В Kaspersky Anti Targeted Attack Platform 3.7.2 появились следующие изменения:
Добавлен новый тип события: AMSI-проверка. Событие записывается в базу событий при отправке сторонним приложением с поддержкой Antimalware Scan Interface (AMSI) объектов (например, скриптов PowerShell™) в Kaspersky Endpoint Security или Kaspersky Security для Windows Server для дополнительной проверки.
Расширен состав события Создан файл: событие записывается в базу событий, если стороннее приложение создает, изменяет или удаляет файл. Тип события переименован в Изменен файл.
В информации о событии типа Загружен модуль добавлено поле Следующая по пути обхода DLL. В поле указывается путь к библиотеке DLL, которая должна быть загружена вместо существующей библиотеки.
Поле отображается при следующих условиях:
источник загруженной библиотеки DLL не является доверенным;
в папке по стандартному пути обхода есть одноименная библиотека с другим хешем.
В информации о событии Изменение в реестре добавлены поля Предыдущий путь к разделу реестра, Предыдущее значение параметра реестра, Предыдущий тип значения параметра реестра. Событие записывается в базу событий при создании, удалении, изменении имени или значения ключа реестра.
Поля с информацией о состоянии ключа реестра до его изменения отображаются при следующих условиях:
поле Предыдущий путь к разделу реестра отображается при изменении имени ключа реестра;
поле Предыдущее значение параметра реестра отображается при изменении параметра реестра;
поле Предыдущий тип значения параметра реестра отображается при изменении типа параметра реестра.
В информации о событии Интерактивный ввод команд в консоли добавлено поле Тип ввода. В поле указывается тип ввода команд, которые были переданы консольному приложению.
Время события, время создания и время изменения файла в информации о событии теперь отображается с точностью до миллисекунд.
Улучшен интерфейс для работы с информацией о событиях.
Реализована возможность интеграции с программой Kaspersky Endpoint Agent для Linux.
В связи с реализацией этой возможности в конструкторе для поиска угроз по базе событий произошли следующие изменения:
в группу Общие сведения добавлены критерии OSFamily и OSVersion;
в группу Запущен процесс добавлен критерий ParentFileFullName;
в группу Журнал событий ОС добавлен критерий LinuxEventType;
добавлена группа Процессы Linux.
Добавлен новый тип задачи: Получить список файлов, процессов. С помощью этой задачи можно получить список файлов, хранящихся в выбранной папке хоста, и список процессов, запущенных на хосте.
Добавлена новая роль пользователя веб-интерфейса программы – Аудитор. Для пользователей с ролью Аудитор доступен просмотр всех функциональных областей программы без возможности редактирования.
Добавлены уведомления о заполнении дискового пространства сервера.
В связи с реализацией этой возможности в программе произошли следующие изменения:
Если уровень заполнения одного из разделов диска сервера превысит указанное значение, в разделе Мониторинг для пользователей с ролью Старший сотрудник службы безопасности, Администратор и Аудитор отобразится предупреждение.
Пользователи могут настроить отправку уведомлений о максимальном заполнении дискового пространства сервера на адрес электронной почты.
Реализована возможность записи информации о действиях пользователей в веб-интерфейсе программы в файл журнала активности и удаленный журнал.
В связи с реализацией этой возможности в раздел Отчеты веб-интерфейса программы добавлен подраздел Журнал активности. Подраздел доступен для просмотра только пользователям с ролями Администратор и Аудитор.
В зависимости от роли, пользователи могут выполнять следующие действия с журналом активности:
для пользователей с ролью Администратор доступно включение и отключение записи информации о действиях пользователей в веб-интерфейсе программы, скачивание файлов журнала;
для пользователей с ролью Аудитор доступен просмотр параметров записи информации о действиях пользователей в веб-интерфейсе программы, скачивание файлов журнала.
В веб-интерфейсе программы произошли следующие изменения:
В разделе SIEM-система упразднены настройки записи событий в локальный журнал. Вместо этого добавлены опции Журнал активности и Обнаружения.
Настройки прокси-сервера перемещены в раздел Параметры, подраздел Сетевые параметры.
Настройки сертификатов сервера Central Node и программы Kaspersky Endpoint Agent перемещены в раздел Параметры, подраздел Сертификаты.
В Kaspersky Endpoint Agent 3.10 для Windows появились следующие изменения:
Расширен состав EDR-телеметрии, которую программа регистрирует на устройствах и отправляет на компонент KATA Central Node. Поддержан обновленный протокол для обеспечения совместимости с новой версией Kaspersky Anti Targeted Attack Platform.
Исправлена ошибка применения параметров для задач поиска IOC, запущенных из карточки инцидента. Теперь такие задачи запускаются с заданными по умолчанию параметрами.
Реализована задача по сбору данных для последующего анализа. Kaspersky Endpoint Agent выполняет задачу Получить список файлов, процессов на конечном устройстве по команде от компонента KATA Central Node.