Kaspersky Anti Targeted Attack Platform

Kaspersky Anti Targeted Attack Platform – решение (далее также "программа"), предназначенное для защиты IT-инфраструктуры организации и своевременного обнаружения таких угроз, как атаки "нулевого дня", целевые атаки и сложные целевые атаки advanced persistent threats (далее также "APT"). Программа разработана для корпоративных пользователей.

Программа Kaspersky Anti Targeted Attack Platform включает в себя два функциональных блока:

• Kaspersky Anti Targeted Attack (далее также "KATA"), обеспечивающий защиту периметра IT-инфраструктуры предприятия.
• Kaspersky Endpoint Detection and Response (далее также "KEDR"), обеспечивающий защиту компьютеров локальной сети организации.

  KEDR лицензируется отдельно от KATA. Для активации этой функциональности вам нужно использовать отдельный ключ. Вы можете приобрести KEDR вместе с KATA или отдельно от нее.

Программа может получать и обрабатывать данные следующими способами:

• Интегрироваться в локальную сеть, получать и обрабатывать зеркалированный SPAN-, ERSPAN- и RSPAN-трафик и извлекать объекты и метаинформацию HTTP-, FTP-, SMTP- и DNS-протоколов.

  Копия трафика, перенаправляемая с одного порта коммутатора на другой порт этого же коммутатора (локальное зеркалирование) или на удаленный коммутатор (удаленное зеркалирование). Администратор сети может настроить, какую часть трафика зеркалировать для передачи в Kaspersky Anti Targeted Attack Platform.

• Подключаться к прокси-серверу по протоколу ICAP, получать и обрабатывать данные HTTP- и FTP-трафика, а также HTTPS-трафика, если администратор настроил подмену SSL-сертификата на прокси-сервере.
• Подключаться к почтовому серверу по протоколам POP3(S) и SMTP, получать и обрабатывать копии сообщений электронной почты.
• Интегрироваться с программами "Лаборатории Касперского" Kaspersky Secure Mail Gateway и Kaspersky Security для Linux® Mail Server, получать и обрабатывать копии сообщений электронной почты.

  Вы можете получить подробную информацию о Kaspersky Secure Mail Gateway и Kaspersky Security для Linux Mail Server из документации к этим программам.

• Интегрироваться с программой Kaspersky Endpoint Agent и получать данные с отдельных компьютеров, входящих в IT-инфраструктуру организации и работающих под управлением операционной системы Microsoft® Windows®. Kaspersky Endpoint Agent осуществляет постоянное наблюдение за процессами, запущенными на этих компьютерах, открытыми сетевыми соединениями и изменяемыми файлами.
  • Программа Kaspersky Endpoint Agent может устанавливаться на отдельные компьютеры и получать данные с этих компьютеров.
  • Kaspersky Anti Targeted Attack Platform может интегрироваться с программами защиты рабочих станций (Endpoint Protection Platform (далее также "EPP")) "Лаборатории Касперского": Kaspersky Endpoint Security для Windows и Kaspersky Security для Windows Server.

    Подробную информацию о Kaspersky Endpoint Security для Windows и Kaspersky Security для Windows Server смотрите в справке соответствующей программы.

• Интегрироваться с внешними системами с помощью интерфейса REST API и проверять файлы на этих системах.

Программа использует следующие средства анализа угроз (Threat Intelligence):

• Инфраструктуру облачных служб Kaspersky Security Network (далее также "KSN"), предоставляющую доступ к оперативной базе знаний "Лаборатории Касперского" о репутации файлов, веб-ресурсов и программного обеспечения. Использование данных Kaspersky Security Network обеспечивает более высокую скорость реакции программ "Лаборатории Касперского" на угрозы, повышает эффективность работы некоторых компонентов защиты, а также снижает вероятность ложных срабатываний.
• Интеграцию с программой "Лаборатории Касперского" Kaspersky Private Security Network (далее также "KPSN"), предоставляющую пользователю возможность получать доступ к репутационным базам KSN, а также другим статистическим данным, не отправляя данные в KSN со своих компьютеров.
• Интеграцию с информационной системой "Лаборатории Касперского" Kaspersky Threat Intelligence Portal, которая содержит и отображает информацию о репутации файлов и URL-адресов.
• Базу угроз "Лаборатории Касперского" Kaspersky Threats.

Программа может предоставлять пользователю результаты своей работы и анализа угроз следующими способами:

• Отображать результаты работы в веб-интерфейсе серверов Central Node, PCN или SCN.
• Публиковать обнаружения в SIEM-систему, которая уже используется в вашей организации, по протоколу Syslog.
• Интегрироваться с внешними системами с помощью интерфейса REST API и по запросу отправлять данные об обнаружениях программы во внешние системы.
• Публиковать информацию об обнаружениях компонента Sandbox в локальную репутационную базу Kaspersky Private Security Network.

  База данных репутаций объектов (файлов или URL-адресов), которая хранится на сервере Kaspersky Private Security Network, а не на серверах Kaspersky Security Network. Управление локальными репутационными базами осуществляется администратором KPSN.

Пользователи Старший сотрудник службы безопасности и Сотрудник службы безопасности могут выполнять следующие действия в программе:

• Осуществлять мониторинг работы программы.
• Просматривать таблицу обнаруженных признаков целевых атак и вторжений в IT-инфраструктуру организации, осуществлять фильтрацию и поиск обнаружений, просмотр и работу с каждым обнаружением, выполнять рекомендации по оценке и расследованию инцидентов.
• Просматривать таблицу событий, происходящих на компьютерах и серверах, входящих в IT-инфраструктуру организации, осуществлять поиск угроз, фильтрацию, просмотр и работу с каждым событием, выполнять рекомендации по оценке и расследованию инцидентов.
• Выполнять задачи на хостах с программой Kaspersky Endpoint Agent: запускать программы и останавливать процессы, скачивать и удалять файлы, помещать объекты на карантин на компьютерах с Kaspersky Endpoint Agent, копии файлов в Хранилище программы, а также восстанавливать файлы из карантина.
• Настраивать политики запрета запуска файлов и процессов, которые они считают небезопасными, на выбранных хостах с программой Kaspersky Endpoint Agent.
• Изолировать отдельные хосты с программой Kaspersky Endpoint Agent от сети.
• Работать с правилами TAA (IOA) для классификации и анализа событий.
• Работать с пользовательскими правилами Targeted Attack Analyzer TAA (IOA), Intrusion Detection System (IDS) и YARA: загружать правила, по которым программа будет проверять события и создавать обнаружения.
• Работать с файлами открытого стандарта описания индикаторов компрометации OpenIOC (IOC-файлы) для поиска признаков целевых атак, зараженных и возможно зараженных объектов на хостах с компонентом Endpoint Agent и в базе обнаружений.
• Добавлять правила TAA (IOA) и правила IDS, предоставленные специалистами "Лаборатории Касперского", в исключения из проверки.
• Работать с объектами на карантине и копиями объектов в Хранилище.
• Управлять отчетами о работе программы и отчетами об обнаружениях.
• Настраивать отправку уведомлений об обнаружениях и о проблемах в работе программы на адреса электронной почты пользователей.
• Работать со списком обнаружений со статусом VIP, с белым списком данных, наполнять локальную репутационную базу KPSN.

Пользователи Локальный администратор и Администратор могут выполнять следующие действия в программе:

• Настраивать параметры работы программы.
• Настраивать серверы для работы в режиме распределенного решения и multitenancy.
• Производить интеграцию программы с другими программами и системами.
• Работать с TLS-сертификатами и настраивать доверенное соединение сервера Central Node c сервером Sandbox, а также серверов Kaspersky Anti Targeted Attack Platform c программой Kaspersky Endpoint Agent и с внешними системами.
• Управлять учетными записями пользователей программы.
• Осуществлять мониторинг работоспособности программы.

Программа обнаруживает следующие события, происходящие внутри IT-инфраструктуры организации:

• На компьютер локальной сети организации был загружен файл или была предпринята попытка загрузки файла.
• На адрес электронной почты пользователя локальной сети организации был отправлен файл.
• На компьютере локальной сети организации была открыта ссылка на веб-сайт.
• IP-адрес или доменное имя компьютера локальной сети организации были замечены в сетевой активности.
• На компьютере локальной сети организации были запущены процессы.

Kaspersky Anti Targeted Attack Platform оценивает события и рекомендует пользователю обратить внимание на каждое обнаруженное событие (обнаружение) в соответствии с тем, какое влияние это обнаружение может оказать на безопасность компьютера или локальной сети вашей организации, по опыту "Лаборатории Касперского".

Пользователь Kaspersky Anti Targeted Attack Platform самостоятельно принимает решение о дальнейших действиях над обнаружениями.

См. также Справка Kaspersky Anti Targeted Attack Platform О предоставлении данных Лицензирование программы Архитектура программы Принцип работы программы Распределенное решение и режим multitenancy Руководство по масштабированию Установка и первоначальная настройка решения Настройка интеграции Kaspersky Anti Targeted Attack Platform с программой Kaspersky Endpoint Agent Начало работы с программой Управление учетными записями администраторов и пользователей программы Участие в Kaspersky Security Network и использование Kaspersky Private Security Network Работа с компонентом Sandbox через веб-интерфейс Администратору: работа в веб-интерфейсе программы Сотруднику службы безопасности: работа в веб-интерфейсе программы Управление программой Kaspersky Endpoint Agent для Windows Создание резервной копии и восстановление программы Обновление Kaspersky Anti Targeted Attack Platform Взаимодействие с внешними системами по API Источники информации о программе Обращение в Службу технической поддержки Информация о стороннем коде Уведомления о товарных знаках

В этом разделе справки Что нового О Kaspersky Threat Intelligence Portal Комплект поставки Аппаратные и программные требования Ограничения текущей версии программы

В начало