Kaspersky Anti Targeted Attack Platform

Kaspersky Anti Targeted Attack Platform – решение (далее также "приложение"), предназначенное для защиты IT-инфраструктуры организации и своевременного обнаружения таких угроз, как атаки "нулевого дня", целевые атаки и сложные целевые атаки advanced persistent threats (далее также "APT"). Решение разработано для корпоративных пользователей.

Решение Kaspersky Anti Targeted Attack Platform включает в себя три функциональных блока:

• Kaspersky Anti Targeted Attack (далее также "KATA"), обеспечивающий защиту периметра IT-инфраструктуры предприятия.
• Kaspersky Endpoint Detection and Response (далее также "KEDR"), обеспечивающий защиту компьютеров локальной сети организации.
• Network Detection and Response (далее также "NDR"), обеспечивающий защиту внутренней сети предприятия.

Решение может получать и обрабатывать данные следующими способами:

• Интегрироваться в локальную сеть, получать и обрабатывать
  зеркалированный SPAN-, ERSPAN- и RSPAN-трафик

  Копия трафика, перенаправляемая с одного порта коммутатора на другой порт этого же коммутатора (локальное зеркалирование) или на удаленный коммутатор (удаленное зеркалирование). Администратор сети может настроить, какую часть трафика зеркалировать для передачи в Kaspersky Anti Targeted Attack Platform.

  и извлекать объекты и метаинформацию HTTP-, HTTP2, FTP-, SMTP- и DNS-, SMB- и NFS-протоколов.
• Подключаться к прокси-серверу по протоколу ICAP, получать и обрабатывать данные HTTP-, HTTP2- и FTP-трафика, а также HTTPS-трафика, если администратор настроил подмену SSL-сертификата на прокси-сервере.
• Подключаться к почтовому серверу по протоколам POP3(S) и SMTP, получать и обрабатывать копии сообщений электронной почты.
• Интегрироваться с приложениями "Лаборатории Касперского" Kaspersky Secure Mail Gateway и Kaspersky Security для Linux Mail Server, получать и обрабатывать копии сообщений электронной почты.

  Вы можете получить подробную информацию о Kaspersky Secure Mail Gateway и Kaspersky Security для Linux Mail Server из документации к этим приложениям.

• Интегрироваться с приложениями Kaspersky Endpoint Agent и Kaspersky Endpoint Security и получать данные (события) с отдельных компьютеров, входящих в IT-инфраструктуру организации и работающих под управлением операционных систем Microsoft Windows и Linux. Приложения осуществляют постоянное наблюдение за процессами, запущенными на этих компьютерах, открытыми сетевыми соединениями и изменяемыми файлами.
• Интегрироваться с внешними системами с помощью интерфейса REST API и проверять файлы на этих системах.

Решение использует следующие средства анализа угроз (Threat Intelligence):

• Инфраструктуру облачных служб Kaspersky Security Network (далее также "KSN"), предоставляющую доступ к оперативной базе знаний "Лаборатории Касперского" о репутации файлов, веб-ресурсов и программного обеспечения. Использование данных Kaspersky Security Network обеспечивает более высокую скорость реакции приложений "Лаборатории Касперского" на угрозы, повышает эффективность работы некоторых компонентов защиты, а также снижает вероятность ложных срабатываний.
• Интеграцию с приложением "Лаборатории Касперского" Kaspersky Private Security Network (далее также "KPSN"), предоставляющую пользователю возможность получать доступ к репутационным базам KSN, а также другим статистическим данным, не отправляя данные в KSN со своих компьютеров.
• Интеграцию с информационной системой "Лаборатории Касперского" Kaspersky Threat Intelligence Portal, которая содержит и отображает информацию о репутации файлов и URL-адресов.
• Базу угроз "Лаборатории Касперского" Kaspersky Threats.

Решение может обнаружить следующие события, происходящие внутри IT-инфраструктуры организации:

• На компьютер локальной сети организации был загружен файл или была предпринята попытка загрузки файла.
• На адрес электронной почты пользователя локальной сети организации был отправлен файл.
• На компьютере локальной сети организации была открыта ссылка на веб-сайт.
• IP-адрес или доменное имя компьютера локальной сети организации были замечены в сетевой активности.
• На компьютере локальной сети организации были запущены процессы.

Приложение может предоставлять пользователю результаты своей работы и анализа угроз следующими способами:

• Отображать результаты работы в веб-интерфейсе серверов Central Node, Primary Central Node (далее также PCN) или Secondary Central Node (далее также SCN).
• Публиковать обнаружения в SIEM-систему, которая уже используется в вашей организации, по протоколу Syslog.
• Интегрироваться с внешними системами с помощью интерфейса REST API и по запросу отправлять данные об обнаружениях и событиях решения во внешние системы.
• Публиковать информацию об обнаружениях компонента Sandbox в локальную репутационную базу Kaspersky Private Security Network.

Пользователи Старший сотрудник службы безопасности и Сотрудник службы безопасности могут выполнять следующие действия в приложении:

• Осуществлять мониторинг работы компонентов решения.
• Просматривать таблицу обнаруженных признаков целевых атак и вторжений в IT-инфраструктуру организации, осуществлять фильтрацию и поиск обнаружений, просмотр и работу с каждым обнаружением, выполнять рекомендации по оценке и расследованию инцидентов.
• Просматривать таблицу событий, происходящих на компьютерах и серверах, входящих в IT-инфраструктуру организации, осуществлять поиск угроз, фильтрацию, просмотр и работу с каждым событием, выполнять рекомендации по оценке и расследованию инцидентов.
• Выполнять задачи на компьютерах с Kaspersky Endpoint Agent и Kaspersky Endpoint Security: запускать приложения и останавливать процессы, скачивать и удалять файлы, помещать объекты на карантин на компьютерах с приложениями Kaspersky Endpoint Agent и Kaspersky Endpoint Security, копии файлов в Хранилище Kaspersky Anti Targeted Attack Platform, а также восстанавливать файлы из карантина.
• Настраивать политики запрета запуска файлов и процессов, которые они считают небезопасными, на выбранных компьютерах с приложениями Kaspersky Endpoint Agent и Kaspersky Endpoint Security.
• Изолировать отдельные компьютеры с приложениями Kaspersky Endpoint Agent и Kaspersky Endpoint Security от сети.
• Работать с правилами TAA (IOA) для классификации и анализа событий.
• Работать с пользовательскими правилами Targeted Attack Analyzer TAA (IOA), Intrusion Detection System (IDS) и YARA: загружать правила, по которым приложение будет проверять события и создавать обнаружения.
• Работать с файлами открытого стандарта описания индикаторов компрометации OpenIOC (IOC-файлы) для поиска признаков целевых атак, зараженных и возможно зараженных объектов на хостах с компонентом Endpoint Agent и в базе обнаружений.
• Добавлять правила TAA (IOA) и правила IDS, предоставленные специалистами "Лаборатории Касперского", в исключения из проверки.
• Работать с объектами на карантине и копиями объектов в Хранилище.
• Управлять отчетами о работе приложения и отчетами об обнаружениях.
• Настраивать отправку уведомлений об обнаружениях и о проблемах в работе приложения на адреса электронной почты пользователей.
• Работать со списком обнаружений со статусом VIP, со списком данных, исключенных из проверки, наполнять локальную репутационную базу KPSN.
• Сохранять и выгружать копии сырого сетевого трафика для анализа во внешних системах.

Пользователи с ролью Аудитор могут выполнять следующие действия в приложении:

• Осуществлять мониторинг работы компонентов решения.
• Просматривать таблицу обнаруженных признаков целевых атак и вторжений в IT-инфраструктуру организации, осуществлять фильтрацию и поиск обнаружений, просматривать данные каждого обнаружения.
• Просматривать таблицу событий, происходящих на компьютерах и серверах, входящих в IT-инфраструктуру организации, осуществлять поиск угроз, фильтрацию, просмотр каждого события.
• Просматривать список хостов с компонентом Endpoint Agent и информацию о выбранных хостах.
• Просматривать пользовательские правила Targeted Attack Analyzer TAA (IOA), Intrusion Detection System (IDS) и YARA.
• Просматривать исключенные из проверки правила TAA (IOA) и правила IDS, предоставленные специалистами "Лаборатории Касперского".
• Просматривать отчеты о работе приложения и отчеты об обнаружениях.
• Просматривать список обнаружений со статусом VIP, список данных, исключенных из проверки.
• Просматривать все настройки, производимые в веб-интерфейсе приложения.
• Сохранять и выгружать копии сырого сетевого трафика для анализа во внешних системах.

Пользователи Локальный администратор и Администратор могут выполнять следующие действия в приложении:

• Настраивать параметры работы приложения.
• Настраивать серверы для работы в режиме распределенного решения и мультитенантности.
• Производить интеграцию приложения с другими приложениями и системами.
• Работать с TLS-сертификатами и настраивать доверенное соединение сервера Central Node c сервером Sandbox, а также серверов Kaspersky Anti Targeted Attack Platform c компонентом Endpoint Agent и с внешними системами.
• Управлять учетными записями пользователей приложения.
• Осуществлять мониторинг работоспособности приложения.

Что нового

В Kaspersky Anti Targeted Attack Platform 6.0.4 появились следующие изменения:

1. Исправлены уязвимости в модуле Suricata.
2. Выбор часового пояса для серверов с компонентами Central Node и Sandbox доступен только в раскрывающемся списке. Выбор часового пояса на карте больше не поддерживается.
3. Не поддерживается выбор страны при установке даты и времени для компонента Sandbox.
4. Исправлена ошибка, возникавшая при обновлении антивирусных баз.

В Kaspersky Anti Targeted Attack Platform 6.0.2 появились следующие изменения:

Исправлены уязвимости в модуле приложения Intrusion Detection System (IDS).

В Kaspersky Anti Targeted Attack Platform 6.0 появились следующие изменения:

1. В комплект поставки добавлен дистрибутив приложения Kaspersky Anti Targeted Attack Platform на базе операционной системы Astra Linux.
2. Добавлена поддержка KVM-виртуализации для ограниченного числа хостов с компонентом Endpoint Agent.
3. Добавлена ICAP-интеграция с обратной связью. ICAP-интеграция с обратной связью может работать в двух режимах:
   • Стандартная проверка. В режиме стандартной проверки объект проверяется всеми поддерживаемыми технологиями. Во время проверки компонентом Sandbox объект будет доступен. В случае обнаружения угрозы объект будет заблокирован.
   • Усиленная проверка. В режиме усиленной проверки объект проверяется всеми поддерживаемыми технологиями. Во время проверки компонентом Sandbox объект не будет доступен. В случае обнаружения угрозы объект будет заблокирован.
4. Добавлена возможность обнаружения угроз в протоколах SMB, NFS, HTTP2.
5. Добавлена возможность проверки зеркалированного зашифрованного трафика при помощи интеграции с приложением ArtX TLSproxy 1.9.1.
6. Для компонента Sensor поддержаны захват и анализ трафика на скорости до 10 Гбит/с включительно.
7. Добавлена возможность записи, хранения и выгрузки копий сырого сетевого трафика.
8. Добавлена возможность настройки автоматического удаления неактивных хостов, отображающихся в списке Endpoint Agents на сервере с компонентом Central Node.
9. В роли компонента Endpoint Agent можно использовать приложение Kaspersky Endpoint Security для Mac со встроенной поддержкой Kaspersky Anti Targeted Attack Platform.
10. Добавлена возможность развертывания на облачной платформе VK Cloud.
11. Расширен функционал для хостов с компонентом Endpoint Agent, представленного Kaspersky Endpoint Security для Linux 12:
    • Добавлена задача Удалить файл.
    • Добавлена задача Завершить процесс.
    • Добавлена возможность изолировать отдельные хосты от сети.
    • Добавлена возможность работать с файлами открытого стандарта описания индикаторов компрометации OpenIOC (IOC-файлы).
12. Прекращена поддержка компонентом Sandbox операционной системы Windows XP SP3 в преднастроенном виде.

Изменения в Kaspersky Endpoint Agent 3.16 для Windows:

Вы можете посмотреть список изменений в Kaspersky Endpoint Agent 3.16 для Windows в справке Kaspersky Endpoint Agent для Windows.

Изменения в Kaspersky Endpoint Security 12.5 для Windows:

Вы можете посмотреть список изменений в Kaspersky Endpoint Security 12.5 для Windows в справке Kaspersky Endpoint Security для Windows.

Изменения в Kaspersky Endpoint Security 12 для Linux:

Вы можете посмотреть список изменений в Kaspersky Endpoint Security 12 для Linux в справке Kaspersky Endpoint Security для Linux.

О Kaspersky Threat Intelligence Portal

Для получения дополнительной информации о файлах, которые вы считаете подозрительными, вы можете перейти на веб-сайт приложения "Лаборатории Касперского" Kaspersky Threat Intelligence Portal, которая анализирует каждый файл на содержание в нем вредоносного кода и отображает информацию о репутации этого файла.

Доступ к приложению Kaspersky Threat Intelligence предоставляется на платной основе. Для авторизации на веб-сайте приложения на вашем компьютере в хранилище сертификатов должен быть установлен сертификат доступа к приложению. Кроме того, у вас должны быть имя пользователя и пароль доступа к приложению.

Подробнее о приложении Kaspersky Threat Intelligence Portal см. веб-сайт "Лаборатории Касперского".

Комплект поставки

В комплект поставки Kaspersky Anti Targeted Attack Platform входят следующие файлы:

1. Образ диска (файл с расширением iso) с установочными файлами операционной системы Ubuntu Server 22.04.2 и компонентов Sensor, Central Node.
2. Образ диска (файл с расширением iso) с установочными файлами операционной системы CentOS 7.9 и компонента Sandbox.
3. Архив с расширением tar.gz компонентов Sensor, Central Node для создания iso-образа на базе операционной системы Astra Linux Special Edition 1.7.4. UU1.
4. Архив с расширением tar.gz компонента Sandbox для создания iso-образа на базе операционной системы Astra Linux Special Edition 1.7.4. UU1.
5. Образы дисков (файлы с расширением iso) операционных систем, в которых компонент Sandbox будет запускать файлы.
6. Утилита (файл с расширением tar) для создания iso-образа на базе операционной системы Astra Linux Special Edition 1.7.4. UU1.
7. Пакет с обновлением для компонента Central Node upgrade.tar.gz
8. Пакет с обновлением для компонентов Central Node и Sensor kata-cn-upgrade-6.0.2-x86_64_en-ru.tar.gz.
9. Пакет с обновлением для компонента Sandbox kata-sb-upgrade-6.0.2-x86_64_en-ru.tar.gz.
10. Пакет с обновлением для компонентов Central Node, Sensor, Sandbox upgrade-6.0.4.tar.gz.
11. Файл с информацией о стороннем коде, используемом в Kaspersky Anti Targeted Attack Platform.

В комплект поставки программы Kaspersky Endpoint Agent входят следующие файлы:

Комплект поставки Kaspersky Endpoint Agent

Аппаратные и программные требования

Аппаратные и программные требования к серверам для установки Kaspersky Anti Targeted Attack Platform

Для развертывания приложения на виртуальной платформе должен быть установлен гипервизор VMware ESXi версии 6.7.0 или 7.0.

Для корректной работы приложения в виртуальной среде необходимо установить для гипервизора актуальный пакет обновления.

Аппаратные требования к компонентам Central Node, Sensor и Sandbox приведены в Руководстве по масштабированию.

Аппаратные и программные требования к компьютерам для установки компонента Endpoint Agent

Аппаратные и программные требования к компоненту Endpoint Agent соответствуют аппаратным и программным требованиям к компьютерам для приложений, которые выступают в роли компонента Endpoint Agent, и отражены в документации этих приложений:

• Kaspersky Endpoint Agent для Windows.
• Kaspersky Endpoint Security для Windows.
• Kaspersky Endpoint Security для Linux.
• Kaspersky Endpoint Security для Mac.

Аппаратные и программные требования к компьютерам для работы в веб-интерфейсе Kaspersky Anti Targeted Attack Platform

Для настройки и работы с приложением через веб-интерфейс на компьютерах должен быть установлен один из следующих браузеров:

• Mozilla Firefox для Linux.
• Mozilla Firefox для Windows.
• Google Chrome для Windows.
• Google Chrome для Linux.
• Edge (Windows).
• Safari (Mac).

Минимально возможное разрешение экрана для работы в веб-интерфейсе: 1366х768 пикселей.

Совместимость версий Kaspersky Endpoint Agent для Windows с версиями Kaspersky Anti Targeted Attack Platform

Приложение Kaspersky Endpoint Agent использует предустановленные параметры, которые определяют его влияние на производительность локального компьютера в сценариях получения информации и взаимодействия с компонентом Central Node.

Если версия приложения Kaspersky Anti Targeted Attack Platform, установленной на серверах Central Node, несовместима с версией приложения Kaspersky Endpoint Agent, установленного на компьютерах локальной сети вашей организации, возможны ограничения в работе Kaspersky Anti Targeted Attack Platform.

Информация о совместимости версий Kaspersky Endpoint Agent с версиями Kaspersky Anti Targeted Attack Platform приведена в таблице ниже.

Совместимость версий Kaspersky Endpoint Agent для Windows с версиями Kaspersky Anti Targeted Attack Platform

Ограничения совместимости версий Kaspersky Endpoint Agent для Windows с версиями Kaspersky Anti Targeted Attack Platform

• Интеграция Kaspersky Endpoint Agent 3.12 с Kaspersky Anti Targeted Attack Platform 4.1.

  Объем передаваемых Kaspersky Endpoint Agent данных ограничен:

  • Не поддерживается проверка точек автозапуска с помощью задачи Запустить YARA-проверку.
  • Не поддерживаются задачи Получить метафайлы NTFS, Получить дамп памяти процесса, Получить ключ реестра.
• Интеграция Kaspersky Endpoint Agent 3.12 с Kaspersky Anti Targeted Attack Platform 5.0 - 6.0.

  Объем передаваемых Kaspersky Endpoint Agent данных ограничен:

  • Не поддерживается проверка точек автозапуска с помощью задачи Запустить YARA-проверку.
  • Не поддерживаются задачи Получить метафайлы NTFS, Получить дамп памяти процесса, Получить ключ реестра, Получить образ диска, Получить дамп памяти.
  • Не передаются данные о событии Завершен процесс.
• Интеграция Kaspersky Endpoint Agent 3.13 с Kaspersky Anti Targeted Attack Platform 4.0.

  Сервер этой версии Kaspersky Anti Targeted Attack Platform воспринимает ограниченный объем данных от приложения Kaspersky Endpoint Agent: создание задач Получить метафайлы NTFS, Получить дамп памяти процесса, Получить ключ реестра в веб-интерфейсе приложения недоступно.

• Интеграция Kaspersky Endpoint Agent 3.13 с Kaspersky Anti Targeted Attack Platform 4.1 - 6.0.

  Kaspersky Endpoint Agent не поддерживает создание задач Получить образ диска, Получить дамп памяти.

• Интеграция Kaspersky Endpoint Agent 3.14 с Kaspersky Anti Targeted Attack Platform 4.0.

  Сервер этой версии Kaspersky Anti Targeted Attack Platform воспринимает ограниченный объем данных от приложения Kaspersky Endpoint Agent: создание задач Получить метафайлы NTFS, Получить дамп памяти процесса, Получить ключ реестра, Получить образ диска, Получить дамп памяти в веб-интерфейсе приложения недоступно.

• Интеграция Kaspersky Endpoint Agent 3.14 с Kaspersky Anti Targeted Attack Platform 4.1.

  Сервер этой версии Kaspersky Anti Targeted Attack Platform воспринимает ограниченный объем данных от приложения Kaspersky Endpoint Agent: создание задач Получить образ диска, Получить дамп памяти в веб-интерфейсе приложения недоступно.

Совместимость версий Kaspersky Endpoint Agent для Windows с приложениями EPP

Если в качестве компонента Endpoint Agent вы хотите использовать приложение Kaspersky Endpoint Agent, вы можете установить только Kaspersky Endpoint Agent или настроить интеграцию Kaspersky Endpoint Agent с приложениями защиты рабочих станций (Endpoint Protection Platform, далее также "EPP") Kaspersky Endpoint Security для Windows, Kaspersky Security для Windows Server и Kaspersky Security для виртуальных сред Легкий агент. Если интеграция между приложениями настроена, Kaspersky Endpoint Agent будет также передавать на сервер Central Node данные об угрозах, обнаруженных приложениями EPP, и о результатах их обработки.

Описанные сценарии интеграции не работают при установке приложения Kaspersky Endpoint Agent на виртуальный рабочий стол в инфраструктуре Virtual Desktop Infrastructure.

Для интеграции Kaspersky Endpoint Agent с Kaspersky Endpoint Security для Windows и Kaspersky Security для Windows Server требуется установить Kaspersky Endpoint Agent в составе этих приложений.

Совместимость Kaspersky Endpoint Agent для Windows с версиями Kaspersky Security для Windows Server

Вы можете установить в составе Kaspersky Security для Windows Server следующие версии Kaspersky Endpoint Agent:

• Kaspersky Endpoint Agent 3.9 в составе Kaspersky Security 11 для Windows Server.
• Kaspersky Endpoint Agent 3.10 в составе Kaspersky Security 11.0.1 для Windows Server.

При установке Kaspersky Endpoint Agent в составе Kaspersky Security для Windows Server отдельно установленное ранее приложение Kaspersky Endpoint Agent той же или более ранних версий удаляется. Если версия Kaspersky Endpoint Agent в составе Kaspersky Security для Windows Server более ранняя, приложение не будет установлено. В этом случае вам требуется предварительно удалить отдельно установленное приложение Kaspersky Endpoint Agent.

При необходимости вы можете обновить приложение Kaspersky Endpoint Agent, уже установленное в составе Kaspersky Security для Windows Server. Интеграция между совместимыми версиями приложений сохранится как при обновлении Kaspersky Endpoint Agent, так и при обновлении Kaspersky Security для Windows Server.

Информация о совместимости версий приложений Kaspersky Endpoint Agent и Kaspersky Security для Windows Server приведена в таблице ниже.

Совместимость версий Kaspersky Endpoint Agent и Kaspersky Security для Windows Server

При интеграции с Kaspersky Endpoint Agent версий 3.13 - 3.16 Kaspersky Security для Windows Server не передает данные о событии AMSI-проверка.

Подробнее об установке Kaspersky Security для Windows Server см. в справке Kaspersky Security для Windows Server.

Совместимость Kaspersky Endpoint Agent для Windows с версиями Kaspersky Endpoint Security для Windows

Вы можете установить в составе Kaspersky Endpoint Security для Windows следующие версии Kaspersky Endpoint Agent (Endpoint Sensors):

• Kaspersky Endpoint Agent 3.7 или Kaspersky Endpoint Agent (Endpoint Sensors) 3.6.1 в составе Kaspersky Endpoint Security 11.2, 11.3 для Windows.

  Приложение Kaspersky Endpoint Agent (Endpoint Sensors) 3.6.1 несовместимо с Kaspersky Anti Targeted Attack Platform 4.1 и выше.

  Приложение Kaspersky Endpoint Agent 3.7 несовместимо со всеми версиями Kaspersky Anti Targeted Attack Platform.

• Kaspersky Endpoint Agent 3.9 в составе Kaspersky Endpoint Security 11.4, 11.5.
• Kaspersky Endpoint Agent 3.10 в составе Kaspersky Endpoint Security 11.6.
• Kaspersky Endpoint Agent 3.11 в составе Kaspersky Endpoint Security 11.7, 11.8.

При установке Kaspersky Endpoint Agent версии 3.10 и выше в составе Kaspersky Endpoint Security для Windows отдельно установленное ранее приложение Kaspersky Endpoint Agent той же или более ранних версий удаляется. Если отдельно установленное приложение Kaspersky Endpoint Agent более поздних версий, приложение в составе Kaspersky Endpoint Security для Windows не будет установлено. В этом случае вам требуется предварительно удалить отдельно установленное приложение Kaspersky Endpoint Agent.

При необходимости вы можете обновить приложение Kaspersky Endpoint Agent, уже установленное в составе Kaspersky Endpoint Security для Windows. Интеграция между совместимыми версиями приложений сохранится как при обновлении приложения Kaspersky Endpoint Agent, так и при обновлении приложения Kaspersky Endpoint Security для Windows. Обновление с предыдущей версии Kaspersky Endpoint Agent до версии 3.14 доступно для Kaspersky Endpoint Agent версии 3.7 и выше.

Информация о совместимости версий Kaspersky Endpoint Agent и Kaspersky Endpoint Security для Windows приведена в таблице ниже.

Совместимость версий Kaspersky Endpoint Agent и Kaspersky Endpoint Security для Windows

Подробнее об установке Kaspersky Endpoint Security см. в справке Kaspersky Endpoint Security для Windows.

Совместимость Kaspersky Endpoint Agent с версиями Kaspersky Security для виртуальных сред Легкий агент

Вы можете настроить интеграцию для отдельно установленных приложений Kaspersky Endpoint Agent и Kaspersky Security для виртуальных сред Легкий агент.

Информация о совместимости версий приложений Kaspersky Endpoint Agent и Kaspersky Security для виртуальных сред Легкий агент приведена в таблице ниже.

Совместимость версий Kaspersky Endpoint Agent и Kaspersky Security для виртуальных сред Легкий агент

Kaspersky Endpoint Agent и Kaspersky Security для виртуальных сред Легкий агент, установленные на виртуальную машину, дают такую же нагрузку на сервер Central Node, как Kaspersky Endpoint Agent и Kaspersky Security для виртуальных сред Легкий агент, установленные на хост.

Подробнее о включении интеграции между Kaspersky Endpoint Agent и Kaspersky Security для виртуальных сред Легкий агент см. в справке Kaspersky Security для виртуальных сред Легкий агент.

Совместимость Kaspersky Endpoint Agent с версиями Kaspersky Industrial CyberSecurity for Nodes

Вы можете установить приложение Kaspersky Endpoint Agent на устройство с установленным приложением Kaspersky Industrial CyberSecurity for Nodes. Приложения интегрируются автоматически.

Совместимость версий Kaspersky Endpoint Agent и Kaspersky Industrial CyberSecurity for Nodes

Для интеграции с Kaspersky Industrial CyberSecurity for Nodes в Kaspersky Endpoint Agent должен быть установлен соответствующий лицензионный ключ.

Для получения детальной информации вы можете обратиться к вашему аккаунт-менеджеру.

Совместимость версий Kaspersky Endpoint Security для Windows с версиями Kaspersky Anti Targeted Attack Platform

Вы можете использовать Kaspersky Endpoint Security в качестве компонента Endpoint Agent.

Информация о совместимости версий Kaspersky Endpoint Security с версиями Kaspersky Anti Targeted Attack Platform приведена в таблице ниже.

Совместимость версий Kaspersky Endpoint Security для Windows с версиями Kaspersky Anti Targeted Attack Platform

Для интеграции Kaspersky Endpoint Security 12.1 и выше с Kaspersky Anti Targeted Attack Platform не требуется устанавливать Kaspersky Endpoint Agent.

При интеграции Kaspersky Endpoint Security 12.7, 12.8 с Kaspersky Anti Targeted Attack Platform 5.0-6.0 сервер Kaspersky Anti Targeted Attack Platform воспринимает ограниченный объем данных от Kaspersky Endpoint Security:

• Не обрабатываются данные событий Именованный канал, WMI, LDAP, DNS, Внедрение кода.
• Для события Изменен файл не обрабатываются данные о подтипах Прочитан файл, Создана жесткая ссылка, Символическая ссылка создана.
• Для события Изменение в реестре не обрабатываются данные о подтипах Переименован ключ реестра, Сохранен ключ реестра.

Совместимость версий Kaspersky Endpoint Security для Linux с версиями Kaspersky Anti Targeted Attack Platform

Вы можете использовать Kaspersky Endpoint Security в качестве компонента Endpoint Agent.

Информация о совместимости версий Kaspersky Endpoint Security с версиями Kaspersky Anti Targeted Attack Platform приведена в таблице ниже.

Совместимость версий Kaspersky Endpoint Security для Linux с версиями Kaspersky Anti Targeted Attack Platform

Для интеграции Kaspersky Endpoint Security с Kaspersky Anti Targeted Attack Platform не требуется устанавливать Kaspersky Endpoint Agent.

Kaspersky Endpoint Security для Linux с версии 12 может использоваться в качестве компонента Легкий агент для Linux для приложения Kaspersky Security для виртуальных сред. Подробнее об интеграции см. в справке Kaspersky Security для виртуальных сред Легкий агент.

При использовании приложения Kaspersky Endpoint Security для Linux в качестве компонента Легкий агент для Linux интеграция Kaspersky Endpoint Security для Linux и Kaspersky Anti Targeted Attack Platform сохраняется.

Ограничения совместимости версий Kaspersky Endpoint Security для Linux с версиями Kaspersky Anti Targeted Attack Platform

• Интеграция Kaspersky Endpoint Security 11.4 с Kaspersky Anti Targeted Attack Platform 5.1, 6.0.

  Объем передаваемых Kaspersky Endpoint Security данных ограничен:

  • Не поддерживается создание правил сетевой изоляции.
  • Не поддерживается создание правил запрета.
  • Не поддерживается поиск индикаторов компрометации на компьютерах с помощью IOC-файлов.
  • Не передается информация о событиях Завершен процесс, Загружен модуль, Удаленное соединение, Правило запрета, Заблокирован документ, Изменение в реестре, Прослушан порт, Загружен драйвер, Интерпретированный запуск файла, Интерактивный ввод команд в консоли, AMSI-проверка.
  • Не поддерживается создание задач Собрать форензику, Получить ключ реестра, Получить метафайлы NTFS, Получить дамп памяти процесса, Получить образ диска, Получить дамп памяти, Завершить процесс, Запустить YARA-проверку, Управление службами, Удалить файл, Поместить файл на карантин, Восстановить файл из карантина, Удалить файл, Завершить процесс.
• Интеграция Kaspersky Endpoint Security 12 с Kaspersky Anti Targeted Attack Platform 5.0, 5.1.

  Объем передаваемых Kaspersky Endpoint Security данных ограничен:

  • Не поддерживается создание правил сетевой изоляции.
  • Не поддерживается создание правил запрета.
  • Не поддерживается поиск индикаторов компрометации на компьютерах с помощью IOC-файлов.
  • Не передается информация о событиях Завершен процесс, Загружен модуль, Удаленное соединение, Правило запрета, Заблокирован документ, Изменение в реестре, Прослушан порт, Загружен драйвер, Интерпретированный запуск файла, Интерактивный ввод команд в консоли, AMSI-проверка.
  • Не поддерживается создание задач Собрать форензику, Получить ключ реестра, Получить метафайлы NTFS, Получить дамп памяти процесса, Получить образ диска, Получить дамп памяти, Завершить процесс, Запустить YARA-проверку, Управление службами, Удалить файл, Поместить файл на карантин, Восстановить файл из карантина, Удалить файл, Завершить процесс.
• Интеграция Kaspersky Endpoint Security 12.1 с Kaspersky Anti Targeted Attack Platform 5.1.

  Объем передаваемых Kaspersky Endpoint Security данных ограничен:

  • Не поддерживается создание правил запрета.
  • Не передается информация о событиях Завершен процесс, Загружен модуль, Удаленное соединение, Правило запрета, Заблокирован документ, Изменение в реестре, Прослушан порт, Загружен драйвер, Интерпретированный запуск файла, Интерактивный ввод команд в консоли, AMSI-проверка.
  • Не поддерживается создание задач Собрать форензику, Получить ключ реестра, Получить метафайлы NTFS, Получить дамп памяти процесса, Получить образ диска, Получить дамп памяти, Завершить процесс, Запустить YARA-проверку, Управление службами, Поместить файл на карантин, Восстановить файл из карантина.
• Интеграция Kaspersky Endpoint Security 12, 12.1 с Kaspersky Anti Targeted Attack Platform 6.0.

  Объем передаваемых Kaspersky Endpoint Security данных ограничен:

  • Не поддерживается создание правил запрета.
  • Не передается информация о событиях Завершен процесс, Загружен модуль, Удаленное соединение, Правило запрета, Заблокирован документ, Изменение в реестре, Прослушан порт, Загружен драйвер, Интерпретированный запуск файла, Интерактивный ввод команд в консоли, AMSI-проверка.
  • Не поддерживается создание задач Собрать форензику, Получить ключ реестра, Получить метафайлы NTFS, Получить дамп памяти процесса, Получить образ диска, Получить дамп памяти, Завершить процесс, Запустить YARA-проверку, Управление службами, Поместить файл на карантин, Восстановить файл из карантина.
• Интеграция Kaspersky Endpoint Security 12.2 с Kaspersky Anti Targeted Attack Platform 6.0.

  Объем передаваемых Kaspersky Endpoint Security данных ограничен:

  • Не передается информация о событиях Завершен процесс, Загружен модуль, Удаленное соединение, Правило запрета, Заблокирован документ, Изменение в реестре, Прослушан порт, Загружен драйвер, Интерпретированный запуск файла, Интерактивный ввод команд в консоли, AMSI-проверка.
  • Не поддерживается создание задач Собрать форензику, Получить ключ реестра, Получить метафайлы NTFS, Получить дамп памяти процесса, Получить образ диска, Получить дамп памяти, Завершить процесс, Запустить YARA-проверку, Управление службами, Восстановить файл из карантина.

Совместимость Kaspersky Endpoint Security для Mac с версиями Kaspersky Anti Targeted Attack Platform

Вы можете использовать Kaspersky Endpoint Security для Mac в качестве компонента Endpoint Agent.

Информация о совместимости версий Kaspersky Endpoint Security для Mac с версиями Kaspersky Anti Targeted Attack Platform приведена в таблице ниже.

Совместимость версий Kaspersky Endpoint Security для Mac с версиями Kaspersky Anti Targeted Attack Platform

Ограничения совместимости версий Kaspersky Endpoint Security для Mac с версиями Kaspersky Anti Targeted Attack Platform

• Интеграция Kaspersky Endpoint Security 12, 12.1 с Kaspersky Anti Targeted Attack Platform 6.0.
  • Не поддерживается создание правил сетевой изоляции.
  • Не поддерживается создание правил запрета.
  • Не поддерживается поиск индикаторов компрометации на компьютерах с помощью IOC-файлов.
  • Не передается информация о событиях Завершен процесс, Загружен модуль, Удаленное соединение, Правило запрета, Заблокирован документ, Изменение в реестре, Прослушан порт, Загружен драйвер, Интерпретированный запуск файла, Интерактивный ввод команд в консоли, AMSI-проверка.
  • Не поддерживается создание задач Завершить процесс, Собрать форензику, Запустить YARA-проверку, Удалить файл, Поместить файл на карантин, Восстановить файл из карантина, Управление службами, Получить образ диска, Получить дамп памяти.

Совместимость версий KUMA с версиями Kaspersky Anti Targeted Attack Platform

Вы можете использовать KUMA в качестве SIEM-системы.

Информация о совместимости версий KUMA с версиями Kaspersky Anti Targeted Attack Platform приведена в таблице ниже.

Совместимость версий KUMA с версиями Kaspersky Anti Targeted Attack Platform

В начало

Совместимость версий XDR с версиями Kaspersky Anti Targeted Attack Platform

Вы можете использовать XDR в качестве SIEM-системы.

Информация о совместимости версий XDR с версиями Kaspersky Anti Targeted Attack Platform приведена в таблице ниже.

Совместимость версий XDR с версиями Kaspersky Anti Targeted Attack Platform

В начало

Совместимость версий KPSN с версиями Kaspersky Anti Targeted Attack Platform

Вы можете использовать Kaspersky Private Security Network (KPSN) вместо Kaspersky Security Network (KSN), чтобы не использовать отправку данных вашей организации за пределы локальной сети организации.

Информация о совместимости версий KPSN с версиями Kaspersky Anti Targeted Attack Platform приведена в таблице ниже.

Совместимость версий KPSN с версиями Kaspersky Anti Targeted Attack Platform

В начало

Совместимость Kaspersky Anti Targeted Attack Platform с VK Cloud

Kaspersky Anti Targeted Attack Platform поддерживает развертывание на облачной платформе VK Cloud.

При развертывании приложения вы можете подключить к компоненту Central Node компоненты Sandbox.

Ограничения при развертывании Kaspersky Anti Targeted Attack Platform для работы с VK Cloud:

• Поддерживается работа только функционального блока KATA.
• Поддерживается работа только сертифицированной версии приложения на базе операционной системы Astra Linux.
• Поддерживается работа только неотказоустойчивой версии приложения.
• Вы можете настроить интеграцию только с внешней системой KSMG. Подробнее об интеграции см. справку KSMG.
• Вы можете использовать режим распределенного решения, только используя интеграцию с KSMG.

Для функционирования компонента Sandbox необходимо выполнить следующие требования:

• На виртуальной машине должна быть включена вложенная виртуализация.
• Должны быть корректно настроены параметры сетевого интерфейса для доступа обрабатываемых объектов в интернет.

  Активация образов операционной системы Windows возможна только при корректной настройке сетевого интерфейса.

• Сетевой интерфейс для доступа обрабатываемых объектов в интернет должен быть изолирован от локальной сети вашей организации.
• Сетевой интерфейс для доступа обрабатываемых объектов в интернет должен быть подключен к подсети, не совпадающей с подсетью, к которой подключен управляющий интерфейс.
• Не рекомендуется использовать статический публичный IP-адрес для сетевого интерфейса, обрабатывающего доступ объектов в интернет.

Ограничения

Ограничения, действующие при развертывании компонента Central Node в виде кластера:

1. Кластер Central Node должен включать минимум 4 сервера: 2 сервера хранения и 2 обрабатывающих сервера. Вы можете масштабировать кластер для увеличения количества обрабатываемого трафика или количества подключенных хостов в соответствии с Руководством по масштабированию.
2. Рекомендуется добавлять в кластер серверы с одинаковой аппаратной конфигурацией. В противном случае пропорциональное увеличение производительности не гарантируется.
3. Добавление в кластер дополнительного сервера не ускоряет обработку объектов, которые уже находятся в очереди на проверку.
4. Веб-интерфейс приложения может быть недоступен некоторое время при отказе сервера, на котором он расположен.
5. При отказе обрабатывающего сервера возможна потеря полученных по протоколам ICAP, POP3 и SMTP данных трафика и копий сообщений электронной почты, которые ждут обработки, и обнаружений, связанных с ними.
6. Если для обрабатывающего сервера настроено получение зеркалированного трафика со SPAN-портов, то при выходе из строя этого сервера SPAN-трафик не обрабатывается.
7. Возможна временная рассинхронизация данных в базе событий при отказе одного из серверов кластера или временной потере связи между сервером и компонентом Endpoint Agent.
8. При изменении конфигурации серверов кластера возможно временное замедление обработки трафика и событий с компьютеров, на которых установлен компонент Endpoint Agent.

Ограничения, действующие для компонента Sensor:

1. Для захвата сетевого трафика на максимальной скорости 10 Гбит/с могут использоваться только компоненты Sensor, установленные на отдельных серверах.
2. При захвате FTP-трафика на максимальной скорости 10 Гбит/с возможен высокий уровень потерь.
3. Настройку параметров проверки ICAP-трафика в режиме реального времени на отдельных серверах с установленным компонентом Sensor возможно выполнить только в режиме Technical Support Mode.

Ограничения, действующие для компонента Sandbox:

1. Поддерживается установка пользовательских образов операционных систем следующих версий:
   • Windows XP SP3 и выше.
   • Windows 7.
   • Windows 8.1 64-разрядная.
   • Windows 10 64-разрядная (до версии 1909).
2. Для пользовательских образов операционных систем полностью поддерживаются только русская и английская локализации.
3. Лицензионные ключи для активации операционных систем и программного обеспечения не предоставляются.
4. Если в наборе операционных систем на сервере с компонентом Central Node выбраны операционные системы, не установленные на сервере с компонентом Sandbox, Kaspersky Anti Targeted Attack Platform не отправляет объекты на проверку компоненту Sandbox. При подключении к компоненту Central Node нескольких серверов с компонентом Sandbox приложение отправляет объекты на проверку тем серверам, на которых установлены операционные системы, соответствующие выбранному на Central Node набору.

Ограничения приложения, действующие при интеграции с Kaspersky Endpoint Agent для Windows и Kaspersky Endpoint Security для Windows:

1. Задачи получения дампа оперативной памяти и образа диска могут быть назначены только на компьютеры с приложениями Kaspersky Endpoint Agent для Windows версии 3.14 и выше и Kaspersky Endpoint Security для Windows версии 12.1 и выше.
2. Задачи получения дампа памяти процесса, метафайлов NTFS и ключа реестра могут быть назначены только на компьютеры с приложениями Kaspersky Endpoint Agent для Windows версии 3.14 и выше и Kaspersky Endpoint Security для Windows версии 12.1 и выше.
3. Задача проверки хостов с помощью правил YARA может быть назначена только на компьютеры с приложениями Kaspersky Endpoint Agent для Windows версии 3.14 и выше и Kaspersky Endpoint Security для Windows версии 12.1 и выше. При одновременном назначении задачи компьютеры с Kaspersky Endpoint Agent версии 3.14 и выше, а также на компьютеры с более ранними версиями этого приложения задача выполняется только на компьютерах с Kaspersky Endpoint Agent 3.14 и выше.
4. Если в качестве области проверки выбраны точки автозапуска, задача выполняется только на компьютерах с Kaspersky Endpoint Agent 3.14 и выше и Kaspersky Endpoint Security для Windows версии 12.1 и выше.

Ограничения, действующие при интеграции с приложением Kaspersky Endpoint Security для Linux:

1. Для компьютеров с приложениями Kaspersky Endpoint Security для Linux 11.4 недоступны следующие функции:
   • Сетевая изоляция хоста.
   • Создание правил запрета.

     Приложение не создает уведомления о неуспешном применении правила запрета на компьютерах с приложениями Kaspersky Endpoint Security для Linux 11.4.

   • Поиск индикаторов компрометации на компьютерах с помощью IOC-файлов.

     Приложение не создает уведомления о неуспешном поиске индикаторов компрометации на компьютерах с приложениями Kaspersky Endpoint Security для Linux 11.4.

2. Для компьютеров с приложениями Kaspersky Endpoint Security для Linux 12 недоступны следующие функции:
   • Создание правил запрета.

     Приложение не создает уведомления о неуспешном применении правила запрета на компьютерах с приложениями Kaspersky Endpoint Security для Linux 12.

3. Список событий, которые Kaspersky Endpoint Security для Linux 11.4 и 12 записывают в базу событий, ограничен следующими типами:
   • Изменен файл.
   • Запущен процесс.
   • Завершен процесс.
   • Журнал событий ОС.
   • Обнаружение.
   • Результат обработки обнаружения.
4. Список задач, которые вы можете создать на компьютерах с Kaspersky Endpoint Security для Linux 11.4 ограничен следующими типами:
   • Получить файл.

     Приложение не проверяет на корректность указанный при создании задачи путь к исполняемому файлу или файлу, который вы хотите получить.

   • Выполнить приложение.
5. Список задач, которые вы можете создать на компьютерах с Kaspersky Endpoint Security для Linux 12 ограничен следующими типами:
   • Получить файл.

     Приложение не проверяет на корректность указанный при создании задачи путь к исполняемому файлу или файлу, который вы хотите получить.

   • Выполнить приложение.
   • Удалить файл.
   • Завершить процесс.
6. В информации о событиях, записанных в базу событий Kaspersky Endpoint Security для Linux 11.4 и 12, в поле Время создания отображается время изменения файла.

Ограничения, действующие при интеграции с приложением Kaspersky Endpoint Security для Mac 12:

1. Для компьютеров с приложениями Kaspersky Endpoint Security для Mac 12 недоступны следующие функции:
   • Сетевая изоляция хоста.
   • Создание правил запрета.

     Приложение не создает уведомления о неуспешном применении правила запрета на компьютерах с приложениями Kaspersky Endpoint Security для Mac 12.

   • Поиск индикаторов компрометации на компьютерах с помощью IOC-файлов.

     Приложение не создает уведомления о неуспешном поиске индикаторов компрометации на компьютерах с приложениями Kaspersky Endpoint Security для Mac 12.

2. Список событий, которые Kaspersky Endpoint Security для Mac 12 записывают в базу событий, ограничен следующими типами:
   • Изменен файл.
   • Запущен процесс.
   • Завершен процесс.
   • Обнаружение.
   • Результат обработки обнаружения.
3. Список задач, которые вы можете создать на компьютерах с Kaspersky Endpoint Security для Mac 12 ограничен следующими типами:
   • Получить файл.

     Приложение не проверяет на корректность указанный при создании задачи путь к исполняемому файлу или файлу, который вы хотите получить.

   • Выполнить приложение.
4. В информации о событиях, записанных в базу событий Kaspersky Endpoint Security для Mac 12, в поле Время создания отображается время изменения файла.

Ограничения в Kaspersky Endpoint Agent 3.16 для Windows:

Вы можете посмотреть список ограничений в Kaspersky Endpoint Agent 3.16 для Windows в справке Kaspersky Endpoint Agent для Windows.

Ограничения в Kaspersky Endpoint Security 12.5 для Windows:

Вы можете посмотреть список ограничений в Kaspersky Endpoint Security 12.5 для Windows в справке Kaspersky Endpoint Security для Windows.

Ограничения в Kaspersky Endpoint Security 12 для Linux:

Вы можете посмотреть список ограничений в Kaspersky Endpoint Security 12 для Linux в документе Kaspersky Endpoint Security для Linux Release Notes.

Ограничения в Kaspersky Endpoint Security 12 для Mac:

Вы можете посмотреть список ограничений в Kaspersky Endpoint Security 12 для Mac в справке Kaspersky Endpoint Security для Mac.