Kaspersky Anti Targeted Attack (KATA) Platform

Включение и отключение проверки ICAP-трафика в режиме реального времени

14 мая 2024

ID 255472

Включение и отключение проверки ICAP-трафика в режиме реального времени доступно, если включена интеграция с прокси-сервером по протоколу ICAP.

Если проверка ICAP-трафика в режиме реального времени включена, Kaspersky Anti Targeted Attack Platform передает информацию о проверенных объектах ICAP-клиенту в режиме реального времени. Это позволяет предотвратить скачивание вредоносных объектов и переход по недоверенным ссылкам.

Чтобы включить или отключить проверку ICAP-трафика в режиме реального времени на сервере с установленными компонентами Central Node и Sensor:

  1. В окне веб-интерфейса приложения выберите раздел Серверы Sensor.

    Отобразится таблица Список серверов.

  2. Нажмите на компонент Sensor localhost.
  3. Выберите раздел ICAP-интеграция с прокси-сервером.

    При включении интеграции в окне Параметры > <имя сервера Sensor> отобразится раздел Проверка в режиме реального времени.

  4. В блоке параметров Проверка в режиме реального времени выберите один из следующих вариантов:
    • Отключено.

      При выборе этого варианта проверка ICAP-трафика в режиме реального времени будет отключена. По умолчанию выбран этот вариант.

    • Включено, стандартная проверка трафика ICAP.

      При включении этого типа проверки репутация файлов и URL-адресов проверяется в базе знаний Kaspersky Security Network, файлы проверяются компонентом Sandbox и модулями Anti-Malware Engine и YARA. Во время проверки компонентом Sandbox файлы будут доступны.

    • Включено, усиленная проверка трафика ICAP.

      При включении этого типа проверки репутация файлов и URL-адресов проверяется в базе знаний Kaspersky Security Network, файлы проверяются компонентом Sandbox и модулями Anti-Malware Engine и YARA. Во время проверки компонентом Sandbox файлы не будут доступны.

  5. Нажмите на кнопку Применить.
  6. Если вы включили проверку ICAP-трафика в режиме реального времени и установили режим усиленной проверки или режим стандартной проверки, в поле Хост отобразится URL-адрес службы Request Modification (REQMOD), обрабатывающей исходящий трафик, в формате icap://<host>:1344/av/reqmod, где <host> – IP-адрес сервера с установленным компонентом Sensor. Для настройки интеграции с Kaspersky Anti Targeted Attack Platform скопируйте URL-адрес и укажите его в параметрах прокси-сервера, который используется в вашей организации.

Проверка ICAP-трафика в режиме реального времени будет включена или отключена.

Чтобы включить или отключить проверку ICAP-трафика в режиме реального времени на отдельном сервере с компонентом Sensor:

  1. Войдите в консоль управления сервера Sensor по протоколу SSH или через терминал.
  2. В ответ на приглашение системы введите имя учетной записи администратора и пароль, заданный при установке приложения.

    Откроется меню параметров компонента Sensor. Если меню не открылось, введите команду kata-admin-menu и нажмите на клавишу ENTER.

  3. Перейдите в раздел Program settings → Configure ICAP integration.

    Для выбора строки вы можете использовать клавиши ↑, ↓ и ENTER. Выбранная строка подсвечивается красным.

  4. В открывшемся окне убедитесь, что справа от параметра Enabled установлено значение [x].
  5. Выберите один из следующих вариантов:
    • Disable real-time scanning.

      При выборе этого варианта проверка ICAP-трафика в режиме реального времени будет отключена. По умолчанию выбран этот вариант.

    • Standard ICAP scanning.

      При включении этого типа проверки репутация файлов и URL-адресов проверяется в базе знаний Kaspersky Security Network, файлы проверяются модулями Anti-Malware Engine и YARA.

    • Advanced ICAP scanning.

      При включении этого типа проверки репутация файлов и URL-адресов проверяется в базе знаний Kaspersky Security Network, файлы проверяются компонентом Sandbox и модулями Anti-Malware Engine и YARA.

  6. Выберите необходимый вариант и нажмите на клавишу ENTER. Справа от выбранного значения отобразится (O).

    Для выбора строки вы можете использовать клавиши ↑ и ↓. Выбранная строка подсвечивается красным.

  7. Если вы включили проверку ICAP-трафика в режиме реального времени и установили режим усиленной проверки или режим стандартной проверки, укажите в параметрах используемого в вашей организации прокси-сервера URL-адрес, который отображается в поле REQMOD.

Проверка ICAP-трафика в режиме реального времени на отдельном сервере с компонентом Sensor будет включена или отключена.

Если вы включили проверку ICAP-трафика в режиме реального времени, при отключении интеграции с прокси-сервером проверка не будет работать. Все параметры проверки ICAP-трафика сохраняются. При следующем включении интеграции с прокси-сервером проверка ICAP-трафика также будет включена.

Вам помогла эта статья?
Что нам нужно улучшить?
Спасибо за ваш отзыв, вы помогаете нам становиться лучше!
Спасибо за ваш отзыв, вы помогаете нам становиться лучше!