Kaspersky Anti Targeted Attack Platform
Kaspersky Anti Targeted Attack Platform – решение (далее также "программа"), предназначенное для защиты IT-инфраструктуры организации и своевременного обнаружения таких угроз, как атаки "нулевого дня", целевые атаки и сложные целевые атаки advanced persistent threats (далее также "APT"). Программа разработана для корпоративных пользователей.
Программа Kaspersky Anti Targeted Attack Platform включает в себя два функциональных блока:
- Kaspersky Anti Targeted Attack (далее также "KATA"), обеспечивающий защиту периметра IT-инфраструктуры предприятия.
- Kaspersky Endpoint Detection and Response (далее также "KEDR"), обеспечивающий защиту компьютеров локальной сети организации.
Программа может получать и обрабатывать данные следующими способами:
Программа использует следующие средства анализа угроз (Threat Intelligence):
- Инфраструктуру облачных служб Kaspersky Security Network (далее также "KSN"), предоставляющую доступ к оперативной базе знаний "Лаборатории Касперского" о репутации файлов, веб-ресурсов и программного обеспечения. Использование данных Kaspersky Security Network обеспечивает более высокую скорость реакции программ "Лаборатории Касперского" на угрозы, повышает эффективность работы некоторых компонентов защиты, а также снижает вероятность ложных срабатываний.
- Интеграцию с программой "Лаборатории Касперского" Kaspersky Private Security Network (далее также "KPSN"), предоставляющую пользователю возможность получать доступ к репутационным базам KSN, а также другим статистическим данным, не отправляя данные в KSN со своих компьютеров.
- Интеграцию с информационной системой "Лаборатории Касперского" Kaspersky Threat Intelligence Portal, которая содержит и отображает информацию о репутации файлов и URL-адресов.
- Базу угроз "Лаборатории Касперского" Kaspersky Threats.
Программа может предоставлять пользователю результаты своей работы и анализа угроз следующими способами:
- Отображать результаты работы в веб-интерфейсе серверов Central Node, Primary Central Node (далее также PCN) или Secondary Central Node (далее также SCN).
- Публиковать обнаружения в SIEM-систему, которая уже используется в вашей организации, по протоколу Syslog.
- Интегрироваться с внешними системами с помощью интерфейса REST API и по запросу отправлять данные об обнаружениях программы во внешние системы.
- Публиковать информацию об обнаружениях компонента Sandbox в локальную репутационную базу Kaspersky Private Security Network.
Пользователи Старший сотрудник службы безопасности и Сотрудник службы безопасности могут выполнять следующие действия в программе:
- Осуществлять мониторинг работы программы.
- Просматривать таблицу обнаруженных признаков целевых атак и вторжений в IT-инфраструктуру организации, осуществлять фильтрацию и поиск обнаружений, просмотр и работу с каждым обнаружением, выполнять рекомендации по оценке и расследованию инцидентов.
- Просматривать таблицу событий, происходящих на компьютерах и серверах, входящих в IT-инфраструктуру организации, осуществлять поиск угроз, фильтрацию, просмотр и работу с каждым событием, выполнять рекомендации по оценке и расследованию инцидентов.
- Выполнять задачи на хостах с Kaspersky Endpoint Agent: запускать программы и останавливать процессы, скачивать и удалять файлы, помещать объекты на карантин на компьютерах с программой Kaspersky Endpoint Agent, копии файлов в Хранилище программы, а также восстанавливать файлы из карантина.
- Настраивать политики запрета запуска файлов и процессов, которые они считают небезопасными, на выбранных хостах с программой Kaspersky Endpoint Agent.
- Изолировать отдельные хосты с программой Kaspersky Endpoint Agent от сети.
- Работать с правилами TAA (IOA) для классификации и анализа событий.
- Работать с пользовательскими правилами Targeted Attack Analyzer TAA (IOA), Intrusion Detection System (IDS) и YARA: загружать правила, по которым программа будет проверять события и создавать обнаружения.
- Работать с файлами открытого стандарта описания индикаторов компрометации OpenIOC (IOC-файлы) для поиска признаков целевых атак, зараженных и возможно зараженных объектов на хостах с компонентом Endpoint Agent и в базе обнаружений.
- Добавлять правила TAA (IOA) и правила IDS, предоставленные специалистами "Лаборатории Касперского", в исключения из проверки.
- Работать с объектами на карантине и копиями объектов в Хранилище.
- Управлять отчетами о работе программы и отчетами об обнаружениях.
- Настраивать отправку уведомлений об обнаружениях и о проблемах в работе программы на адреса электронной почты пользователей.
- Работать со списком обнаружений со статусом VIP, со списком данных, исключенных из проверки, наполнять локальную репутационную базу KPSN.
Пользователи с ролью Аудитор могут выполнять следующие действия в программе:
- Осуществлять мониторинг работы программы.
- Просматривать таблицу обнаруженных признаков целевых атак и вторжений в IT-инфраструктуру организации, осуществлять фильтрацию и поиск обнаружений, просматривать данные каждого обнаружения.
- Просматривать таблицу событий, происходящих на компьютерах и серверах, входящих в IT-инфраструктуру организации, осуществлять поиск угроз, фильтрацию, просмотр каждого события.
- Просматривать список хостов с компонентом Endpoint Agent и информацию о выбранных хостах.
- Просматривать пользовательские правила Targeted Attack Analyzer TAA (IOA), Intrusion Detection System (IDS) и YARA.
- Просматривать исключенные из проверки правила TAA (IOA) и правила IDS, предоставленные специалистами "Лаборатории Касперского".
- Просматривать отчеты о работе программы и отчеты об обнаружениях.
- Просматривать список обнаружений со статусом VIP, список данных, исключенных из проверки.
- Осуществлять мониторинг работоспособности программы.
- Просматривать все настройки, производимые в веб-интерфейсе программы.
Пользователи Локальный администратор и Администратор могут выполнять следующие действия в программе:
- Настраивать параметры работы программы.
- Настраивать серверы для работы в режиме распределенного решения и мультитенантности.
- Производить интеграцию программы с другими программами и системами.
- Работать с TLS-сертификатами и настраивать доверенное соединение сервера Central Node c сервером Sandbox, а также серверов Kaspersky Anti Targeted Attack Platform c программой Kaspersky Endpoint Agent и с внешними системами.
- Управлять учетными записями пользователей программы.
- Осуществлять мониторинг работоспособности программы.
Программа обнаруживает следующие события, происходящие внутри IT-инфраструктуры организации:
- На компьютер локальной сети организации был загружен файл или была предпринята попытка загрузки файла.
- На адрес электронной почты пользователя локальной сети организации был отправлен файл.
- На компьютере локальной сети организации была открыта ссылка на веб-сайт.
- IP-адрес или доменное имя компьютера локальной сети организации были замечены в сетевой активности.
- На компьютере локальной сети организации были запущены процессы.
Kaspersky Anti Targeted Attack Platform оценивает события и рекомендует пользователю обратить внимание на каждое обнаруженное событие (обнаружение) в соответствии с тем, какое влияние это обнаружение может оказать на безопасность компьютера или локальной сети вашей организации, по опыту "Лаборатории Касперского".
Пользователь Kaspersky Anti Targeted Attack Platform самостоятельно принимает решение о дальнейших действиях над обнаружениями.
В начало