Что нового

В Kaspersky Anti Targeted Attack Platform 4.0 появились следующие изменения:

1. Улучшен интерфейс для работы с таблицами и информацией об обнаружениях.
   • Поддержано включение и отключение отображения столбцов в таблицах.
   • Добавлена возможность отфильтровать обнаружения, выполненные по правилу TAA (IOA), по имени правила.
2. Расширен функционал задач для хостов с компонентом Kaspersky Endpoint Agent для Windows:
   • Запустить YARA-проверку.

     Задача позволяет запустить поиск вредоносных программ с помощью правил YARA.

   • Управление службами.

     Задача позволяет удаленно запускать, останавливать, приостанавливать и продолжать работу службы, а также удалить службу или изменить тип ее запуска.

   • В задаче Собрать данные добавлена возможность получить с хоста список точек автозапуска.
3. Расширены возможности импорта правил:
   • Теперь можно импортировать несколько файлов с правилами YARA. С каждым правилом, импортированным из файла, можно работать по отдельности.
   • Добавлена возможность импортировать файл с MD5- и SHA256-хешами для файлов, запуск которых вы хотите запретить. Всего можно импортировать до 50 000 хешей. Для каждого хеша программа создает отдельное правило запрета.
4. Реализована возможность указать для правил TAA (IOA) "Лаборатории Касперского", добавленных в исключения, условие применения исключений. Теперь в программе доступен режим работы исключения При условии. В этом режиме правило TAA (IOA) дополняется условиями в виде поискового запроса. Программа не отмечает события, подходящие под заданные условия, как соответствующие правилу TAA (IOA). Для событий, которые соответствуют правилу TAA (IOA), но не соответствуют условиям примененного исключения, программа отмечает события и создает обнаружения.
5. Поддержана аутентификация пользователей в веб-интерфейсе Kaspersky Anti Targeted Attack Platform с помощью доменных учетных записей.
6. Добавлена автоматическая отправка файлов с хостов с компонентом Kaspersky Endpoint Agent на проверку компоненту Sandbox по правилам TAA (IOA) "Лаборатории Касперского".

   В связи с добавлением этой возможности в программе произошли следующие изменения:

   • В раздел Параметры добавлен подраздел Автоматическая отправка файлов в Sandbox.
   • В раздел Мониторинг добавлен виджет Отправлено в Sandbox по правилам TAA.

     На виджете отображается 10 правил TAA (IOA), по которым Kaspersky Anti Targeted Attack Platform наиболее часто отправляет файлы на проверку компоненту Sandbox.

   • Обнаружения, созданные в результате отправки файла на проверку Sandbox по правилам TAA (IOA), можно отфильтровать в таблице обнаружений.
7. Добавлены уведомления о превышении максимального допустимого уровня загрузки центрального процессора и оперативной памяти в течение указанного времени.

   В связи с добавлением этой возможности в программе произошли следующие изменения:

   • Пользователи с ролью Администратор могут настроить максимальное допустимое значение загрузки центрального процессора и оперативной памяти для сервера.

     Если уровень загрузки центрального процессора или оперативной памяти на сервере превышает это значение в течение указанного времени, в разделе Мониторинг для пользователей с ролью Старший сотрудник службы безопасности, Администратор и Аудитор отображается предупреждение.

   • Пользователи могут настроить отправку уведомлений о превышении максимального допустимого уровня загрузки центрального процессора и оперативной памяти на адрес электронной почты.
8. Добавлена возможность получать информацию о загрузке жесткого диска, центрального процессора и оперативной памяти на серверах Central Node и Sensor через внешние системы, поддерживающие протокол SNMP версий v2 и v3.
9. Изменен порядок записи информации о файлах, поступивших на обработку, в журнале программы:
   • В каждой записи о файле указывается MD5-хеш этого файла.
   • В журнал записывается информация обо всех этапах обработки файлов, вне зависимости от результата проверки.

   По умолчанию файл журнала хранится в директории /var/log/kaspersky/apt-history/.

10. Добавлена возможность найти события, зарегистрированные на хосте с Kaspersky Endpoint Agent для Windows, по IP-адресу хоста.

    В связи с добавлением этой возможности в программе произошли следующие изменения:

    • В конструкторе для поиска угроз по базе событий в группу Общие сведения добавлен критерий HostIP.
    • В информации о событиях в раздел Сведения о системе добавлено поле IP хоста.
    • В дереве событий в информации о хосте добавлено поле IP.
    • В информации об обнаружении в блоке Хосты добавлена столбец IP, где отображается IP-адрес хоста, присвоенный хосту на момент создания или обновления обнаружения.
11. Добавлена возможность выполнять действия по реагированию на угрозы из внешних систем, для которых настроена интеграция с Kaspersky Anti Targeted Attack Platform. Взаимодействие внешних систем с Kaspersky Anti Targeted Attack Platform осуществляется через интерфейс API.

    С помощью внешних систем можно выполнить следующие операции:

    • Сетевая изоляция хоста.
    • Запуск скрипта или исполняемого файла.
    • Создание правила запрета.

    Команды на выполнение операций поступают на Central Node, после чего Kaspersky Anti Targeted Attack Platform передает их Kaspersky Endpoint Agent.

    Все перечисленные операции доступны для Kaspersky Endpoint Agent для Windows. Для Kaspersky Endpoint Agent для Linux доступна только функция запуска скрипта или исполняемого файла.

В Kaspersky Endpoint Agent 3.12 для Windows появились следующие изменения:

1. Добавлена совместимость с Kaspersky Anti Targeted Attack Platform версии 4.0.
2. Добавлена возможность сканирования файлов и памяти с использованием YARA-правил.
3. Добавлена поддержка сбора списков автозапуска защищаемого устройства для Kaspersky Anti Targeted Attack Platform.
4. Добавлена возможность управления службами на защищаемом устройстве со стороны пользователей Kaspersky Anti Targeted Attack Platform.
5. Добавлена передача IP-адреса защищаемого устройства на сервер Kaspersky Anti Targeted Attack Platform для возможности фильтрации событий в таблице событий по IP-адресу.
6. Расширены настройки прокси-сервера для подключения Kaspersky Endpoint Agent к серверу Kaspersky Anti Targeted Attack Platform. Добавлена возможность конфигурации доступа через групповые политики домена Windows, браузера или локальные настройки WinHTTP.
7. Добавлена возможность работы Kaspersky Endpoint Agent напрямую с Kaspersky Security Network, без использования прокси-сервера.
8. Информация для построения карточки инцидента для Сервера администрирования отправляется теперь только при использовании решения Kaspersky Endpoint Detection and Response Optimum.
9. Добавлена поддержка подписки на лицензии.
10. Исправлены ошибки предыдущих версий: в программу вошли исправления, выпущенные для предыдущих версий программы.

В Kaspersky Endpoint Agent 3.12 для Linux появились следующие изменения:

Работа с решением Kaspersky Managed Detection and Response больше не поддерживается.Не рекомендуется использовать Kaspersky Endpoint Agent for Linux для работы с этим решением. Для работы с Kaspersky Managed Detection and Response следует использовать программу Kaspersky Endpoint Security для Linux.

См. также Kaspersky Anti Targeted Attack Platform О Kaspersky Threat Intelligence Portal Комплект поставки Аппаратные и программные требования Ограничения текущей версии программы

В начало