить получение зеркалированного трафика со SPAN-портов.

   Откроется страница с параметрами компонента Sensor.

3. Выберите раздел Обработка SPAN-трафика.

   Отобразится таблица Сетевые интерфейсы.

4. В строке сетевого интерфейса, с которого вы хотите настроить получение зеркалированного трафика, переведите переключатель в столбце Проверка SPAN-трафика в положение Включено.
5. В раскрывающемся списке Поток перехвата выберите поток, который будет обрабатывать этот сетевой интерфейс.
6. В раскрывающемся списке Выбор процессора выберите процессор, который будет обрабатывать сетевой трафик.
7. Нажмите на кнопку Применить.

Получение зеркалированного трафика со SPAN-портов будет настроено.

Настройка интеграции с почтовым сервером по протоколу SMTP

Если вы используете режим распределенного решения и мультитенантности, выполняйте действия в веб-интерфейсе того сервера PCN или SCN, параметры которого вы хотите настроить.

Чтобы настроить интеграцию с почтовым сервером по протоколу SMTP:

1. В окне веб-интерфейса программы выберите раздел Серверы Sensor.

   Отобразится таблица Список серверов.

2. Выберите компонент Sensor, для которого вы хотите настроить интеграцию с почтовым сервером по протоколу SMTP.

   Откроется страница с параметрами компонента Sensor.

3. Выберите раздел SMTP-интеграция.
4. В поле Состояние переведите переключатель в положение Включено.
5. В поле Домены назначения укажите имя почтового домена или поддомена. Программа будет проверять сообщения электронной почты, отправленные на почтовые ящики указанных доменов.

   Чтобы отключить домен или поддомен, заключите его в форму !domain.tld.

   Если вы оставите имя почтового домена пустым, программа будет принимать сообщения, отправленные на любые адреса электронной почты.

6. В поле Клиенты укажите IP-адреса хостов и/или маски подсетей в нотации CIDR, с которыми программе разрешено взаимодействовать по протоколу SMTP.

   Чтобы отключить хост или подсеть, заключайте адрес в форму !host.

   Если вы оставите это поле пустым, программа будет принимать следующие сообщения:

   • с любых адресов электронной почты, если вы указали почтовые домены в поле Домены назначения;
   • от почтового сервера, находящегося в той же подсети, что и сервер с компонентом Sensor, если в поле Домены назначения не указан ни один домен.
7. Если вы хотите, чтобы программа принимала сообщения любых размеров, в группе параметров Ограничение по размеру сообщения установите флажок Без ограничений.
8. Если вы хотите установить максимально допустимый размер входящих сообщений, выполните следующие действия:
   1. Снимите флажок Без ограничений.
   2. В поле под флажком введите максимально допустимый размер сообщения.
   3. В раскрывающемся списке справа от поля выберите единицу измерения.
9. Нажмите на кнопку Применить.

Интеграция с почтовым сервером по протоколу SMTP будет настроена. Программа будет проверять сообщения электронной почты, полученные по протоколу SMTP, согласно заданным параметрам.

Если вы развернули компоненты Central Node и Sensor в виде кластера, вы можете настроить отказоустойчивую интеграцию с почтовым сервером.

Чтобы настроить отказоустойчивую интеграцию с почтовым сервером:

1. Настройте на сервере DNS функцию Round Robin для доменного имени, соответствующего кластеру Central Node.
2. В параметрах почтового сервера укажите это доменное имя.

Интеграция с почтовым сервером будет настроена по доменному имени. Почтовый сервер обратится к случайному серверу кластера. При отказе этого сервера почтовый сервер будет обращаться к другому работоспособному серверу кластера.

Настройка TLS-шифрования соединений с почтовым сервером по протоколу SMTP

Если вы используете режим распределенного решения и мультитенантности, выполняйте действия в веб-интерфейсе того сервера PCN или SCN, параметры которого вы хотите настроить.

Чтобы настроить TLS-шифрование соединений с почтовым сервером по протоколу SMTP:

1. В окне веб-интерфейса программы выберите раздел Серверы Sensor.

   Отобразится таблица Список серверов.

2. Выберите компонент Sensor, для которого вы хотите настроить TLS-шифрование соединений с почтовым сервером по протоколу SMTP.

   Откроется страница с параметрами компонента Sensor.

3. Выберите раздел SMTP-интеграция.
4. В поле Состояние переведите переключатель в положение Включено, если он выключен.
5. В блоке Режим TLS-безопасности клиента выберите один из следующих вариантов:
   • Не использовать TLS-шифрование.

     Программа не будет устанавливать TLS-шифрование соединений с почтовым сервером.

   • Проверять возможность TLS-шифрования входящих сообщений.

     Программа будет поддерживать TLS-шифрование соединений, но шифрование не будет являться обязательным.

   • Требовать TLS-шифрование входящих сообщений.

     Программа будет принимать сообщения только по зашифрованным каналам.

6. Нажмите на кнопку Скачать TLS-сертификат, чтобы сохранить TLS-сертификат сервера с компонентом Sensor на компьютере в папке загрузки браузера.

   Этот сертификат необходим для проверки подлинности на почтовом сервере.

7. В блоке Запрос клиентского TLS-сертификата выберите один из следующих вариантов:
   • Не запрашивать.

     Программа не будет проверять TLS-сертификат почтового сервера.

   • Запрашивать.

     Программа будет запрашивать у почтового сервера TLS-сертификат при его наличии.

   • Требовать.

     Программа будет принимать сообщения только от тех почтовых серверов, у которых есть TLS-сертификат.

8. Нажмите на кнопку Применить.

TLS-шифрование соединений с почтовым сервером по протоколу SMTP будет настроено.

Включение интеграции с прокси-сервером по протоколу ICAP

Если вы используете режим распределенного решения и мультитенантности, выполняйте действия в веб-интерфейсе того сервера PCN или SCN, параметры которого вы хотите настроить.

При использовании отдельного прокси-сервера Kaspersky Anti Targeted Attack Platform не обеспечивает шифрование ICAP-трафика и аутентификацию ICAP-клиентов по умолчанию. Администратору программы необходимо самостоятельно обеспечить безопасное сетевое соединение между вашим прокси-сервером и Kaspersky Anti Targeted Attack Platform с помощью туннелирования трафика или средствами iptables.

Чтобы включить интеграцию с прокси-сервером по протоколу ICAP:

1. В окне веб-интерфейса программы выберите раздел Серверы Sensor.

   Отобразится таблица Список серверов.

2. Выберите компонент Sensor, для которого вы хотите настроить интеграцию с прокси-сервером по протоколу ICAP.

   Откроется страница с параметрами компонента Sensor.

3. Выберите раздел ICAP-интеграция с прокси-сервером.
4. В поле Состояние переведите переключатель в положение Включено.

   В поле Хост отобразится URL-адрес службы Response Modification (RESPMOD), которая обрабатывает входящий трафик.

   Используйте этот URL-адрес для настройки интеграции с Kaspersky Anti Targeted Attack Platform по протоколу ICAP на прокси-сервере, который используется в вашей организации.

5. Нажмите на кнопку Применить.

Интеграция с прокси-сервером по протоколу ICAP будет включена.

Если вы развернули компоненты Central Node и Sensor в виде кластера, вы можете настроить отказоустойчивую интеграцию с прокси-сервером.

Чтобы настроить отказоустойчивую интеграцию с прокси-сервером:

1. Настройте на сервере DNS функцию Round Robin для доменного имени, соответствующего кластеру Central Node.
2. В параметрах прокси-сервера укажите это доменное имя.

Интеграция с прокси-сервером будет настроена по доменному имени. Прокси-сервер обратится к случайному серверу кластера. При отказе этого сервера прокси-сервер будет обращаться к другому работоспособному серверу кластера.

Настройка интеграции с почтовым сервером по протоколу POP3

Если вы используете режим распределенного решения и мультитенантности, выполняйте действия в веб-интерфейсе того сервера PCN или SCN, параметры которого вы хотите настроить.

Чтобы настроить интеграцию с почтовым сервером по протоколу POP3:

1. В окне веб-интерфейса программы выберите раздел Серверы Sensor.

   Отобразится таблица Список серверов.

2. Выберите компонент Sensor, для которого вы хотите настроить интеграцию с почтовым сервером по протоколу POP3.

   Откроется страница с параметрами компонента Sensor.

3. Выберите раздел POP3-интеграция.
4. Переведите переключатель рядом с параметром Состояние в положение Включено.
5. В поле Почтовый сервер укажите IP-адрес почтового сервера, с которым вы хотите настроить интеграцию.
6. В поле Порт укажите порт подключения к почтовому серверу.
7. В поле Принимать каждые укажите частоту соединения с почтовым сервером в секундах.
8. Если вы хотите использовать TLS-шифрование соединений с почтовым сервером по протоколу POP3, установите флажок Использовать TLS-шифрование.
9. В поле Имя пользователя укажите имя учетной записи для доступа к почтовому серверу.
10. В поле Пароль укажите пароль доступа к почтовому серверу.

    Почтовый сервер должен поддерживать базовую аутентификацию (Basic Authentication).

11. В раскрывающемся списке TLS-сертификат выберите один из следующих вариантов:
    • Принимать любой.
    • Принимать недоверенный самоподписанный.
    • Принимать только доверенный.

    При установке соединения с внешним почтовым сервером рекомендуется настроить прием только доверенных TLS-сертификатов. Прием недоверенных TLS-сертификатов не гарантирует защиту соединения от

    MITM-атак

    Man in The Middle (человек посередине). Атака на IT-инфраструктуру организации, при которой злоумышленник перехватывает канал связи между двумя точками доступа, ретранслирует и при необходимости изменяет связь между этими точками доступа.

    . Прием доверенных TLS-сертификатов также не полностью гарантирует защиту соединения от MITM-атак, но является самым безопасным из поддерживаемых способов интеграции с почтовым сервером по протоколу POP3.

12. При необходимости в поле Набор шифров измените параметры OpenSSL, используемые при установке соединения с почтовым сервером по протоколу POP3.

    Вы можете ознакомиться со справочной информацией OpenSSL по ссылке Справка.

13. Нажмите на кнопку Применить.

Интеграция с почтовым сервером по протоколу POP3 будет настроена.

Если вы развернули компоненты Central Node и Sensor в виде кластера, вы можете настроить отказоустойчивую интеграцию с почтовым сервером.

Чтобы настроить отказоустойчивую интеграцию с почтовым сервером:

1. Настройте на сервере DNS функцию Round Robin для доменного имени, соответствующего кластеру Central Node.
2. В параметрах почтового сервера укажите это доменное имя.

Интеграция с почтовым сервером будет настроена по доменному имени. Почтовый сервер обратится к случайному серверу кластера. При отказе этого сервера почтовый сервер будет обращаться к другому работоспособному серверу кластера.

Управление кластером

Этот раздел содержит информацию об управлении серверами кластера.

Просмотр таблицы серверов кластера

Чтобы просмотреть таблицу серверов кластера:

1. Выполните вход в веб-интерфейс для управления масштабированием.
2. Перейдите в раздел Кластер.

Откроется окно с таблицей.

В таблице содержится следующая информация:

• Тип сервера – тип сервера в зависимости от его роли в кластере.

  Могут отображаться следующие значения:

  • Хранение.
  • Обработка.
• Состояние – состояние сервера.

  Могут отображаться следующие значения:

  • Подключен.
  • Не подключен.
• Имя хоста – имя сервера.
• IP – IP-адрес сервера.
• ОЗУ – уровень загрузки оперативной памяти сервера.
• ЦП – уровень загрузки процессора сервера.
• Действие – действия, которые вы можете выполнить с сервером.

  Доступно следующее действие: Удалить.

Добавление сервера в кластер

Для добавления сервера в кластер вам нужно запустить установку Kaspersky Anti Targeted Attack Platform на этом сервере и выполнить шаги по установке компонентов. Добавленный сервер отобразится в списке серверов кластера.

Увеличение дискового пространства сервера хранения

Вы можете увеличить дисковое пространство функционирующего сервера хранения, установив дополнительный диск.

Для увеличения дискового пространства сервера хранения с помощью дополнительного диска вам требуется обратиться в Службу технической поддержки.

Настройка сервера производится в режиме Technical Support Mode.

Вывод серверов из эксплуатации

Для вывода из эксплуатации функционирующего сервера вам требуется обратиться в Службу технической поддержки.

При отказе сервера вы можете вывести его из эксплуатации самостоятельно.

Чтобы вывести из эксплуатации неработоспособный обрабатывающий сервер:

1. Удалите сервер из кластера.
2. Настройте параметры масштабирования программы для новой конфигурации.

Обрабатывающий сервер будет выведен из эксплуатации.

Чтобы вывести из эксплуатации неработоспособный сервер хранения:

1. Добавьте новый сервер хранения в кластер.
2. Удалите неработоспособный сервер хранения из кластера.

Сервер хранения будет выведен из эксплуатации.

Удаление сервера из кластера

Если вы используете режим распределенного решения и мультитенантности, выполняйте действия в веб-интерфейсе того сервера PCN или SCN, параметры которого вы хотите настроить.

Удаленный сервер нельзя восстановить. Убедитесь, что выбранный сервер не функционирует.

Чтобы удалить сервер из кластера:

1. Выполните вход в веб-интерфейс для управления масштабированием.
2. Перейдите в раздел Кластер.
3. В столбце Действие нажмите на ссылку Удалить напротив того сервера, который вы хотите удалить.
4. Нажмите на кнопку Продолжить.

Процесс удаления будет запущен. Удаление может занять около суток. Информация об удаленном сервере не будет отображаться в таблице серверов.

После удаления сервера вы можете изменить конфигурацию серверов кластера или добавить сервер с аналогичной ролью, чтобы сохранить производительность программы на прежнем уровне.

Включение и выключение кластера

Для выключения и включения кластера вам рекомендуется обратиться в Службу технической поддержки. Не выполняйте выключение и включение кластера при возникновении проблем с работоспособностью приложения.

Если вы хотите отключить питание работоспособных серверов кластера, вам нужно предварительно выключить кластер, чтобы избежать потери данных.

Чтобы выключить кластер:

1. Выполните вход в веб-интерфейс для управления масштабированием.
2. Перейдите в раздел Кластер.
3. Нажмите на кнопку Выключить.

Работа основных компонентов программы будет остановлена. Вы можете отключить питание серверов кластера.

Чтобы запустить серверы кластера:

1. Отключите питание серверов, если оно не было отключено ранее.
2. Включите питание сервера хранения.
3. Включите питание остальных серверов.

Серверы кластера будут запущены.

Веб-интерфейс для управления масштабированием становится доступным, когда запускается больше половины серверов кластера. Например, если в кластере 7 серверов, веб-интерфейс будет доступен при включении 4 серверов кластера.

Уведомления о максимальной загрузке центрального процессора и оперативной памяти серверов Central Node и Sensor

Высокая загрузка центрального процессора и оперативной памяти серверов Central Node и Sensor может привести к неработоспособности компонентов программы.

Вы можете настроить максимальные допустимые значения загрузки центрального процессора и оперативной памяти серверов Central Node и Sensor, при превышении которых в верхней части окна раздела Мониторинг веб-интерфейса программы для пользователей с ролью Старший сотрудник службы безопасности, Сотрудник службы безопасности, Администратор и Локальный администратор отобразится рамка желтого цвета с предупреждением. Также вы можете настроить отправку уведомлений на адрес или адреса электронной почты и соединение с протоколом SNMP для отправки данных об уровне загрузки центрального процессора и оперативной памяти во внешние системы, поддерживающие этот протокол.

Если вы развернули компоненты Central Node и Sensor в виде кластера, предупреждения отображаются отдельно для каждого сервера кластера.

Пользователи с ролью Старший сотрудник службы безопасности и Сотрудник службы безопасности также могут создавать правила для отправки уведомлений. В этом случае для корректной отправки уведомлений вам требуется предварительно настроить максимальные допустимые значения загрузки центрального процессора и оперативной памяти серверов, а также параметры сервера для отправки уведомлений.

В существующих правилах для отправки уведомлений о работе компонентов программы функция уведомления о загрузке центрального процессора и оперативной памяти серверов будет включена автоматически, если при создании правила в блоке параметров Компоненты был установлен флажок Все.

Настройка максимального допустимого значения загрузки центрального процессора и оперативной памяти серверов Central Node и Sensor

В режиме распределенного решения и мультитенантности вам нужно задать максимальные допустимые значения загрузки центрального процессора и оперативной памяти на каждом сервере Central Node, с которого вы хотите получать уведомления. Если вы используете кластер Central Node, вы можете настроить эти параметры на любом сервере кластера.

Чтобы настроить максимальное допустимое значение загрузки центрального процессора и оперативной памяти серверов Central Node и Sensor:

1. В окне веб-интерфейса программы выберите раздел Параметры, подраздел Общие параметры.
2. В блоке параметров Мониторинг выполните следующие действия:
   • В поле Уведомление о загрузке ЦП более чем на N % в течение M минут укажите максимальное допустимое значение загрузки центрального процессора и время, в течение которого указанная загрузка считается допустимой.

     По умолчанию максимальное допустимое значение загрузки центрального процессора составляет 95% в течение 5 минут.

   • В поле Уведомление о загрузке ОЗУ более чем на N % в течение M минут укажите максимальное допустимое значение загрузки оперативной памяти и время, в течение которого указанная загрузка считается допустимой.

     По умолчанию максимальное допустимое значение загрузки оперативной памяти составляет 95% в течение 5 минут.

3. Нажмите на кнопку Применить.

Максимальное значение загрузки центрального процессора и оперативной памяти серверов будет настроено. При превышении одного из заданных показателей на сервере Central Node и/или Sensor, в верхней части окна раздела Мониторинг веб-интерфейса программы для пользователей с ролью Старший сотрудник службы безопасности, Сотрудник службы безопасности, Администратор и Локальный администратор отобразится рамка желтого цвета с предупреждением.

Настройка соединения с протоколом SNMP

Вы можете отправлять данные о загрузке центрального процессора и оперативной памяти серверов Central Node и Sensor во внешние системы, поддерживающие протокол SNMP. Для этого вам требуется настроить параметры соединения с протоколом.

Если компонент Central Node развернут в виде кластера, во внешние системы отправляются данные о загрузке центрального процессора и оперативной памяти каждого сервера кластера.

Чтобы настроить параметры соединения с протоколом SNMP на сервере Central Node:

1. В окне веб-интерфейса программы выберите раздел Параметры, подраздел Общие параметры.
2. В блоке параметров SNMP установите флажок Использовать SNMP.
3. В поле Версия протокола выберите одну из следующих версий протокола:
   • v2c.
   • v3.
4. Если вы выбрали версию протокола v2c, в поле Строка сообщества укажите пароль, который будет использоваться для подключения к Kaspersky Anti Targeted Attack Platform.
5. Если вы выбрали v3, выполните следующие действия:
   1. В поле Протокол аутентификации выберите один из следующих вариантов проверки достоверности и целостности данных, переданных во внешнюю систему:
      • MD5.
      • SHA256.
   2. В поле Имя пользователя укажите имя пользователя.
   3. В поле Пароль укажите пароль для аутентификации.

      Имя пользователя и пароль, заданные в полях Имя пользователя и Пароль должны совпадать с именем пользователя и паролем, заданными при создании учетной записи во внешней системе. Если данные не совпадают, соединение не будет установлено.

   4. В поле Протокол шифрования выберите один из следующих типов шифрования:
      • DES.
      • AES.
   5. В поле Пароль укажите пароль для шифрования.

      Пароль, заданный в этом поле, должен совпадать с паролем, заданным во внешней системе.

Параметры соединения с протоколом на сервере Central Node будут настроены. При успешной обработке запроса на получение данных на сервере внешней системы отобразится информация о загрузке центрального процессора и оперативной памяти сервера Central Node.

Чтобы настроить параметры соединения с протоколом SNMP на сервере Sensor:

1. Войдите в консоль управления сервера Sensor по протоколу SSH или через терминал.
2. В ответ на приглашение системы введите имя учетной записи администратора и пароль, заданный при установке программы.

   Отобразится меню администратора компонента программы.

3. Выполните шаги 2 – 5 инструкции, приведенной выше.

Параметры соединения с протоколом на сервере Sensor будут настроены. При успешной обработке запроса на сервере внешней системы отобразится информация о загрузке центрального процессора и оперативной памяти сервера Sensor.

В режим распределенного решения и мультитенантности параметры соединения с протоколом SNMP для каждого сервера PCN, SCN и Sensor настраиваются отдельно.

Описание объектов MIB Kaspersky Anti Targeted Attack Platform

В таблице ниже приведена информация об объектах

Данные о загрузке жесткого диска, центрального процессора и оперативной памяти серверов Central Node и Sensor

Данные о загрузке жесткого диска, центрального процессора и оперативной памяти серверов Central Node и Sensor

Работа с информацией о хостах с Kaspersky Endpoint Agent

Программа Kaspersky Endpoint Agent устанавливается на отдельные компьютеры (далее также "хосты"), входящие в IT-инфраструктуру организации. Программа осуществляет постоянное наблюдение за процессами, запущенными на этих хостах, открытыми сетевыми соединениями и изменяемыми файлами.

Пользователи с ролью Старший сотрудник службы безопасности, Сотрудник службы безопасности, Аудитор, Локальный администратор и Администратор могут оценить регулярность получения данных с хостов, на которых установлена программа Kaspersky Endpoint Agent, на закладке Endpoint Agents окна веб-интерфейса программы в рамках тех тенантов, к данным которых у них есть доступ. Если вы используете режим распределенного решения и мультитенантности, то в веб-интерфейсе сервера PCN отображается список хостов с программой Kaspersky Endpoint Agent для PCN и всех подключенных SCN.

Пользователи с ролью Локальный администратор и Администратор могут настроить отображение регулярности получения данных с хостов, на которых установлена программа Kaspersky Endpoint Agent, в рамках тех тенантов, к данным которых у них есть доступ.

В случае возникновения подозрительной сетевой активности пользователь с ролью Старший сотрудник службы безопасности может изолировать от сети любой из хостов с программой Kaspersky Endpoint Agent в рамках тех тенантов, к данным которых у него есть доступ. При этом соединение между сервером с компонентом Central Node и хостом с программой Kaspersky Endpoint Agent не будет прервано.

Для оказания поддержки при неполадках в работе программы Kaspersky Endpoint Agent специалисты Службы технической поддержки могут попросить вас в отладочных целях выполнить следующие действия (в том числе в режиме Technical Support Mode):

• Активировать функциональность получения расширенной диагностической информации.
• Изменить параметры отдельных компонентов программы.
• Изменить параметры хранения и отправки получаемой диагностической информации.
• Настроить перехват и сохранение в файл сетевого трафика.

Специалисты Службы технической поддержки сообщат вам необходимую для выполнения перечисленных действий информацию (описание последовательности шагов, изменяемые параметры, конфигурационные файлы, скрипты, дополнительные возможности командной строки, отладочные модули, специализированные утилиты и так далее), а также состав получаемых в отладочных целях данных. Полученная расширенная диагностическая информация сохраняется на компьютере пользователя. Автоматическая пересылка полученных данных в "Лабораторию Касперского" не выполняется.

Перечисленные выше действия должны выполняться только под руководством специалистов Службы технической поддержки по полученным от них инструкциям. Самостоятельное изменение параметров работы программы способами, не описанными в настоящем руководстве, может привести к замедлению и сбоям в работе операционной системы, снижению уровня защиты компьютера, а также к нарушению доступности и целостности обрабатываемой информации.

Выбор тенанта для работы в разделе Endpoint Agents

Если вы используете режим распределенного решения и мультитенантности, перед началом работы в разделе Endpoint Agents вам нужно выбрать тенанты, данные по которым вас интересуют.

Чтобы выбрать тенант для работы в разделе Endpoint Agents:

1. В верхней части меню веб-интерфейса программы нажмите на стрелку рядом с названием тенанта.
2. В раскрывшемся списке выберите тенант.

Отобразятся данные по выбранному вами тенанту. Если вы хотите изменить тенант, вам нужно повторить действия по выбору тенанта.

Просмотр таблицы хостов c Kaspersky Endpoint Agent на отдельном сервере Central Node

Таблица хостов с программой Kaspersky Endpoint Agent находится в разделе Endpoint Agents окна веб-интерфейса программы.

Если вы используете отдельный сервер Central Node, не используете режим распределенного решения и мультитенантности, в таблице хостов с программой Kaspersky Endpoint Agent могут отображаться следующие данные:

• Количество хостов и показатели активности программы Kaspersky Endpoint Agent:
  • Критическое бездействие – количество хостов, от которых последние данные были получены очень давно.
  • Предупреждение – количество хостов, от которых последние данные были получены давно.
  • Нормальная активность – количество хостов, от которых последние данные были получены недавно.
• Хост – имя хоста с программой Kaspersky Endpoint Agent.
• IP – IP-адрес компьютера, на который установлена программа Kaspersky Endpoint Agent.
• ОС – версия операционной системы, установленной на компьютере с программой Kaspersky Endpoint Agent.
• Версия – версия установленной программы Kaspersky Endpoint Agent.
• Активность – показатель активности программы Kaspersky Endpoint Agent. Может принимать следующие значения:
  • Нормальная активность – хосты, от которых последние данные были получены недавно.
  • Предупреждение – хосты, от которых последние данные были получены давно.
  • Критическое бездействие – хосты, от которых последние данные были получены очень давно.

По ссылке в столбцах таблицы раскрывается список, в котором вы можете выбрать одно из следующих действий:

• Добавить в фильтр.
• Исключить из фильтра.
• Скопировать значение в буфер.

Просмотр таблицы хостов с Kaspersky Endpoint Agent в режиме распределенного решения и мультитенантности

Таблица хостов с программой Kaspersky Endpoint Agent находится в разделе Endpoint Agents окна веб-интерфейса программы.

Если вы используете режим распределенного решения и мультитенантности, в таблице содержится информация о хостах с программой Kaspersky Endpoint Agent, подключенных к PCN и всем серверам SCN. В таблице могут отображаться следующие данные:

• Количество хостов и показатели активности программы Kaspersky Endpoint Agent:
  • Критическое бездействие – количество хостов, от которых последние данные были получены очень давно.
  • Предупреждение – количество хостов, от которых последние данные были получены давно.
  • Нормальная активность – количество хостов, от которых последние данные были получены недавно.
• Хост – имя хоста с программой Kaspersky Endpoint Agent.
• Серверы – имена серверов, к которым подключен хост с программой Kaspersky Endpoint Agent.
• IP – IP-адрес компьютера, на который установлена программа Kaspersky Endpoint Agent.
• ОС – версия операционной системы, установленной на хосте с программой Kaspersky Endpoint Agent.
• Версия – версия установленной программы Kaspersky Endpoint Agent.
• Активность – показатель активности хоста с программой Kaspersky Endpoint Agent. Может принимать следующие значения:
  • Нормальная активность – хосты, от которых последние данные были получены недавно.
  • Предупреждение – хосты, от которых последние данные были получены давно.
  • Критическое бездействие – хосты, от которых последние данные были получены очень давно.

По ссылкам в столбцах таблицы раскрывается список, в котором вы можете выбрать одно из следующих действий:

• Добавить в фильтр.
• Исключить из фильтра.
• Скопировать значение в буфер.

Просмотр информации о хосте

Чтобы просмотреть информацию о хосте c программой Kaspersky Endpoint Agent:

1. В окне веб-интерфейса программы выберите раздел Endpoint Agents.
2. Выберите хост, информацию о котором вы хотите просмотреть.

Откроется окно с информацией о хосте.

Окно содержит следующую информацию:

• В разделе Хост:
  • Имя – имя хоста с программой Kaspersky Endpoint Agent.
  • IP – IP-адрес хоста, на который установлена программа Kaspersky Endpoint Agent.
  • ОС – версия операционной системы на хосте, на который установлена программа Kaspersky Endpoint Agent.
  • Сервер – имя сервера SCN или PCN. Отображается только в режиме распределенного решения и мультитенантности.
  • Имя сервера – имя сервера Central Node.
• В разделе Endpoint Agent:
  • Версия – версия установленной программы Kaspersky Endpoint Agent.
  • Активность – показатель активности программы Kaspersky Endpoint Agent. Может иметь следующие значения:
    • Нормальная активность – хосты, от которых последние данные были получены недавно.
    • Предупреждение – хосты, от которых последние данные были получены давно.
    • Критическое бездействие – хосты, от которых последние данные были получены очень давно.
  • Подключен к серверу – имя сервера, Central Node, SCN или PCN, к которому подключен хост.
  • Последнее подключение – время последнего соединения с сервером Central Node, SCN или PCN.
  • Лицензия – состояние лицензионного ключа программы Kaspersky Endpoint Agent.

Фильтрация и поиск хостов с Kaspersky Endpoint Agent по имени хоста

Чтобы отфильтровать или найти хосты с программой Kaspersky Endpoint Agent по имени хоста:

1. В окне веб-интерфейса программы выберите раздел Endpoint Agents.

   Откроется таблица хостов.

2. По ссылке Хост откройте окно настройки фильтрации.
3. Если вы хотите, чтобы отобразились только изолированные хосты, установите флажок Показывать только изолированные Endpoint Agents.
4. В раскрывающемся списке выберите один из следующих операторов фильтрации:
   • Содержит.
   • Не содержит.
5. В поле ввода укажите один или несколько символов имени хоста.
6. Если вы хотите добавить условие фильтрации по другому критерию, нажмите на кнопку и выполните действия по указанию условия фильтрации.
7. Если вы хотите удалить условие фильтрации, нажмите на кнопку справа от поля.
8. Нажмите на кнопку Применить.

Окно настройки фильтрации закроется.

В таблице отобразятся только хосты, соответствующие заданным вами условиям.

Вы можете использовать несколько фильтров одновременно.

Фильтрация и поиск хостов с Kaspersky Endpoint Agent, изолированных от сети

Чтобы отфильтровать или найти хосты с программой Kaspersky Endpoint Agent, изолированные от сети:

1. В окне веб-интерфейса программы выберите раздел Endpoint Agents.

   Откроется таблица хостов.

2. По ссылке Хост откройте окно настройки фильтрации.
3. Установите флажок Показывать только изолированные Endpoint Agents.
4. Нажмите на кнопку Применить.

Окно настройки фильтрации закроется.

В таблице отобразятся только хосты, соответствующие заданным вами условиям.

Вы можете использовать несколько фильтров одновременно.

Фильтрация и поиск хостов с Kaspersky Endpoint Agent по именам серверов PCN и SCN

Если вы используете режим распределенного решения и мультитенантности, вы можете отфильтровать или найти хосты с программой Kaspersky Endpoint Agent по именам серверов PCN и SCN, к которым подключены эти хосты.

Чтобы отфильтровать или найти хосты с программой Kaspersky Endpoint Agent по именам серверов PCN и SCN:

1. В окне веб-интерфейса программы выберите раздел Endpoint Agents.

   Откроется таблица хостов.

2. По ссылке Серверы откройте окно настройки фильтрации.
3. Установите флажки рядом с теми именами серверов, по которым вы хотите отфильтровать или найти хосты с программой Kaspersky Endpoint Agent.
4. Нажмите на кнопку Применить.

Окно настройки фильтрации закроется.

В таблице отобразятся только хосты, соответствующие заданным вами условиям.

Вы можете использовать несколько фильтров одновременно.

Фильтрация и поиск хостов с Kaspersky Endpoint Agent по IP-адресу компьютера

Чтобы отфильтровать или найти хосты с программой Kaspersky Endpoint Agent по IP-адресу компьютера, на котором установлена программа:

1. В окне веб-интерфейса программы выберите раздел Endpoint Agents.

   Откроется таблица хостов.

2. По ссылке IP откройте окно настройки фильтрации.
3. В раскрывающемся списке выберите один из следующих операторов фильтрации:
   • Содержит.
   • Не содержит.
4. В поле ввода укажите один или несколько символов IP-адреса компьютера. Вы можете ввести IP-адрес компьютера или маску подсети в формате IPv4 (например, 192.0.0.1 или 192.0.0.0/16).
5. Если вы хотите добавить условие фильтрации по другому критерию, нажмите на кнопку и выполните действия по указанию условия фильтрации.
6. Если вы хотите удалить условие фильтрации, нажмите на кнопку справа от поля.
7. Нажмите на кнопку Применить.

Окно настройки фильтрации закроется.

В таблице отобразятся только хосты, соответствующие заданным вами условиям.

Вы можете использовать несколько фильтров одновременно.

Фильтрация и поиск хостов с Kaspersky Endpoint Agent по версии операционной системы на компьютере

Чтобы отфильтровать или найти хосты с программой Kaspersky Endpoint Agent по версии операционной системы, установленной на компьютере с программой Kaspersky Endpoint Agent:

1. В окне веб-интерфейса программы выберите раздел Endpoint Agents.

   Откроется таблица хостов.

2. По ссылке ОС откройте окно настройки фильтрации.
3. В раскрывающемся списке выберите один из следующих операторов фильтрации:
   • Содержит.
   • Не содержит.
4. В поле ввода укажите один или несколько символов версии операционной системы.
5. Если вы хотите добавить условие фильтрации по другому критерию, нажмите на кнопку и выполните действия по указанию условия фильтрации.
6. Если вы хотите удалить условие фильтрации, нажмите на кнопку справа от поля.
7. Нажмите на кнопку Применить.

Окно настройки фильтрации закроется.

В таблице отобразятся только хосты, соответствующие заданным вами условиям.

Вы можете использовать несколько фильтров одновременно.

Фильтрация и поиск хостов с Kaspersky Endpoint Agent по версии Kaspersky Endpoint Agent

Чтобы отфильтровать или найти хосты с программой Kaspersky Endpoint Agent по версии программы Kaspersky Endpoint Agent:

1. В окне веб-интерфейса программы выберите раздел Endpoint Agents.

   Откроется таблица хостов.

2. По ссылке Версия откройте окно настройки фильтрации.
3. В раскрывающемся списке выберите один из следующих операторов фильтрации:
   • Содержит.
   • Не содержит.
4. В поле ввода укажите один или несколько символов версии программы Kaspersky Endpoint Agent.
5. Если вы хотите добавить условие фильтрации по другому критерию, нажмите на кнопку и выполните действия по указанию условия фильтрации.
6. Если вы хотите удалить условие фильтрации, нажмите на кнопку справа от поля.
7. Нажмите на кнопку Применить.

Окно настройки фильтрации закроется.

В таблице отобразятся только хосты, соответствующие заданным вами условиям.

Вы можете использовать несколько фильтров одновременно.

Фильтрация и поиск хостов с Kaspersky Endpoint Agent по их активности

Чтобы отфильтровать или найти хосты с программой Kaspersky Endpoint Agent по их активности:

1. В окне веб-интерфейса программы выберите раздел Endpoint Agents.

   Откроется таблица хостов.

2. По ссылке Активность откройте окно настройки фильтрации.
3. Установите флажки рядом с одним или несколькими показателями активности программы Kaspersky Endpoint Agent:
   • Нормальная активность, если вы хотите найти хосты, от которых последние данные были получены недавно.
   • Предупреждение, если вы хотите найти хосты, от которых последние данные были получены давно.
   • Критическое бездействие, если вы хотите найти хосты, от которых последние данные были получены очень давно.
4. Нажмите на кнопку Применить.

Окно настройки фильтрации закроется.

В таблице отобразятся только хосты, соответствующие заданным вами условиям.

Вы можете использовать несколько фильтров одновременно.

Быстрое создание фильтра хостов с Kaspersky Endpoint Agent

Чтобы быстро создать фильтр хостов с программой Kaspersky Endpoint Agent:

1. В окне веб-интерфейса программы выберите раздел Endpoint Agents.

   Откроется таблица хостов.

2. Выполните следующие действия по быстрому добавлению условий фильтрации в создаваемый фильтр:
   1. Наведите курсор мыши на ссылку с тем значением столбца таблицы, которое вы хотите добавить в качестве условия фильтрации.
   2. Нажмите на левую клавишу мыши.

      Откроется список действий над значением.

   3. В открывшемся списке выберите одно из следующих действий:
      • Добавить в фильтр, если вы хотите включить это значение в условие фильтрации.
      • Исключить из фильтра, если вы хотите исключить это значение из условия фильтрации.

3. Если вы хотите добавить несколько условий фильтрации в создаваемый фильтр, выполните действия по быстрому добавлению каждого из условий фильтрации в создаваемый фильтр.

В таблице отобразятся только хосты, соответствующие заданным вами условиям.

Сброс фильтра хостов с Kaspersky Endpoint Agent

Чтобы сбросить фильтр хостов с программой Kaspersky Endpoint Agent по одному или нескольким условиям фильтрации:

1. В окне веб-интерфейса программы выберите раздел Endpoint Agents.
2. Нажмите на кнопку справа от того заголовка столбца таблицы, условия фильтрации по которому вы хотите сбросить.

   Если вы хотите сбросить несколько условий фильтрации, выполните действия по сбросу каждого из условий фильтрации.

Выбранные фильтры будут сброшены.

В таблице отобразятся только хосты, соответствующие заданным вами условиям.

Настройка показателей активности Kaspersky Endpoint Agent

Пользователи с ролью Локальный администратор и Администратор могут определить, какой период бездействия программы Kaspersky Endpoint Agent считать нормальной, низкой и очень низкой активностью, а также настроить показатели активности программы Kaspersky Endpoint Agent. Пользователям с ролью Аудитор доступен только просмотр параметров показателей активности программы Kaspersky Endpoint Agent. Пользователи с ролью Старший сотрудник службы безопасности и Сотрудник службы безопасности могут просмотреть показатели активности программы Kaspersky Endpoint Agent в столбце Активность таблицы хостов с Kaspersky Endpoint Agent в разделе Endpoint Agents окна веб-интерфейса программы.

Чтобы настроить показатели активности программы Kaspersky Endpoint Agent, выполните следующие действия:

1. Войдите в веб-интерфейс программы под учетной записью Локальный администратор, Администратор или Старший сотрудник службы безопасности.
2. В окне веб интерфейса программы выберите раздел Параметры, подраздел Endpoint Agents.
3. В полях под названием раздела введите количество дней бездействия хостов с программой Kaspersky Endpoint Agent, которое вы хотите отображать как Предупреждение и Критическое бездействие.
4. Нажмите на кнопку Применить.

Показатели активности программы Kaspersky Endpoint Agent будут настроены.

Поддерживаемые интерпретаторы и процессы

Программа Kaspersky Endpoint Agent контролирует запуск скриптов следующими интерпретаторами:

• cmd.exe;
• reg.exe;
• regedit.exe;
• regedt32.exe;
• cscript.exe;
• wscript.exe;
• mmc.exe;
• msiexec.exe;
• mshta.exe;
• rundll32.exe;
• runlegacycplelevated.exe;
• control.exe;
• explorer.exe;
• regsvr32.exe;
• wwahost.exe;
• powershell.exe;
• java.exe и javaw.exe (только при запуске с опцией –jar);
• InstallUtil.exe;
• msdt.exe;
• python.exe;
• ruby.exe;
• rubyw.exe.

Информация о процессах, контролируемых программой Kaspersky Endpoint Agent, представлена в таблице ниже.

Процессы и расширения файлов, которые они открывают

Настройка интеграции с компонентом Sandbox

Вы можете подключить один компонент Sandbox к нескольким компонентам Central Node.

Предусмотрен следующий порядок настройки соединения компонента Sandbox с компонентом Central Node:

1. Создание запроса на подключение к компоненту Sandbox

   Вы можете создать запрос в веб-интерфейсе программы под учетной записью администратора. Если у вас есть несколько компонентов Central Node, установленных на сервере, вам нужно создать запрос для каждого сервера с компонентом Central Node, который вы хотите подключить к компоненту Sandbox. Если компонент Central Node развернут в виде кластера, вы можете создать запрос на подключение с любого сервера кластера.

2. Обработка запроса на подключение в веб-интерфейсе Sandbox

   Вы можете принять или отклонить каждый запрос.

Просмотр таблицы серверов с компонентом Sandbox

Таблица серверов с компонентом Sandbox находится на закладке Серверы Sandbox окна веб-интерфейса программы.

Таблица содержит следующую информацию:

• IP и имя – IP-адрес или полное доменное имя сервера с компонентом Sandbox.
• Отпечаток сертификата – отпечаток сертификата сервера с компонентом Sandbox.
• Авторизация – статус запроса на подключение к компоненту Sandbox.
• Состояние – состояние подключения к компоненту Sandbox.

Создание запроса на подключение к серверу с компонентом Sandbox

Чтобы создать запрос на подключение к серверу с компонентом Sandbox через веб-интерфейс программы:

1. В окне веб-интерфейса программы выберите раздел Серверы Sandbox.
2. В правом верхнем углу окна нажмите на кнопку Добавить.

   Откроется окно Подключение сервера Sandbox.

3. В поле IP укажите IP-адрес сервера с компонентом Sandbox, к которому вы хотите подключиться.
4. Нажмите на кнопку Получить отпечаток сертификата.

   В рабочей области отобразится отпечаток сертификата сервера с компонентом Sandbox.

5. Сравните полученный отпечаток сертификата с отпечатком, указанным в веб-интерфейсе Sandbox в разделе Авторизация KATA в поле Отпечаток сертификата.

   Если отпечатки сертификата совпадают, выполните дальнейшие шаги инструкции.

   Не рекомендуется подтверждать подключение при несовпадении отпечатков сертификата. Убедитесь в правильности введенных данных.

6. В поле Имя укажите имя компонента Sandbox, которое будет отображаться в веб-интерфейсе компонента Central Node.

   Это имя не связано с именем хоста, на котором установлен Sandbox.

7. Если вы хотите сделать соединение с Sandbox активным сразу после подключения, установите флажок Включить.
8. Нажмите на кнопку Добавить.

Запрос на подключение отобразится в веб-интерфейсе компонента Sandbox.

Включение и отключение соединения с компонентом Sandbox

Чтобы сделать соединение с компонентом Sandbox активным или отключить его:

1. В окне веб-интерфейса программы выберите раздел Серверы Sandbox.

   Отобразится таблица серверов с компонентами Sandbox.

2. В строке с нужным сервером в столбце Состояние выполните одно из следующих действий:
   • Если вы хотите сделать соединение с компонентом Sandbox активным, переведите переключатель в положение Включено.
   • Если вы хотите отключить соединение с компонентом Sandbox, переведите переключатель в положение Отключено.
3. Нажмите на кнопку Применить.

Соединение с компонентом Sandbox станет активным или будет отключено.

Удаление соединения с компонентом Sandbox

Чтобы удалить соединение с компонентом Sandbox:

1. В окне веб-интерфейса программы выберите раздел Серверы Sandbox.

   Отобразится таблица компьютеров, на которых установлен компонент Sandbox.

2. Установите флажок в строке с компонентом Sandbox, соединение с которым вы хотите удалить.
3. В правом верхнем углу окна нажмите на кнопку Удалить.
4. В окне подтверждения нажмите на кнопку Да.

Соединение с компонентом Sandbox будет удалено.

Настройка интеграции с внешними системами

Вы можете настроить интеграцию Kaspersky Anti Targeted Attack Platform с внешними системами для проверки хранящихся в них файлов. Результаты их проверки будут отображаться в таблице обнаружений.

В роли внешней системы может выступать почтовый сенсор – программа "Лаборатории Касперского" Kaspersky Secure Mail Gateway или Kaspersky Security для Linux Mail Server. Почтовый сенсор отправляет сообщения электронной почты на обработку в Kaspersky Anti Targeted Attack Platform. По результатам обработки сообщений электронной почты в Kaspersky Anti Targeted Attack Platform почтовый сенсор может блокировать пересылку сообщений.

Предусмотрен следующий порядок интеграции Kaspersky Anti Targeted Attack Platform с внешними системами:

1. Ввод параметров интеграции и создание запроса на интеграцию на стороне внешней системы

   Подробнее о вводе параметров интеграции на стороне почтового сенсора см. Справку Kaspersky Secure Mail Gateway или Справку Kaspersky Security для Linux Mail Server.

   Для интеграции других внешних систем необходимо использовать REST API.

2. Подтверждение интеграции на стороне Kaspersky Anti Targeted Attack Platform

   Внешние системы могут использовать одинаковые идентификаторы и сертификаты для авторизации на сервере с компонентом Central Node. В этом случае в интерфейсе Kaspersky Anti Targeted Attack Platform будет отображаться один запрос на интеграцию.

3. Проверка соединения внешней системы с Kaspersky Anti Targeted Attack Platform

Просмотр таблицы внешних систем

Таблица внешних систем находится в разделе Внешние системы окна веб-интерфейса программы. В таблице содержится следующая информация:

• Sensor – IP-адрес или доменное имя сервера внешней системы.
• Тип – тип внешней системы (почтовый сенсор или другая система).
• Имя – название интегрированной внешней системы, не являющейся почтовым сенсором.

  Для почтового сенсора в этом столбце отображается прочерк.

• ID – идентификатор внешней системы.
• Отпечаток сертификата – отпечаток TLS-сертификата сервера с внешней системой, с помощью которого устанавливается шифрованное соединение с сервером с компонентом Central Node.

  Отпечаток сертификата сервера с компонентом Central Node отображается в верхней части окна в поле Отпечаток сертификата.

• Состояние – состояние запроса на интеграцию.

Обработка запроса от внешней системы

Чтобы обработать запрос на интеграцию от внешней системы:

1. В окне веб-интерфейса программы выберите раздел Внешние системы.

   В таблице Список серверов отобразятся уже подключенные внешние системы, а также запросы на интеграцию с Kaspersky Anti Targeted Attack Platform от внешних систем.

2. В строке с запросом на интеграцию выполните одно из следующих действий:
   • Если вы хотите настроить интеграцию с внешней системой, нажмите на кнопу Принять.
   • Если вы не хотите настраивать интеграцию с внешней системой, нажмите на кнопку Отклонить.
3. В окне подтверждения нажмите на кнопку Да.

Запрос на интеграцию от внешней системы будет обработан.

Удаление внешней системы из списка разрешенных к интеграции

После того как вы приняли запрос на интеграцию от внешней системы, вы можете удалить ее из списка разрешенных к интеграции. В этом случае соединение между Kaspersky Anti Targeted Attack Platform и внешней системой будет прервано.

Чтобы удалить внешнюю систему из списка разрешенных к интеграции:

1. В окне веб-интерфейса программы выберите раздел Внешние системы.

   В списке Список серверов отобразятся уже добавленные внешние системы, а также запросы на интеграцию с Kaspersky Anti Targeted Attack Platform от внешних систем.

2. Нажмите на кнопку Удалить в строке с запросом на интеграцию от той внешней системы, которую вы хотите удалить.
3. В окне подтверждения нажмите на кнопку Да.

Внешняя система будет удалена из списка разрешенных к интеграции.

Настройка приоритета обработки трафика от почтовых сенсоров

Вы можете включить или отключить максимальный приоритет обработки трафика от почтовых сенсоров.

Чтобы включить или отключить максимальный приоритет обработки трафика от почтовых сенсоров:

1. В окне веб-интерфейса программы выберите раздел Внешние системы.
2. Выполните одно из следующих действий:
   • Включите переключатель рядом с названием параметра Максимальный приоритет проверки, если вы хотите включить максимальный приоритет обработки трафика от почтовых сенсоров.
   • Выключите переключатель рядом с названием параметра Максимальный приоритет проверки, если вы хотите отключить максимальный приоритет обработки трафика от почтовых сенсоров.

Приоритет обработки трафика от почтовых сенсоров будет настроен.

Настройка интеграции с Kaspersky Managed Detection and Response

Программа Kaspersky Managed Detection and Response (далее также "MDR") предназначена для обнаружения и предотвращения мошеннических действий в инфраструктуре клиента. MDR обеспечивает непрерывную управляемую защиту и позволяет организациям автоматически выявлять труднообнаружимые угрозы и освобождать сотрудников группы IT-безопасности для решения задач, требующих их участия.

Kaspersky Anti Targeted Attack Platform получает данные и отправляет их в Kaspersky Managed Detection and Response с помощью потока Kaspersky Security Network. Поэтому для настройки интеграции с MDR обязательно участие в KSN.

Интеграция с MDR доступна только при наличии хотя бы одной действующей лицензий KATA или EDR. Если в программе добавлен один лицензионный ключ (только KATA или только EDR), то статистика отправляется в рамках функциональности, предусмотренной этой лицензией. Если в программе добавлено оба лицензионных ключа, то статистика отправляется в полном объеме.

Перед настройкой интеграции Kaspersky Anti Targeted Attack Platform с программой MDR требуется получить архив с конфигурационным файлом на портале MDR.

Настройка интеграции с MDR доступна только Локальному администратору и Администратору веб-интерфейса программы.

Включение интеграции с MDR

Убедитесь, что в программе добавлен активный лицензионный ключ и настроено участие в KSN. В противном случае интеграция с MDR будет недоступна.

Чтобы включить интеграцию с MDR:

1. Войдите в веб-интерфейс программы под учетной записью администратора.
2. Выберите раздел Параметры, подраздел KSN/KPSN и MDR.
3. В блоке переметров Интеграция MDR нажмите на кнопку Загрузить, чтобы загрузить конфигурационный файл.

   Откроется окно выбора файлов.

4. Выберите архив, полученный при регистрации на портале MDR, и нажмите кнопку Open.

   В окне отобразится следующая информация о лицензии MDR:

   • Серийный номер.
   • Дата окончания срока действия.
   • Осталось дней.

Интеграция с MDR будет включена. Параметры интеграции, указанные в конфигурационном файле, будут распространены на все подключенные компоненты Sensor. Программа MDR начнет использовать статистику о выявленных обнаружениях, отправляемую через поток KSN.

Отключение интеграции с MDR

Чтобы отключить интеграцию с MDR:

1. Войдите в веб-интерфейс программы под учетной записью администратора.
2. Выберите раздел Параметры, подраздел KSN/KPSN и MDR.
3. В блоке переметров Интеграция MDR нажмите на кнопку Удалить файл.
4. В окне подстверждения нажмите на кнопку Да.

Конфигурационный файл будет удален, а интеграция с MDR будет отключена. Программа продолжит отправлять статистику на серверы KSN, однако эта информация не будет использоваться программой MDR.

Замена конфигурационного файла MDR

Чтобы заменить конфигурационный файл MDR:

1. Войдите в веб-интерфейс программы под учетной записью администратора.
2. Выберите раздел Параметры, подраздел KSN/KPSN и MDR.
3. В блоке переметров Интеграция MDR нажмите на кнопку Заменить файл.

   Откроется окно выбора файла.

4. Выберите новый архив с конфигурационным файлом и нажмите на кнопку Open.

   В веб-интерфейсе программы обновится информация о лицензии MDR.

Конфигурационный файл будет заменен. Новые параметры интеграции будут распространены на все подключенные компоненты Sensor.

Настройка интеграции с SIEM-системой

Kaspersky Anti Targeted Attack Platform может публиковать информацию о действиях пользователей в веб-интерфейсе программы и обнаружениях в

Для передачи данных вы можете использовать

Если вы развернули компоненты Central Node и Sensor в виде кластера, вы можете настроить отказоустойчивую интеграцию с внешней системой одним из следующих способов:

• Использовать функцию Round Robin.
• Настроить параметры внешней системы, чтобы при возникновении сетевой ошибки внешняя система переключалась между IP-адресами серверов кластера.

Чтобы настроить отказоустойчивую интеграцию с внешней системой:

1. Настройте на сервере DNS функцию Round Robin для доменного имени, соответствующего кластеру Central Node.
2. В параметрах почтового сервера укажите это доменное имя.

Интеграция с почтовым сервером будет настроена по доменному имени. Почтовый сервер обратится к случайному серверу кластера. При отказе этого сервера почтовый сервер будет обращаться к другому работоспособному серверу кластера.

Включение и отключение записи информации в удаленный журнал

Вы можете настроить запись информации о действиях пользователей в веб-интерфейсе и обнаружениях в удаленный журнал. Файл журнала хранится на сервере, на котором установлена SIEM-система. Для записи в удаленный журнал необходимо настроить параметры интеграции с SIEM-системой.

Чтобы включить или отключить запись информации о действиях пользователей в веб-интерфейсе и обнаружениях в удаленный журнал:

1. В окне веб-интерфейса программы выберите раздел Параметры, подраздел SIEM-система.
2. Если вы хотите включить / отключить запись информации о действиях пользователей в веб-интерфейсе в удаленный журнал, выполните одно из следующих действий:
   • Если вы хотите включить запись информации о действиях пользователей в веб-интерфейсе, установите флажок Журнал активности.
   • Если вы хотите отключить запись информации о действиях пользователей в веб-интерфейсе, снимите флажок Журнал активности.
3. Если вы хотите включить / отключить запись информации об обнаружениях в удаленный журнал, выполните одно из следующих действий:
   • Если вы хотите включить запись информации об обнаружениях, установите флажок Обнаружения.
   • Если вы хотите отключить запись информации об обнаружениях, снимите флажок Обнаружения.

   Вы можете установить оба флажка одновременно.

4. Нажмите на кнопку Применить в нижней части окна.

Запись информации в удаленный журнал будет включена или отключена.

Пользователи с ролью Аудитор могут только просматривать информацию о настройках записи в удаленный журнал.

Настройка основных параметров интеграции с SIEM-системой

Чтобы настроить основные параметры интеграции с SIEM-системой:

1. В окне веб-интерфейса программы выберите раздел Параметры, подраздел SIEM-система.
2. Установите флажки Журнал активности и / или Обнаружения.

   Вы можете установить один из флажков или оба флажка одновременно.

3. В поле Хост/IP введите IP-адрес или имя хоста сервера вашей SIEM-системы.
4. В поле Порт введите номер порта подключения к вашей SIEM-системе.
5. В поле Протокол выберите TCP или UDP.
6. В поле ID хоста укажите идентификатор хоста. Хост с этим идентификатором в журнале SIEM-системы будет указан как источник обнаружения.
7. В поле Периодичность сигнала введите интервал отправки сообщений в SIEM-систему.
8. Нажмите на кнопку Применить в нижней части окна.

Основные параметры интеграции с SIEM-системой будут настроены.

Пользователи с ролью Аудитор могут только просматривать информацию о настройках интеграции с SIEM-системой.

Загрузка TLS-сертификата

Чтобы загрузить TLS-сертификат для шифрования соединения с SIEM-системой:

1. В окне веб-интерфейса программы выберите раздел Параметры, подраздел SIEM-система.
2. В разделе TLS-шифрование нажмите на кнопку Загрузить.

   Откроется окно выбора файлов.

3. Выберите файл TLS-сертификата, который вы хотите загрузить, и нажмите на кнопку Открыть.

   Окно выбора файлов закроется.

   TLS-сертификат будет добавлен в программу.

4. Нажмите на кнопку Применить в нижней части окна.

Загруженный TLS-сертификат будет использоваться для шифрования соединения с SIEM-системой.

Включение и отключение TLS-шифрования соединения с SIEM-системой

Чтобы включить или отключить TLS-шифрование соединения с SIEM-системой:

1. В окне веб-интерфейса программы выберите раздел Параметры, подраздел SIEM-система.
2. Установите флажки Журнал активности и / или Обнаружения.

   Вы можете установить один из флажков или оба флажка одновременно.

3. В разделе TLS-шифрование выполните одно из следующих действий:
   • Включите переключатель рядом с названием параметра TLS-шифрование, если вы хотите включить TLS-шифрование соединения с SIEM-системой.
   • Выключите переключатель рядом с названием параметра TLS-шифрование, если вы хотите отключить TLS-шифрование соединения с SIEM-системой.

   Переключатель рядом с названием параметра TLS-шифрование доступен, только если загружен TLS-сертификат.

4. Нажмите на кнопку Применить в нижней части окна.

TLS-шифрование соединения с SIEM-системой будет включено или отключено.

Содержание и свойства syslog-сообщений об обнаружениях

Информация о каждом обнаружении передается в отдельной syslog-категории (syslog facility), не использующейся системой для передачи сообщений от других источников. Информация о каждом обнаружении передается как отдельное syslog-сообщение формата CEF. Если обнаружение выполнено модулем Targeted Attack Analyzer, то информация о нем передается как несколько отдельных syslog-сообщений формата CEF.

Максимальный размер syslog-сообщения об обнаружении по умолчанию составляет 32 Кб. Сообщения, превышающие максимальный размер, обрываются в конце.

В заголовке каждого syslog-сообщения об обнаружении содержится следующая информация:

• Версия формата.

  Номер текущей версии: 0. Текущее значение поля: CEF:0.

• Производитель.

  Текущее значение поля: AO Kaspersky Lab.

• Название программы.

  Текущее значение поля: Kaspersky Anti Targeted Attack Platform.

• Версия программы.

  Текущее значение поля: 5.0.0-5201.

• Тип обнаружения.

  См. таблицу ниже.

• Наименование события.

  См. таблицу ниже.

• Важность обнаружения.

  Допустимые значения поля: Low, Medium, High или 0 (для сообщений типа heartbeat).

• Дополнительная информация.

  Пример: CEF:0|AO Kaspersky Lab| Kaspersky Anti Targeted Attack Platform |5.0.0-5201|url_web| URL from web detected|Low|

Тело syslog-сообщения об обнаружении соответствует информации об этом обнаружении, отображающейся в веб-интерфейсе программы. Все поля представлены в формате "<ключ>=<значение>". В зависимости от того, в сетевом или почтовом трафике произошло обнаружение, а также от технологии, которая выполнила обнаружение, в теле syslog-сообщения могут передаваться разные ключи. Если значение пустое, то ключ не передается.

Ключи, а также их значения, содержащиеся в сообщении, приведены в таблице ниже.

Информация об обнаружении в syslog-сообщениях

Управление журналом активности

Некоторые действия пользователей в веб-интерфейсе программы могут привести к ошибкам в работе Kaspersky Anti Targeted Attack Platform. Вы можете включить запись информации о действиях пользователей в веб-интерфейсе программы в журнал и при необходимости просмотреть эту информацию, скачав файлы журнала.

Включение и отключение записи информации в журнал активности

Чтобы включить или отключить запись информации о действиях пользователей в веб-интерфейсе Kaspersky Anti Targeted Attack Platform в журнал активности:

1. В окне веб-интерфейса программы перейдите в раздел Отчеты, подраздел Журнал активности.
2. Выполните одно из следующих действий:
   • Установите переключатель Журнал активности в положение Включено, если хотите включить запись информации о действиях пользователей в веб-интерфейсе программы в журнал активности.
   • Установите переключатель Журнал активности в положение Отключено, если хотите отключить запись информации о действиях пользователей в веб-интерфейсе программы в журнал активности.

     По умолчанию функция включена.

Запись информации производится в течение 30 дней в файл журнала user_actions.log. По истечении 30 дней файл user_actions.log будет сохранен на сервере с компонентом Central Node в директории /var/log/kaspersky/apt-base/ с названием user_actions.log<month>. Для записи информации за текущий месяц будет создан новый файл с названием user_actions.log. Каждый файл хранится 90 дней, после чего удаляется.

Для того, чтобы просмотреть файлы журнала активности, вам нужно предварительно скачать их.

Вы можете настроить запись информации о действиях пользователей в веб-интерфейсе программы в удаленный журнал. Удаленный журнал хранится на сервере, на котором установлена SIEM-система. Для записи в удаленный журнал должны быть настроены параметры интеграции с SIEM-системой.

В режиме распределенного решения информация о действиях пользователей в веб-интерфейсе записывается в журнал того сервера, в веб-интерфейсе которого работают пользователи. Информация о действиях пользователей сервера PCN, влияющих на параметры серверов SCN, записывается в журнал сервера PCN.

Пользователи с ролью Аудитор могут только просматривать настройки записи информации в журнал активности.

Скачивание файла журналов активности

Чтобы скачать файл журнала активности:

1. В окне веб-интерфейса программы перейдите в раздел Отчеты, подраздел Журнал активности.
2. Нажмите на кнопку Скачать.

Файлы журнала будут сохранены на ваш локальный компьютер в папку загрузки браузера. Файлы загружаются в формате ZIP-архива.

В режиме распределенного решения вы можете скачать файлы журнала активности только для того сервера, в веб-интерфейсе которого работаете.

Содержание и свойства CEF-сообщений о действиях пользователей в веб-интерфейсе

В заголовке каждого сообщения содержится следующая информация:

• Версия формата.

  Номер текущей версии: 0. Текущее значение поля: CEF:0.

• Производитель.

  Текущее значение поля: AO Kaspersky Lab.

• Название программы.

  Текущее значение поля: Kaspersky Anti Targeted Attack Platform.

• Версия программы.

  Текущее значение поля: 5.0.0-5201.

• Тип события.

  См. таблицу ниже.

• Наименование события.

  См. таблицу ниже.

• Важность события.

  Текущее значение поля: Low.

  Пример: CEF:0|AO Kaspersky Lab|Kaspersky Anti Targeted Attack Platform|5.0.0-5201|tasks|Managing tasks|Low|

Все поля тела CEF-сообщения представлены в формате "<ключ>=<значение>". Ключи, а также их значения, содержащиеся в сообщении, приведены в таблице ниже.

Информация о событии в CEF-сообщениях

Если одна операция проводится с более чем 30 объектами одновременно, в журнал записывается одно сообщение об этой операции. В сообщении указывается информация об операции и количество объектов, с которыми она была проведена.

Обновление баз программы

Базы программы (далее также "базы") представляют собой файлы с записями, на основании которых компоненты и модули программы обнаруживают события, происходящие в IT-инфраструктуре вашей организации.

Вирусные аналитики "Лаборатории Касперского" ежедневно обнаруживают множество новых угроз, в том числе угроз "нулевого дня", создают для них идентифицирующие записи и включают их в пакеты обновлений баз (далее также "пакеты обновлений"). Пакет обновлений представляет собой один или несколько файлов с записями, идентифицирующими угрозы, которые были выявлены за время, истекшее с момента выпуска предыдущего пакета обновлений. Рекомендуется регулярно получать пакеты обновлений. При установке программы дата выпуска баз соответствует дате выпуска программы, поэтому базы нужно обновить сразу после установки программы.

Программа периодически автоматически проверяет наличие новых пакетов обновлений на серверах обновлений "Лаборатории Касперского" (с периодичностью один раз в 30 минут). По умолчанию, если базы компонентов программы по каким-либо причинам не обновляются в течение 24 часов, Kaspersky Anti Targeted Attack Platform отображает эту информацию в разделе Мониторинг окна веб-интерфейса программы.

Функциональность обновлений (включая обновления антивирусных сигнатур и обновления кодовой базы), а также функциональность KSN может быть недоступна в программе на территории США.

Выбор источника обновления баз

Вы можете выбрать источник, из которого программа будет загружать обновления баз. Источником обновлений может быть сервер "Лаборатории Касперского", а также сетевая или локальная папка одного из компьютеров вашей организации.

Чтобы выбрать источник обновления баз программы:

1. В окне веб-интерфейса программы выберите раздел Параметры, подраздел Общие параметры.
2. В блоке Обновление баз в раскрывающемся списке Источник обновлений выберите одно из следующих значений:
   • Сервер обновлений "Лаборатории Касперского".

     Программа будет подключаться к серверу обновлений "Лаборатории Касперского" по протоколу HTTP и загружать актуальные базы.

   • Сервер обновлений "Лаборатории Касперского" (безопасное подключение).

     Программа будет подключаться к серверу обновлений "Лаборатории Касперского" по протоколу HTTPS и загружать актуальные базы. Рекомендуется выполнять обновления баз по протоколу HTTPS.

   • Другой сервер.

     Программа будет подключаться к вашему FTP- или HTTP-серверу или к папке с базами программы на вашем компьютере и загружать актуальные базы.

3. Если вы выбрали Другой сервер, в поле под названием этого параметра укажите URL-адрес пакета обновлений на вашем HTTP-сервере или полный путь к папке с пакетом обновлений баз программы на вашем компьютере.
4. Нажмите на кнопку Применить.

Источник обновления баз программы будет выбран.

Запуск обновления баз вручную

Чтобы запустить обновление баз программы вручную:

1. В окне веб-интерфейса программы выберите раздел Параметры, подраздел Общие параметры.
2. В блоке Обновление баз нажмите на кнопку Запустить.
3. Нажмите на кнопку Применить.

Обновление баз программы будет запущено. Справа от кнопки отобразится сообщение о результате выполнения обновления.

Создание списка паролей для архивов

Программа не проверяет архивы, защищенные паролем. Вы можете создать список наиболее часто встречающихся паролей для архивов, которые используются при обмене файлами в вашей организации. В этом случае при проверке архива программа будет проверять пароли из списка. Если какой-либо из паролей подойдет, архив будет разблокирован и проверен.

Список паролей, заданный в параметрах программы, также передается на сервер с компонентом Sandbox.

Чтобы создать список паролей для архивов:

1. В окне веб-интерфейса программы выберите раздел Параметры, подраздел Пароли к архивам.
2. В поле Пароли к архивам введите пароли, которые программа будет использовать для архивов, защищенных паролем.

   Вводите каждый пароль с новой строки. Вы можете ввести до 50 паролей.

3. Нажмите на кнопку Применить.

Список паролей для архивов будет создан. При проверке файлов формата PDF, а также файлов программ Microsoft Word, Excel, PowerPoint, защищенных паролем, программа будет подбирать пароли из заданного списка.

Пользователи с ролью Аудитор могут просматривать список паролей для архивов без возможности редактирования.