Kaspersky Anti Targeted Attack Platform

Kaspersky Anti Targeted Attack Platform – решение (далее также "программа"), предназначенное для защиты IT-инфраструктуры организации и своевременного обнаружения таких угроз, как, например, атаки "нулевого дня", целевые атаки и сложные целевые атаки advanced persistent threats (далее также "APT"). Программа разработана для корпоративных пользователей.

Программа Kaspersky Anti Targeted Attack Platform включает в себя два функциональных блока:

Kaspersky Anti Targeted Attack (далее также "KATA"), обеспечивающий защиту периметра IT-инфраструктуры предприятия.
Kaspersky Endpoint Detection and Response (далее также "KEDR"), обеспечивающий защиту компьютеров локальной сети организации.
KEDR лицензируется отдельно от KATA. Для активации этой функциональности вам нужно использовать отдельный ключ. Вы можете приобрести KEDR вместе с KATA или отдельно от нее.

Программа может получать и обрабатывать данные следующими способами:

Интегрироваться в локальную сеть, получать и обрабатывать зеркалированный SPAN-, ERSPAN- и RSPAN-трафик и извлекать объекты и метаинформацию HTTP-, FTP-, SMTP- и DNS-протоколов.
Копия трафика, перенаправляемая с одного порта коммутатора на другой порт этого же коммутатора (локальное зеркалирование) или на удаленный коммутатор (удаленное зеркалирование). Администратор сети может настроить, какую часть трафика зеркалировать для передачи в Kaspersky Anti Targeted Attack Platform.
Подключаться к прокси-серверу по протоколу ICAP, получать и обрабатывать данные HTTP- и FTP-трафика, а также HTTPS-трафика, если администратор настроил подмену SSL-сертификата на прокси-сервере.
Подключаться к почтовому серверу по протоколам POP3(S) и SMTP, получать и обрабатывать копии сообщений электронной почты.
Интегрироваться с программами "Лаборатории Касперского" Kaspersky Secure Mail Gateway и Kaspersky Security для Linux® Mail Server, получать и обрабатывать копии сообщений электронной почты.
Вы можете получить подробную информацию о Kaspersky Secure Mail Gateway и Kaspersky Security для Linux Mail Server из документации к этим программам.
Интегрироваться с внешними системами с помощью интерфейса REST API и проверять файлы на этих системах.
Получать данные с отдельных компьютеров, входящих в IT-инфраструктуру организации и работающих под управлением операционной системы Microsoft® Windows®, осуществлять постоянное наблюдение за процессами, запущенными на этих компьютерах, открытыми сетевыми соединениями и изменяемыми файлами.
- Компонент Kaspersky Anti Targeted Attack Platform Endpoint Sensors может устанавливаться на отдельные компьютеры и получать данные с этих компьютеров.
- Kaspersky Anti Targeted Attack Platform может интегрироваться с программой "Лаборатории Касперского" Kaspersky Endpoint Security для Windows (далее также "KES").
  Вы можете получить подробную информацию о Kaspersky Endpoint Security для Windows из Справки Kaspersky Endpoint Security.

Программа использует следующие средства анализа угроз (Threat Intelligence):

Инфраструктуру облачных служб Kaspersky Security Network (далее также "KSN"), предоставляющую доступ к оперативной базе знаний "Лаборатории Касперского" о репутации файлов, веб-ресурсов и программного обеспечения. Использование данных Kaspersky Security Network обеспечивает более высокую скорость реакции программ "Лаборатории Касперского" на угрозы, повышает эффективность работы некоторых компонентов защиты, а также снижает вероятность ложных срабатываний.
Интеграцию с программой "Лаборатории Касперского" Kaspersky Private Security Network (далее также "KPSN"), предоставляющую пользователю возможность получать доступ к репутационным базам KSN, а также другим статистическим данным, не отправляя данные в KSN со своих компьютеров.
Интеграцию с информационной системой "Лаборатории Касперского" Kaspersky Threat Intelligence Portal, которая содержит и отображает информацию о репутации файлов и URL-адресов.

Программа может предоставлять пользователю результаты своей работы и анализа угроз следующими способами:

Отображать результаты работы в веб-интерфейсе серверов Central Node, PCN или SCN.
Публиковать обнаружения в SIEM-систему, которая уже используется в вашей организации, по протоколу Syslog.
Интегрироваться с внешними системами с помощью интерфейса REST API и по запросу отправлять данные об обнаружениях программы во внешние системы.
Публиковать информацию об обнаружениях компонента Sandbox в локальную репутационную базу Kaspersky Private Security Network.
База данных репутаций объектов (файлов или URL-адресов), которая хранится на сервере Kaspersky Private Security Network, а не на серверах Kaspersky Security Network. Управление локальными репутационными базами осуществляется администратором KPSN.

Пользователи Старший сотрудник службы безопасности и Сотрудник службы безопасности могут выполнять следующие действия в программе:

Осуществлять мониторинг работы программы.
Просматривать таблицу обнаруженных признаков целевых атак и вторжений в IT-инфраструктуру организации, осуществлять фильтрацию и поиск обнаружений, просмотр и работу с каждым обнаружением.
Просматривать таблицу событий, происходящих на компьютерах и серверах, входящих в IT-инфраструктуру организации, осуществлять поиск угроз, фильтрацию, просмотр и работу с каждым событием.
Выполнять задачи на хостах с компонентом Endpoint Sensors: запускать программы и останавливать процессы, скачивать и удалять файлы, помещать объекты и их копии в Хранилище и Карантин, а также восстанавливать их из Карантина.
Настраивать политики запрета запуска файлов и процессов, которые они считают небезопасными, на выбранных хостах с компонентом Endpoint Sensors.
Изолировать отдельные хосты с компонентом Endpoint Sensors от сети.
Работать с объектами и их копиями в Хранилище и Карантине.
Работать с файлами открытого стандарта описания индикаторов компрометации OpenIOC (IOC-файлы) для поиска признаков целевых атак, зараженных и возможно зараженных объектов на хостах с компонентом Endpoint Sensors и в базе обнаружений.
Работать с индикаторами атак (IOA) для классификации и анализа событий.
Управлять отчетами о работе программы и отчетами об обнаружениях.
Настраивать отправку уведомлений об обнаружениях и о проблемах в работе программы на адреса электронной почты пользователей.
Работать со списком обнаружений со статусом VIP, с белым списком данных, наполнять локальную репутационную базу KPSN.

Пользователи Локальный администратор и Администратор могут выполнять следующие действия в программе:

Настраивать параметры работы программы.
Настраивать серверы для работы в режиме распределенного решения и multitenancy.
Производить интеграцию программы с другими программами и системами.
Управлять учетными записями пользователей программы.
Осуществлять мониторинг работоспособности программы.

Программа обнаруживает следующие события, происходящие внутри IT-инфраструктуры организации:

На компьютер локальной сети организации был загружен файл или была предпринята попытка загрузки файла.
На адрес электронной почты пользователя локальной сети организации был отправлен файл.
На компьютере локальной сети организации была открыта ссылка на веб-сайт.
IP-адрес или доменное имя компьютера локальной сети организации были замечены в сетевой активности.
На компьютере локальной сети организации были запущены процессы.

Kaspersky Anti Targeted Attack Platform оценивает события и рекомендует пользователю обратить внимание на каждое обнаруженное событие (обнаружение) в соответствии с тем, какое влияние это обнаружение может оказать на безопасность компьютера или локальной сети вашей организации, по опыту "Лаборатории Касперского".

Пользователь Kaspersky Anti Targeted Attack Platform самостоятельно принимает решение о дальнейших действиях над обнаружениями.

См. также

Справка Kaspersky Anti Targeted Attack Platform

О предоставлении данных

Лицензирование программы

Архитектура программы

Принцип работы программы

Распределенное решение и режим multitenancy

Руководство по масштабированию

Установка и первоначальная настройка решения

Начало работы с программой

Управление учетными записями администраторов и пользователей программы