Операционная система в составе компонентов Central Node и Sandbox обновлена до версии CentOS 7.7.
Изменения в KEDR:
Появилась возможность увеличивать срок хранения событий в Kaspersky Anti Targeted Attack Platform с учетом свободного места в Хранилище Threat Hunting.
Существенно расширен состав поддерживаемых индикаторов компрометации OpenIOC.
Добавлена совместимость программы Kaspersky Endpoint Agent с программами Kaspersky Security для Windows Server (KSWS) и Kaspersky Security для виртуальных сред 5.1 Легкий агент (KSV LA 5.1).
Добавлена возможность поиска событий по результатам их обработки в Kaspersky Endpoint Security (критерий ThreatStatus) и по причинам, по которым события не были обработаны Kaspersky Endpoint Security (критерий UntreatedReason).
Добавлена возможность отображать результаты поиска событий в виде списка, а также с группировкой по хостам и типам событий.
Усовершенствован функционал помещения объектов на карантин. Объекты, помещенные на карантин на компьютерах с программой Kaspersky Endpoint Agent, хранятся в специальной директории на этих же компьютерах. На сервере Central Node отображаются метаданные объектов, помещенных на карантин, и есть возможность получить копию этих объектов на сервер Central Node.
Обнаружения IOA переименованы в обнаружения TAA.
Изменения в KATA:
Появилась возможность хранить данные трафика компонента Sensor. По мере накопления данных трафика Kaspersky Anti Targeted Attack Platform фильтрует данные и оставляет только информацию, связанную с обнаружениями IDS и PCAP-файлы (в которых IP-адрес источника или назначения совпадают с каким-либо IP-адресом из обнаружения или данные трафика находятся в интервале +/- 15 минут от времени обнаружения).
Появилась возможность работы с пользовательскими правилами IDS: загружать правила в формате Suricata или Snort, по которым программа будет проверять события и создавать обнаружения.
С версии 3.7 Серверная часть решения Kaspersky Anti Targeted Attack Platform не поддерживает интеграцию с Kaspersky Security Center.
С версии 3.7 Kaspersky Anti Targeted Attack Platform не поддерживает получение IP-адреса по DHCP. При обновлении системы пользователю нужно вручную ввести IP-адрес сервера Central Node.
Изменения в Kaspersky Endpoint Agent 3.8:
Поиск индикаторов компрометации (OpenIOC) с помощью групповых пользовательских задач. Список поддерживаемых терминов стандарта OpenIOC значительно расширен по сравнению с предыдущей версией. Полный перечень поддерживаемых терминов стандарта OpentIOC приведен в Руководстве для решения Kaspersky Anti Targeted Attack Platform.
Изоляция скомпрометированного устройства от сети по команде от Kaspersky Anti Targeted Attack Platform.
Добавлена возможность активации программы Kaspersky Endpoint Agent для включения интеграции с Kaspersky Anti Targeted Attack Platform.
Интеграция с Kaspersky Anti Targeted Attack Platform (KEDR):
предоставление Kaspersky Anti Targeted Attack Platform данных телеметрии с защищаемых устройств для последующего проведения ретроспективного анализа;
применение параметров фильтрации телеметрии с защищаемых устройств;
применение параметров защиты от сложных угроз: списки правил запрета запуска исполняемых файлов и скриптов, списки правил запрета открытия документов, правила сетевой изоляции устройств;
выполнение задач, полученных от Kaspersky Anti Targeted Attack Platform: удаление и получение объектов, помещение объектов на карантин и восстановление объектов из карантина, запуск произвольной программы, остановка процесса.