Kaspersky Anti Targeted Attack Platform
6.0
Русский

Содержание

Работа с ICAP-исключениями

Пользователи с ролью Старший сотрудник службы безопасности могут создавать список ICAP-исключений – список данных, которые Kaspersky Anti Targeted Attack Platform не будет проверять. Вы можете создать правила ICAP-исключений для следующих данных:

  • Формат.
  • Агент пользователя.
  • MD5.
  • Маска URL.
  • IP или подсеть источника.

Пользователи с ролью Аудитор и Сотрудник службы безопасности могут просматривать список правил ICAP-исключений.

В режиме распределенного решения ICAP-исключения, созданные на SCN, распространяются на все компоненты Sensor, подключенные к этой SCN. ICAP-исключения, созданные на PCN, распространяются на SCN, установленную на одном устройстве c PCN, и все подключенные к этой SCN компоненты Sensor.

В этом разделе

Просмотр таблицы ICAP-исключений

Добавление правила в ICAP-исключения

Удаление правил из ICAP-исключений

Изменение и выключение правила в списке ICAP-исключений

Фильтрация правил в списке ICAP-исключений по критерию

Фильтрация правил в списке ICAP-исключений по значению

Фильтрация правил в списке ICAP-исключений по состоянию

Сброс условий фильтрации правил в списке ICAP-исключений
В начало
[Topic 262385]

Просмотр таблицы ICAP-исключений

Чтобы просмотреть таблицу ICAP-исключений:

  1. В окне веб-интерфейса приложения выберите раздел Параметры, подраздел Исключения.
  2. Откройте вкладку ICAP.

Отобразится таблица данных, которые Kaspersky Anti Targeted Attack Platform не будет проверять. Вы можете фильтровать правила по ссылкам в названии столбцов.

В столбцах таблицы содержится следующая информация:

  • Значение – значение критерия.
  • Критерий – критерий добавления записи в список разрешенных объектов.
  • Состояние – состояние правила.
В начало
[Topic 262386]

Добавление правила в ICAP-исключения

Правила ICAP-исключения обрабатываются в том случае, если правило с данными не было ранее добавлено в правила исключений из проверки.

Чтобы добавить правило в ICAP-исключения:

  1. В окне веб-интерфейса приложения выберите раздел Параметры, подраздел Исключения.
  2. Откройте вкладку ICAP.
  3. В правом верхнем углу окна веб-интерфейса приложения нажмите на кнопку Добавить.

    Откроется окно Новое правило.

  4. Установите переключатель Состояние в нужное положение.

    По умолчанию переключатель находится в положении Включено.

  5. В раскрывающемся списке Критерий выберите один из следующих критериев добавления правила в список ICAP-исключений:
    • Формат.
    • Агент пользователя.
    • MD5.
    • Маска URL.
    • IP или подсеть источника.
  6. В зависимости от выбранного критерия укажите в поле Значение следующую информацию:
    • Если вы выбрали Формат, в раскрывающемся списке выберите формат файла, который вы хотите добавить.

      При добавлении правила ICAP-исключения по формату содержимое веб-страниц соответствующего формата будет загружаться без проверки, а также не нарушится отображение веб-страниц.

    • Если вы выбрали Агент пользователя, введите заголовок User agent HTTP-запросов, содержащий информацию о браузере.
    • Если вы выбрали MD5, введите MD5-хеш файла.
    • Если вы выбрали Маска URL, введите маску URL-адреса.

      При формировании маски вы можете использовать следующие специальные символы:

      * – любая последовательность символов.

      Пример:

      Если вы введете маску *abc*, приложение не будет проверять любой URL-адрес, содержащий последовательность abc. Например, www.example.com/download_virusabc

      ? – любой один символ.

      Пример:

      Если вы введете маску example_123?.com, приложение не будет проверять любой URL-адрес, содержащий заданную последовательность символов и любой символ, следующий за 3. Например, example_1234.com

      Если символы * и ? входят в состав полного URL-адреса, добавляемого в исключения из проверки, при вводе этих символов нужно использовать \ – отмена одного из следующих за ним символов * или ?, \.

      Пример:

      В качестве доверенного адреса требуется добавить следующий URL-адрес: www.example.com/download_virus/virus.dll?virus_name=

      Чтобы приложение не восприняло ? как специальный символ формирования маски, нужно поставить перед ? знак \.

      URL-адрес, добавляемый в список исключений из проверки, будет выглядеть следующим образом: www.example.com/download_virus/virus.dll\?virus_name=

      В поле Маска URL вы можете указывать доменные имена, содержащие символы кириллицы. В этом случае указанный адрес будет преобразован в Punycode и обработан в соответствии с параметрами приложения.

    • Если вы выбрали IP или подсеть источника, введите адрес или подсеть (например, 255.255.255.0).
  7. Нажмите на кнопку Добавить.

Правило будет добавлено в список ICAP-исключений.

Для пользователей с ролью Аудитор и Сотрудник службы безопасности функция добавления правила ICAP-исключений недоступна.

В начало
[Topic 262387]

Удаление правил из ICAP-исключений

Чтобы удалить одно или несколько правил из списка ICAP-исключений:

  1. В окне веб-интерфейса приложения выберите раздел Параметры, подраздел Исключения.
  2. Откройте вкладку ICAP.
  3. Установите флажок слева от каждого правила, которое вы хотите удалить из списка ICAP-исключений.

    Если вы хотите удалить все правила, установите флажок над списком.

  4. В нижней части окна нажмите на кнопку Удалить.
  5. В открывшемся окне подтвердите удаление правил, нажав на кнопку Да.

Выбранные правила будут удалены из списка ICAP-исключений. Данные, которые находились в правилах ICAP-исключений, будут проверяться Kaspersky Anti Targeted Attack Platform.

Для пользователей с ролью Аудитор и Сотрудник службы безопасности функция удаления записи в списке ICAP-исключений недоступна.

В начало

[Topic 262389]

Изменение и выключение правила в списке ICAP-исключений

Чтобы изменить правило в списке ICAP-исключений:

  1. В окне веб-интерфейса приложения выберите раздел Параметры, подраздел Исключения.
  2. Откройте вкладку ICAP.
  3. Выберите правило, которое вы хотите изменить.

    Откроется окно Изменить правило.

  4. Внесите необходимые изменения в поля Состояние, Критерий и Значение.
  5. Нажмите на кнопку Сохранить.

Правило будет изменено.

Чтобы выключить правило в списке ICAP-исключений:

  1. В окне веб-интерфейса приложения выберите раздел Параметры, подраздел Исключения.
  2. Откройте вкладку ICAP.
  3. Справа от правила, которое вы хотите выключить в списке ICAP-исключений, в столбце Состояние переведите переключатель в положение Выключено.
  4. В открывшемся окне подтвердите выключение правила, нажав на кнопку Да.

Правило будет выключено.

Для пользователей с ролью Аудитор и Сотрудник службы безопасности функция изменения и выключения правила в списке ICAP-исключений недоступна.

В начало

[Topic 262388]

Фильтрация правил в списке ICAP-исключений по критерию

Чтобы фильтровать записи в списке ICAP-исключений по критерию:

  1. В окне веб-интерфейса приложения выберите раздел Параметры, подраздел Исключения.
  2. Откройте вкладку ICAP.
  3. По ссылке Критерий откройте окно настройки фильтрации.
  4. Установите один или несколько флажков рядом с критериями, по которым вы хотите отфильтровать правила:
    • Формат.
    • Агент пользователя.
    • MD5.
    • Маска URL.
    • IP или подсеть источника.
  5. Нажмите на кнопку Применить.

    Окно настройки фильтрации закроется.

В списке ICAP-исключений отобразятся только правила, соответствующие заданным условиям фильтрации. Вы можете одновременно выполнять фильтрацию по столбцам Значение и Состояние.

В начало
[Topic 263622]

Фильтрация правил в списке ICAP-исключений по значению

Чтобы фильтровать правила в списке ICAP-исключений по значению:

  1. В окне веб-интерфейса приложения выберите раздел Параметры, подраздел Исключения.
  2. Откройте вкладку ICAP.
  3. По ссылке Значение откройте окно настройки фильтрации.
  4. Введите значение.
  5. Нажмите на кнопку Применить.

В списке ICAP-исключений отобразятся только правила, соответствующие заданным условиям поиска. Вы можете одновременно выполнять фильтрацию по столбцам Критерий и Состояние.

В начало

[Topic 263623]

Фильтрация правил в списке ICAP-исключений по состоянию

Чтобы фильтровать правила в списке ICAP-исключений по состоянию:

  1. В окне веб-интерфейса приложения выберите раздел Параметры, подраздел Исключения.
  2. Откройте вкладку ICAP.
  3. По ссылке Состояние откройте окно настройки фильтрации.
  4. Установите флажок напротив одного из значений:
    • Включено.
    • Выключено.
  5. Нажмите на кнопку Применить.

В списке ICAP-исключений отобразятся только правила, соответствующие заданным условиям поиска. Вы можете одновременно выполнять фильтрацию по столбцам Критерий и Значение.

В начало
[Topic 264656]

Сброс условий фильтрации правил в списке ICAP-исключений

Чтобы сбросить условия фильтрации правил в списке ICAP-исключений:

  1. В окне веб-интерфейса приложения выберите раздел Параметры, подраздел Исключения.
  2. Откройте вкладку ICAP.
  3. Нажмите на кнопку Удалить справа от того заголовка столбца таблицы Значение, Критерий или Состояние, условия фильтрации по которому вы хотите сбросить.

    Если вы хотите сбросить несколько условий фильтрации, выполните действия по сбросу каждого из условий фильтрации.

Выбранные условия фильтрации будут сброшены. В списке ICAP-исключений отобразятся только правила, соответствующие заданным условиям.

В начало
[Topic 263624]