Администратору: работа в веб-интерфейсе приложения

Этот раздел адресован специалистам, которые осуществляют установку и администрирование Kaspersky Anti Targeted Attack Platform, а также управление серверами PCN и SCN и тенантами в

режиме распределенного решения

Двухуровневая иерархия серверов с установленными компонентами Central Node, в которой выделяется главный сервер управления – Primary Central Node (PCN) и подчиненные серверы – Secondary Central Node (SCN).

Двухуровневая иерархия серверов с установленными компонентами Central Node, в которой выделяется главный сервер управления – Primary Central Node (PCN) и подчиненные серверы – Secondary Central Node (SCN).

Двухуровневая иерархия серверов с установленными компонентами Central Node, в которой выделяется главный сервер управления – Primary Central Node (PCN) и подчиненные серверы – Secondary Central Node (SCN).

Двухуровневая иерархия серверов с установленными компонентами Central Node, в которой выделяется главный сервер управления – Primary Central Node (PCN) и подчиненные серверы – Secondary Central Node (SCN).

Двухуровневая иерархия серверов с установленными компонентами Central Node, в которой выделяется главный сервер управления – Primary Central Node (PCN) и подчиненные серверы – Secondary Central Node (SCN).

Двухуровневая иерархия серверов с установленными компонентами Central Node, в которой выделяется главный сервер управления – Primary Central Node (PCN) и подчиненные серверы – Secondary Central Node (SCN).

Двухуровневая иерархия серверов с установленными компонентами Central Node, в которой выделяется главный сервер управления – Primary Central Node (PCN) и подчиненные серверы – Secondary Central Node (SCN).

Двухуровневая иерархия серверов с установленными компонентами Central Node, в которой выделяется главный сервер управления – Primary Central Node (PCN) и подчиненные серверы – Secondary Central Node (SCN).

Двухуровневая иерархия серверов с установленными компонентами Central Node, в которой выделяется главный сервер управления – Primary Central Node (PCN) и подчиненные серверы – Secondary Central Node (SCN).

Двухуровневая иерархия серверов с установленными компонентами Central Node, в которой выделяется главный сервер управления – Primary Central Node (PCN) и подчиненные серверы – Secondary Central Node (SCN).

Двухуровневая иерархия серверов с установленными компонентами Central Node, в которой выделяется главный сервер управления – Primary Central Node (PCN) и подчиненные серверы – Secondary Central Node (SCN).

Двухуровневая иерархия серверов с установленными компонентами Central Node, в которой выделяется главный сервер управления – Primary Central Node (PCN) и подчиненные серверы – Secondary Central Node (SCN).

Двухуровневая иерархия серверов с установленными компонентами Central Node, в которой выделяется главный сервер управления – Primary Central Node (PCN) и подчиненные серверы – Secondary Central Node (SCN).

Двухуровневая иерархия серверов с установленными компонентами Central Node, в которой выделяется главный сервер управления – Primary Central Node (PCN) и подчиненные серверы – Secondary Central Node (SCN).

Двухуровневая иерархия серверов с установленными компонентами Central Node, в которой выделяется главный сервер управления – Primary Central Node (PCN) и подчиненные серверы – Secondary Central Node (SCN).

Двухуровневая иерархия серверов с установленными компонентами Central Node, в которой выделяется главный сервер управления – Primary Central Node (PCN) и подчиненные серверы – Secondary Central Node (SCN).

Двухуровневая иерархия серверов с установленными компонентами Central Node, в которой выделяется главный сервер управления – Primary Central Node (PCN) и подчиненные серверы – Secondary Central Node (SCN).

Двухуровневая иерархия серверов с установленными компонентами Central Node, в которой выделяется главный сервер управления – Primary Central Node (PCN) и подчиненные серверы – Secondary Central Node (SCN).

Двухуровневая иерархия серверов с установленными компонентами Central Node, в которой выделяется главный сервер управления – Primary Central Node (PCN) и подчиненные серверы – Secondary Central Node (SCN).

Двухуровневая иерархия серверов с установленными компонентами Central Node, в которой выделяется главный сервер управления – Primary Central Node (PCN) и подчиненные серверы – Secondary Central Node (SCN).

Двухуровневая иерархия серверов с установленными компонентами Central Node, в которой выделяется главный сервер управления – Primary Central Node (PCN) и подчиненные серверы – Secondary Central Node (SCN).

Двухуровневая иерархия серверов с установленными компонентами Central Node, в которой выделяется главный сервер управления – Primary Central Node (PCN) и подчиненные серверы – Secondary Central Node (SCN).

Двухуровневая иерархия серверов с установленными компонентами Central Node, в которой выделяется главный сервер управления – Primary Central Node (PCN) и подчиненные серверы – Secondary Central Node (SCN).

Двухуровневая иерархия серверов с установленными компонентами Central Node, в которой выделяется главный сервер управления – Primary Central Node (PCN) и подчиненные серверы – Secondary Central Node (SCN).

Двухуровневая иерархия серверов с установленными компонентами Central Node, в которой выделяется главный сервер управления – Primary Central Node (PCN) и подчиненные серверы – Secondary Central Node (SCN).

Двухуровневая иерархия серверов с установленными компонентами Central Node, в которой выделяется главный сервер управления – Primary Central Node (PCN) и подчиненные серверы – Secondary Central Node (SCN).

Двухуровневая иерархия серверов с установленными компонентами Central Node, в которой выделяется главный сервер управления – Primary Central Node (PCN) и подчиненные серверы – Secondary Central Node (SCN).

Двухуровневая иерархия серверов с установленными компонентами Central Node, в которой выделяется главный сервер управления – Primary Central Node (PCN) и подчиненные серверы – Secondary Central Node (SCN).

Двухуровневая иерархия серверов с установленными компонентами Central Node, в которой выделяется главный сервер управления – Primary Central Node (PCN) и подчиненные серверы – Secondary Central Node (SCN).

Двухуровневая иерархия серверов с установленными компонентами Central Node, в которой выделяется главный сервер управления – Primary Central Node (PCN) и подчиненные серверы – Secondary Central Node (SCN).

Двухуровневая иерархия серверов с установленными компонентами Central Node, в которой выделяется главный сервер управления – Primary Central Node (PCN) и подчиненные серверы – Secondary Central Node (SCN).

Двухуровневая иерархия серверов с установленными компонентами Central Node, в которой выделяется главный сервер управления – Primary Central Node (PCN) и подчиненные серверы – Secondary Central Node (SCN).

Двухуровневая иерархия серверов с установленными компонентами Central Node, в которой выделяется главный сервер управления – Primary Central Node (PCN) и подчиненные серверы – Secondary Central Node (SCN).

мультитенантности

Режим работы, при котором Kaspersky Anti Targeted Attack Platform используется для защиты инфраструктуры нескольких организаций или филиалов одной организации одновременно.

Режим работы, при котором Kaspersky Anti Targeted Attack Platform используется для защиты инфраструктуры нескольких организаций или филиалов одной организации одновременно.

Режим работы, при котором Kaspersky Anti Targeted Attack Platform используется для защиты инфраструктуры нескольких организаций или филиалов одной организации одновременно.

Режим работы, при котором Kaspersky Anti Targeted Attack Platform используется для защиты инфраструктуры нескольких организаций или филиалов одной организации одновременно.

Режим работы, при котором Kaspersky Anti Targeted Attack Platform используется для защиты инфраструктуры нескольких организаций или филиалов одной организации одновременно.

Режим работы, при котором Kaspersky Anti Targeted Attack Platform используется для защиты инфраструктуры нескольких организаций или филиалов одной организации одновременно.

Режим работы, при котором Kaspersky Anti Targeted Attack Platform используется для защиты инфраструктуры нескольких организаций или филиалов одной организации одновременно.

Режим работы, при котором Kaspersky Anti Targeted Attack Platform используется для защиты инфраструктуры нескольких организаций или филиалов одной организации одновременно.

Режим работы, при котором Kaspersky Anti Targeted Attack Platform используется для защиты инфраструктуры нескольких организаций или филиалов одной организации одновременно.

Режим работы, при котором Kaspersky Anti Targeted Attack Platform используется для защиты инфраструктуры нескольких организаций или филиалов одной организации одновременно.

Режим работы, при котором Kaspersky Anti Targeted Attack Platform используется для защиты инфраструктуры нескольких организаций или филиалов одной организации одновременно.

Режим работы, при котором Kaspersky Anti Targeted Attack Platform используется для защиты инфраструктуры нескольких организаций или филиалов одной организации одновременно.

Режим работы, при котором Kaspersky Anti Targeted Attack Platform используется для защиты инфраструктуры нескольких организаций или филиалов одной организации одновременно.

Режим работы, при котором Kaspersky Anti Targeted Attack Platform используется для защиты инфраструктуры нескольких организаций или филиалов одной организации одновременно.

Режим работы, при котором Kaspersky Anti Targeted Attack Platform используется для защиты инфраструктуры нескольких организаций или филиалов одной организации одновременно.

Режим работы, при котором Kaspersky Anti Targeted Attack Platform используется для защиты инфраструктуры нескольких организаций или филиалов одной организации одновременно.

Режим работы, при котором Kaspersky Anti Targeted Attack Platform используется для защиты инфраструктуры нескольких организаций или филиалов одной организации одновременно.

Режим работы, при котором Kaspersky Anti Targeted Attack Platform используется для защиты инфраструктуры нескольких организаций или филиалов одной организации одновременно.

Режим работы, при котором Kaspersky Anti Targeted Attack Platform используется для защиты инфраструктуры нескольких организаций или филиалов одной организации одновременно.

Режим работы, при котором Kaspersky Anti Targeted Attack Platform используется для защиты инфраструктуры нескольких организаций или филиалов одной организации одновременно.

Режим работы, при котором Kaspersky Anti Targeted Attack Platform используется для защиты инфраструктуры нескольких организаций или филиалов одной организации одновременно.

Режим работы, при котором Kaspersky Anti Targeted Attack Platform используется для защиты инфраструктуры нескольких организаций или филиалов одной организации одновременно.

Режим работы, при котором Kaspersky Anti Targeted Attack Platform используется для защиты инфраструктуры нескольких организаций или филиалов одной организации одновременно.

Режим работы, при котором Kaspersky Anti Targeted Attack Platform используется для защиты инфраструктуры нескольких организаций или филиалов одной организации одновременно.

Режим работы, при котором Kaspersky Anti Targeted Attack Platform используется для защиты инфраструктуры нескольких организаций или филиалов одной организации одновременно.

Режим работы, при котором Kaspersky Anti Targeted Attack Platform используется для защиты инфраструктуры нескольких организаций или филиалов одной организации одновременно.

Режим работы, при котором Kaspersky Anti Targeted Attack Platform используется для защиты инфраструктуры нескольких организаций или филиалов одной организации одновременно.

Режим работы, при котором Kaspersky Anti Targeted Attack Platform используется для защиты инфраструктуры нескольких организаций или филиалов одной организации одновременно.

Режим работы, при котором Kaspersky Anti Targeted Attack Platform используется для защиты инфраструктуры нескольких организаций или филиалов одной организации одновременно.

Режим работы, при котором Kaspersky Anti Targeted Attack Platform используется для защиты инфраструктуры нескольких организаций или филиалов одной организации одновременно.

Режим работы, при котором Kaspersky Anti Targeted Attack Platform используется для защиты инфраструктуры нескольких организаций или филиалов одной организации одновременно.

Режим работы, при котором Kaspersky Anti Targeted Attack Platform используется для защиты инфраструктуры нескольких организаций или филиалов одной организации одновременно.

Режим работы, при котором Kaspersky Anti Targeted Attack Platform используется для защиты инфраструктуры нескольких организаций или филиалов одной организации одновременно.

Интерфейс Kaspersky Anti Targeted Attack Platform

Работа с приложением осуществляется через веб-интерфейс. Разделы веб-интерфейса приложения различаются в зависимости от роли пользователя – Администратор или Старший сотрудник службы безопасности / Сотрудник службы безопасности/Аудитор.

Окно веб-интерфейса приложения содержит следующие элементы:

• разделы в левой части и в нижней части окна веб-интерфейса приложения;
• закладки в верхней части окна веб-интерфейса приложения для некоторых разделов приложения;
• рабочую область в нижней части окна веб-интерфейса приложения.

Разделы окна веб-интерфейса приложения

Веб-интерфейс приложения для роли Администратор содержит следующие разделы:

• Мониторинг. Содержит данные мониторинга Kaspersky Anti Targeted Attack Platform.
• Режим работы. Содержит информацию о серверах PCN и SCN и о тенантах в режиме распределенного решения и мультитенантности.
• Endpoint Agents. Содержит информацию о подключенных компьютерах с компонентом Endpoint Agent и их параметрах.
• Отчеты: Журнал активности. Содержит информацию о параметрах записи информации о действиях пользователей в веб-интерфейсе приложения.
• Параметры. Содержит параметры сервера с компонентом Central Node.
• Серверы Sensor. Содержит информацию о подключенных компонентах Sensor и их параметры.
• Серверы Sandbox. Содержит информацию о подключении компонента Central Node к компонентам Sandbox.
• Внешние системы. Содержит информацию об интеграции приложения с почтовыми сенсорами.

Рабочая область окна веб-интерфейса приложения

В рабочей области отображается информация, просмотр которой вы выбираете в разделах и на закладках окна веб-интерфейса приложения, а также элементы управления, с помощью которых вы можете настроить отображение информации.

Пользователи с ролью Аудитор также могут просматривать эти разделы веб-интерфейса приложения.

Мониторинг работы приложения

Вы можете осуществлять мониторинг работы приложения с помощью виджетов в разделе Мониторинг окна веб-интерфейса приложения. Вы можете добавлять, удалять, перемещать виджеты, настраивать масштаб отображения виджетов и выбирать период отображения данных.

О виджетах и схемах расположения виджетов

С помощью виджетов вы можете осуществлять мониторинг работы приложения.

Схема расположения виджетов – вид рабочей области окна веб-интерфейса приложения в разделе Мониторинг. Вы можете добавлять, удалять и перемещать виджеты на схеме расположения виджетов.

В приложении доступны следующие виджеты:

• Обработано. Отображение состояния обработки трафика, поступающего от компонента Sensor и компонента Endpoint Agent на сервер с компонентом Central Node.
• Очереди. Отображение сведений о количестве и объеме объектов, ожидающих проверки модулями и компонентами приложения.
• Время обработки в Sandbox. Отображение среднего времени, за которое были получены результаты проверки объектов компонентом Sandbox.

Если вы используете режим распределенного решения и мультитенантности, в разделе отображаются данные по выбранному вами тенанту и серверу.

Выбор тенанта и сервера для работы в разделе Мониторинг

Если вы используете режим распределенного решения и мультитенантности, перед началом работы в разделе Мониторинг вам нужно выбрать тенант и сервер, данные по которым вы хотите просмотреть.

Чтобы выбрать тенант и сервер для отображения данных в разделе Мониторинг:

1. В правой верхней части окна веб-интерфейса приложения нажмите на стрелку рядом с именем сервера.
2. В раскрывшемся меню выберите тенант и нужный вам сервер из списка.

Отобразятся данные по выбранному вами серверу. Если вы хотите изменить тенант и сервер, вам нужно повторить действия по выбору тенанта и сервера.

Добавление виджета на текущую схему расположения виджетов

Чтобы добавить виджет на текущую схему расположения виджетов:

1. В окне веб-интерфейса приложения выберите раздел Мониторинг.
2. В верхней части окна нажмите на кнопку .
3. В раскрывающемся списке выберите Изменить.
4. Нажмите на кнопку Виджеты.
5. В появившемся окне Настроить виджеты выполните следующие действия:
   • Если вы хотите добавить виджет Очереди, включите переключатель рядом с названием этого виджета.
   • Если вы хотите добавить виджет Время обработки в Sandbox, включите переключатель рядом с названием этого виджета.
   • Если вы хотите добавить виджет Обработано, нажмите на кнопку рядом с названием этого виджета.

Выбранный виджет будет добавлен на текущую схему расположения виджетов.

Перемещение виджета на текущей схеме расположения виджетов

Чтобы переместить виджет на текущей схеме расположения виджетов:

1. В окне веб-интерфейса приложения выберите раздел Мониторинг.
2. В верхней части окна нажмите на кнопку .
3. В раскрывающемся списке выберите Изменить.
4. Выберите виджет, который вы хотите переместить на схеме расположения виджетов.
5. Нажав и удерживая левую клавишу мыши на верхней части виджета, перетащите виджет на другое место схемы расположения виджетов.
6. Нажмите на кнопку Сохранить.

Текущая схема расположения виджетов будет сохранена.

Удаление виджета с текущей схемы расположения виджетов

Чтобы удалить виджет с текущей схемы расположения виджетов:

1. В окне веб-интерфейса приложения выберите раздел Мониторинг.
2. В верхней части окна нажмите на кнопку .
3. В раскрывающемся списке выберите Изменить.
4. Нажмите на значок в правом верхнем углу виджета, который вы хотите удалить со схемы расположения виджетов.

   Виджет будет удален из рабочей области окна веб-интерфейса приложения.

5. Нажмите на кнопку Сохранить.

Виджет будет удален с текущей схемы расположения виджетов.

Сохранение схемы расположения виджетов в PDF

Чтобы сохранить схему расположения виджетов в PDF:

1. В окне веб-интерфейса приложения выберите раздел Мониторинг.
2. В верхней части окна нажмите на кнопку .
3. В раскрывающемся списке выберите Сохранить как PDF.

   Откроется окно Сохранение в PDF.

4. В нижней части окна в раскрывающемся списке Ориентация выберите ориентацию страницы.
5. Нажмите на кнопку Скачать.

   Схема расположения виджетов в формате PDF будет сохранена на жесткий диск вашего компьютера в папку загрузки браузера.

6. Нажмите на кнопку Закрыть.

Настройка периода отображения данных на виджетах

Вы можете настроить отображение данных на виджетах за следующие периоды:

• День.
• Неделя.
• Месяц.

Чтобы настроить отображение данных на виджетах за сутки (с 00:00 до 23:59):

1. В окне веб-интерфейса приложения выберите раздел Мониторинг.
2. В правом верхнем углу окна веб-интерфейса приложения в раскрывающемся списке периодов отображения данных выберите День.
3. В календаре справа от названия периода День выберите дату, за которую вы хотите получить данные на виджете.

На всех виджетах страницы Мониторинг отобразятся данные за выбранный вами период.

Чтобы настроить отображение данных на виджетах за неделю (с понедельника по воскресенье):

1. В окне веб-интерфейса приложения выберите раздел Мониторинг.
2. В правом верхнем углу окна веб-интерфейса приложения в раскрывающемся списке периодов отображения данных выберите Неделя.
3. В календаре справа от названия периода Неделя выберите неделю, за которую вы хотите получить данные на виджете.

На всех виджетах страницы Мониторинг отобразятся данные за выбранный вами период.

Чтобы настроить отображение данных на виджетах за месяц (календарный месяц):

1. В окне веб-интерфейса приложения выберите раздел Мониторинг.
2. В правом верхнем углу окна веб-интерфейса приложения в раскрывающемся списке периодов отображения данных выберите Месяц.
3. В календаре справа от названия периода Месяц выберите месяц, за который вы хотите получить данные на виджете.

На всех виджетах страницы Мониторинг отобразятся данные за выбранный вами период.

Мониторинг приема и обработки входящих данных

На виджете Обработано вы можете оценить статус обработки данных, поступающих от компонента Sensor и компонента Endpoint Agent на сервер с компонентом Central Node, и отследить ошибки обработки данных.

Вы можете выбрать компонент (Sensor или Endpoint Agent), поступление данных с которого вы хотите оценить, в раскрывающемся списке справа от названия виджета Обработано.

Вы можете выбрать тип отображения данных в раскрывающемся списке справа от названия компонента (Sensor или Endpoint Agent):

• Текущая загрузка – 5 минут до текущего момента.
• Выбранный период. В этом случае вы также можете настроить период отображения данных на виджетах.

В левой части каждого виджета отображается легенда виджета по цветам, которые используются на самих виджетах.

Если выбран тип отображения данных Текущая загрузка, справа от легенды отображается средняя скорость обработки данных за последние 5 минут.

Если выбран тип отображения данных Выбранный период, справа от легенды отображается средняя скорость поступления трафика на сервер с компонентом Central Node и количество обработанных объектов за выбранный период.

Мониторинг очередей обработки данных модулями и компонентами приложения

На виджете Очереди вы можете оценить статус обработки данных модулями приложения

Передача данных в очереди измеряется сообщениями.

Вы можете выбрать тип отображения данных в раскрывающемся списке справа от названия виджета Очереди:

• Текущая загрузка – 5 минут до текущего момента.
• Выбранный период. В этом случае вы также можете настроить период отображения данных на виджетах.

В левой части виджета отображается легенда виджета по цветам, которые используются на виджете.

На виджете Очереди отображаются следующие данные:

• Количество сообщений и Объем данных, обработанных модулями и компонентами приложения:
  • YARA – синим цветом.
  • Sandbox – фиолетовым цветом.
  • AM Engine – зеленым цветом.
• Не обработано – объем необработанных данных вертикальными линиями красного цвета.

При наведении курсора мыши на виджет появляется всплывающее окно, в котором отображается статус обработки данных модулями приложения YARA, AM Engine и компонентом Sandbox, а также объем необработанных данных в определенное время.

Мониторинг обработки данных компонентом Sandbox

На виджете Время обработки в Sandbox отображается среднее время, прошедшее от момента отправки данных на один или несколько серверов с компонентом Sandbox (включая время ожидания отправки) до отображения результатов обработки данных компонентом Sandbox в веб-интерфейсе Kaspersky Anti Targeted Attack Platform в выбранный период.

Вы можете увеличить скорость обработки данных компонентом Sandbox и пропускную способность компонента Sandbox, увеличив количество серверов с компонентом Sandbox и распределив по этим серверам данные, предназначенные для обработки.

Просмотр состояния работоспособности модулей и компонентов приложения

Если в работе модулей и компонентов приложения возникли проблемы, на которые администратору рекомендуется обратить внимание, в верхней части окна раздела Мониторинг веб-интерфейса приложения отображается рамка желтого цвета с предупреждениями.

Пользователю с ролью Локальный администратор, Администратор или Аудитор доступна информация о работоспособности того сервера Central Node, PCN или SCN, на котором он сейчас работает.

Пользователю с ролью Старший сотрудник службы безопасности, Сотрудник службы безопасности или Аудитор доступна следующая информация о работоспособности:

• Если вы используете отдельный сервер Central Node, пользователю доступна информация о работоспособности того сервера Central Node, на котором он сейчас работает.
• Если вы используете режим распределенного решения и мультитенантности и пользователь работает на сервере SCN, пользователю доступна информация о работоспособности этого сервера SCN в рамках тех тенантов, к данным которых у него есть доступ.
• Если вы используете режим распределенного решения и мультитенантности и пользователь работает на сервере PCN, пользователю доступна информация о работоспособности этого сервера PCN и всех серверов SCN, подключенных к этому серверу, в рамках тех тенантов, к данным которых у него есть доступ.

Чтобы получить более подробную информацию о работоспособности модулей и компонентов приложения,

по ссылке Просмотреть сведения откройте окно Работоспособность системы.

В окне Работоспособность системы в зависимости от работоспособности модулей и компонентов приложения отображается один из следующих значков:

• Значок , если модули и компоненты приложения работают нормально.
• Значок с количеством проблем (например, ), если обнаружены проблемы, на которые администратору рекомендуется обратить внимание. В этом случае в правой части окна Работоспособность системы отображается подробная информация о проблемах.

Окно Работоспособность системы содержит разделы:

• Работоспособность компонентов – статус работы модулей и компонентов приложения, карантина, а также обновления баз на всех серверах, на которых работает приложение.

  Пример: Если базы одного или нескольких компонентов приложения не обновлялись в течение 24 часов, рядом с именем сервера, на котором установлены модули и компоненты приложения, отображается значок . Для решения проблемы убедитесь, что серверы обновлений доступны. Если для соединения с серверами обновлений вы используете прокси-сервер, убедитесь, что на прокси-сервере нет ошибок, связанных с подключением к серверам Kaspersky Anti Targeted Attack Platform.

• Обработано – статус приема и обработки входящих данных. Статус формируется на основе следующих критериев:
  • Состояние получения данных с серверов с компонентом Sensor, c сервера или виртуальной машины с почтовым сенсором, с хостов с компонентом Endpoint Agent.
  • Информация о превышении максимально допустимого времени, которое объекты ожидают в очереди на проверку модулями и компонентами приложения.
• Соединение с серверами – состояние соединения между сервером PCN и подключенными серверами SCN (отображается, если вы используете режим распределенного решения и мультитенантности).

В случае обнаружения проблем в работоспособности модулей и компонентов приложения, которые вы не можете решить самостоятельно, рекомендуется обратиться в Службу технической поддержки "Лаборатории Касперского".

Управление серверами Central Node, PCN или SCN с помощью веб-интерфейса приложения

С помощью веб-интерфейса приложения вы можете выполнять следующие действия с сервером, на котором установлен компонент Central Node:

• настраивать дату и время сервера;
• выключать и перезагружать сервер;
• генерировать или загружать самостоятельно подготовленный сертификат сервера;
• настраивать сетевые параметры сервера;
• контролировать уровень заполнения дискового пространства сервера.

Если вы используете режим распределенного решения и мультитенантности, выполняйте действия в веб-интерфейсе того сервера PCN или SCN, параметры которого вы хотите настроить.

Настройка даты и времени сервера

Если вы используете режим распределенного решения и мультитенантности, выполняйте действия в веб-интерфейсе того сервера PCN или SCN, параметры которого вы хотите настроить.

Чтобы настроить дату и время сервера:

1. В окне веб-интерфейса приложения выберите раздел Параметры, подраздел Дата и время.
2. В раскрывающемся списке Часовой пояс выберите часовой пояс, в котором находится сервер с компонентом Central Node.

   Вы можете указать страну и часовой пояс, выбрав нужный регион на карте под раскрывающимися списками.

   Выбор региона на карте недоступен в Kaspersky Anti Targeted Attack Platform версии 6.0.4.

3. В блоке NTP-серверы выполните следующие действия:
   • Если вы хотите добавить новый
     NTP-сервер

     Сервер точного времени, использующий протокол Network Time Protocol.

     , выполните следующие действия:
     1. Нажмите на кнопку Добавить.
     2. В появившемся поле введите IP-адрес или доменное имя NTP-сервера.
     3. Справа от поля нажмите на кнопку .
   • Если вы хотите изменить IP-адрес или доменное имя NTP-сервера, в строке с этим сервером нажмите на кнопку .
   • Если вы хотите удалить NTP-сервер, в строке с этим сервером нажмите на кнопку .
4. Нажмите на кнопку Применить.

Дата и время сервера будут настроены.

Генерация или загрузка TLS-сертификата сервера

Если вы уже используете TLS-сертификат сервера и сгенерируете или загрузите новый сертификат, сертификат, который используется в приложении, будет удален и заменен на новый сертификат.

Вам потребуется указать данные нового сертификата везде, где использовался старый.

Если вы замените TLS-сертификат на новый, вам потребуется:

• Повторно авторизовать почтовые сенсоры (KSMG, KLMS) на Central Node.
• Повторно настроить соединение Central Node, PCN и SCN с Sandbox.
• Повторно настроить перенаправление трафика от Endpoint Agent на Sensor и доверенное соединение с Endpoint Agent.

Удалите все правила изоляции хостов Endpoint Agent. Соединение с изолированными хостами будет разорвано, вы не сможете ими управлять.

Вы можете сгенерировать новый сертификат через веб-интерфейс сервера Central Node или загрузить самостоятельно созданный сертификат.

Если вы используете режим распределенного решения и мультитенантности, выполняйте действия в веб-интерфейсе того сервера PCN или SCN, параметры которого вы хотите настроить.

Чтобы сгенерировать TLS-сертификат сервера Central Node:

1. Войдите в веб-интерфейс Kaspersky Anti Targeted Attack Platform под учетной записью администратора.
2. В окне веб-интерфейса приложения выберите раздел Параметры, подраздел Сертификаты.
3. В разделе Сертификат сервера нажмите на кнопку Сгенерировать.

   Откроется окно подтверждения действия.

4. Нажмите на кнопку Да.

Kaspersky Anti Targeted Attack Platform сгенерирует новый TLS-сертификат. Страница автоматически обновится.

Связь с почтовыми сенсорами, компонентом Sandbox, приложением Kaspersky Endpoint Agent будет прервана до повторной авторизации.

Вы можете самостоятельно подготовить TLS-сертификат и загрузить его через веб-интерфейс Kaspersky Anti Targeted Attack Platform.

Файл TLS-сертификата, предназначенный для загрузки, должен удовлетворять следующим требованиям:

• Файл должен содержать сам сертификат и закрытый ключ шифрования соединения.
• Файл должен иметь формат PEM.

  Приложение не работает с сертификатами другого формата.

  Если вы подготовили сертификат в другом формате, вам нужно конвертировать его в формат PEM.

• Длина закрытого ключа должна быть 2048 бит или более.

Подробнее о подготовке TLS-сертификатов к импорту см. в документации Open SSL.

Выполняйте действия по загрузке TLS-сертификат в веб-интерфейсе того сервера, на который вы хотите загрузить сертификат.

Чтобы загрузить самостоятельно подготовленный TLS-сертификат через веб-интерфейс Kaspersky Anti Targeted Attack Platform:

1. Войдите в веб-интерфейс Kaspersky Anti Targeted Attack Platform под учетной записью администратора.
2. В окне веб-интерфейса приложения выберите раздел Параметры, подраздел Сертификаты.
3. В разделе Сертификат сервера нажмите на кнопку Загрузить.

   Откроется окно выбора файлов.

4. Выберите файл TLS-сертификата, который вы хотите загрузить, и нажмите на кнопку Открыть.

   Окно выбора файлов закроется.

TLS-сертификат будет добавлен в Kaspersky Anti Targeted Attack Platform.

Связь с почтовыми сенсорами, компонентом Sandbox, приложением Kaspersky Endpoint Agent будет прервана до повторной авторизации.

Скачивание TLS-сертификата сервера на компьютер

Если вы используете режим распределенного решения и мультитенантности, выполняйте действия в веб-интерфейсе того сервера PCN или SCN, параметры которого вы хотите настроить.

Чтобы скачать TLS-сертификат сервера на компьютер:

1. В окне веб-интерфейса приложения выберите раздел Параметры, подраздел Сертификаты.
2. В разделе Сертификат сервера нажмите на кнопку Скачать.

Файл сертификата сервера будет сохранен в папке загрузки браузера.

Назначение DNS-имени сервера

Если вы используете режим распределенного решения и мультитенантности, выполняйте действия в веб-интерфейсе того сервера PCN или SCN, параметры которого вы хотите настроить.

Чтобы назначить имя сервера для использования DNS-серверами:

1. В окне веб-интерфейса программы выберите раздел Параметры, подраздел Сетевые параметры.
2. В поле Имя сервера (FQDN) введите полное доменное имя сервера.

   Указывайте имя сервера в формате FQDN (например, host.domain.com или host.domain.subdomain.com).

3. Нажмите на кнопку Применить.

Имя сервера будет назначено.

Настройка параметров DNS

Если вы используете режим распределенного решения и мультитенантности, выполняйте действия в веб-интерфейсе того сервера PCN или SCN, параметры которого вы хотите настроить.

Чтобы настроить параметры DNS:

1. В окне веб-интерфейса программы выберите раздел Параметры, подраздел Сетевые параметры.
2. В блоке параметров Параметры DNS в поле DNS-серверы введите IP-адреса DNS-серверов.
3. Нажмите на кнопку Применить.

Параметры DNS будут настроены.

Настройка параметров сетевого интерфейса

Если вы используете режим распределенного решения и мультитенантности, выполняйте действия в веб-интерфейсе того сервера PCN или SCN, параметры которого вы хотите настроить.

Чтобы настроить параметры сетевого интерфейса:

1. В окне веб-интерфейса программы выберите раздел Параметры, подраздел Сетевые параметры.
2. Выберите сетевой интерфейс, параметры которого вы хотите настроить.

   Откроется окно Изменить сетевой интерфейс.

3. В блоке параметров Состояние выберите один из следующих вариантов:
   • Выключено.
   • Включено, используется DHCP-сервер, если вы хотите, чтобы для сетевого интерфейса использовались параметры, полученные от DHCP-сервера.
   • Включено, настройка вручную, если вы хотите, чтобы для сетевого интерфейса использовались параметры, заданные вручную.
4. Если вы выбрали Включено, настройка вручную, укажите значения для следующих параметров:
   1. В поле IP укажите IP-адрес сетевого интерфейса.
   2. В поле Маска подсети укажите маску подсети сетевого интерфейса.
   3. В поле Шлюз введите IP-адрес шлюза.
5. Нажмите на кнопку Сохранить.

Параметры сетевого интерфейса будут настроены.

Настройка сетевого маршрута для использования по умолчанию

Если вы используете режим распределенного решения и мультитенантности, выполняйте действия в веб-интерфейсе того сервера PCN или SCN, параметры которого вы хотите настроить.

Чтобы настроить сетевой маршрут для использования по умолчанию:

1. В окне веб-интерфейса программы выберите раздел Параметры, подраздел Сетевые параметры.
2. В блоке параметров Сетевой маршрут в раскрывающемся списке Сетевой интерфейс выберите сетевой интерфейс, для которого вы хотите настроить сетевой маршрут.
3. В поле Шлюз введите IP-адрес шлюза.
4. Нажмите на кнопку Применить.

Сетевой маршрут для использования по умолчанию будет настроен.

Настройка параметров соединения с прокси-сервером

Если вы используете режим распределенного решения и мультитенантности, выполняйте действия в веб-интерфейсе того сервера PCN или SCN, параметры которого вы хотите настроить.

Чтобы настроить параметры соединения с прокси-сервером:

1. В окне веб-интерфейса приложения выберите раздел Параметры, подраздел Общие параметры.
2. В блоке параметров Прокси-сервер переведите переключатель в положение Включено.
3. В поле Хост укажите URL-адрес прокси-сервера.
4. В поле Порт укажите порт подключения к прокси-серверу.
5. В поле Имя пользователя укажите имя пользователя для аутентификации на прокси-сервере.
6. В поле Пароль укажите пароль для аутентификации на прокси-сервере.
7. Если вы не хотите использовать прокси-сервер при подключении к локальным адресам, установите флажок Не использовать прокси-сервер для локальных адресов.
8. Нажмите на кнопку Применить.

Параметры соединения с прокси-сервером будут настроены.

Настройка параметров соединения с почтовым сервером

Если вы используете режим распределенного решения и мультитенантности, выполняйте действия в веб-интерфейсе того сервера PCN или SCN, параметры которого вы хотите настроить.

Приложение может отправлять уведомления об обнаружениях и работе системы. Для этого необходимо настроить параметры сервера для отправки уведомлений.

Чтобы настроить параметры сервера для отправки уведомлений:

1. В окне веб-интерфейса приложения выберите раздел Параметры, подраздел Уведомления.
2. Перейдите на вкладку Конфигурация почтового сервера.
3. В поле Хост укажите IP-адрес почтового сервера.
4. В поле Порт укажите порт подключения к почтовому серверу.
5. В поле Отправлять с адреса укажите адрес электронной почты, с которого будут отправляться уведомления.
6. Если вы хотите включить проверку подлинности на почтовом сервере, установите флажок Использовать SMTP-проверку подлинности получателей сообщений.
7. В поле Имя пользователя укажите имя пользователя для аутентификации на сервере для отправки уведомлений.
8. В поле Пароль укажите пароль для аутентификации на сервере для отправки уведомлений.
9. Если вы хотите использовать TLS-шифрование при отправке уведомлений, установите флажок Использовать TLS-шифрование.
10. Если вы хотите проверить сертификат почтового сервера, установите флажок Подтверждать TLS-шифрование.

    В поле Отпечаток сертификата отобразится отпечаток сертификата почтового сервера.

    Если флажок Подтверждать TLS-шифрование не установлен, приложение будет считать любой сертификат почтового сервера доверенным.

11. Нажмите на кнопку Применить.

Параметры сервера для отправки уведомлений будут настроены.

Выбор операционных систем для проверки объектов в Sandbox

Вы можете выбрать набор операционных систем, на основе которого будут формироваться задачи на проверку объектов для компонента Sandbox. Вам потребуется установить виртуальные машины с операционными системами, которые соответствуют выбранному набору, на сервере Sandbox.

Чтобы выбрать набор операционных систем:

1. В окне веб-интерфейса приложения выберите раздел Серверы Sandbox.
2. Выберите закладку Параметры.
3. В блоке параметров Набор ОС выберите один из вариантов:
   • Windows 7, Windows 10.
   • CentOS 7.8, Windows 7, Windows 10.
   • Astra Linux 1.7, Windows 7, Windows 10.
   • Пользовательские.
4. Если вы выбрали Пользовательские, в блоке параметров Состав набора установите флажки напротив операционных систем, которые вы хотите использовать в наборе.

   Пользовательские операционные системы отображаются в списке, если виртуальные машины с этими операционными системами были установлены на сервере Sandbox. Преднастроенные операционные системы всегда отображаются в списке, но если виртуальные машины с этими операционными системами не развернуты, рядом с названием операционной системы отображается статус Неизвестно.

Kaspersky Anti Targeted Attack Platform будет создавать задачи на проверку объектов в Sandbox в соответствии с выбранным набором.

Если набор операционных систем, установленных на сервере Sandbox, не совпадает с набором, выбранным на сервере Central Node, объекты не отправляются на проверку этому серверу Sandbox. При подключении к серверу Central Node нескольких серверов Sandbox приложение отправляет объекты на проверку тем серверам Sandbox, на которых установлены операционные системы, соответствующие выбранному на Central Node набору.

Вы можете изменить набор операционных систем в ходе эксплуатации приложения. В этом случае вам нужно убедиться, что конфигурация сервера Sandbox соответствует аппаратным требованиям.

В режиме распределенного решения и мультитенантности настройки набора операционных систем, заданные на сервере PCN, не распространяются на подключенные к нему серверы SCN. Вы можете выбрать набор операционных систем для каждого сервера PCN и SCN отдельно.

Управление компонентом Sensor

Компонент Sensor выполняет прием данных из сетевого и почтового трафика.

Вы можете установить компоненты Sensor и Central Node на одном сервере или на отдельных серверах. Установленный на отдельном сервере компонент Sensor необходимо подключить к серверу с компонентом Central Node. Запрос на подключение создается во время установки компонента.

Если компонент Sensor установлен на одном сервере с компонентом Central Node, вы можете настраивать параметры компонента Sensor в веб-интерфейсе Kaspersky Anti Targeted Attack Platform. Если компонент Sensor установлен на отдельном сервере, в веб-интерфейсе Kaspersky Anti Targeted Attack Platform вы можете только обрабатывать запросы на подключение от этого компонента и просматривать информацию о нем в таблице серверов с компонентом Sensor. Другие параметры компонента настраиваются в меню администратора.

Если вы используете режим распределенного решения и мультитенантности, выполняйте действия по подключению к серверам PCN или SCN.

Просмотр таблицы серверов с компонентом Sensor

Таблица серверов с компонентом Sensor находится в разделе Серверы Sensor окна веб-интерфейса приложения.

В поле Отпечаток сертификата отображается отпечаток TLS-сертификата сервера Central Node.

В таблице Список серверов содержится следующая информация:

• IP/имя – IP-адрес или доменное имя сервера с компонентом Sensor.
• Тип – тип компонента Sensor. Может принимать следующие значения:
  • Central Node – компонент Sensor установлен на том же сервере, что и компонент Central Node.
  • Удаленный – компонент Sensor установлен на другом сервере или в качестве компонента Sensor используется почтовый сенсор.
• Отпечаток сертификата – отпечаток TLS-сертификата, с помощью которого устанавливается шифрованное соединение между серверами с компонентами Sensor и Central Node.
• KSN/KPSN – состояние подключения к репутационным базам KSN/KPSN.
• SPAN – состояние обработки SPAN-трафика.
• SMTP – состояние интеграции с почтовым сервером по протоколу SMTP.
• ICAP – состояние интеграции с прокси-сервером по протоколу ICAP.
• POP3 – состояние интеграции с почтовым сервером по протоколу POP3.
• Состояние – состояние запроса на подключение.

Обработка запроса на подключение от компонента Sensor

Если вы используете режим распределенного решения и мультитенантности, выполняйте действия в веб-интерфейсе того сервера PCN или SCN, параметры которого вы хотите настроить.

Вы можете принять, отклонить или отозвать ранее принятый запрос на подключение от компонента Sensor.

Чтобы обработать запрос на подключение от компонента Sensor, выполните следующие действия:

1. В окне веб-интерфейса приложения выберите раздел Серверы Sensor.

   В таблице Список серверов отобразятся уже подключенные компоненты Sensor, а также запросы на подключение.

2. В строке с запросом на подключение компонента Sensor выполните одно из следующих действий:
   • Если вы хотите подключить компонент Sensor, нажмите на кнопку Принять.
   • Если вы не хотите подключать компонент Sensor, нажмите на кнопку Отклонить.
3. В окне подтверждения нажмите на кнопку Да.

Запрос на подключение от компонента Sensor будет обработан.

Настройка максимального размера проверяемого файла

Если вы используете режим распределенного решения и мультитенантности, выполняйте действия в веб-интерфейсе того сервера PCN или SCN, параметры которого вы хотите настроить.

Чтобы настроить максимальный размер проверяемого файла:

1. В окне веб-интерфейса приложения выберите раздел Серверы Sensor.

   Отобразится таблица Список серверов.

2. Выберите компонент Sensor, для которого вы хотите настроить максимальный размер проверяемого файла.

   Откроется страница с параметрами компонента Sensor.

3. Выберите раздел Общие параметры.
4. Если вы хотите, чтобы приложение проверяло файлы любых размеров, установите флажок Без ограничений.
5. Если вы хотите установить максимальный размер, при превышении которого приложение не будет проверять файлы, выполните следующие действия:
   1. Снимите флажок Без ограничений.
   2. В поле под флажком введите максимально допустимый размер файла.
   3. В раскрывающемся списке справа от поля выберите единицу измерения.
6. Нажмите на кнопку Применить.

Максимальный размер проверяемого файла будет настроен.

Настройка получения зеркалированного трафика со SPAN-портов

Если вы используете режим распределенного решения и мультитенантности, выполняйте действия в веб-интерфейсе того сервера PCN или SCN, параметры которого вы хотите настроить.

Чтобы настроить получение зеркалированного трафика со SPAN-портов:

1. В окне веб-интерфейса приложения выберите раздел Серверы Sensor.

   Отобразится таблица Список серверов.

2. Выберите компонент Sensor, для которого вы хотите настроить получение зеркалированного трафика со SPAN-портов.

   Откроется страница с параметрами компонента Sensor.

3. Выберите раздел Обработка SPAN-трафика.

   Отобразится таблица Сетевые интерфейсы.

4. В строке сетевого интерфейса, с которого вы хотите настроить получение зеркалированного трафика, переведите переключатель в столбце Проверка SPAN-трафика в положение Включено.
5. В раскрывающемся списке Поток перехвата выберите поток, который будет обрабатывать этот сетевой интерфейс.
6. В раскрывающемся списке Выбор процессора выберите процессор, который будет обрабатывать сетевой трафик.
7. Нажмите на кнопку Применить.

Получение зеркалированного трафика со SPAN-портов будет настроено.

Выбор сетевых протоколов для получения зеркалированного трафика со SPAN-портов

Kaspersky Anti Targeted Attack Platform может получать, обрабатывать зеркалированный трафик и извлекать объекты и метаинформацию протоколов. Вы можете настроить получение зеркалированного трафика со SPAN-портов.

Чтобы выбрать сетевые протоколы для получения зеркалированного трафика со SPAN-портов:

1. Войдите в консоль управления сервера Sensor по протоколу SSH или через терминал.
2. В ответ на приглашение системы введите имя учетной записи администратора и пароль, заданный при установке приложения.

   Откроется меню параметров компонента Sensor. Если меню не открылось, введите команду kata-admin-menu и нажмите на клавишу ENTER.

3. Перейдите в раздел Program settings → Configure traffic capture → Setup capture protocols, используя клавиши ↑, ↓ и ENTER. Выбранная строка подсвечивается красным.

   Откроется окно, где вы можете включить или отключить получение зеркалированного трафика со SPAN-портов по следующим сетевым протоколам:

   • DNS.
   • FTP.
   • HTTP.
   • HTTP2.
   • SMTP.
   • SMB.
   • NFS.

     Для того чтобы анализировать трафик NFS, необходимо смонтировать NFS-раздел с указанием версии протокола.

     Пример: для NFS v.4: mount -t nfs -o vers=4 -O uid=1000,iocharset=utf-8 <address>:/from/dir /to/dir для NFS v.3: mount -t nfs -o vers=3 -O uid=1000,iocharset=utf-8 <address>:/from/dir /to/dir

   Если получение зеркалированного трафика со SPAN-порта по сетевому протоколу включено, справа от названия сетевого протокола отображается [x]. Если получение трафика зеркалированного трафика со SPAN-порта по какому-либо сетевому протоколу отключено, справа от названия сетевого протокола отображается [ ].

   По умолчанию получение зеркалированного трафика со SPAN-портов включено по всем сетевым протоколам, кроме HTTP2.

4. Если вы хотите включить или отключить получение зеркалированного трафика со SPAN-портов по какому-либо сетевому протоколу, выберите сетевой протокол, используя клавиши ↑, ↓, и нажмите на клавишу ENTER.
5. Выберите Apply and Exit и нажмите на клавишу ENTER.

Сетевые протоколы для получения зеркалированного трафика со SPAN-портов будут выбраны.

Настройка интеграции с почтовым сервером по протоколу SMTP

Если вы используете режим распределенного решения и мультитенантности, выполняйте действия в веб-интерфейсе того сервера PCN или SCN, параметры которого вы хотите настроить.

Чтобы настроить интеграцию с почтовым сервером по протоколу SMTP:

1. В окне веб-интерфейса приложения выберите раздел Серверы Sensor.

   Отобразится таблица Список серверов.

2. Выберите компонент Sensor, для которого вы хотите настроить интеграцию с почтовым сервером по протоколу SMTP.

   Откроется страница с параметрами компонента Sensor.

3. Выберите раздел SMTP-интеграция.
4. В поле Состояние переведите переключатель в положение Включено.
5. В поле Домены назначения укажите имя почтового домена или поддомена. Приложение будет проверять сообщения электронной почты, отправленные на почтовые ящики указанных доменов.

   Чтобы отключить домен или поддомен, заключите его в форму !domain.tld.

   Если вы оставите имя почтового домена пустым, приложение будет принимать сообщения, отправленные на любые адреса электронной почты.

6. В поле Клиенты укажите IP-адреса хостов и/или маски подсетей в нотации CIDR, с которыми приложении разрешено взаимодействовать по протоколу SMTP.

   Чтобы отключить хост или подсеть, заключайте адрес в форму !host.

   Если вы оставите это поле пустым, приложение будет принимать следующие сообщения:

   • с любых адресов электронной почты, если вы указали почтовые домены в поле Домены назначения;
   • от почтового сервера, находящегося в той же подсети, что и сервер с компонентом Sensor, если в поле Домены назначения не указан ни один домен.
7. Если вы хотите, чтобы приложение принимало сообщения любых размеров, в группе параметров Ограничение по размеру сообщения установите флажок Без ограничений.
8. Если вы хотите установить максимально допустимый размер входящих сообщений, выполните следующие действия:
   1. Снимите флажок Без ограничений.
   2. В поле под флажком введите максимально допустимый размер сообщения.
   3. В раскрывающемся списке справа от поля выберите единицу измерения.
9. Нажмите на кнопку Применить.

Интеграция с почтовым сервером по протоколу SMTP будет настроена. Приложение будет проверять сообщения электронной почты, полученные по протоколу SMTP, согласно заданным параметрам.

Если вы развернули компоненты Central Node и Sensor в виде кластера, вы можете настроить отказоустойчивую интеграцию с почтовым сервером.

Чтобы настроить отказоустойчивую интеграцию с почтовым сервером:

1. Настройте на сервере DNS функцию Round Robin для доменного имени, соответствующего кластеру Central Node.
2. В параметрах почтового сервера укажите это доменное имя.

Интеграция с почтовым сервером будет настроена по доменному имени. Почтовый сервер обратится к случайному серверу кластера. При отказе этого сервера почтовый сервер будет обращаться к другому работоспособному серверу кластера.

Настройка TLS-шифрования соединений с почтовым сервером по протоколу SMTP

Если вы используете режим распределенного решения и мультитенантности, выполняйте действия в веб-интерфейсе того сервера PCN или SCN, параметры которого вы хотите настроить.

Чтобы настроить TLS-шифрование соединений с почтовым сервером по протоколу SMTP:

1. В окне веб-интерфейса приложения выберите раздел Серверы Sensor.

   Отобразится таблица Список серверов.

2. Выберите компонент Sensor, для которого вы хотите настроить TLS-шифрование соединений с почтовым сервером по протоколу SMTP.

   Откроется страница с параметрами компонента Sensor.

3. Выберите раздел SMTP-интеграция.
4. В поле Состояние переведите переключатель в положение Включено, если он выключен.
5. В блоке Режим TLS-безопасности клиента выберите один из следующих вариантов:
   • Не использовать TLS-шифрование.

     Приложение не будет устанавливать TLS-шифрование соединений с почтовым сервером.

   • Проверять возможность TLS-шифрования входящих сообщений.

     Приложение будет поддерживать TLS-шифрование соединений, но шифрование не будет являться обязательным.

   • Требовать TLS-шифрование входящих сообщений.

     Приложение будет принимать сообщения только по зашифрованным каналам.

6. Нажмите на кнопку Скачать TLS-сертификат, чтобы сохранить TLS-сертификат сервера с компонентом Sensor на компьютере в папке загрузки браузера.

   Этот сертификат необходим для проверки подлинности на почтовом сервере.

7. В блоке Запрос клиентского TLS-сертификата выберите один из следующих вариантов:
   • Не запрашивать.

     Приложение не будет проверять TLS-сертификат почтового сервера.

   • Запрашивать.

     Приложение будет запрашивать у почтового сервера TLS-сертификат при его наличии.

   • Требовать.

     Приложение будет принимать сообщения только от тех почтовых серверов, у которых есть TLS-сертификат.

8. Нажмите на кнопку Применить.

TLS-шифрование соединений с почтовым сервером по протоколу SMTP будет настроено.

Настройка интеграции с прокси-сервером по протоколу ICAP

Интеграция с прокси-сервером по протоколу ICAP с обратной связью позволяет вам предотвратить попадание вредоносных объектов в локальную сеть организации и ограничить переход на вредоносные или фишинговые веб-сайты пользователям хоста. Kaspersky Anti Targeted Attack Platform выступает в роли ICAP-сервера, а ваш прокси-сервер – в роли ICAP-клиента. В процессе работы прокси-сервер передает запросы по протоколу ICAP на ICAP-сервер. ICAP-сервер выполняет проверку и возвращает результат на прокси-сервер. В случае обнаружения угроз пользователю хоста отобразится HTML-страница оповещения.

Включение и отключение интеграции с прокси-сервером по протоколу ICAP

Если вы используете режим распределенного решения и мультитенантности, выполняйте действия в веб-интерфейсе того сервера PCN или SCN, параметры которого вы хотите настроить.

При использовании отдельного прокси-сервера Kaspersky Anti Targeted Attack Platform не обеспечивает шифрование ICAP-трафика и аутентификацию ICAP-клиентов по умолчанию. Администратору приложения необходимо самостоятельно обеспечить безопасное сетевое соединение между вашим прокси-сервером и Kaspersky Anti Targeted Attack Platform с помощью туннелирования трафика или средствами iptables.

Чтобы включить или отключить интеграцию с прокси-сервером по протоколу ICAP на сервере с установленными компонентами Central Node и Sensor:

1. В окне веб-интерфейса приложения выберите раздел Серверы Sensor.

   Отобразится таблица Список серверов.

2. Нажмите на компонент Sensor localhost.

   Откроется страница с параметрами компонента Sensor.

3. Выберите раздел ICAP-интеграция с прокси-сервером.
4. В разделе Параметры > <имя сервера с компонентом Sensor> в поле Состояние выполните одно из следующих действий:
   • Если вы хотите включить интеграцию с прокси-сервером по протоколу ICAP, переведите переключатель в положение Включено.

     По умолчанию переключатель находится в положении Выключено.

   • Если вы хотите отключить интеграцию с прокси-сервером по протоколу ICAP, переведите переключатель в положение Выключено.
5. В поле Хост отображается URL-адрес службы Response Modification (RESPMOD), обрабатывающей входящий трафик, в формате icap://<host>:1344/av/respmod, где <host> – IP-адрес сервера с установленным компонентом Sensor. Для настройки интеграции с Kaspersky Anti Targeted Attack Platform скопируйте этот URL-адрес и укажите его в параметрах прокси-сервера, который используется в вашей организации.

Интеграция с прокси-сервером по протоколу ICAP будет настроена.

Чтобы включить или отключить интеграцию с прокси-сервером по протоколу ICAP на отдельном сервере с компонентом Sensor:

1. Войдите в консоль управления сервера Sensor по протоколу SSH или через терминал.
2. В ответ на приглашение системы введите имя учетной записи администратора и пароль, заданный при установке приложения.

   Откроется меню параметров компонента Sensor. Если меню не открылось, введите команду kata-admin-menu и нажмите на клавишу ENTER.

3. Перейдите в раздел Program settings → Configure ICAP integration.

   Для выбора строки вы можете использовать клавиши ↑, ↓ и ENTER. Выбранная строка подсвечивается красным.

4. В открывшемся окне выберите строку Enabled нажмите на клавишу ENTER.

   Справа от названия параметра Enabled отобразится значение [x].

5. Укажите в параметрах используемого в вашей организации прокси-сервера URL-адрес, который отображается в поле RESPMOD.

Интеграция с прокси-сервером и отдельным сервером с компонентом Sensor по протоколу ICAP будет настроена.

Если вы развернули компоненты Central Node и Sensor в виде кластера, вы можете настроить отказоустойчивую интеграцию с прокси-сервером.

Чтобы настроить отказоустойчивую интеграцию с прокси-сервером:

1. Настройте на сервере DNS функцию Round Robin для доменного имени, соответствующего кластеру Central Node.
2. В параметрах прокси-сервера укажите это доменное имя.

Интеграция с прокси-сервером будет настроена по доменному имени. Прокси-сервер обратится к случайному серверу кластера. При отказе этого сервера прокси-сервер будет обращаться к другому работоспособному серверу кластера.

Включение и отключение проверки ICAP-трафика в режиме реального времени

Включение и отключение проверки ICAP-трафика в режиме реального времени доступно, если включена интеграция с прокси-сервером по протоколу ICAP.

Если проверка ICAP-трафика в режиме реального времени включена, Kaspersky Anti Targeted Attack Platform передает информацию о проверенных объектах ICAP-клиенту в режиме реального времени. Это позволяет предотвратить скачивание вредоносных объектов и переход по недоверенным ссылкам.

Чтобы включить или отключить проверку ICAP-трафика в режиме реального времени на сервере с установленными компонентами Central Node и Sensor:

1. В окне веб-интерфейса приложения выберите раздел Серверы Sensor.

   Отобразится таблица Список серверов.

2. Нажмите на компонент Sensor localhost.
3. Выберите раздел ICAP-интеграция с прокси-сервером.

   При включении интеграции в окне Параметры > <имя сервера Sensor> отобразится раздел Проверка в режиме реального времени.

4. В блоке параметров Проверка в режиме реального времени выберите один из следующих вариантов:
   • Отключено.

     При выборе этого варианта проверка ICAP-трафика в режиме реального времени будет отключена. По умолчанию выбран этот вариант.

   • Включено, стандартная проверка трафика ICAP.

     При включении этого типа проверки репутация файлов и URL-адресов проверяется в базе знаний Kaspersky Security Network, файлы проверяются компонентом Sandbox и модулями Anti-Malware Engine и YARA. Во время проверки компонентом Sandbox файлы будут доступны.

   • Включено, усиленная проверка трафика ICAP.

     При включении этого типа проверки репутация файлов и URL-адресов проверяется в базе знаний Kaspersky Security Network, файлы проверяются компонентом Sandbox и модулями Anti-Malware Engine и YARA. Во время проверки компонентом Sandbox файлы не будут доступны.

5. Нажмите на кнопку Применить.
6. Если вы включили проверку ICAP-трафика в режиме реального времени и установили режим усиленной проверки или режим стандартной проверки, в поле Хост отобразится URL-адрес службы Request Modification (REQMOD), обрабатывающей исходящий трафик, в формате icap://<host>:1344/av/reqmod, где <host> – IP-адрес сервера с установленным компонентом Sensor. Для настройки интеграции с Kaspersky Anti Targeted Attack Platform скопируйте URL-адрес и укажите его в параметрах прокси-сервера, который используется в вашей организации.

Проверка ICAP-трафика в режиме реального времени будет включена или отключена.

Чтобы включить или отключить проверку ICAP-трафика в режиме реального времени на отдельном сервере с компонентом Sensor:

1. Войдите в консоль управления сервера Sensor по протоколу SSH или через терминал.
2. В ответ на приглашение системы введите имя учетной записи администратора и пароль, заданный при установке приложения.

   Откроется меню параметров компонента Sensor. Если меню не открылось, введите команду kata-admin-menu и нажмите на клавишу ENTER.

3. Перейдите в раздел Program settings → Configure ICAP integration.

   Для выбора строки вы можете использовать клавиши ↑, ↓ и ENTER. Выбранная строка подсвечивается красным.

4. В открывшемся окне убедитесь, что справа от параметра Enabled установлено значение [x].
5. Выберите один из следующих вариантов:
   • Disable real-time scanning.

     При выборе этого варианта проверка ICAP-трафика в режиме реального времени будет отключена. По умолчанию выбран этот вариант.

   • Standard ICAP scanning.

     При включении этого типа проверки репутация файлов и URL-адресов проверяется в базе знаний Kaspersky Security Network, файлы проверяются модулями Anti-Malware Engine и YARA.

   • Advanced ICAP scanning.

     При включении этого типа проверки репутация файлов и URL-адресов проверяется в базе знаний Kaspersky Security Network, файлы проверяются компонентом Sandbox и модулями Anti-Malware Engine и YARA.

6. Выберите необходимый вариант и нажмите на клавишу ENTER. Справа от выбранного значения отобразится (O).

   Для выбора строки вы можете использовать клавиши ↑ и ↓. Выбранная строка подсвечивается красным.

7. Если вы включили проверку ICAP-трафика в режиме реального времени и установили режим усиленной проверки или режим стандартной проверки, укажите в параметрах используемого в вашей организации прокси-сервера URL-адрес, который отображается в поле REQMOD.

Проверка ICAP-трафика в режиме реального времени на отдельном сервере с компонентом Sensor будет включена или отключена.

Если вы включили проверку ICAP-трафика в режиме реального времени, при отключении интеграции с прокси-сервером проверка не будет работать. Все параметры проверки ICAP-трафика сохраняются. При следующем включении интеграции с прокси-сервером проверка ICAP-трафика также будет включена.

Настройка параметров проверки ICAP-трафика в режиме реального времени

Настройку параметров проверки ICAP-трафика в режиме реального времени на отдельных серверах с установленным компонентом Sensor можно выполнить только в режиме Technical Support Mode. Для выполнения действий в режиме Technical Support Mode вам рекомендуется обратиться в Службу технической поддержки.

Вы можете настроить параметры проверки ICAP-трафика на сервере с установленными компонентами Central Node и Sensor в режиме реального времени для антивирусной проверки данных. Результаты проверки будут отображаться пользователю хоста на HTML-странице уведомления.

Чтобы настроить параметры проверки ICAP-трафика в режиме реального времени:

1. В окне веб-интерфейса приложения выберите раздел Параметры, подраздел Проверка трафика ICAP.

   Отобразится страница с параметрами проверки ICAP-трафика.

   По умолчанию в блоке параметров Уведомления загружены страницы, соответствующие следующим событиям:

   • В поле Блокировка ссылки загружена страница, которая будет отображаться в случае обнаружения угрозы по запрашиваемому пользователем адресу.
   • В поле Блокировка файла загружена страница, которая будет отображаться в случае обнаружения угрозы в проверяемом файле.
   • В поле Проверка файла загружена страница, которая будет отображаться в случае запуска проверки файла. Если файл безопасен, пользователю будет доступна ссылка на скачивание файла.
   • В поле Истек срок хранения файла загружена страница, которая будет отображаться в случае, если файл был проверен, но время хранения этого файла в хранилище приложения истекло.

   По умолчанию в Kaspersky Anti Targeted Attack Platform загружены HTML-страницы из комплекта поставки. Вы можете загрузить свои страницы уведомлений и настроить их отображение. Максимальный размер страницы уведомления не должен превышать 1,5 МБ. В случае загрузки страницы уведомления размером более 1,5 МБ отобразится ошибка.

2. В блоке параметров Порог блокировки файлов в поле Важность обнаружения Sandbox выберите значение из раскрывающегося списка. Значения соответствуют возможному влиянию обнаружения на безопасность компьютера или локальной сети вашей организации по опыту "Лаборатории Касперского".

   Параметр может принимать одно из следующих значений:

   • Высокая  – обнаружение высокой степени важности. По умолчанию выбран этот вариант.
   • Средняя  – обнаружение средней степени важности.
   • Низкая  – обнаружение низкой степени важности.
3. В блоке параметров Время ожидания проверки в поле Время ожидания укажите значение, по истечении которого ссылка на проверяемый файл будет разблокирована и будет доступна возможность скачать проверяемый файл.

   Значение по умолчанию: 10 минут. Вы можете установить любое значение, которое больше 1 минуты.

4. Нажмите на кнопку Применить.

Проверка будет выполняться в соответствии с настроенными параметрами.

Настройка записи сырого сетевого трафика

Kaspersky Anti Targeted Attack Platform позволяет сохранять сырой сетевой трафик для проведения расследования и расширяет возможности по выявлению злонамеренной активности внутри периметра локальной сети организации. Благодаря записи сырого сетевого трафика вы можете проводить ретроспективный анализ сетевых событий и расследовать действия злоумышленников. Сырой сетевой трафик сохраняется в виде дампов в формате PCAP.

Для того чтобы сохранять сырой сетевой трафик, вам необходимо включить сохранение сырого сетевого трафика и настроить параметры записи.

Включение и настройка параметров записи сырого сетевого трафика на сервере с установленными компонентами Sensor и Central Node

Если вы используете режим распределенного решения и мультитенантности, выполняйте действия на том сервере PCN или SCN, параметры которого вы хотите настроить.

Чтобы включить и настроить запись сырого сетевого трафика на сервере с установленными компонентами Central Node и Sensor:

1. Подключите и настройте внешнее хранилище.
2. В окне веб-интерфейса приложения выберите раздел Серверы Sensor.

   Отобразится таблица Список серверов.

3. Выберите компонент Sensor с именем localhost.

   Откроется страница с параметрами компонента Sensor.

4. Выберите раздел Обработка SPAN-трафика.

   Отобразится таблица Сетевые интерфейсы.

5. Откройте вкладку Запись трафика.
6. В поле Записывать трафик переведите переключатель в положение Включено.

   По умолчанию переключатель находится в положении Выключено.

   Запись сырого сетевого трафика на сервере с установленными компонентами Central Node и Sensor будет включена. Отобразятся параметры настройки записи сырого трафика.

   По умолчанию сырой сетевой трафик записывается в директорию /mnt/kaspersky/nta/dumps. Вы не можете изменить директорию для записи сырого сетевого трафика. Вы можете просмотреть дампы сырого сетевого трафика в директории /data/volumes/dumps.

7. При необходимости настройте параметры записи сырого сетевого трафика:
   1. В блоке параметров Размер хранилища дампов в поле Максимальный размер хранилища укажите максимальный размер дампов сырого трафика, который будет храниться в хранилище.

      Минимальное значение, которое установлено по умолчанию – 100 ГБ. Максимальное значение – 1000000 ТБ. Для корректной работы объем свободного пространства на подключенном диске не должен быть меньше указанного значения.

      Если размер дампов, которые хранятся в хранилище, превысит значение, указанное в поле Максимальный размер хранилища, то будут удалены ранние дампы, суммарный размер которых равен размеру новых дампов.

      Если вы уменьшите максимальный размер хранилища, то будут удалены ранние дампы, суммарный размер которых равен изменению параметра Максимальный размер хранилища.

   2. Если вы хотите ограничить захват данных в сыром сетевом трафике, в блоке параметров Фильтрация трафика при сохранении в поле Состояние переведите переключатель в положение Включено. Фильтрация трафика может уменьшить размер дампов, сохраняющихся в хранилище и упростить процесс анализ трафика.

      Если вы перевели переключатель в поле Состояние в положение Включено, то введите в поле Правило фильтрации BPF правило фильтрации. Для написания правила фильтрации BPF используется формат libpcap. Подробнее об описании синтаксиса см. в Руководстве pcap-filter.

      Пример выражения для фильтрации:

      tcp port 102 or tcp port 502

   3. Если вы хотите назначить срок хранения дампов сырого сетевого трафика, в блоке параметров Срок хранения дампов в поле Состояние переведите переключатель в положение Включено. В поле Хранить введите количество дней хранения дампов сырого сетевого трафика. Если дампы сырого сетевого трафика хранятся больше заданного значения хранения, они будут удалены из хранилища.
   4. Нажмите на Применить.

Запись сырого сетевого трафика на сервере с установленными компонентами Sensor и Central Node будет выполняться в соответствии с настроенными параметрами.

В поле Первый сохраняемый дамп отображается дата и время первого сохраненного дампа сырого сетевого трафика, а в поле Последний сохраняемый дамп отображается дата и время последнего сохраненного дампа сырого сетевого трафика.

Включение и настройка параметров записи сырого сетевого трафика на отдельном сервере с компонентом Sensor

Чтобы включить запись сырого сетевого трафика на отдельном сервере с компонентом Sensor:

1. Подключите и настройте внешнее хранилище.
2. Войдите в консоль управления сервера Sensor по протоколу SSH или через терминал.
3. В ответ на приглашение системы введите имя учетной записи администратора и пароль, заданный при установке приложения.

   Откроется меню параметров компонента Sensor. Если меню не открылось, введите команду kata-admin-menu и нажмите на клавишу Enter.

4. Перейдите в раздел Program settings → Configure traffic capture.

   Для выбора строки вы можете использовать клавиши ↑, ↓ и Enter. Выбранная строка подсвечивается красным.

5. В открывшемся окне выберите строку Enable traffic storage нажмите на клавишу Enter.

   Справа от названия строки отобразится значение [x].

   Запись сырого сетевого трафика на отдельном сервере с компонентом Sensor будет включена.

6. При необходимости настройте параметры записи сырого сетевого трафика:
   1. Выберите строку Traffic storage size и нажмите Enter. В открывшемся окне укажите максимальный размер дампов сырого трафика в терабайтах, который будет храниться в хранилище.

      Минимальное значение, которое установлено по умолчанию – 100 ГБ. Максимальное значение – 1000000 ТБ. Для корректной работы объем свободного пространства на подключенном диске не должен быть меньше указанного значения. Если вы укажете в поле число, которое больше объема свободного пространства на подключенном диске, отобразится ошибка.

   2. Выберите кнопку OK и нажмите Enter.
   3. Выберите строку Traffic capture BPF-filter и нажмите Enter. В открывшемся окне введите правило фильтрации. Для написания правила фильтрации BPF используется формат libpcap. Подробнее об описании синтаксиса см. в Руководстве pcap-filter.

      Пример выражения для фильтрации:

      tcp port 102 or tcp port 502.

   4. Выберите кнопку OK и нажмите Enter.
   5. Выберите строку Traffic storage duration (in days) и нажмите Enter. В открывшемся окне введите количество дней хранения дампов сырого сетевого трафика в хранилище.
   6. Выберите кнопку OK и нажмите Enter.

Запись сырого сетевого трафика на отдельном сервере с установленным компонентом Sensor будет выполняться в соответствии с настроенными параметрами.

Настройка интеграции с почтовым сервером по протоколу POP3

Если вы используете режим распределенного решения и мультитенантности, выполняйте действия в веб-интерфейсе того сервера PCN или SCN, параметры которого вы хотите настроить.

Чтобы настроить интеграцию с почтовым сервером по протоколу POP3:

1. В окне веб-интерфейса приложения выберите раздел Серверы Sensor.

   Отобразится таблица Список серверов.

2. Выберите компонент Sensor, для которого вы хотите настроить интеграцию с почтовым сервером по протоколу POP3.

   Откроется страница с параметрами компонента Sensor.

3. Выберите раздел POP3-интеграция.
4. Переведите переключатель рядом с параметром Состояние в положение Включено.
5. В поле Почтовый сервер укажите IP-адрес почтового сервера, с которым вы хотите настроить интеграцию.
6. В поле Порт укажите порт подключения к почтовому серверу.
7. В поле Принимать каждые укажите частоту соединения с почтовым сервером в секундах.
8. Если вы хотите использовать TLS-шифрование соединений с почтовым сервером по протоколу POP3, установите флажок Использовать TLS-шифрование.
9. В поле Имя пользователя укажите имя учетной записи для доступа к почтовому серверу.
10. В поле Пароль укажите пароль доступа к почтовому серверу.

    Почтовый сервер должен поддерживать базовую аутентификацию (Basic Authentication).

11. В раскрывающемся списке TLS-сертификат выберите один из следующих вариантов:
    • Принимать любой.
    • Принимать недоверенный самоподписанный.
    • Принимать только доверенный.

    При установке соединения с внешним почтовым сервером рекомендуется настроить прием только доверенных TLS-сертификатов. Прием недоверенных TLS-сертификатов не гарантирует защиту соединения от

    MITM-атак

    Man in The Middle (человек посередине). Атака на IT-инфраструктуру организации, при которой злоумышленник перехватывает канал связи между двумя точками доступа, ретранслирует и при необходимости изменяет связь между этими точками доступа.

    . Прием доверенных TLS-сертификатов также не полностью гарантирует защиту соединения от MITM-атак, но является самым безопасным из поддерживаемых способов интеграции с почтовым сервером по протоколу POP3.

12. При необходимости в поле Набор шифров измените параметры OpenSSL, используемые при установке соединения с почтовым сервером по протоколу POP3.

    Вы можете ознакомиться со справочной информацией OpenSSL по ссылке Справка.

13. Нажмите на кнопку Применить.

Интеграция с почтовым сервером по протоколу POP3 будет настроена.

Если вы развернули компоненты Central Node и Sensor в виде кластера, вы можете настроить отказоустойчивую интеграцию с почтовым сервером.

Чтобы настроить отказоустойчивую интеграцию с почтовым сервером:

1. Настройте на сервере DNS функцию Round Robin для доменного имени, соответствующего кластеру Central Node.
2. В параметрах почтового сервера укажите это доменное имя.

Интеграция с почтовым сервером будет настроена по доменному имени. Почтовый сервер обратится к случайному серверу кластера. При отказе этого сервера почтовый сервер будет обращаться к другому работоспособному серверу кластера.

Управление кластером

Этот раздел содержит информацию об управлении серверами кластера.

Просмотр таблицы серверов кластера

Чтобы просмотреть таблицу серверов кластера:

1. В браузере на любом компьютере, на котором разрешен доступ к серверу Central Node, в адресной строке браузера введите IP-адрес любого сервера кластера Central Node или полное доменное имя (FQDN) кластера.

   Для обеспечения бесперебойного доступа к веб-интерфейсу программы вы можете настроить на сервере DNS функцию Round Robin. В этом случае осуществляется вход в веб-интерфейс первого работоспособного сервера кластера Central Node.

   Откроется окно ввода учетных данных пользователя Kaspersky Anti Targeted Attack Platform.

2. Введите имя учетной записи администратора admin и пароль, заданный при установке приложения.
3. Установите флажок Локальный администратор.
4. Нажмите на кнопку Войти.

   Откроется окно веб-интерфейса для управления масштабированием приложения.

5. Перейдите в раздел Кластер.

Откроется окно с таблицей.

В таблице содержится следующая информация:

• Тип сервера – тип сервера в зависимости от его роли в кластере.

  Могут отображаться следующие значения:

  • Хранение.
  • Обработка.
• Состояние – состояние сервера.

  Могут отображаться следующие значения:

  • Подключен.
  • Не подключен.
• Имя хоста – имя сервера.
• IP – IP-адрес сервера.
• ОЗУ – уровень загрузки оперативной памяти сервера.
• ЦП – уровень загрузки процессора сервера.
• Действие – действия, которые вы можете выполнить с сервером.

  Доступно следующее действие: Удалить.

Добавление сервера в кластер

Для добавления сервера в кластер вам нужно запустить установку Kaspersky Anti Targeted Attack Platform на этом сервере и выполнить шаги по установке компонентов. Добавленный сервер отобразится в списке серверов кластера.

Увеличение дискового пространства сервера хранения

Вы можете увеличить дисковое пространство функционирующего сервера хранения, установив дополнительный диск.

Для увеличения дискового пространства сервера хранения с помощью дополнительного диска вам требуется обратиться в Службу технической поддержки.

Настройка сервера производится в режиме Technical Support Mode.

Вывод серверов из эксплуатации

Для вывода из эксплуатации функционирующего сервера вам требуется обратиться в Службу технической поддержки.

При отказе сервера вы можете вывести его из эксплуатации самостоятельно.

Чтобы вывести из эксплуатации неработоспособный обрабатывающий сервер:

1. Добавьте новый обрабатывающий сервер в кластер.
2. Удалите сервер из кластера.
3. Настройте параметры масштабирования приложения для новой конфигурации.

Обрабатывающий сервер будет выведен из эксплуатации.

Чтобы вывести из эксплуатации неработоспособный сервер хранения:

1. Добавьте новый сервер хранения в кластер.
2. Обратитесь в Службу технической поддержки, чтобы удалить сервер из кластера.

Сервер хранения будет выведен из эксплуатации.

Удаление сервера из кластера

Если вы используете режим распределенного решения и мультитенантности, выполняйте действия в веб-интерфейсе того сервера PCN или SCN, параметры которого вы хотите настроить.

Удаленный сервер нельзя восстановить. Убедитесь, что выбранный сервер не функционирует.

Чтобы удалить сервер из кластера:

1. Выполните вход в веб-интерфейс для управления масштабированием.
2. Перейдите в раздел Кластер.
3. В столбце Действие нажмите на ссылку Удалить напротив того сервера, который вы хотите удалить.
4. Нажмите на кнопку Продолжить.

Процесс удаления будет запущен. Удаление может занять около суток. Информация об удаленном сервере не будет отображаться в таблице серверов.

После удаления сервера вы можете изменить конфигурацию серверов кластера или добавить сервер с аналогичной ролью, чтобы сохранить производительность приложения на прежнем уровне.

Включение и выключение кластера

Для выключения и включения кластера вам рекомендуется обратиться в Службу технической поддержки. Не выполняйте выключение и включение кластера при возникновении проблем с работоспособностью приложения.

Если вы хотите отключить питание работоспособных серверов кластера, вам нужно предварительно выключить кластер, чтобы избежать потери данных.

Чтобы выключить кластер:

1. В браузере на любом компьютере, на котором разрешен доступ к серверу Central Node, в адресной строке браузера введите IP-адрес сервера с компонентом Central Node.

   Если вы используете отказоустойчивую версию приложения, вы можете ввести IP-адрес любого сервера кластера Central Node или полное доменное имя (FQDN) кластера.

   Для обеспечения бесперебойного доступа к веб-интерфейсу программы вы можете настроить на сервере DNS функцию Round Robin. В этом случае осуществляется вход в веб-интерфейс первого работоспособного сервера кластера Central Node.

   Откроется окно ввода учетных данных пользователя Kaspersky Anti Targeted Attack Platform.

2. Введите имя учетной записи администратора admin и пароль, заданный при установке приложения.
3. Установите флажок Локальный администратор.
4. Нажмите на кнопку Войти.

   Откроется окно веб-интерфейса для управления масштабированием приложения.

5. Перейдите в раздел Кластер.
6. Нажмите на кнопку Выключить.

Работа основных компонентов приложения будет остановлена. Вы можете отключить питание серверов кластера.

Чтобы запустить серверы кластера:

1. Отключите питание серверов, если оно не было отключено ранее.
2. Включите питание сервера хранения.
3. Включите питание остальных серверов.

Серверы кластера будут запущены.

Веб-интерфейс для управления масштабированием становится доступным, когда запускается больше половины серверов кластера. Например, если в кластере 7 серверов, веб-интерфейс будет доступен при включении 4 серверов кластера.

Выключение серверов кластера

При необходимости вы можете выключить сервер кластера одним из следующих способов:

• Завершить сеанс работы в меню приложений.
• Выключить сервер по протоколу SSH или через терминал.

Чтобы выключить сервер по протоколу SSH или через терминал:

1. Войдите в консоль управления сервера, который вы хотите выключить, по протоколу SSH или через терминал.
2. Выполните команду shutdown -h now.

Сервер будет выключен.

При выключении сервера кластера отказоустойчивость приложения не гарантируется.

Рекомендуемый интервал между включением одного сервера и выключением другого – 6 часов.

Уведомления о максимальной загрузке центрального процессора и оперативной памяти серверов Central Node и Sensor

Высокая загрузка центрального процессора и оперативной памяти серверов Central Node и Sensor может привести к неработоспособности компонентов приложения.

Вы можете настроить максимальные допустимые значения загрузки центрального процессора и оперативной памяти серверов Central Node и Sensor, при превышении которых в верхней части окна раздела Мониторинг веб-интерфейса приложения для пользователей с ролью Старший сотрудник службы безопасности, Сотрудник службы безопасности, Администратор и Локальный администратор отобразится рамка желтого цвета с предупреждением. Также вы можете настроить отправку уведомлений на адрес или адреса электронной почты и соединение с протоколом SNMP для отправки данных об уровне загрузки центрального процессора и оперативной памяти во внешние системы, поддерживающие этот протокол.

Если вы развернули компоненты Central Node и Sensor в виде кластера, предупреждения отображаются отдельно для каждого сервера кластера.

Пользователи с ролью Старший сотрудник службы безопасности и Сотрудник службы безопасности также могут создавать правила для отправки уведомлений. В этом случае для корректной отправки уведомлений вам требуется предварительно настроить максимальные допустимые значения загрузки центрального процессора и оперативной памяти серверов, а также параметры сервера для отправки уведомлений.

В существующих правилах для отправки уведомлений о работе компонентов приложения функция уведомления о загрузке центрального процессора и оперативной памяти серверов будет включена автоматически, если при создании правила в блоке параметров Компоненты был установлен флажок Все.

Настройка максимального допустимого значения загрузки центрального процессора и оперативной памяти серверов Central Node и Sensor

В режиме распределенного решения и мультитенантности вам нужно задать максимальные допустимые значения загрузки центрального процессора и оперативной памяти на каждом сервере Central Node, с которого вы хотите получать уведомления. Если вы используете кластер Central Node, вы можете настроить эти параметры на любом сервере кластера.

Чтобы настроить максимальное допустимое значение загрузки центрального процессора и оперативной памяти серверов Central Node и Sensor:

1. В окне веб-интерфейса приложения выберите раздел Параметры, подраздел Общие параметры.
2. В блоке параметров Мониторинг выполните следующие действия:
   • В поле Уведомление о загрузке ЦП более чем на N % в течение M минут укажите максимальное допустимое значение загрузки центрального процессора и время, в течение которого указанная загрузка считается допустимой.

     По умолчанию максимальное допустимое значение загрузки центрального процессора составляет 95% в течение 5 минут.

   • В поле Уведомление о загрузке ОЗУ более чем на N % в течение M минут укажите максимальное допустимое значение загрузки оперативной памяти и время, в течение которого указанная загрузка считается допустимой.

     По умолчанию максимальное допустимое значение загрузки оперативной памяти составляет 95% в течение 5 минут.

3. Нажмите на кнопку Применить.

Максимальное значение загрузки центрального процессора и оперативной памяти серверов будет настроено. При превышении одного из заданных показателей на сервере Central Node и/или Sensor, в верхней части окна раздела Мониторинг веб-интерфейса приложения для пользователей с ролью Старший сотрудник службы безопасности, Сотрудник службы безопасности, Администратор и Локальный администратор отобразится рамка желтого цвета с предупреждением.

Настройка соединения с протоколом SNMP

Вы можете отправлять данные о загрузке центрального процессора и оперативной памяти серверов Central Node и Sensor во внешние системы, поддерживающие протокол SNMP. Для этого вам требуется настроить параметры соединения с протоколом.

Если компонент Central Node развернут в виде кластера, во внешние системы отправляются данные о загрузке центрального процессора и оперативной памяти каждого сервера кластера.

Чтобы настроить параметры соединения с протоколом SNMP на сервере Central Node:

1. В окне веб-интерфейса приложения выберите раздел Параметры, подраздел Общие параметры.
2. В блоке параметров SNMP установите флажок Использовать SNMP.
3. В поле Версия протокола выберите одну из следующих версий протокола:
   • v2c.
   • v3.
4. Если вы выбрали версию протокола v2c, в поле Строка сообщества укажите пароль, который будет использоваться для подключения к Kaspersky Anti Targeted Attack Platform.
5. Если вы выбрали v3, выполните следующие действия:
   1. В поле Протокол аутентификации выберите один из следующих вариантов проверки достоверности и целостности данных, переданных во внешнюю систему:
      • MD5.
      • SHA256.
   2. В поле Имя пользователя укажите имя пользователя.
   3. В поле Пароль укажите пароль для аутентификации.

      Имя пользователя и пароль, заданные в полях Имя пользователя и Пароль должны совпадать с именем пользователя и паролем, заданными при создании учетной записи во внешней системе. Если данные не совпадают, соединение не будет установлено.

   4. В поле Протокол шифрования выберите один из следующих типов шифрования:
      • DES.
      • AES.
   5. В поле Пароль укажите пароль для шифрования.

      Пароль, заданный в этом поле, должен совпадать с паролем, заданным во внешней системе.

Параметры соединения с протоколом на сервере Central Node будут настроены. При успешной обработке запроса на получение данных на сервере внешней системы отобразится информация о загрузке центрального процессора и оперативной памяти сервера Central Node.

Чтобы настроить параметры соединения с протоколом SNMP на сервере Sensor:

1. Войдите в консоль управления сервера Sensor по протоколу SSH или через терминал.
2. В ответ на приглашение системы введите имя учетной записи администратора и пароль, заданный при установке приложения.

   Отобразится меню администратора компонента приложения.

3. Выполните шаги 2 – 5 инструкции, приведенной выше.

Параметры соединения с протоколом на сервере Sensor будут настроены. При успешной обработке запроса на сервере внешней системы отобразится информация о загрузке центрального процессора и оперативной памяти сервера Sensor.

В режим распределенного решения и мультитенантности параметры соединения с протоколом SNMP для каждого сервера PCN, SCN и Sensor настраиваются отдельно.

Описание объектов MIB Kaspersky Anti Targeted Attack Platform

В таблице ниже приведена информация об объектах

Данные о загрузке жесткого диска, центрального процессора и оперативной памяти серверов Central Node и Sensor

Данные о загрузке жесткого диска, центрального процессора и оперативной памяти серверов Central Node и Sensor

В начало

Работа с информацией о хостах с компонентом Endpoint Agent

Приложение, выступающее в роли компонента Endpoint Agent, устанавливается на отдельные компьютеры (далее также "хосты"), входящие в IT-инфраструктуру организации. Приложение осуществляет постоянное наблюдение за процессами, запущенными на этих хостах, открытыми сетевыми соединениями и изменяемыми файлами.

Пользователи с ролью Старший сотрудник службы безопасности, Сотрудник службы безопасности, Аудитор, Локальный администратор и Администратор могут оценить регулярность получения данных с хостов с компонентом Endpoint Agent, на закладке Endpoint Agents окна веб-интерфейса сервера Central Node в рамках тех тенантов, к данным которых у них есть доступ. Если вы используете режим распределенного решения и мультитенантности, то в веб-интерфейсе сервера PCN отображается список хостов с компонентом Endpoint Agent для PCN и всех подключенных SCN.

Пользователи с ролью Локальный администратор и Администратор могут настроить отображение регулярности получения данных с хостов с компонентом Endpoint Agent в рамках тех тенантов, к данным которых у них есть доступ.

В случае возникновения подозрительной сетевой активности пользователь с ролью Старший сотрудник службы безопасности может изолировать от сети любой из хостов с компонентом Endpoint Agent в рамках тех тенантов, к данным которых у него есть доступ. При этом соединение между сервером с компонентом Central Node и хостом с компонентом Endpoint Agent не будет прервано.

Для оказания поддержки при неполадках в работе компонента Endpoint Agent специалисты Службы технической поддержки могут попросить вас в отладочных целях выполнить следующие действия (в том числе в режиме Technical Support Mode):

• Активировать функциональность получения расширенной диагностической информации.
• Изменить параметры отдельных компонентов приложения.
• Изменить параметры хранения и отправки получаемой диагностической информации.
• Настроить перехват и сохранение в файл сетевого трафика.

Специалисты Службы технической поддержки сообщат вам необходимую для выполнения перечисленных действий информацию (описание последовательности шагов, изменяемые параметры, конфигурационные файлы, скрипты, дополнительные возможности командной строки, отладочные модули, специализированные утилиты и так далее), а также состав получаемых в отладочных целях данных. Полученная расширенная диагностическая информация сохраняется на компьютере пользователя. Автоматическая пересылка полученных данных в "Лабораторию Касперского" не выполняется.

Перечисленные выше действия должны выполняться только под руководством специалистов Службы технической поддержки по полученным от них инструкциям. Самостоятельное изменение параметров работы приложения способами, не описанными в настоящем руководстве, может привести к замедлению и сбоям в работе операционной системы, снижению уровня защиты компьютера, а также к нарушению доступности и целостности обрабатываемой информации.

Выбор тенанта для работы в разделе Endpoint Agents

Если вы используете режим распределенного решения и мультитенантности, перед началом работы в разделе Endpoint Agents вам нужно выбрать тенанты, данные по которым вас интересуют.

Чтобы выбрать тенант для работы в разделе Endpoint Agents:

1. В верхней части меню веб-интерфейса приложения нажмите на стрелку рядом с названием тенанта.
2. В раскрывшемся списке выберите тенант.

Отобразятся данные по выбранному вами тенанту. Если вы хотите изменить тенант, вам нужно повторить действия по выбору тенанта.

Просмотр таблицы хостов c компонентом Endpoint Agent на отдельном сервере Central Node

Таблица хостов с компонентом Endpoint Agent находится в разделе Endpoint Agents окна веб-интерфейса приложения.

В таблице могут отображаться следующие данные:

• Количество хостов и показатели активности компонента Endpoint Agent:
  • Критическое бездействие – количество хостов, от которых последние данные были получены очень давно.
  • Предупреждение – количество хостов, от которых последние данные были получены давно.
  • Нормальная активность – количество хостов, от которых последние данные были получены недавно.
• Хост – имя хоста с компонентом Endpoint Agent.
• Серверы – имена серверов, к которым подключен хост с компонентом Endpoint Agent.

  Поле отображается, если вы используете режим распределенного решения и мультитенантности.

• IP – IP-адрес компьютера, на который установлен компонент Endpoint Agent.
• ОС – версия операционной системы, установленной на компьютере с компонентом Endpoint Agent.
• Версия – версия приложения, которое используется в роли компонента Endpoint Agent.
• Активность – показатель активности компонента Endpoint Agent. Может принимать следующие значения:
  • Нормальная активность – хосты, от которых последние данные были получены недавно.
  • Предупреждение – хосты, от которых последние данные были получены давно.
  • Критическое бездействие – хосты, от которых последние данные были получены очень давно.
• Последнее подключение – дата и время последнего подключения компонента Endpoint Agent к серверу Central Node.

По ссылке в столбцах таблицы раскрывается список, в котором вы можете выбрать одно из следующих действий:

• Добавить в фильтр.
• Исключить из фильтра.
• Скопировать значение в буфер.

Просмотр информации о хосте

Чтобы просмотреть информацию о хосте с компонентом Endpoint Agent:

1. В окне веб-интерфейса приложения выберите раздел Endpoint Agents.
2. Выберите хост, информацию о котором вы хотите просмотреть.

Откроется окно с информацией о хосте.

Окно содержит следующую информацию:

• В разделе Хост:
  • Имя – имя хоста с компонентом Endpoint Agent.
  • IP – IP-адрес хоста, на который установлен компонент Endpoint Agent.
  • ОС – версия операционной системы на хосте, на который установлен компонент Endpoint Agent.
  • Сервер – имя сервера SCN или PCN. Отображается только в режиме распределенного решения и мультитенантности.
• В разделе Endpoint Agent:
  • Версия – версия приложения, которое используется в роли компонента Endpoint Agent.
  • Активность – показатель активности компонента Endpoint Agent. Может иметь следующие значения:
    • Нормальная активность – хосты, от которых последние данные были получены недавно.
    • Предупреждение – хосты, от которых последние данные были получены давно.
    • Критическое бездействие – хосты, от которых последние данные были получены очень давно.
  • Подключен к серверу – имя сервера, Central Node, SCN или PCN, к которому подключен хост.
  • Последнее подключение – время последнего соединения с сервером Central Node, SCN или PCN.
  • Лицензия – состояние лицензионного ключа приложения, которое используется в роли компонента Endpoint Agent.

По ссылкам с именем хоста и его IP-адресом доступно следующее действие: Скопировать значение в буфер.

Фильтрация и поиск хостов с компонентом Endpoint Agent по имени хоста

Чтобы отфильтровать или найти хосты с компонентом Endpoint Agent по имени хоста:

1. В окне веб-интерфейса приложения выберите раздел Endpoint Agents.

   Откроется таблица хостов.

2. По ссылке Хост откройте окно настройки фильтрации.
3. Если вы хотите, чтобы отобразились только изолированные хосты, установите флажок Показывать только изолированные Endpoint Agents.
4. В раскрывающемся списке выберите один из следующих операторов фильтрации:
   • Содержит.
   • Не содержит.
5. В поле ввода укажите один или несколько символов имени хоста.
6. Если вы хотите добавить условие фильтрации по другому критерию, нажмите на кнопку и выполните действия по указанию условия фильтрации.
7. Если вы хотите удалить условие фильтрации, нажмите на кнопку справа от поля.
8. Нажмите на кнопку Применить.

Окно настройки фильтрации закроется.

В таблице отобразятся только хосты, соответствующие заданным вами условиям.

Вы можете использовать несколько фильтров одновременно.

Фильтрация и поиск хостов с компонентом Endpoint Agent, изолированных от сети

Чтобы отфильтровать или найти хосты с компонентом Endpoint Agent, изолированные от сети:

1. В окне веб-интерфейса приложения выберите раздел Endpoint Agents.

   Откроется таблица хостов.

2. По ссылке Хост откройте окно настройки фильтрации.
3. Установите флажок Показывать только изолированные Endpoint Agents.
4. Нажмите на кнопку Применить.

Окно настройки фильтрации закроется.

В таблице отобразятся только хосты, соответствующие заданным вами условиям.

Вы можете использовать несколько фильтров одновременно.

Фильтрация и поиск хостов с компонентом Endpoint Agent по именам серверов PCN и SCN

Если вы используете режим распределенного решения и мультитенантности, вы можете отфильтровать или найти хосты с компонентом Endpoint Agent по именам серверов PCN и SCN, к которым подключены эти хосты.

Чтобы отфильтровать или найти хосты с компонентом Endpoint Agent по именам серверов PCN и SCN:

1. В окне веб-интерфейса приложения выберите раздел Endpoint Agents.

   Откроется таблица хостов.

2. По ссылке Серверы откройте окно настройки фильтрации.
3. Установите флажки рядом с теми именами серверов, по которым вы хотите отфильтровать или найти хосты с компонентом Endpoint Agent.
4. Нажмите на кнопку Применить.

Окно настройки фильтрации закроется.

В таблице отобразятся только хосты, соответствующие заданным вами условиям.

Вы можете использовать несколько фильтров одновременно.

Фильтрация и поиск хостов с компонентом Endpoint Agent по IP-адресу компьютера

Чтобы отфильтровать или найти хосты с компонентом Endpoint Agent по IP-адресу компьютера, на котором установлено приложение:

1. В окне веб-интерфейса приложения выберите раздел Endpoint Agents.

   Откроется таблица хостов.

2. По ссылке IP откройте окно настройки фильтрации.
3. В раскрывающемся списке выберите один из следующих операторов фильтрации:
   • Содержит.
   • Не содержит.
4. В поле ввода укажите один или несколько символов IP-адреса компьютера. Вы можете ввести IP-адрес компьютера или маску подсети в формате IPv4 (например, 192.0.0.1 или 192.0.0.0/16).
5. Если вы хотите добавить условие фильтрации по другому критерию, нажмите на кнопку и выполните действия по указанию условия фильтрации.
6. Если вы хотите удалить условие фильтрации, нажмите на кнопку справа от поля.
7. Нажмите на кнопку Применить.

Окно настройки фильтрации закроется.

В таблице отобразятся только хосты, соответствующие заданным вами условиям.

Вы можете использовать несколько фильтров одновременно.

Фильтрация и поиск хостов с компонентом Endpoint Agent по версии операционной системы на компьютере

Чтобы отфильтровать или найти хосты с компонентом Endpoint Agent по версии операционной системы, установленной на компьютере:

1. В окне веб-интерфейса приложения выберите раздел Endpoint Agents.

   Откроется таблица хостов.

2. По ссылке ОС откройте окно настройки фильтрации.
3. В раскрывающемся списке выберите один из следующих операторов фильтрации:
   • Содержит.
   • Не содержит.
4. В поле ввода укажите один или несколько символов версии операционной системы.
5. Если вы хотите добавить условие фильтрации по другому критерию, нажмите на кнопку и выполните действия по указанию условия фильтрации.
6. Если вы хотите удалить условие фильтрации, нажмите на кнопку справа от поля.
7. Нажмите на кнопку Применить.

Окно настройки фильтрации закроется.

В таблице отобразятся только хосты, соответствующие заданным вами условиям.

Вы можете использовать несколько фильтров одновременно.

Фильтрация и поиск хостов с компонентом Endpoint Agent по версии компонента

Вы можете отфильтровать хосты по версии приложения, которое используется в роли компонента Endpoint Agent.

Чтобы отфильтровать или найти хосты с компонентом Endpoint Agent по версии компонента:

1. В окне веб-интерфейса приложения выберите раздел Endpoint Agents.

   Откроется таблица хостов.

2. По ссылке Версия откройте окно настройки фильтрации.
3. В раскрывающемся списке выберите один из следующих операторов фильтрации:
   • Содержит.
   • Не содержит.
4. В поле ввода укажите один или несколько символов версии приложение, которое используется в роли компонента Endpoint Agent.
5. Если вы хотите добавить условие фильтрации по другому критерию, нажмите на кнопку и выполните действия по указанию условия фильтрации.
6. Если вы хотите удалить условие фильтрации, нажмите на кнопку справа от поля.
7. Нажмите на кнопку Применить.

Окно настройки фильтрации закроется.

В таблице отобразятся только хосты, соответствующие заданным вами условиям.

Вы можете использовать несколько фильтров одновременно.

Фильтрация и поиск хостов с компонентом Endpoint Agent по их активности

Чтобы отфильтровать или найти хосты с компонентом Endpoint Agent по их активности:

1. В окне веб-интерфейса приложения выберите раздел Endpoint Agents.

   Откроется таблица хостов.

2. По ссылке Активность откройте окно настройки фильтрации.

   Установите флажки рядом с одним или несколькими показателями активности:

   • Нормальная активность, если вы хотите найти хосты, от которых последние данные были получены недавно.
   • Предупреждение, если вы хотите найти хосты, от которых последние данные были получены давно.
   • Критическое бездействие, если вы хотите найти хосты, от которых последние данные были получены очень давно.
3. Нажмите на кнопку Применить.

Окно настройки фильтрации закроется.

В таблице отобразятся только хосты, соответствующие заданным вами условиям.

Вы можете использовать несколько фильтров одновременно.

Быстрое создание фильтра хостов с компонентом Endpoint Agent

Чтобы быстро создать фильтр хостов с компонентом Endpoint Agent:

1. В окне веб-интерфейса приложения выберите раздел Endpoint Agents.

   Откроется таблица хостов.

2. Выполните следующие действия по быстрому добавлению условий фильтрации в создаваемый фильтр:
   1. Наведите курсор мыши на ссылку с тем значением столбца таблицы, которое вы хотите добавить в качестве условия фильтрации.
   2. Нажмите на левую клавишу мыши.

      Откроется список действий над значением.

   3. В открывшемся списке выберите одно из следующих действий:
      • Добавить в фильтр, если вы хотите включить это значение в условие фильтрации.
      • Исключить из фильтра, если вы хотите исключить это значение из условия фильтрации.

3. Если вы хотите добавить несколько условий фильтрации в создаваемый фильтр, выполните действия по быстрому добавлению каждого из условий фильтрации в создаваемый фильтр.

В таблице отобразятся только хосты, соответствующие заданным вами условиям.

Сброс фильтра хостов с компонентом Endpoint Agent

Чтобы сбросить фильтр хостов с компонентом Endpoint Agent по одному или нескольким условиям фильтрации:

1. В окне веб-интерфейса приложения выберите раздел Endpoint Agents.
2. Нажмите на кнопку справа от того заголовка столбца таблицы, условия фильтрации по которому вы хотите сбросить.

   Если вы хотите сбросить несколько условий фильтрации, выполните действия по сбросу каждого из условий фильтрации.

Выбранные фильтры будут сброшены.

В таблице отобразятся только хосты, соответствующие заданным вами условиям.

Настройка показателей активности компонента Endpoint Agent

Пользователи с ролью Локальный администратор и Администратор могут определить, какой период бездействия приложения, которое используется в роли компонента Endpoint Agent, считать нормальной, низкой и очень низкой активностью, а также настроить показатели активности приложения. Пользователям с ролью Аудитор доступен только просмотр параметров показателей активности приложения. Пользователи с ролью Старший сотрудник службы безопасности и Сотрудник службы безопасности могут просмотреть показатели активности приложения в столбце Активность таблицы хостов с компонентом Endpoint Agent в разделе Endpoint Agents окна веб-интерфейса приложения.

Чтобы настроить показатели активности компонента Endpoint Agent, выполните следующие действия:

1. Войдите в веб-интерфейс приложения под учетной записью Локальный администратор, Администратор или Старший сотрудник службы безопасности.
2. В окне веб интерфейса приложения выберите раздел Параметры, подраздел Endpoint Agents.
3. В полях под названием раздела введите количество дней бездействия хостов с компонентом Endpoint Agent, которое вы хотите отображать как Предупреждение и Критическое бездействие.
4. Нажмите на кнопку Применить.

Показатели активности компонента Endpoint Agent будут настроены.

Удаление хостов с компонентом Endpoint Agent

Чтобы удалить один или несколько хостов из таблицы Endpoint Agents:

1. В окне веб-интерфейса приложения выберите раздел Endpoint Agents.
2. Установите флажки рядом с одним или несколькими хостами, которые вы хотите удалить. Вы можете выбрать все хосты, установив флажок в строке с заголовками столбцов.

   В нижней части окна отобразится панель управления.

3. Нажмите на кнопку Удалить.
4. В открывшемся окне подтверждения действия нажмите на кнопку Да.

Выбранные хосты будут удалены из таблицы Endpoint Agents.

При удалении хостов в веб-интерфейсе Kaspersky Anti Targeted Attack Platform происходят следующие изменения:

• Для удаленного хоста нельзя создать задачу, правило запрета и правило сетевой изоляции.
• Если для хоста ранее было создано правило запрета, при удалении этого хоста его имя в окне просмотра правила (поле Запрет для) будет скрыто. Правило продолжит действовать.

  При повторном подключении этого хоста к серверу Central Node имя хоста будет восстановлено в поле Запрет для и правило запрета снова будет на него распространяться.

• Если для хоста ранее было создано правило сетевой изоляции, оно продолжит действовать до истечения времени, указанного в правиле.

  При повторном подключении этого хоста к серверу Central Node правило снова будет распространяться на этот хост.

• Метаданные объектов, помещенных на карантин на удаленном хосте, удаляются из карантина Kaspersky Anti Targeted Attack Platform.

  При повторном подключении этого хоста к серверу Central Node метаданные объектов в карантине Kaspersky Anti Targeted Attack Platform не восстанавливаются. Вы можете избежать переполнения карантина на хосте, очистив его с помощью командной строки или через Kaspersky Security Center. Подробнее см. в справке приложения, которое используется в роли компонента Endpoint Agent.

• Если объект был помещен на карантин по задаче Поместить файл на карантин только на одном хосте и этот хост был удален, в окне просмотра задачи кнопка Восстановить все будет неактивна, так как восстановить файл на удаленном хосте нельзя.

Поиск событий по имени удаленного хоста остается доступным.

В начало

Автоматическое удаление неактивных хостов

Вы можете включать и отключать автоматическое удаление неактивных хостов из таблицы Endpoint Agents. Неактивными считаются хосты, которые не подключались к серверу Central Node в течение указанного вами времени.

Пользователи с ролью Аудитор могут просматривать параметры автоматического удаления неактивных хостов. Для пользователей с ролями Старший сотрудник службы безопасности и Сотрудник службы безопасности просмотр параметров недоступен.

Чтобы включить или отключить автоматическое удаление хостов из таблицы Endpoint Agents:

1. В окне веб-интерфейса приложения выберите раздел Параметры, подраздел Endpoint Agents.
2. В блоке параметров Автоматическое удаление неактивных хостов выполните следующие действия:
   • Если вы хотите включить функцию, переведите переключатель Удалять хосты в положение Включено.
   • Если вы хотите отключить функцию, переведите переключатель Удалять хосты в положение Выключено.
3. Если вы включили функцию, в поле Удалять после укажите количество дней, по истечении которых хосты, не подключавшиеся за это время к компоненту Central Node, будут считаться неактивными.

   Значение не может быть меньше 1 и больше 365.

Автоматическое удаление неактивных хостов будет включено или отключено.

Если значение, указанное в поле Удалять после, меньше значений, указанных в полях Предупреждение и / или Критическое бездействие блока параметров Индикаторы активности, хосты будут удалены раньше, чем в разделе Мониторинг отобразится предупреждение об их неактивности.

При удалении хостов в веб-интерфейсе Kaspersky Anti Targeted Attack Platform происходят следующие изменения:

• Для удаленного хоста нельзя создать задачу, правило запрета и правило сетевой изоляции.
• Если для хоста ранее было создано правило запрета, при удалении этого хоста его имя в окне просмотра правила (поле Запрет для) будет скрыто. Правило продолжит действовать.

  При повторном подключении этого хоста к серверу Central Node имя хоста будет восстановлено в поле Запрет для и правило запрета снова будет на него распространяться.

• Если для хоста ранее было создано правило сетевой изоляции, оно продолжит действовать до истечения времени, указанного в правиле.

  При повторном подключении этого хоста к серверу Central Node правило снова будет распространяться на этот хост.

• Метаданные объектов, помещенных на карантин на удаленном хосте, удаляются из карантина Kaspersky Anti Targeted Attack Platform.

  При повторном подключении этого хоста к серверу Central Node метаданные объектов в карантине Kaspersky Anti Targeted Attack Platform не восстанавливаются. Вы можете избежать переполнения карантина на хосте, очистив его с помощью командной строки или через Kaspersky Security Center. Подробнее см. в справке приложения, которое используется в роли компонента Endpoint Agent.

• Если объект был помещен на карантин по задаче Поместить файл на карантин только на одном хосте и этот хост был удален, в окне просмотра задачи кнопка Восстановить все будет неактивна, так как восстановить файл на удаленном хосте нельзя.

Поиск событий по имени удаленного хоста остается доступным.

В начало

Поддерживаемые интерпретаторы и процессы

Приложение Kaspersky Endpoint Agent контролирует запуск скриптов следующими интерпретаторами:

• cmd.exe;
• reg.exe;
• regedit.exe;
• regedt32.exe;
• cscript.exe;
• wscript.exe;
• mmc.exe;
• msiexec.exe;
• mshta.exe;
• rundll32.exe;
• runlegacycplelevated.exe;
• control.exe;
• explorer.exe;
• regsvr32.exe;
• wwahost.exe;
• powershell.exe;
• java.exe и javaw.exe (только при запуске с опцией –jar);
• InstallUtil.exe;
• msdt.exe;
• python.exe;
• ruby.exe;
• rubyw.exe.

Информация о процессах, контролируемых приложением Kaspersky Endpoint Agent, представлена в таблице ниже.

Процессы и расширения файлов, которые они открывают

Настройка интеграции с компонентом Sandbox

Вы можете подключить один компонент Sandbox к нескольким компонентам Central Node.

Предусмотрен следующий порядок настройки соединения компонента Sandbox с компонентом Central Node:

1. Создание запроса на подключение к компоненту Sandbox

   Вы можете создать запрос в веб-интерфейсе приложения под учетной записью администратора. Если у вас есть несколько компонентов Central Node, установленных на сервере, вам нужно создать запрос для каждого сервера с компонентом Central Node, который вы хотите подключить к компоненту Sandbox. Если компонент Central Node развернут в виде кластера, вы можете создать запрос на подключение с любого сервера кластера.

2. Обработка запроса на подключение в веб-интерфейсе Sandbox

   Вы можете принять или отклонить каждый запрос.

После настройки соединения серверу Sandbox требуется 5–10 минут для подготовки к работе. В течение этого времени в окне Работоспособность системы веб-интерфейса приложения отображается предупреждение Возникла проблема со стандартной конфигурацией. Переустановите компонент Central Node. Когда сервер будет готов к работе, предупреждение исчезнет.

Просмотр таблицы серверов с компонентом Sandbox

Пользователи с ролью Аудитор могут просматривать таблицу серверов с компонентом Sandbox.

Таблица серверов с компонентом Sandbox находится в разделе Серверы Sandbox, на закладке Серверы окна веб-интерфейса приложения.

В поле Отпечаток сертификата отображается отпечаток TLS-сертификата сервера Central Node.

Таблица Список серверов содержит следующую информацию:

• IP и имя – IP-адрес или полное доменное имя сервера с компонентом Sandbox.
• Отпечаток сертификата – отпечаток сертификата сервера с компонентом Sandbox.
• Авторизация – статус запроса на подключение к компоненту Sandbox.
• Состояние – состояние подключения к компоненту Sandbox.

Для пользователей с ролью Сотрудник службы безопасности просмотр таблицы серверов с компонентом Sandbox недоступен.

Создание запроса на подключение к серверу с компонентом Sandbox

Чтобы создать запрос на подключение к серверу с компонентом Sandbox через веб-интерфейс приложения:

1. В окне веб-интерфейса приложения выберите раздел Серверы Sandbox.
2. В правом верхнем углу окна нажмите на кнопку Добавить.

   Откроется окно Подключение сервера Sandbox.

3. В поле IP укажите IP-адрес сервера с компонентом Sandbox, к которому вы хотите подключиться.
4. Нажмите на кнопку Получить отпечаток сертификата.

   В рабочей области отобразится отпечаток сертификата сервера с компонентом Sandbox.

5. Сравните полученный отпечаток сертификата с отпечатком, указанным в веб-интерфейсе Sandbox в разделе Авторизация KATA в поле Отпечаток сертификата.

   Если отпечатки сертификата совпадают, выполните дальнейшие шаги инструкции.

   Не рекомендуется подтверждать подключение при несовпадении отпечатков сертификата. Убедитесь в правильности введенных данных.

6. В поле Имя укажите имя компонента Sandbox, которое будет отображаться в веб-интерфейсе компонента Central Node.

   Это имя не связано с именем хоста, на котором установлен Sandbox.

7. Если вы хотите сделать соединение с Sandbox активным сразу после подключения, установите флажок Включить.
8. Нажмите на кнопку Добавить.

Запрос на подключение отобразится в веб-интерфейсе компонента Sandbox.

Включение и отключение соединения с компонентом Sandbox

Чтобы сделать соединение с компонентом Sandbox активным или отключить его:

1. В окне веб-интерфейса приложения выберите раздел Серверы Sandbox.

   Отобразится таблица серверов с компонентами Sandbox.

2. В строке с нужным сервером в столбце Состояние выполните одно из следующих действий:
   • Если вы хотите сделать соединение с компонентом Sandbox активным, переведите переключатель в положение Включено.
   • Если вы хотите отключить соединение с компонентом Sandbox, переведите переключатель в положение Выключено.
3. Нажмите на кнопку Применить.

Соединение с компонентом Sandbox станет активным или будет отключено.

Удаление соединения с компонентом Sandbox

Чтобы удалить соединение с компонентом Sandbox:

1. В окне веб-интерфейса приложения выберите раздел Серверы Sandbox.

   Отобразится таблица компьютеров, на которых установлен компонент Sandbox.

2. Установите флажок в строке с компонентом Sandbox, соединение с которым вы хотите удалить.
3. В правом верхнем углу окна нажмите на кнопку Удалить.
4. В окне подтверждения нажмите на кнопку Да.

Соединение с компонентом Sandbox будет удалено.

Настройка интеграции с внешними системами

Вы можете настроить интеграцию Kaspersky Anti Targeted Attack Platform с внешними системами для проверки хранящихся в них файлов. Результаты их проверки будут отображаться в таблице обнаружений.

В роли внешней системы может выступать почтовый сенсор – приложение "Лаборатории Касперского" Kaspersky Secure Mail Gateway или Kaspersky Security для Linux Mail Server. Почтовый сенсор отправляет сообщения электронной почты на обработку в Kaspersky Anti Targeted Attack Platform. По результатам обработки сообщений электронной почты в Kaspersky Anti Targeted Attack Platform почтовый сенсор может блокировать пересылку сообщений.

Предусмотрен следующий порядок интеграции Kaspersky Anti Targeted Attack Platform с внешними системами:

1. Ввод параметров интеграции и создание запроса на интеграцию на стороне внешней системы

   Подробнее о вводе параметров интеграции на стороне почтового сенсора см. Справку Kaspersky Secure Mail Gateway или Справку Kaspersky Security для Linux Mail Server.

   Для интеграции других внешних систем необходимо использовать REST API.

2. Подтверждение интеграции на стороне Kaspersky Anti Targeted Attack Platform

   Внешние системы должны использовать уникальные сертификаты для авторизации на сервере с компонентом Central Node. В этом случае в интерфейсе Kaspersky Anti Targeted Attack Platform будет отображаться один запрос на интеграцию. Для подключения нескольких внешних систем, имеющих один IP-адрес, вам необходимо использовать уникальный сертификат для каждой внешней системы.

   При использовании одного сертификата вы сможете настроить интеграцию только с одной внешней системой.

3. Проверка соединения внешней системы с Kaspersky Anti Targeted Attack Platform

Просмотр таблицы внешних систем

Таблица внешних систем находится в разделе Внешние системы окна веб-интерфейса приложения. В таблице содержится следующая информация:

• Sensor – IP-адрес или доменное имя сервера внешней системы.
• Тип – тип внешней системы (почтовый сенсор или другая система).
• Имя – название интегрированной внешней системы, не являющейся почтовым сенсором.

  Для почтового сенсора в этом столбце отображается прочерк.

• ID – идентификатор внешней системы.
• Отпечаток сертификата – отпечаток TLS-сертификата сервера с внешней системой, с помощью которого устанавливается шифрованное соединение с сервером с компонентом Central Node.

  Отпечаток сертификата сервера с компонентом Central Node отображается в верхней части окна в поле Отпечаток сертификата.

• Состояние – состояние запроса на интеграцию.

Обработка запроса от внешней системы

Чтобы обработать запрос на интеграцию от внешней системы:

1. В окне веб-интерфейса приложения выберите раздел Внешние системы.

   В таблице Список серверов отобразятся уже подключенные внешние системы, а также запросы на интеграцию с Kaspersky Anti Targeted Attack Platform от внешних систем.

2. В строке с запросом на интеграцию выполните одно из следующих действий:
   • Если вы хотите настроить интеграцию с внешней системой, нажмите на кнопку Принять.
   • Если вы не хотите настраивать интеграцию с внешней системой, нажмите на кнопку Отклонить.
3. В окне подтверждения нажмите на кнопку Да.

Запрос на интеграцию от внешней системы будет обработан.

Удаление внешней системы из списка разрешенных к интеграции

После того как вы приняли запрос на интеграцию от внешней системы, вы можете удалить ее из списка разрешенных к интеграции. В этом случае соединение между Kaspersky Anti Targeted Attack Platform и внешней системой будет прервано.

Чтобы удалить внешнюю систему из списка разрешенных к интеграции:

1. В окне веб-интерфейса приложения выберите раздел Внешние системы.

   В списке Список серверов отобразятся уже добавленные внешние системы, а также запросы на интеграцию с Kaspersky Anti Targeted Attack Platform от внешних систем.

2. Нажмите на кнопку Удалить в строке с запросом на интеграцию от той внешней системы, которую вы хотите удалить.
3. В окне подтверждения нажмите на кнопку Да.

Внешняя система будет удалена из списка разрешенных к интеграции.

Настройка приоритета обработки трафика от почтовых сенсоров

Вы можете включить или отключить максимальный приоритет обработки трафика от почтовых сенсоров.

Чтобы включить или отключить максимальный приоритет обработки трафика от почтовых сенсоров:

1. В окне веб-интерфейса приложения выберите раздел Внешние системы.
2. Выполните одно из следующих действий:
   • Включите переключатель рядом с названием параметра Максимальный приоритет проверки, если вы хотите включить максимальный приоритет обработки трафика от почтовых сенсоров.
   • Выключите переключатель рядом с названием параметра Максимальный приоритет проверки, если вы хотите отключить максимальный приоритет обработки трафика от почтовых сенсоров.

Приоритет обработки трафика от почтовых сенсоров будет настроен.

Настройка интеграции с Kaspersky Managed Detection and Response

Приложение Kaspersky Managed Detection and Response (далее также "MDR") предназначено для обнаружения и предотвращения мошеннических действий в инфраструктуре клиента. MDR обеспечивает непрерывную управляемую защиту и позволяет организациям автоматически выявлять труднообнаружимые угрозы и освобождать сотрудников группы IT-безопасности для решения задач, требующих их участия.

Kaspersky Anti Targeted Attack Platform получает данные и отправляет их в Kaspersky Managed Detection and Response с помощью потока Kaspersky Security Network. Поэтому для настройки интеграции с MDR обязательно участие в KSN.

Интеграция с MDR доступна только при наличии хотя бы одной действующей лицензий KATA или EDR. Если в приложении добавлен один лицензионный ключ (только KATA или только EDR), то статистика отправляется в рамках функциональности, предусмотренной этой лицензией. Если в приложении добавлено оба лицензионных ключа, то статистика отправляется в полном объеме.

Перед настройкой интеграции Kaspersky Anti Targeted Attack Platform с приложением MDR требуется получить архив с конфигурационным файлом на портале MDR.

Настройка интеграции с MDR доступна только Локальному администратору и Администратору веб-интерфейса Kaspersky Anti Targeted Attack Platform.

Включение интеграции с MDR

Убедитесь, что в приложении добавлен активный лицензионный ключ и настроено участие в KSN. В противном случае интеграция с MDR будет недоступна.

Чтобы включить интеграцию с MDR:

1. Войдите в веб-интерфейс приложения под учетной записью администратора.
2. Выберите раздел Параметры, подраздел KSN/KPSN и MDR.
3. В блоке параметров Интеграция MDR нажмите на кнопку Загрузить, чтобы загрузить конфигурационный файл.

   Откроется окно выбора файлов.

4. Выберите архив, полученный при регистрации на портале MDR, и нажмите кнопку Open.

   В окне отобразится следующая информация о лицензии MDR:

   • Серийный номер.
   • Дата окончания срока действия.
   • Осталось дней.

Интеграция с MDR будет включена. Параметры интеграции, указанные в конфигурационном файле, будут распространены на все подключенные компоненты Sensor. Приложение MDR начнет использовать статистику о выявленных обнаружениях, отправляемую через поток KSN.

Отключение интеграции с MDR

Чтобы отключить интеграцию с MDR:

1. Войдите в веб-интерфейс приложения под учетной записью администратора.
2. Выберите раздел Параметры, подраздел KSN/KPSN и MDR.
3. В блоке параметров Интеграция MDR нажмите на кнопку Удалить файл.
4. В окне подтверждения нажмите на кнопку Да.

Конфигурационный файл будет удален, а интеграция с MDR будет отключена. Приложение продолжит отправлять статистику на серверы KSN, однако эта информация не будет использоваться приложением MDR.

Замена конфигурационного файла MDR

Чтобы заменить конфигурационный файл MDR:

1. Войдите в веб-интерфейс приложения под учетной записью администратора.
2. Выберите раздел Параметры, подраздел KSN/KPSN и MDR.
3. В блоке параметров Интеграция MDR нажмите на кнопку Заменить файл.

   Откроется окно выбора файла.

4. Выберите новый архив с конфигурационным файлом и нажмите на кнопку Open.

   В веб-интерфейсе приложения обновится информация о лицензии MDR.

Конфигурационный файл будет заменен. Новые параметры интеграции будут распространены на все подключенные компоненты Sensor.

Настройка интеграции с SIEM-системой

Kaspersky Anti Targeted Attack Platform может публиковать информацию о действиях пользователей в веб-интерфейсе приложения и обнаружениях в

Для передачи данных вы можете использовать

Если вы развернули компоненты Central Node и Sensor в виде кластера, вы можете настроить отказоустойчивую интеграцию с внешней системой одним из следующих способов:

• Использовать функцию Round Robin.
• Настроить параметры внешней системы, чтобы при возникновении сетевой ошибки внешняя система переключалась между IP-адресами серверов кластера.

Чтобы настроить отказоустойчивую интеграцию с внешней системой с помощью функции Round Robin:

1. Настройте на сервере DNS функцию Round Robin для доменного имени, соответствующего кластеру Central Node.
2. В параметрах почтового сервера укажите это доменное имя.

Интеграция с почтовым сервером будет настроена по доменному имени. Почтовый сервер обратится к случайному серверу кластера. При отказе этого сервера почтовый сервер будет обращаться к другому работоспособному серверу кластера.

Включение и отключение записи информации в удаленный журнал

Вы можете настроить запись информации о действиях пользователей в веб-интерфейсе и обнаружениях в удаленный журнал. Файл журнала хранится на сервере, на котором установлена SIEM-система. Для записи в удаленный журнал необходимо настроить параметры интеграции с SIEM-системой.

Чтобы включить или отключить запись информации о действиях пользователей в веб-интерфейсе и обнаружениях в удаленный журнал:

1. В окне веб-интерфейса приложения выберите раздел Параметры, подраздел SIEM-система.
2. Если вы хотите включить / отключить запись информации о действиях пользователей в веб-интерфейсе в удаленный журнал, выполните одно из следующих действий:
   • Если вы хотите включить запись информации о действиях пользователей в веб-интерфейсе, установите флажок Журнал активности.
   • Если вы хотите отключить запись информации о действиях пользователей в веб-интерфейсе, снимите флажок Журнал активности.
3. Если вы хотите включить / отключить запись информации об обнаружениях в удаленный журнал, выполните одно из следующих действий:
   • Если вы хотите включить запись информации об обнаружениях, установите флажок Обнаружения.
   • Если вы хотите отключить запись информации об обнаружениях, снимите флажок Обнаружения.

   Вы можете установить оба флажка одновременно.

4. Нажмите на кнопку Применить в нижней части окна.

Запись информации в удаленный журнал будет включена или отключена.

Пользователи с ролью Аудитор могут только просматривать информацию о настройках записи в удаленный журнал.

Настройка основных параметров интеграции с SIEM-системой

Чтобы настроить основные параметры интеграции с SIEM-системой:

1. В окне веб-интерфейса приложения выберите раздел Параметры, подраздел SIEM-система.
2. Установите флажки Журнал активности и / или Обнаружения.

   Вы можете установить один из флажков или оба флажка одновременно.

3. В поле Хост/IP введите IP-адрес или имя хоста сервера вашей SIEM-системы.
4. В поле Порт введите номер порта подключения к вашей SIEM-системе.
5. В поле Протокол выберите TCP или UDP.
6. В поле ID хоста укажите идентификатор хоста. Хост с этим идентификатором в журнале SIEM-системы будет указан как источник обнаружения.
7. В поле Периодичность сигнала введите интервал отправки сообщений в SIEM-систему.
8. Нажмите на кнопку Применить в нижней части окна.

Основные параметры интеграции с SIEM-системой будут настроены.

Пользователи с ролью Аудитор могут только просматривать информацию о настройках интеграции с SIEM-системой.

Загрузка TLS-сертификата

Чтобы загрузить TLS-сертификат для шифрования соединения с SIEM-системой:

1. В окне веб-интерфейса приложения выберите раздел Параметры, подраздел SIEM-система.
2. В разделе TLS-шифрование нажмите на кнопку Загрузить.

   Откроется окно выбора файлов.

3. Выберите файл TLS-сертификата, который вы хотите загрузить, и нажмите на кнопку Открыть.

   Окно выбора файлов закроется.

   TLS-сертификат будет добавлен в приложение.

4. Нажмите на кнопку Применить в нижней части окна.

Загруженный TLS-сертификат будет использоваться для шифрования соединения с SIEM-системой.

Включение и отключение TLS-шифрования соединения с SIEM-системой

Чтобы включить или отключить TLS-шифрование соединения с SIEM-системой:

1. В окне веб-интерфейса приложения выберите раздел Параметры, подраздел SIEM-система.
2. Установите флажки Журнал активности и / или Обнаружения.

   Вы можете установить один из флажков или оба флажка одновременно.

3. В разделе TLS-шифрование выполните одно из следующих действий:
   • Включите переключатель рядом с названием параметра TLS-шифрование, если вы хотите включить TLS-шифрование соединения с SIEM-системой.
   • Выключите переключатель рядом с названием параметра TLS-шифрование, если вы хотите отключить TLS-шифрование соединения с SIEM-системой.

   Переключатель рядом с названием параметра TLS-шифрование доступен, только если загружен TLS-сертификат.

4. Нажмите на кнопку Применить в нижней части окна.

TLS-шифрование соединения с SIEM-системой будет включено или отключено.

Содержание и свойства syslog-сообщений об обнаружениях

Информация о каждом обнаружении передается в отдельной syslog-категории (syslog facility), не использующейся системой для передачи сообщений от других источников. Информация о каждом обнаружении передается как отдельное syslog-сообщение формата CEF. Если обнаружение выполнено модулем Targeted Attack Analyzer, то информация о нем передается как несколько отдельных syslog-сообщений формата CEF.

Максимальный размер syslog-сообщения об обнаружении по умолчанию составляет 32 Кб. Сообщения, превышающие максимальный размер, обрываются в конце.

В заголовке каждого syslog-сообщения об обнаружении содержится следующая информация:

• Версия формата.

  Номер текущей версии: 0. Текущее значение поля: CEF:0.

• Производитель.

  Текущее значение поля: AO Kaspersky Lab.

• Название приложения.

  Текущее значение поля: Kaspersky Anti Targeted Attack Platform.

• Версия приложения.

  Текущее значение поля: 6.0.0-200.

• Тип обнаружения.

  См. таблицу ниже.

• Наименование события.

  См. таблицу ниже.

• Важность обнаружения.

  Допустимые значения поля: Low, Medium, High или 0 (для сообщений типа heartbeat).

• Дополнительная информация.

  Пример: CEF:0|AO Kaspersky Lab| Kaspersky Anti Targeted Attack Platform |6.0.0-200|url_web| URL from web detected|Low|

Тело syslog-сообщения об обнаружении соответствует информации об этом обнаружении, отображающейся в веб-интерфейсе приложения. Все поля представлены в формате "<ключ>=<значение>". В зависимости от того, в сетевом или почтовом трафике произошло обнаружение, а также от технологии, которая выполнила обнаружение, в теле syslog-сообщения могут передаваться разные ключи. Если значение пустое, то ключ не передается.

Ключи, а также их значения, содержащиеся в сообщении, приведены в таблице ниже.

Информация об обнаружении в syslog-сообщениях

В начало

Управление журналом активности

Некоторые действия пользователей в веб-интерфейсе приложения могут привести к ошибкам в работе Kaspersky Anti Targeted Attack Platform. Вы можете включить запись информации о действиях пользователей в веб-интерфейсе приложения в журнал и при необходимости просмотреть эту информацию, скачав файлы журнала.

Включение и отключение записи информации в журнал активности

Чтобы включить или отключить запись информации о действиях пользователей в веб-интерфейсе Kaspersky Anti Targeted Attack Platform в журнал активности:

1. В окне веб-интерфейса приложения перейдите в раздел Отчеты, подраздел Журнал активности.
2. Выполните одно из следующих действий:
   • Установите переключатель Журнал активности в положение Включено, если хотите включить запись информации о действиях пользователей в веб-интерфейсе приложения в журнал активности.
   • Установите переключатель Журнал активности в положение Выключено, если хотите отключить запись информации о действиях пользователей в веб-интерфейсе приложения в журнал активности.

     По умолчанию функция включена.

Запись информации производится в течение 30 дней в файл журнала user_actions.log. По истечении 30 дней файл user_actions.log будет сохранен на сервере с компонентом Central Node в директории /var/log/kaspersky/apt-base/ с названием user_actions.log<month>. Для записи информации за текущий месяц будет создан новый файл с названием user_actions.log. Каждый файл хранится 90 дней, после чего удаляется.

Для того, чтобы просмотреть файлы журнала активности, вам нужно предварительно скачать их.

Вы можете настроить запись информации о действиях пользователей в веб-интерфейсе приложения в удаленный журнал. Удаленный журнал хранится на сервере, на котором установлена SIEM-система. Для записи в удаленный журнал должны быть настроены параметры интеграции с SIEM-системой.

В режиме распределенного решения информация о действиях пользователей в веб-интерфейсе записывается в журнал того сервера, в веб-интерфейсе которого работают пользователи. Информация о действиях пользователей сервера PCN, влияющих на параметры серверов SCN, записывается в журнал сервера PCN.

Пользователи с ролью Аудитор могут только просматривать настройки записи информации в журнал активности.

Скачивание файла журналов активности

Чтобы скачать файл журнала активности:

1. В окне веб-интерфейса приложения перейдите в раздел Отчеты, подраздел Журнал активности.
2. Нажмите на кнопку Скачать.

Файлы журнала будут сохранены на ваш локальный компьютер в папку загрузки браузера. Файлы загружаются в формате ZIP-архива.

В режиме распределенного решения вы можете скачать файлы журнала активности только для того сервера, в веб-интерфейсе которого работаете.

Содержание и свойства CEF-сообщений о действиях пользователей в веб-интерфейсе

В заголовке каждого сообщения содержится следующая информация:

• Версия формата.

  Номер текущей версии: 0. Текущее значение поля: CEF:0.

• Производитель.

  Текущее значение поля: AO Kaspersky Lab.

• Название приложения.

  Текущее значение поля: Kaspersky Anti Targeted Attack Platform.

• Версия приложения.

  Текущее значение поля: 6.0.0-200.

• Тип события.

  См. таблицу ниже.

• Наименование события.

  См. таблицу ниже.

• Важность события.

  Текущее значение поля: Low.

  Пример: CEF:0|AO Kaspersky Lab|Kaspersky Anti Targeted Attack Platform|6.0.0-200|tasks|Managing tasks|Low|

Все поля тела CEF-сообщения представлены в формате "<ключ>=<значение>". Ключи, а также их значения, содержащиеся в сообщении, приведены в таблице ниже.

Информация о событии в CEF-сообщениях

Если одна операция проводится с более чем 30 объектами одновременно, в журнал записывается одно сообщение об этой операции. В сообщении указывается информация об операции и количество объектов, с которыми она была проведена.

Обновление баз приложения

Базы приложения (далее также "базы") представляют собой файлы с записями, на основании которых компоненты и модули приложения обнаруживают события, происходящие в IT-инфраструктуре вашей организации.

Вирусные аналитики "Лаборатории Касперского" ежедневно обнаруживают множество новых угроз, в том числе угроз "нулевого дня", создают для них идентифицирующие записи и включают их в пакеты обновлений баз (далее также "пакеты обновлений"). Пакет обновлений представляет собой один или несколько файлов с записями, идентифицирующими угрозы, которые были выявлены за время, истекшее с момента выпуска предыдущего пакета обновлений. Рекомендуется регулярно получать пакеты обновлений. При установке приложения дата выпуска баз соответствует дате выпуска приложения, поэтому базы нужно обновить сразу после установки приложения.

Приложение автоматически проверяет наличие новых пакетов обновлений на серверах обновлений "Лаборатории Касперского" один раз в 30 минут. По умолчанию, если базы компонентов приложения по каким-либо причинам не обновляются в течение 24 часов, Kaspersky Anti Targeted Attack Platform отображает эту информацию в разделе Мониторинг окна веб-интерфейса приложения.

Если версия Kaspersky Anti Targeted Attack Platform не поддерживается, базы не обновляются. Вы можете посмотреть, какие версии приложения находятся на поддержке, на странице жизненного цикла приложений.

Функциональность обновлений (включая обновления антивирусных сигнатур и обновления кодовой базы), а также функциональность KSN может быть недоступна в приложении на территории США.

Выбор источника обновления баз

Вы можете выбрать источник, из которого приложение будет загружать обновления баз. Источником обновлений может быть сервер "Лаборатории Касперского", а также сетевая или локальная папка одного из компьютеров вашей организации.

Чтобы выбрать источник обновления баз приложения:

1. В окне веб-интерфейса приложения выберите раздел Параметры, подраздел Общие параметры.
2. В блоке Обновление баз в раскрывающемся списке Источник обновлений выберите одно из следующих значений:
   • Сервер обновлений "Лаборатории Касперского".

     Приложение будет подключаться к серверу обновлений "Лаборатории Касперского" по протоколу HTTP и загружать актуальные базы.

   • Сервер обновлений "Лаборатории Касперского" (безопасное подключение).

     Приложение будет подключаться к серверу обновлений "Лаборатории Касперского" по протоколу HTTPS и загружать актуальные базы. Рекомендуется выполнять обновления баз по протоколу HTTPS.

   • Другой сервер.

     Приложение будет подключаться к вашему FTP- или HTTP-серверу или к папке с базами программы на вашем компьютере и загружать актуальные базы.

3. Если вы выбрали Другой сервер, в поле под названием этого параметра укажите URL-адрес пакета обновлений на вашем HTTP-сервере или полный путь к папке с пакетом обновлений баз приложения на вашем компьютере.
4. Нажмите на кнопку Применить.

Источник обновления баз приложения будет выбран.

Запуск обновления баз вручную

Чтобы запустить обновление баз приложения вручную:

1. В окне веб-интерфейса приложения выберите раздел Параметры, подраздел Общие параметры.
2. В блоке Обновление баз нажмите на кнопку Запустить.
3. Нажмите на кнопку Применить.

Обновление баз приложения будет запущено. Справа от кнопки отобразится сообщение о результате выполнения обновления.

Создание списка паролей для архивов

Приложение не проверяет архивы, защищенные паролем. Вы можете создать список наиболее часто встречающихся паролей для архивов, которые используются при обмене файлами в вашей организации. В этом случае при проверке архива приложение будет проверять пароли из списка. Если какой-либо из паролей подойдет, архив будет разблокирован и проверен.

Список паролей, заданный в параметрах приложения, также передается на сервер с компонентом Sandbox.

Чтобы создать список паролей для архивов:

1. В окне веб-интерфейса приложения выберите раздел Параметры, подраздел Пароли к архивам.
2. В поле Пароли к архивам введите пароли, которые приложение будет использовать для архивов, защищенных паролем.

   Вводите каждый пароль с новой строки. Вы можете ввести до 50 паролей.

3. Нажмите на кнопку Применить.

Список паролей для архивов будет создан. При проверке файлов формата PDF, а также файлов приложений Microsoft Word, Excel, PowerPoint, защищенных паролем, приложение будет подбирать пароли из заданного списка.

Пользователи с ролью Аудитор могут просматривать список паролей для архивов без возможности редактирования.

Настройка интеграции с приложением ArtX TLSproxy 1.9.1

Вы можете настроить интеграцию Kaspersky Anti Targeted Attack Platform с приложением ArtX TLSproxy 1.9.1 для раскрытия зашифрованного SSL/TLS-трафика. Интеграция приложения Kaspersky Anti Targeted Attack Platform с приложением ArtX TLSProxy 1.9.1 повышает защищенность инфраструктуры и увеличивает ее эффективность.

Чтобы настроить интеграцию Kaspersky Anti Targeted Attack Platform c приложением ArtX TLSproxy 1.9.1:

1. Установите и введите параметры интеграции в приложении ArtX TLSproxy 1.9.1.

   Подробнее об установке и вводе параметров интеграции в приложении ArtX TLSproxy 1.9.1 см. Руководство по эксплуатации ArtX TLSproxy на веб-сайте ArtX.

2. Создайте файл erspan.netdev в директории /etc/systemd/network со следующим содержимым:

   [NetDev]

   Name=<имя ERSPAN-интерфейса>

   Kind=erspan

   [Tunnel]

   Independent=true

   ERSPANIndex=<индекс или номер порта, связанный с портом источника трафика ERSPAN>

   Local = <локальный фиксированный IP-адрес сетевого интерфейса, на котором настраивается передача ERSPAN-трафика>

   Remote = <IP-адрес сервера с приложением Kaspersky Anti Targeted Attack Platform, на котором будет обрабатываться ERSPAN-трафик>

   Key=<Порядковый номер или ключ заголовка GRE>.Если не используется, то введите значение 0.

   SerializeTunneledPackets=true

3. Создайте файл erspan.network в директории /etc/systemd/network со следующим содержимым:

   [Match]

   Name=<имя ERSPAN-интерфейса>

   [Network]

   Address=<локальный IP-адрес сетевого интерфейса/маска сетевого интерфейса>

4. Перезагрузите сервер c приложением Kaspersky Anti Targeted Attack Platform, на которым вы настраиваете интеграцию с приложением ArtX TLSproxy 1.9.1.
5. Перейдите в приложение ArtX TLSproxy 1.9.1 и укажите настроенные сетевые интерфейсы.

Значения параметров в файлах erspan.netdev и erspan.network должны совпадать с параметрами, которые вы указали в приложении ArtX TLSproxy 1.9.1.

Интеграция с приложением ArtX TLSproxy 1.9.1 будет настроена.