Включение и отключение проверки ICAP-трафика в режиме реального времени
12 августа 2024
ID 255472
Включение и отключение проверки ICAP-трафика в режиме реального времени доступно, если включена интеграция с прокси-сервером по протоколу ICAP.
Если проверка ICAP-трафика в режиме реального времени включена, Kaspersky Anti Targeted Attack Platform передает информацию о проверенных объектах ICAP-клиенту в режиме реального времени. Это позволяет предотвратить скачивание вредоносных объектов и переход по недоверенным ссылкам.
Чтобы включить или отключить проверку ICAP-трафика в режиме реального времени на сервере с установленными компонентами Central Node и Sensor:
- В окне веб-интерфейса приложения выберите раздел Серверы Sensor.
Отобразится таблица Список серверов.
- Нажмите на компонент Sensor localhost.
- Выберите раздел ICAP-интеграция с прокси-сервером.
При включении интеграции в окне Параметры > <имя сервера Sensor> отобразится раздел Проверка в режиме реального времени.
- В блоке параметров Проверка в режиме реального времени выберите один из следующих вариантов:
- Отключено.
При выборе этого варианта проверка ICAP-трафика в режиме реального времени будет отключена. По умолчанию выбран этот вариант.
- Включено, стандартная проверка трафика ICAP.
При включении этого типа проверки репутация файлов и URL-адресов проверяется в базе знаний Kaspersky Security Network, файлы проверяются компонентом Sandbox и модулями Anti-Malware Engine и YARA. Во время проверки компонентом Sandbox файлы будут доступны.
- Включено, усиленная проверка трафика ICAP.
При включении этого типа проверки репутация файлов и URL-адресов проверяется в базе знаний Kaspersky Security Network, файлы проверяются компонентом Sandbox и модулями Anti-Malware Engine и YARA. Во время проверки компонентом Sandbox файлы не будут доступны.
- Отключено.
- Нажмите на кнопку Применить.
- Если вы включили проверку ICAP-трафика в режиме реального времени и установили режим усиленной проверки или режим стандартной проверки, в поле Хост отобразится URL-адрес службы Request Modification (REQMOD), обрабатывающей исходящий трафик, в формате icap://<host>:1344/av/reqmod,
где <host> –
IP-адрес сервера с установленным компонентом Sensor. Для настройки интеграции с Kaspersky Anti Targeted Attack Platform скопируйте URL-адрес и укажите его в параметрах прокси-сервера, который используется в вашей организации.
Проверка ICAP-трафика в режиме реального времени будет включена или отключена.
Чтобы включить или отключить проверку ICAP-трафика в режиме реального времени на отдельном сервере с компонентом Sensor:
- Войдите в консоль управления сервера Sensor по протоколу SSH или через терминал.
- В ответ на приглашение системы введите имя учетной записи администратора и пароль, заданный при установке приложения.
Откроется меню параметров компонента Sensor. Если меню не открылось, введите команду
kata-admin-menu
и - Перейдите в раздел Program settings → Configure ICAP integration.
Для выбора строки вы можете использовать клавиши ↑, ↓ и ENTER. Выбранная строка подсвечивается красным.
- В открывшемся окне убедитесь, что справа от параметра Enabled установлено значение [x].
- Выберите один из следующих вариантов:
- Disable real-time scanning.
При выборе этого варианта проверка ICAP-трафика в режиме реального времени будет отключена. По умолчанию выбран этот вариант.
- Standard ICAP scanning.
При включении этого типа проверки репутация файлов и URL-адресов проверяется в базе знаний Kaspersky Security Network, файлы проверяются модулями Anti-Malware Engine и YARA.
- Advanced ICAP scanning.
При включении этого типа проверки репутация файлов и URL-адресов проверяется в базе знаний Kaspersky Security Network, файлы проверяются компонентом Sandbox и модулями Anti-Malware Engine и YARA.
- Disable real-time scanning.
- Выберите необходимый вариант и нажмите на клавишу ENTER. Справа от выбранного значения отобразится (O).
Для выбора строки вы можете использовать клавиши ↑ и ↓. Выбранная строка подсвечивается красным.
- Если вы включили проверку ICAP-трафика в режиме реального времени и установили режим усиленной проверки или режим стандартной проверки, укажите в параметрах используемого в вашей организации прокси-сервера URL-адрес, который отображается в поле REQMOD.
Проверка ICAP-трафика в режиме реального времени на отдельном сервере с компонентом Sensor будет включена или отключена.
Если вы включили проверку ICAP-трафика в режиме реального времени, при отключении интеграции с прокси-сервером проверка не будет работать. Все параметры проверки ICAP-трафика сохраняются. При следующем включении интеграции с прокси-сервером проверка ICAP-трафика также будет включена.