Просмотр таблицы обнаружений

Kaspersky Anti Targeted Attack Platform обрабатывает данные из следующих источников:

• Зеркалированного трафика локальной сети организации (HTTP-, FTP- и DNS-протоколов).
• HTTP- и FTP-трафика, а также HTTPS-трафика, если администратор настроил подмену SSL-сертификата на прокси-сервере.
• Копий сообщений электронной почты, полученных по протоколу POP3, SMTP, а также копий сообщений электронной почты, полученных от приложений Kaspersky Secure Mail Gateway или Kaspersky Security для Linux Mail Server, если они используется в вашей организации.
• Данных о запущенных процессах, открытых сетевых соединениях и изменяемых файлах, полученных от отдельных компьютеров, которые входят в IT-инфраструктуру организации.

Kaspersky Anti Targeted Attack Platform отображает обнаруженные признаки целевых атак и вторжений в IT-инфраструктуру организации в виде таблицы обнаружений.

В таблице обнаружений не отображается информация об объектах, для которых выполняется хотя бы одно из следующих условий:

• Объект имеет репутацию Доверенный в базе KSN.
• Объект имеет цифровую подпись одного из доверенных производителей:
  • "Лаборатория Касперского".
  • Google.
  • Apple.
  • Microsoft.

Информация об этих обнаружениях сохраняется в базе данных приложения (на Central Node или SCN).

Информация об обнаружениях в базе данных ротируется ежедневно в ночное время при достижении максимально разрешенного количества обнаружений:

• Обнаружения, выполненные компонентами (IDS) Intrusion Detection System, (URL) URL Reputation – 100000 обнаружений для каждого из компонентов.
• Все остальные обнаружения – 20000 обнаружений для каждого из модулей или компонентов.

Если вы используете режим распределенного решения и мультитенантности, то ротация производится на всех SCN, а затем происходит синхронизация с PCN. После синхронизации все удаленные обнаружения автоматически удаляются также на PCN.

Режим работы, при котором Kaspersky Anti Targeted Attack Platform используется для защиты инфраструктуры нескольких организаций или филиалов одной организации одновременно.

Двухуровневая иерархия серверов с установленными компонентами Central Node, в которой выделяется главный сервер управления – Primary Central Node (PCN) и подчиненные серверы – Secondary Central Node (SCN).

Таблица обнаружений находится в разделе Обнаружения.

По умолчанию в разделе отображается информация только об обнаружениях, не обработанных пользователями. Если вы хотите, чтобы информация об обработанных обнаружениях тоже отображалась, включите переключатель Обработано в правом верхнем углу окна.

Вы можете сортировать обнаружения в таблице по столбцам Создано или Обновлено, Важность, Адрес источника и Состояние.

В таблице обнаружений содержится следующая информация:

1. VIP – наличие у обнаружения статуса с особыми правами доступа. Например, обнаружения со статусом VIP недоступны для просмотра пользователями программы Сотрудник службы безопасности.
2. Создано – время, в которое программа выполнила обнаружение и Обновлено – время, в которое обнаружение было обновлено.
3.  – важность обнаружения для пользователя Kaspersky Anti Targeted Attack Platform в соответствии с тем, какое влияние это обнаружение может оказать на безопасность компьютера или локальной сети вашей организации, по опыту "Лаборатории Касперского".

   Обнаружения могут принимать одну из следующих степеней важности:

   • Высокая, отмеченную знаком , – обнаружение высокой степени важности.
   • Средняя, отмеченную знаком , – обнаружение средней степени важности.
   • Низкая, отмеченную знаком , – обнаружение низкой степени важности.
4. Обнаружено – одна или несколько категорий обнаруженных объектов. Например, если приложение обнаружило файл, зараженный вирусом Trojan-Downloader.JS.Cryptoload.ad, в поле Обнаружено будет указана категория Trojan-Downloader.JS.Cryptoload.ad для этого обнаружения.
5. Сведения – краткая информация об обнаружении. Например, имя обнаруженного файла или URL-адрес вредоносной ссылки.
6. Адрес источника – адрес источника обнаруженного объекта. Например, адрес электронной почты, с которого был отправлен вредоносный файл, или URL-адрес, с которого был загружен вредоносный файл.
7. Адрес назначения – адрес назначения обнаруженного объекта. Например, адрес электронной почты почтового домена вашей организации, на который был отправлен вредоносный файл, или IP-адрес компьютера локальной сети вашей организации, на который был загружен вредоносный файл.
8. Технологии – названия модулей или компонентов приложения, выполнивших обнаружение.

   В столбце Технологии могут быть указаны следующие модули и компоненты приложения:

   • (YARA) YARA.
   • (SB) Sandbox.
   • (URL) URL Reputation.
   • (IDS) Intrusion Detection System.
   • (AM) Anti-Malware Engine.
   • (TAA) Targeted Attack Analyzer.
   • (IOC) IOC.
9. Состояние – состояние обнаружения в зависимости от того, обработал пользователь Kaspersky Anti Targeted Attack Platform это обнаружение или нет.

   Обнаружения могут быть в одном из следующих состояний:

   • Новое – новые обнаружения.
   • В обработке – обнаружения, которые один из пользователей Kaspersky Anti Targeted Attack Platform уже обрабатывает.
   • Повторная проверка – обнаружения, выполненные в результате повторной проверки объекта.
   • Назначено – имя пользователя, которому назначено обнаружение.

• Серверы – имена серверов, на которых выполнено обнаружение. Серверы относятся к тому тенанту, с которым вы работаете в веб-интерфейсе приложения. Столбец отображается, если вы используете режим распределенного решения и мультитенантности.

Если информация в столбцах таблицы отображается в виде ссылки, по ссылке раскрывается список, в котором вы можете выбрать действие над объектом. В зависимости от типа значения ячейки вы можете выполнить одно из следующих действий:

• Любой тип значения ячейки:
  • Добавить в фильтр.
  • Исключить из фильтра.
  • Скопировать значение в буфер.
• MD5-хеш:
  • Добавить в фильтр.
  • Исключить из фильтра.
  • Найти события.
  • Найти на TIP.
  • Создать правило запрета.
  • Скопировать значение в буфер.
• SHA256-хеш:
  • Добавить в фильтр.
  • Исключить из фильтра.
  • Найти события.
  • Найти на TIP.
  • Создать правило запрета.
  • Скопировать значение в буфер.
• IP-адрес назначения
  • Найти события.
• Состояние обнаружения:
  • Назначить мне.
  • Закрыть обнаружение.

Модуль Intrusion Detection System консолидирует информацию об обработанных сетевых событиях в одном обнаружении при одновременном соблюдении следующих условий:

• для сетевых событий совпадает название сработавшего правила, версия баз приложения и источник;
• между событиями прошло не более 24 часов.

Для всех сетевых событий, удовлетворяющих этим условиям, отображается одно обнаружение. В уведомлении об обнаружении содержится информация только о первом сетевом событии.