Принцип работы программы

Программа Kaspersky Anti Targeted Attack Platform включает в себя два функциональных блока:

• Kaspersky Anti Targeted Attack (далее также "KATA"), обнаруживающий угрозы по периметру IT-инфраструктуры предприятия.
• Kaspersky Endpoint Detection and Response (далее также "KEDR"), обеспечивающий защиту компьютеров локальной сети организации.

Вы можете использовать как полную функциональность программы (ключ KATA и KEDR), так и неполную (только ключ KATA или только ключ KEDR).

Принцип работы Kaspersky Anti Targeted Attack

Kaspersky Anti Targeted Attack включает в себя следующие компоненты:

• Sensor.
• Central Node.
• Sandbox.

Компоненты взаимодействуют между собой по следующему принципу:

• Компонент Sensor получает зеркалированный SPAN-, ERSPAN-, RSPAN-трафик, объекты и метаинформацию HTTP-, FTP-, SMTP- и DNS-протоколов, данные HTTP- и FTP-трафика, а также HTTPS-трафика (если администратор настроил подмену SSL-сертификата на прокси-сервере), копии сообщений электронной почты и производит с полученными данными следующие действия:
  • проверяет интернет-трафик на наличие признаков вторжения в IT-инфраструктуру организации с помощью технологии Intrusion Detection System (далее также IDS);
  • проверяет репутацию файлов и URL-адресов по базе знаний Kaspersky Security Network (далее также KSN) или Kaspersky Private Security Network (далее также KPSN);
  • отправляет объекты и файлы на проверку компоненту Central Node.

  В качестве компонента Sensor также может использоваться почтовый сенсор – сервер или виртуальная машина, на которой установлена программа "Лаборатории Касперского" Kaspersky Secure Mail Gateway (далее также "KSMG") или Kaspersky Security для Linux Mail Server (далее также "KLMS").

• Компонент Central Node проверяет файлы и объекты с помощью антивирусных баз, баз YARA-правил, создаваемых пользователями Kaspersky Anti Targeted Attack, при необходимости отправляет файлы и объекты на проверку компоненту Sandbox.
• Компонент Sandbox анализирует поведение объектов в виртуальных операционных системах для выявления вредоносной активности и признаков целевых атак на IT-инфраструктуру организации и отправляет данные о результатах проверки на сервер Central Node.

При обнаружении угроз сервер Central Node записывает информацию о них в базу обнаружений. Вы можете просмотреть таблицу обнаружений в разделе Обнаружения веб-интерфейса программы или сформировав отчет об обнаружениях.

Информация об обнаружениях также может публиковаться в SIEM-систему, которая используется в вашей огранизации, и во внешние системы. Информация об обнаружениях компонента Sandbox может публиковаться в локальную репутационную базу Kaspersky Private Security Network.

Принцип работы Kaspersky Endpoint Detection and Response

Kaspersky Endpoint Detection and Response включает в себя следующие компоненты:

• Central Node.
• Kaspersky Endpoint Agent.

  В качестве прокси-сервера для соединений, исходящих от программы Kaspersky Endpoint Agent, может использоваться компонент Sensor.

Компоненты взаимодействуют между собой по следующему принципу:

• Программа Kaspersky Endpoint Agent устанавливается на отдельных компьютерах под управлением операционной системы Windows, входящих в IT-инфраструктуру организации, и осуществляет постоянное наблюдение за процессами, открытыми сетевыми соединениями и изменяемыми файлами. Данные о событиях на компьютере отправляются на сервер с компонентом Central Node.

  Программа Kaspersky Endpoint Agent передает на сервер Central Node данные о следующих событиях:

  • Запущен процесс;
  • Загружен модуль;
  • Удаленное соединение;
  • Правило запрета;
  • Заблокирован документ;
  • Создан файл;
  • Событие в журнале Windows;
  • Изменение в реестре;
  • Прослушан порт;
  • Загружен драйвер;
  • Интерпретированный запуск файла;
  • Интерактивный ввод команд в консоли.

  Программа Kaspersky Endpoint Agent может интегрироваться с программами защиты рабочих станций (Endpoint Protection Platform (далее также "EPP")) Kaspersky Endpoint Security и Kaspersky Security для Windows Server, установленных на один компьютер с программой Kaspersky Endpoint Agent. В этом случае программа Kaspersky Endpoint Agent также передает на сервер Central Node данные об угрозах, обнаруженных программами EPP, и о результатах обработки угроз этими программами.

  Компоненты взаимодействуют между собой по следующему принципу:

• Программы Kaspersky Endpoint Security и Kaspersky Security для Windows Server передают программе Kaspersky Endpoint Agent данные об обнаруженных угрозах и о результате обработки угроз.
• Программа Kaspersky Endpoint Agent передает данные наблюдения за процессами, открытыми сетевыми соединениями и изменяемыми файлами, а также данные, полученные от программ EPP, на сервер Central Node.

  Сервер Central Node обрабатывает полученные данные и отображает в веб-интерфейсе программы соответствующие события.

  В результате обработки данных программ EPP формируются события Обнаружение и Результат обработки обнаружения.

  События, поступающие на сервер Central Node, отмечаются правилами TAA (IOA). В результате разметки для событий, требующих внимания пользователя, формируются обнаружения.

При интеграции сервера Central Node с программой Kaspersky Endpoint Agent вы можете осуществлять следующие меры по реагированию на обнаруженные угрозы:

• Работать с файлами и программами путем выполнения задач на хостах с программой Kaspersky Endpoint Agent.
• Настраивать политики запрета запуска файлов и процессов на выбранных хостах с программой Kaspersky Endpoint Agent.
• Изолировать отдельные хосты с программой Kaspersky Endpoint Agent от сети.
• Работать с правилами TAA (IOA) для классификации и анализа событий.
• Работать с файлами открытого стандарта описания индикаторов компрометации OpenIOC (IOC-файлы) для поиска признаков целевых атак, зараженных и возможно зараженных объектов на хостах с программой Kaspersky Endpoint Agent и в базе обнаружений.

Принцип работы Kaspersky Anti Targeted Attack Platform показан на рисунке ниже.

Принцип работы Kaspersky Anti Targeted Attack Platform

Вы можете настраивать параметры каждого компонента Central Node отдельно или управлять несколькими компонентами централизованно в режиме распределенного решения.

Распределенное решение представляет собой двухуровневую иерархию серверов Central Node. В этой структуре выделяется главный сервер управления – Primary Central Node (PCN) и подчиненные серверы – Secondary Central Node (SCN).

Принцип работы Kaspersky Anti Targeted Attack Platform в режиме распределенного решения показан на рисунке ниже.

Принцип работы Kaspersky Anti Targeted Attack Platform в режиме распределенного решения

См. также Справка Kaspersky Anti Targeted Attack Platform Kaspersky Anti Targeted Attack Platform О предоставлении данных Лицензирование программы Архитектура программы Распределенное решение и режим multitenancy Руководство по масштабированию Установка и первоначальная настройка решения Настройка интеграции Kaspersky Anti Targeted Attack Platform с программой Kaspersky Endpoint Agent Начало работы с программой Управление учетными записями администраторов и пользователей программы Участие в Kaspersky Security Network и использование Kaspersky Private Security Network Работа с компонентом Sandbox через веб-интерфейс Администратору: работа в веб-интерфейсе программы Сотруднику службы безопасности: работа в веб-интерфейсе программы Управление программой Kaspersky Endpoint Agent для Windows Создание резервной копии и восстановление программы Обновление Kaspersky Anti Targeted Attack Platform Взаимодействие с внешними системами по API Источники информации о программе Обращение в Службу технической поддержки Информация о стороннем коде Уведомления о товарных знаках

В начало