Kaspersky Anti Targeted Attack Platform

Kaspersky Anti Targeted Attack Platform – решение (далее также "программа"), предназначенное для защиты IT-инфраструктуры организации и своевременного обнаружения таких угроз, как атаки "нулевого дня", целевые атаки и сложные целевые атаки advanced persistent threats (далее также "APT"). Программа разработана для корпоративных пользователей.

Программа Kaspersky Anti Targeted Attack Platform включает в себя два функциональных блока:

Kaspersky Anti Targeted Attack (далее также "KATA"), обеспечивающий защиту периметра IT-инфраструктуры предприятия.
Kaspersky Endpoint Detection and Response (далее также "KEDR"), обеспечивающий защиту компьютеров локальной сети организации.

Программа может получать и обрабатывать данные следующими способами:

Интегрироваться в локальную сеть, получать и обрабатывать зеркалированный SPAN-, ERSPAN- и RSPAN-трафик и извлекать объекты и метаинформацию HTTP-, FTP-, SMTP- и DNS-протоколов.
Копия трафика, перенаправляемая с одного порта коммутатора на другой порт этого же коммутатора (локальное зеркалирование) или на удаленный коммутатор (удаленное зеркалирование). Администратор сети может настроить, какую часть трафика зеркалировать для передачи в Kaspersky Anti Targeted Attack Platform.
Подключаться к прокси-серверу по протоколу ICAP, получать и обрабатывать данные HTTP- и FTP-трафика, а также HTTPS-трафика, если администратор настроил подмену SSL-сертификата на прокси-сервере.
Подключаться к почтовому серверу по протоколам POP3(S) и SMTP, получать и обрабатывать копии сообщений электронной почты.
Интегрироваться с программами "Лаборатории Касперского" Kaspersky Secure Mail Gateway и Kaspersky Security для Linux Mail Server, получать и обрабатывать копии сообщений электронной почты.
Вы можете получить подробную информацию о Kaspersky Secure Mail Gateway и Kaspersky Security для Linux Mail Server из документации к этим программам.
Интегрироваться с программой Kaspersky Endpoint Agent и получать данные с отдельных компьютеров, входящих в IT-инфраструктуру организации и работающих под управлением операционных систем Microsoft® Windows® и Linux®. Kaspersky Endpoint Agent осуществляет постоянное наблюдение за процессами, запущенными на этих компьютерах, открытыми сетевыми соединениями и изменяемыми файлами.

Подробную информацию о Kaspersky Endpoint Security для Windows, Kaspersky Endpoint Security для Linux и Kaspersky Security для Windows Server смотрите в справке соответствующей программы.
Интегрироваться с внешними системами с помощью интерфейса REST API и проверять файлы на этих системах.

Программа использует следующие средства анализа угроз (Threat Intelligence):

Инфраструктуру облачных служб Kaspersky Security Network (далее также "KSN"), предоставляющую доступ к оперативной базе знаний "Лаборатории Касперского" о репутации файлов, веб-ресурсов и программного обеспечения. Использование данных Kaspersky Security Network обеспечивает более высокую скорость реакции программ "Лаборатории Касперского" на угрозы, повышает эффективность работы некоторых компонентов защиты, а также снижает вероятность ложных срабатываний.
Интеграцию с программой "Лаборатории Касперского" Kaspersky Private Security Network (далее также "KPSN"), предоставляющую пользователю возможность получать доступ к репутационным базам KSN, а также другим статистическим данным, не отправляя данные в KSN со своих компьютеров.
Интеграцию с информационной системой "Лаборатории Касперского" Kaspersky Threat Intelligence Portal, которая содержит и отображает информацию о репутации файлов и URL-адресов.
Базу угроз "Лаборатории Касперского" Kaspersky Threats.

Программа может предоставлять пользователю результаты своей работы и анализа угроз следующими способами:

Отображать результаты работы в веб-интерфейсе серверов Central Node, Primary Central Node (далее также PCN) или Secondary Central Node (далее также SCN).
Публиковать обнаружения в SIEM-систему, которая уже используется в вашей организации, по протоколу Syslog.
Интегрироваться с внешними системами с помощью интерфейса REST API и по запросу отправлять данные об обнаружениях программы во внешние системы.
Публиковать информацию об обнаружениях компонента Sandbox в локальную репутационную базу Kaspersky Private Security Network.
База данных репутаций объектов (файлов или URL-адресов), которая хранится на сервере Kaspersky Private Security Network, а не на серверах Kaspersky Security Network. Управление локальными репутационными базами осуществляется администратором KPSN.

Пользователи Старший сотрудник службы безопасности и Сотрудник службы безопасности могут выполнять следующие действия в программе:

Осуществлять мониторинг работы программы.
Просматривать таблицу обнаруженных признаков целевых атак и вторжений в IT-инфраструктуру организации, осуществлять фильтрацию и поиск обнаружений, просмотр и работу с каждым обнаружением, выполнять рекомендации по оценке и расследованию инцидентов.
Просматривать таблицу событий, происходящих на компьютерах и серверах, входящих в IT-инфраструктуру организации, осуществлять поиск угроз, фильтрацию, просмотр и работу с каждым событием, выполнять рекомендации по оценке и расследованию инцидентов.
Выполнять задачи на хостах с Kaspersky Endpoint Agent: запускать программы и останавливать процессы, скачивать и удалять файлы, помещать объекты на карантин на компьютерах с программой Kaspersky Endpoint Agent, копии файлов в Хранилище программы, а также восстанавливать файлы из карантина.
Настраивать политики запрета запуска файлов и процессов, которые они считают небезопасными, на выбранных хостах с программой Kaspersky Endpoint Agent.
Изолировать отдельные хосты с программой Kaspersky Endpoint Agent от сети.
Работать с правилами TAA (IOA) для классификации и анализа событий.
Работать с пользовательскими правилами Targeted Attack Analyzer TAA (IOA), Intrusion Detection System (IDS) и YARA: загружать правила, по которым программа будет проверять события и создавать обнаружения.
Работать с файлами открытого стандарта описания индикаторов компрометации OpenIOC (IOC-файлы) для поиска признаков целевых атак, зараженных и возможно зараженных объектов на хостах с компонентом Endpoint Agent и в базе обнаружений.
Добавлять правила TAA (IOA) и правила IDS, предоставленные специалистами "Лаборатории Касперского", в исключения из проверки.
Работать с объектами на карантине и копиями объектов в Хранилище.
Управлять отчетами о работе программы и отчетами об обнаружениях.
Настраивать отправку уведомлений об обнаружениях и о проблемах в работе программы на адреса электронной почты пользователей.
Работать со списком обнаружений со статусом VIP, со списком данных, исключенных из проверки, наполнять локальную репутационную базу KPSN.

Пользователи с ролью Аудитор могут выполнять следующие действия в программе:

Осуществлять мониторинг работы программы.
Просматривать таблицу обнаруженных признаков целевых атак и вторжений в IT-инфраструктуру организации, осуществлять фильтрацию и поиск обнаружений, просматривать данные каждого обнаружения.
Просматривать таблицу событий, происходящих на компьютерах и серверах, входящих в IT-инфраструктуру организации, осуществлять поиск угроз, фильтрацию, просмотр каждого события.
Просматривать список хостов с компонентом Endpoint Agent и информацию о выбранных хостах.
Просматривать пользовательские правила Targeted Attack Analyzer TAA (IOA), Intrusion Detection System (IDS) и YARA.
Просматривать исключенные из проверки правила TAA (IOA) и правила IDS, предоставленные специалистами "Лаборатории Касперского".
Просматривать отчеты о работе программы и отчеты об обнаружениях.
Просматривать список обнаружений со статусом VIP, список данных, исключенных из проверки.
Осуществлять мониторинг работоспособности программы.
Просматривать все настройки, производимые в веб-интерфейсе программы.

Пользователи Локальный администратор и Администратор могут выполнять следующие действия в программе:

Настраивать параметры работы программы.
Настраивать серверы для работы в режиме распределенного решения и multitenancy.
Производить интеграцию программы с другими программами и системами.
Работать с TLS-сертификатами и настраивать доверенное соединение сервера Central Node c сервером Sandbox, а также серверов Kaspersky Anti Targeted Attack Platform c программой Kaspersky Endpoint Agent и с внешними системами.
Управлять учетными записями пользователей программы.
Осуществлять мониторинг работоспособности программы.

Программа обнаруживает следующие события, происходящие внутри IT-инфраструктуры организации:

На компьютер локальной сети организации был загружен файл или была предпринята попытка загрузки файла.
На адрес электронной почты пользователя локальной сети организации был отправлен файл.
На компьютере локальной сети организации была открыта ссылка на веб-сайт.
IP-адрес или доменное имя компьютера локальной сети организации были замечены в сетевой активности.
На компьютере локальной сети организации были запущены процессы.

Kaspersky Anti Targeted Attack Platform оценивает события и рекомендует пользователю обратить внимание на каждое обнаруженное событие (обнаружение) в соответствии с тем, какое влияние это обнаружение может оказать на безопасность компьютера или локальной сети вашей организации, по опыту "Лаборатории Касперского".

Пользователь Kaspersky Anti Targeted Attack Platform самостоятельно принимает решение о дальнейших действиях над обнаружениями.

См. также

Справка Kaspersky Anti Targeted Attack Platform

О предоставлении данных

Лицензирование программы

Архитектура программы

Принцип работы программы

Распределенное решение и режим multitenancy

Руководство по масштабированию

Установка и первоначальная настройка решения

Настройка интеграции Kaspersky Anti Targeted Attack Platform с программой Kaspersky Endpoint Agent

Начало работы с программой