Информация о коммерческом релизе Kaspersky Anti Targeted Attack Platform 3.0
Коммерческий релиз Kaspersky Anti Targeted Attack Platform 3.0 состоялся 27 декабря 2017 года.
В состав Kaspersky Anti Targeted Attack Platform входят компоненты:
- Sensor. Выполняет прием данных. В качестве компонента Sensor также может использоваться сервер или виртуальная машина, на которой установлена программа «Лаборатории Касперского» Kaspersky Secure Mail Gateway (KSMG). KSMG выполняет поиск данных в почтовом трафике. По результатам обработки сообщений электронной почты в Kaspersky Anti Targeted Attack Platform, KSMG может блокировать пересылку сообщений.
- Central Node. Выполняет проверку данных, исследование поведения объектов, публикацию результатов исследования в веб-интерфейс программы.
- Sandbox. Запускает виртуальные образы операционных систем (32-разрядной Windows XP SP3, 32-разрядной Windows 7 и 64-разрядной Windows 7). Запускает файлы в этих операционных системах и отслеживает поведение файлов в каждой операционной системе для выявления вредоносной активности и признаков целевых атак и вторжений в IT-инфраструктуру организации.
- Endpoint Sensors. Устанавливается на отдельные компьютеры, которые входят в IT-инфраструктуру организации и работают под управлением операционной системы Microsoft Windows. Осуществляет постоянное наблюдение за процессами на этих компьютерах, открытыми сетевыми соединениями и изменяемыми файлами. В качестве компонента Endpoint Sensors также может использоваться агент, который встроен в программу Kaspersky Endpoint Security for Windows (KES) «Лаборатории Касперского».
Что нового в Kaspersky Anti Targeted Attack 3.0
- Решение Kaspersky Anti Targeted Attack Platform включает два функциональных блока:
- Kaspersky Anti Targeted Attack (KATA). Обеспечивает периметральную защиту IT-инфраструктуры предприятия.
- Kaspersky Endpoint Detection and Response (KEDR). Обеспечивает защиту рабочих станций сети предприятия. KEDR лицензируется отдельно от KATA. Для активации этой функциональности вам нужно использовать отдельный ключ. Вы можете приобрести KEDR вместе с KATA или отдельно от нее.
- С функциональностью KEDR добавлены возможности:
- Создана система хранения событий с рабочих станций на сервере Central Node (например, запуск и завершение процессов, загрузка DLL, попытки соединения с удаленным хостом, отправка HTTP-запросов, создание файлов, события SuccessfulLogin и FailedLogin журнала событий Windows).
- Создан интерфейс для поиска и просмотра данных мониторинга рабочих станций. Реализована визуализация дерева событий с рабочих станций.
- Создан интерфейс для реагирования на события, которые обнаруживаются на рабочих станциях. Доступны следующие действия: Kill Process (завершить процесс), Delete File (удалить файл), Get File (получить файл с рабочей станции и отправить в хранилище на сервере Central Node), Quarantine File (удалить файл на рабочей станции и отправить в Карантин на сервере Central Node), Restore File (восстановить файл из Карантина), Run Program (запустить программу).
- Добавлена блокировка запуска исполняемых файлов и скриптов, открытия документов Microsoft Office на рабочих станциях с возможностью настроить правила блокировки на всех или выбранных рабочих станциях.
- Добавлена проверка на наличие индикаторов компрометации (IOC-проверка) в базе событий с рабочих станций. Добавлена IOC-проверка непосредственно на рабочих станциях. Используется формат описания индикаторов компрометации OpenIOC.
- Добавлена возможность получения файлов с рабочих станций. Полученные файлы помещаются в специальные хранилища — Хранилище и Карантин. Все файлы, которые помещаются в хранилища, по умолчанию проходят проверку технологиями AM, YARA и Sandbox.
- В веб-интерфейс программы добавлен раздел Отчеты, в котором вы можете создавать отчеты по обнаружениям в форме таблиц и графиков, а также настраивать их дизайн, например, для публикации отчетов на фирменном бланке вашей компании.
- Появилась возможность интеграции Kaspersky Anti Targeted Attack Platform с программой «Лаборатории Касперского» Kaspersky Security Center (KSC) версии 10 SP3. После интеграции доступны: удаленная установка, удаление, включение, отключение, мониторинг состояния работы компонента Endpoint Sensors на рабочих станциях сети. Добавлена возможность получения сведений о работе Endpoint Sensors в интерфейсе KSC и в веб-интерфейсе Kaspersky Anti Targeted Attack Platform.
- Реализована возможность использовать сервер Sensor в качестве посредника (прокси) при передаче трафика между компонентом Endpoint Sensors и сервером Central Node.
- Добавлена поддержка CEF-формата файлов для интеграции с SIEM-системами. Реализован веб-интерфейс настройки параметров интеграции с SIEM-системами.
- Добавлена IDS-проверка сетевой активности файлов, которые запускаются в Sandbox.
- Реализована визуализация дерева событий, которые были обнаружены в Sandbox.
- Реализована приоритетная очередь проверки почтового трафика с серверов программы «Лаборатории Касперского» Kaspersky Secure Mail Gateway (KSMG), который поступает с рабочих станций и размещается в Хранилище сервера Central Node.
- Реализована возможность обновления баз на серверах Sensor и Sandbox с сервера Central Node.
- Реализована возможность обновления Kaspersky Anti Targeted Attack Platform версия 2.0 до версии 3.0.
Подготовка к установке
Перед установкой программы подготовьте IT-инфраструктуру вашей организации. Для этого:
- Убедитесь, что серверы и компьютер, которые предназначены для работы с веб-интерфейсом программы, удовлетворяют аппаратным и программным требованиям.
- Убедитесь, что компьютеры, на которых устанавливается компонент Endpoint Sensors, удовлетворяют аппаратным и программным требованиям.
- Для обоих сетевых интерфейсов запретите доступ сервера с компонентом Sandbox в локальную сеть организации для обеспечения безопасности сети от анализируемых объектов.
- Для первого сетевого интерфейса разрешите доступ сервера с компонентом Sandbox в интернет для обновления баз и анализа поведения объектов.
- Для второго сетевого интерфейса разрешите входящее соединение сервера с компонентом Sandbox на порты 22 и 443.
- Разрешите соединение сервера с компонентом Central Node на порты 22, 80, 443, 8443, 161, 8081, 6379, 5432.
- Разрешите соединение сервера с компонентом Sensor на порты 22, 443, 161, 8081, 6379, 5432.
- Разрешите соединение сервера с компонентом Sandbox на порты 22, 443.
- Разрешите соединение компьютеров и серверов с компонентом Endpoint Sensors на порт 443.
- Разрешите входящее соединение компьютеров с компонентом Endpoint Sensors и сервера с компонентом Central Node напрямую, без использования прокси-сервера.
При необходимости вы можете назначить другие порты для работы компонентов программы в меню администратора сервера с компонентом Central Node. При изменении портов в меню администратора вам нужно разрешить соединения на эти порты внутри IT-инфраструктуры вашей организации.
Порядок установки компонентов программы
- Установите компонент Sandbox.
- Настройте компонент Sandbox через веб-интерфейс Sandbox.
- Установите образы операционных систем Microsoft Windows для работы компонента Sandbox.
- Установите компоненты Central Node и Sensor в зависимости от схемы развертывания и установки программы:
- Если вы используете схему развертывания на два сервера, установите компоненты Central Node и Sensor на одном сервере.
- Если вы используете схему развертывания на три и более серверов, установите компонент Central Node на одном сервере. Установите компонент Sensor на втором сервере или на нескольких серверах.
- Установите компонент Endpoint Sensors на компьютеры, которые входят в IT-инфраструктуру организации.
Начало работы
Чтобы начать работу в веб-интерфейсе:
- В браузере на компьютере, на котором разрешен доступ к серверу Central Node, введите IP-адрес сервера с компонентом Central Node.
- Введите имя пользователя и пароль доступа к веб-интерфейсу программы, которые вы задали на этапе установки и настройки компонента Central Node.
Чтобы начать работу в меню администратора программы в консоли управления сервером с компонентами программы:
- Зайдите в консоль управления сервера, параметры которого вы хотите изменить, по протоколу SSH или через терминал.
- Введите имя пользователя и пароль для работы в меню администратора, которые вы задали при установке компонента Sandbox.
Чтобы начать работу с программой в режиме Technical Support Mode:
- Войдите в консоль управления сервера, с которым вы хотите работать в режиме Technical Support Mode, по протоколу SSH или через терминал.
- Введите имя учетной записи администратора и пароль, которые вы задали при развертывании программы.
- В меню администратора программы выберите Technical Support Mode.
- Нажмите Enter на клавиатуре.
- Выберите Yes и нажмите Enter на клавиатуре.