Kaspersky Anti Targeted Attack Platform
Kaspersky Anti Targeted Attack Platform – решение (далее также "программа"), предназначенное для защиты IT-инфраструктуры организации и своевременного обнаружения таких угроз, как, например, атаки "нулевого дня", целевые атаки и сложные целевые атаки advanced persistent threats (далее также "APT"). Программа разработана для корпоративных пользователей.
Программа Kaspersky Anti Targeted Attack Platform включает в себя два функциональных блока:
Программа может получать и обрабатывать данные следующими способами:
Программа использует следующие средства анализа угроз (Threat Intelligence):
- Инфраструктуру облачных служб Kaspersky Security Network (далее также "KSN"), предоставляющую доступ к оперативной базе знаний "Лаборатории Касперского" о репутации файлов, веб-ресурсов и программного обеспечения. Использование данных Kaspersky Security Network обеспечивает более высокую скорость реакции программ "Лаборатории Касперского" на угрозы, повышает эффективность работы некоторых компонентов защиты, а также снижает вероятность ложных срабатываний.
- Интеграцию с программой "Лаборатории Касперского" Kaspersky Private Security Network (далее также "KPSN"), предоставляющую пользователю возможность получать доступ к репутационным базам KSN, а также другим статистическим данным, не отправляя данные в KSN со своих компьютеров.
- Интеграцию с информационной системой "Лаборатории Касперского" Kaspersky Threat Intelligence Portal, которая содержит и отображает информацию о репутации файлов и URL-адресов.
Программа может предоставлять пользователю результаты своей работы и анализа угроз следующими способами:
- Отображать результаты работы в веб-интерфейсе серверов Central Node, PCN или SCN.
- Публиковать обнаружения в SIEM-систему, которая уже используется в вашей организации, по протоколу Syslog.
- Интегрироваться с внешними системами с помощью интерфейса REST API и по запросу отправлять данные об обнаружениях программы во внешние системы.
- Публиковать информацию об обнаружениях компонента Sandbox в локальную репутационную базу Kaspersky Private Security Network.
Пользователи Старший сотрудник службы безопасности и Сотрудник службы безопасности могут выполнять следующие действия в программе:
- Осуществлять мониторинг работы программы.
- Просматривать таблицу обнаруженных признаков целевых атак и вторжений в IT-инфраструктуру организации, осуществлять фильтрацию и поиск обнаружений, просмотр и работу с каждым обнаружением.
- Просматривать таблицу событий, происходящих на компьютерах и серверах, входящих в IT-инфраструктуру организации, осуществлять поиск угроз, фильтрацию, просмотр и работу с каждым событием.
- Выполнять задачи на хостах с компонентом Endpoint Sensors: запускать программы и останавливать процессы, скачивать и удалять файлы, помещать объекты и их копии в Хранилище и Карантин, а также восстанавливать их из Карантина.
- Настраивать политики запрета запуска файлов и процессов, которые они считают небезопасными, на выбранных хостах с компонентом Endpoint Sensors.
- Изолировать отдельные хосты с компонентом Endpoint Sensors от сети.
- Работать с объектами и их копиями в Хранилище и Карантине.
- Работать с файлами открытого стандарта описания индикаторов компрометации OpenIOC (IOC-файлы) для поиска признаков целевых атак, зараженных и возможно зараженных объектов на хостах с компонентом Endpoint Sensors и в базе обнаружений.
- Работать с индикаторами атак (IOA) для классификации и анализа событий.
- Управлять отчетами о работе программы и отчетами об обнаружениях.
- Настраивать отправку уведомлений об обнаружениях и о проблемах в работе программы на адреса электронной почты пользователей.
- Работать со списком обнаружений со статусом VIP, с белым списком данных, наполнять локальную репутационную базу KPSN.
Пользователи Локальный администратор и Администратор могут выполнять следующие действия в программе:
- Настраивать параметры работы программы.
- Настраивать серверы для работы в режиме распределенного решения и multitenancy.
- Производить интеграцию программы с другими программами и системами.
- Управлять учетными записями пользователей программы.
- Осуществлять мониторинг работоспособности программы.
Программа обнаруживает следующие события, происходящие внутри IT-инфраструктуры организации:
- На компьютер локальной сети организации был загружен файл или была предпринята попытка загрузки файла.
- На адрес электронной почты пользователя локальной сети организации был отправлен файл.
- На компьютере локальной сети организации была открыта ссылка на веб-сайт.
- IP-адрес или доменное имя компьютера локальной сети организации были замечены в сетевой активности.
- На компьютере локальной сети организации были запущены процессы.
Kaspersky Anti Targeted Attack Platform оценивает события и рекомендует пользователю обратить внимание на каждое обнаруженное событие (обнаружение) в соответствии с тем, какое влияние это обнаружение может оказать на безопасность компьютера или локальной сети вашей организации, по опыту "Лаборатории Касперского".
Пользователь Kaspersky Anti Targeted Attack Platform самостоятельно принимает решение о дальнейших действиях над обнаружениями.
В начало