Kaspersky Anti Targeted Attack (KATA) Platform

Kaspersky Anti Targeted Attack Platform

14 мая 2024

ID 246848

Kaspersky Anti Targeted Attack Platform – решение (далее также "приложение"), предназначенное для защиты IT-инфраструктуры организации и своевременного обнаружения таких угроз, как атаки "нулевого дня", целевые атаки и сложные целевые атаки advanced persistent threats (далее также "APT"). Решение разработано для корпоративных пользователей.

Решение Kaspersky Anti Targeted Attack Platform включает в себя три функциональных блока:

  • Kaspersky Anti Targeted Attack (далее также "KATA"), обеспечивающий защиту периметра IT-инфраструктуры предприятия.
  • Kaspersky Endpoint Detection and Response (далее также "KEDR"), обеспечивающий защиту компьютеров локальной сети организации.
  • Network Detection and Response (далее также "NDR"), обеспечивающий защиту внутренней сети предприятия.

Решение может получать и обрабатывать данные следующими способами:

  • Интегрироваться в локальную сеть, получать и обрабатывать зеркалированный SPAN-, ERSPAN- и RSPAN-трафик и извлекать объекты и метаинформацию HTTP-, HTTP2, FTP-, SMTP- и DNS-, SMB- и NFS-протоколов.
  • Подключаться к прокси-серверу по протоколу ICAP, получать и обрабатывать данные HTTP-, HTTP2- и FTP-трафика, а также HTTPS-трафика, если администратор настроил подмену SSL-сертификата на прокси-сервере.
  • Подключаться к почтовому серверу по протоколам POP3(S) и SMTP, получать и обрабатывать копии сообщений электронной почты.
  • Интегрироваться с приложениями "Лаборатории Касперского" Kaspersky Secure Mail Gateway и Kaspersky Security для Linux Mail Server, получать и обрабатывать копии сообщений электронной почты.

    Вы можете получить подробную информацию о Kaspersky Secure Mail Gateway и Kaspersky Security для Linux Mail Server из документации к этим приложениям.

  • Интегрироваться с приложениями Kaspersky Endpoint Agent и Kaspersky Endpoint Security и получать данные (события) с отдельных компьютеров, входящих в IT-инфраструктуру организации и работающих под управлением операционных систем Microsoft® Windows® и Linux®. Приложения осуществляют постоянное наблюдение за процессами, запущенными на этих компьютерах, открытыми сетевыми соединениями и изменяемыми файлами.
  • Интегрироваться с внешними системами с помощью интерфейса REST API и проверять файлы на этих системах.

Решение использует следующие средства анализа угроз (Threat Intelligence):

  • Инфраструктуру облачных служб Kaspersky Security Network (далее также "KSN"), предоставляющую доступ к оперативной базе знаний "Лаборатории Касперского" о репутации файлов, веб-ресурсов и программного обеспечения. Использование данных Kaspersky Security Network обеспечивает более высокую скорость реакции приложений "Лаборатории Касперского" на угрозы, повышает эффективность работы некоторых компонентов защиты, а также снижает вероятность ложных срабатываний.
  • Интеграцию с приложением "Лаборатории Касперского" Kaspersky Private Security Network (далее также "KPSN"), предоставляющую пользователю возможность получать доступ к репутационным базам KSN, а также другим статистическим данным, не отправляя данные в KSN со своих компьютеров.
  • Интеграцию с информационной системой "Лаборатории Касперского" Kaspersky Threat Intelligence Portal, которая содержит и отображает информацию о репутации файлов и URL-адресов.
  • Базу угроз "Лаборатории Касперского" Kaspersky Threats.

Решение может обнаружить следующие события, происходящие внутри IT-инфраструктуры организации:

  • На компьютер локальной сети организации был загружен файл или была предпринята попытка загрузки файла.
  • На адрес электронной почты пользователя локальной сети организации был отправлен файл.
  • На компьютере локальной сети организации была открыта ссылка на веб-сайт.
  • IP-адрес или доменное имя компьютера локальной сети организации были замечены в сетевой активности.
  • На компьютере локальной сети организации были запущены процессы.

Приложение может предоставлять пользователю результаты своей работы и анализа угроз следующими способами:

  • Отображать результаты работы в веб-интерфейсе серверов Central Node, Primary Central Node (далее также PCN) или Secondary Central Node (далее также SCN).
  • Публиковать обнаружения в SIEM-систему, которая уже используется в вашей организации, по протоколу Syslog.
  • Интегрироваться с внешними системами с помощью интерфейса REST API и по запросу отправлять данные об обнаружениях и событиях решения во внешние системы.
  • Публиковать информацию об обнаружениях компонента Sandbox в локальную репутационную базу Kaspersky Private Security Network.

Пользователи Старший сотрудник службы безопасности и Сотрудник службы безопасности могут выполнять следующие действия в приложении:

  • Осуществлять мониторинг работы компонентов решения.
  • Просматривать таблицу обнаруженных признаков целевых атак и вторжений в IT-инфраструктуру организации, осуществлять фильтрацию и поиск обнаружений, просмотр и работу с каждым обнаружением, выполнять рекомендации по оценке и расследованию инцидентов.
  • Просматривать таблицу событий, происходящих на компьютерах и серверах, входящих в IT-инфраструктуру организации, осуществлять поиск угроз, фильтрацию, просмотр и работу с каждым событием, выполнять рекомендации по оценке и расследованию инцидентов.
  • Выполнять задачи на компьютерах с Kaspersky Endpoint Agent и Kaspersky Endpoint Security: запускать приложения и останавливать процессы, скачивать и удалять файлы, помещать объекты на карантин на компьютерах с приложениями Kaspersky Endpoint Agent и Kaspersky Endpoint Security, копии файлов в Хранилище Kaspersky Anti Targeted Attack Platform, а также восстанавливать файлы из карантина.
  • Настраивать политики запрета запуска файлов и процессов, которые они считают небезопасными, на выбранных компьютерах с приложениями Kaspersky Endpoint Agent и Kaspersky Endpoint Security.
  • Изолировать отдельные компьютеры с приложениями Kaspersky Endpoint Agent и Kaspersky Endpoint Security от сети.
  • Работать с правилами TAA (IOA) для классификации и анализа событий.
  • Работать с пользовательскими правилами Targeted Attack Analyzer TAA (IOA), Intrusion Detection System (IDS) и YARA: загружать правила, по которым приложение будет проверять события и создавать обнаружения.
  • Работать с файлами открытого стандарта описания индикаторов компрометации OpenIOC (IOC-файлы) для поиска признаков целевых атак, зараженных и возможно зараженных объектов на хостах с компонентом Endpoint Agent и в базе обнаружений.
  • Добавлять правила TAA (IOA) и правила IDS, предоставленные специалистами "Лаборатории Касперского", в исключения из проверки.
  • Работать с объектами на карантине и копиями объектов в Хранилище.
  • Управлять отчетами о работе приложения и отчетами об обнаружениях.
  • Настраивать отправку уведомлений об обнаружениях и о проблемах в работе приложения на адреса электронной почты пользователей.
  • Работать со списком обнаружений со статусом VIP, со списком данных, исключенных из проверки, наполнять локальную репутационную базу KPSN.
  • Сохранять и выгружать копии сырого сетевого трафика для анализа во внешних системах.

Пользователи с ролью Аудитор могут выполнять следующие действия в приложении:

  • Осуществлять мониторинг работы компонентов решения.
  • Просматривать таблицу обнаруженных признаков целевых атак и вторжений в IT-инфраструктуру организации, осуществлять фильтрацию и поиск обнаружений, просматривать данные каждого обнаружения.
  • Просматривать таблицу событий, происходящих на компьютерах и серверах, входящих в IT-инфраструктуру организации, осуществлять поиск угроз, фильтрацию, просмотр каждого события.
  • Просматривать список хостов с компонентом Endpoint Agent и информацию о выбранных хостах.
  • Просматривать пользовательские правила Targeted Attack Analyzer TAA (IOA), Intrusion Detection System (IDS) и YARA.
  • Просматривать исключенные из проверки правила TAA (IOA) и правила IDS, предоставленные специалистами "Лаборатории Касперского".
  • Просматривать отчеты о работе приложения и отчеты об обнаружениях.
  • Просматривать список обнаружений со статусом VIP, список данных, исключенных из проверки.
  • Просматривать все настройки, производимые в веб-интерфейсе приложения.
  • Сохранять и выгружать копии сырого сетевого трафика для анализа во внешних системах.

Пользователи Локальный администратор и Администратор могут выполнять следующие действия в приложении:

  • Настраивать параметры работы приложения.
  • Настраивать серверы для работы в режиме распределенного решения и мультитенантности.
  • Производить интеграцию приложения с другими приложениями и системами.
  • Работать с TLS-сертификатами и настраивать доверенное соединение сервера Central Node c сервером Sandbox, а также серверов Kaspersky Anti Targeted Attack Platform c компонентом Endpoint Agent и с внешними системами.
  • Управлять учетными записями пользователей приложения.
  • Осуществлять мониторинг работоспособности приложения.

См. также

Справка Kaspersky Anti Targeted Attack Platform

Предоставление данных

Лицензирование приложения

Архитектура приложения

Принцип работы приложения

Распределенное решение и мультитенантность

Руководство по масштабированию

Установка и первоначальная настройка приложения

Настройка параметров масштабирования приложения

Настройка интеграции Kaspersky Anti Targeted Attack Platform с компонентом Endpoint Agent

Начало работы с приложением

Управление учетными записями администраторов и пользователей приложения

Аутентификация с помощью доменных учетных записей

Участие в Kaspersky Security Network и использование Kaspersky Private Security Network

Работа с компонентом Sandbox через веб-интерфейс

Администратору: работа в веб-интерфейсе приложения

Сотруднику службы безопасности: работа в веб-интерфейсе приложения

Работа с пользовательскими правилами Sandbox

Отправка уведомлений

Управление приложением Kaspersky Endpoint Agent для Windows

Управление приложением Kaspersky Endpoint Security для Windows

Управление приложением Kaspersky Endpoint Security для Linux

Управление приложением Kaspersky Endpoint Security для Mac

Создание резервной копии и восстановление приложения

Обновление Kaspersky Anti Targeted Attack Platform

Взаимодействие с внешними системами по API

Источники информации о приложении

Обращение в Службу технической поддержки

Информация о стороннем коде

Уведомления о товарных знаках

В этом разделе справки

Что нового

О Kaspersky Threat Intelligence Portal

Комплект поставки

Аппаратные и программные требования

Ограничения

Вам помогла эта статья?
Что нам нужно улучшить?
Спасибо за ваш отзыв, вы помогаете нам становиться лучше!
Спасибо за ваш отзыв, вы помогаете нам становиться лучше!