Программа Kaspersky Anti Targeted Attack Platform включает в себя два функциональных блока:
Вы можете использовать как полную функциональность программы (ключ KATA и ключ KEDR), так и неполную (только ключ KATA или только ключ KEDR).
Принцип работы Kaspersky Anti Targeted Attack
Kaspersky Anti Targeted Attack включает в себя следующие компоненты:
Компоненты Sensor, Central Node и Sandbox взаимодействуют между собой по следующему принципу:
Технология IDS позволяет распознать и обнаружить сетевую активность по 80 протоколам, в частности по 53 протоколам прикладного уровня модели TCP/IP, фиксируя подозрительный трафик и сетевые атаки. В числе поддерживаемых протоколов TCP, UDP, FTP, TFTP, SSH, SMTP, SMB, CIF, SSL, HTTP, HTTP/2, HTTPS, TLS, ICMPv4, ICMPv6, IPv4, IPv6, IRC, LDAP, NFS, DNS, RDP, DCERPC, MS-RPC, WebSocket, Citrix и другие.
В качестве компонента Sensor также может использоваться почтовый сенсор – сервер или виртуальная машина, на которой установлена программа "Лаборатории Касперского" Kaspersky Secure Mail Gateway (далее также "KSMG") или Kaspersky Security для Linux Mail Server (далее также "KLMS").
При обнаружении угроз сервер Central Node записывает информацию о них в базу обнаружений. Вы можете просмотреть таблицу обнаружений в разделе Обнаружения веб-интерфейса программы или сформировав отчет об обнаружениях.
Информация об обнаружениях также может публиковаться в SIEM-систему, которая используется в вашей огранизации, и во внешние системы. Информация об обнаружениях компонента Sandbox может публиковаться в локальную репутационную базу Kaspersky Private Security Network.
Принцип работы Kaspersky Endpoint Detection and Response
Kaspersky Endpoint Detection and Response включает в себя следующие компоненты:
Компонент представлен программами Kaspersky Endpoint Agent для Windows, Kaspersky Endpoint Agent для Linux и Kaspersky Endpoint Security для Windows.
Опциональный компонент.
В качестве прокси-сервера для соединений, исходящих от компонента Kaspersky Endpoint Agent, может использоваться компонент Sensor.
Компоненты Kaspersky Endpoint Agent и Central Node взаимодействуют между собой по следующему принципу:
Kaspersky Endpoint Agent для Windows передает на сервер Central Node данные о следующих событиях:
Kaspersky Endpoint Agent для Linux передает на сервер Central Node данные о следующих событиях:
Программы могут интегрироваться с программами защиты рабочих станций (Endpoint Protection Platform (далее также "EPP")).
Kaspersky Endpoint Agent для Windows может интегрироваться со следующими программами EPP:
Kaspersky Endpoint Agent для Linux может интегрироваться с программой Kaspersky Endpoint Security для Linux.
В этом случае программа Kaspersky Endpoint Agent также передает на сервер Central Node данные об угрозах, обнаруженных программами EPP, и о результатах обработки угроз этими программами.
Программы EPP, Kaspersky Endpoint Agent и сервер Central Node взаимодействуют между собой по следующему принципу:
Программа Kaspersky Endpoint Security для Windows также может передавать Kaspersky Endpoint Agent для Windows данные об отправке сторонним приложением с поддержкой Antimalware Scan Interface (далее также "AMSI") объектов (например, скриптов PowerShell) в Kaspersky Endpoint Security для Windows для дополнительной проверки.
Сервер Central Node обрабатывает полученные данные и отображает в веб-интерфейсе программы соответствующие события.
В результате обработки данных программ EPP формируются события Обнаружение, Результат обработки обнаружения, AMSI-проверка (при интеграции Kaspersky Endpoint Agent для Windows с Kaspersky Endpoint Security для Windows).
События, поступающие на сервер Central Node, отмечаются правилами TAA (IOA). В результате разметки для событий, требующих внимания пользователя, формируются обнаружения. При наличии компонента Sandbox вы можете также включить автоматическую отправку файлов с хостов Kaspersky Endpoint Agent на проверку компоненту Sandbox в соответствии с правилами TAA (IOA) "Лаборатории Касперского".
При интеграции сервера Central Node с Kaspersky Endpoint Agent для Windows вы можете осуществлять следующие меры по реагированию на обнаруженные угрозы:
При интеграции сервера Central Node с Kaspersky Endpoint Agent для Linux вы можете осуществлять следующие меры по реагированию на обнаруженные угрозы:
Принцип работы Kaspersky Anti Targeted Attack Platform показан на рисунке ниже.
Принцип работы Kaspersky Anti Targeted Attack Platform
Вы можете настраивать параметры каждого компонента Central Node отдельно или управлять несколькими компонентами централизованно в режиме распределенного решения.
Распределенное решение представляет собой двухуровневую иерархию серверов Central Node. В этой структуре выделяется главный сервер управления – Primary Central Node (PCN) и подчиненные серверы – Secondary Central Node (SCN).
Принцип работы Kaspersky Anti Targeted Attack Platform в режиме распределенного решения показан на рисунке ниже.
Принцип работы Kaspersky Anti Targeted Attack Platform в режиме распределенного решения