Kaspersky Anti Targeted Attack Platform
- Справка Kaspersky Anti Targeted Attack Platform
- Kaspersky Anti Targeted Attack Platform
- Что нового
- О Kaspersky Threat Intelligence Portal
- Комплект поставки
- Аппаратные и программные требования
- Совместимость версий Kaspersky Endpoint Agent для Windows с версиями Kaspersky Anti Targeted Attack Platform
- Совместимость версий Kaspersky Endpoint Agent для Windows с приложениями EPP
- Совместимость версий Kaspersky Endpoint Security для Windows с версиями Kaspersky Anti Targeted Attack Platform
- Совместимость версий Kaspersky Endpoint Security для Linux с версиями Kaspersky Anti Targeted Attack Platform
- Совместимость Kaspersky Endpoint Security для Mac с версиями Kaspersky Anti Targeted Attack Platform
- Совместимость версий KUMA с версиями Kaspersky Anti Targeted Attack Platform
- Совместимость версий XDR с версиями Kaspersky Anti Targeted Attack Platform
- Совместимость версий KPSN с версиями Kaspersky Anti Targeted Attack Platform
- Совместимость Kaspersky Anti Targeted Attack Platform с VK Cloud
- Ограничения
- Предоставление данных
- Служебные данные приложения
- Данные компонентов Central Node и Sensor
- Данные компонента Sandbox
- Данные, пересылаемые между компонентами приложения
- Данные в файлах трассировки приложения
- Данные Kaspersky Endpoint Agent для Windows
- Данные Kaspersky Endpoint Security для Windows
- Данные Kaspersky Endpoint Security для Linux
- Данные Kaspersky Endpoint Security для Mac
- Лицензирование приложения
- О Лицензионном соглашении
- О лицензии
- О лицензионном сертификате
- О ключе
- О файле ключа
- Просмотр информации о лицензии и добавленных ключах в веб-интерфейсе Central Node
- Просмотр текста Лицензионного соглашения в веб-интерфейсе Central Node
- Просмотр текста Политики конфиденциальности в веб-интерфейсе Central Node
- Просмотр информации о стороннем коде, используемом в приложении
- Просмотр текста Лицензионного соглашения в веб-интерфейсе Sandbox
- Просмотр текста Лицензионного соглашения компонента Endpoint Agent
- Добавление ключа
- Замена ключа
- Удаление ключа
- Режимы работы приложения в соответствии с лицензией
- Архитектура приложения
- Принцип работы приложения
- Распределенное решение и мультитенантность
- Сценарий перехода в режим распределенного решения и мультитенантности
- Изменения в параметрах приложения при переходе в режим распределенного решения и мультитенантности
- Назначение серверу роли PCN
- Назначение серверу роли SCN
- Обработка запросов на подключение SCN к PCN
- Просмотр информации о тенантах, серверах PCN и SCN
- Добавление тенанта на сервере PCN
- Удаление тенанта на сервере PCN
- Изменение названия тенанта на сервере PCN
- Отключение SCN от PCN
- Изменения в параметрах приложения при отключении SCN от PCN
- Вывод сервера SCN из эксплуатации
- Руководство по масштабированию
- Установка и первоначальная настройка приложения
- Подготовка к установке компонентов приложения
- Подготовка IT-инфраструктуры к установке компонентов приложения
- Подготовка IT-инфраструктуры к интеграции с почтовым сервером для приема сообщений по протоколу POP3
- Подготовка IT-инфраструктуры к интеграции с почтовым сервером для отправки сообщений по протоколу SMTP
- Подготовка виртуальной машины к установке компонента Sandbox
- Подготовка установочного образа диска с компонентами Central Node, Sensor и Sandbox
- Порядок установки и настройки компонентов приложения
- Установка компонента Sandbox
- Шаг 1. Просмотр Лицензионного соглашения и Политики конфиденциальности
- Шаг 2. Выбор диска для установки компонента Sandbox
- Шаг 3. Назначение имени хоста
- Шаг 4. Выбор управляющего сетевого интерфейса в списке
- Шаг 5. Назначение адреса и маски сети управляющего интерфейса
- Шаг 6. Добавление адресов DNS-серверов
- Шаг 7. Настройка статического сетевого маршрута
- Шаг 8. Настройка минимальной длины пароля администратора Sandbox
- Шаг 9. Создание учетной записи администратора Sandbox
- Развертывание компонентов Central Node и Sensor в виде кластера
- Развертывание сервера хранения данных
- Шаг 1. Просмотр Лицензионного соглашения и Политики конфиденциальности
- Шаг 2. Выбор роли сервера
- Шаг 3. Выбор режима развертывания
- Шаг 4. Выбор диска для установки компонента
- Шаг 5. Выбор маски сети для адресации серверов
- Шаг 6. Выбор маски сети для адресации компонентов приложения
- Шаг 7. Выбор кластерного сетевого интерфейса
- Шаг 8. Выбор внешнего сетевого интерфейса
- Шаг 9. Выбор способа получения IP-адресов для сетевых интерфейсов
- Шаг 10. Создание учетной записи администратора и аутентификация сервера в кластере
- Шаг 11. Добавление адресов DNS-серверов
- Шаг 12. Выбор дисков для Ceph-хранилища
- Развертывание обрабатывающего сервера
- Шаг 1. Просмотр Лицензионного соглашения и Политики конфиденциальности
- Шаг 2. Выбор роли сервера
- Шаг 3. Выбор режима развертывания
- Шаг 4. Выбор диска для установки компонента
- Шаг 5. Выбор маски сети для адресации серверов
- Шаг 6. Выбор маски сети для адресации компонентов приложения
- Шаг 7. Выбор кластерного сетевого интерфейса
- Шаг 8. Выбор внешнего сетевого интерфейса
- Шаг 9. Выбор способа получения IP-адресов для сетевых интерфейсов
- Шаг 10. Аутентификация сервера в кластере
- Шаг 11. Настройка получения зеркалированного трафика со SPAN-портов
- Шаг 12. Добавление адресов DNS-серверов
- Развертывание сервера хранения данных
- Установка компонентов Central Node и Sensor на сервере
- Шаг 1. Просмотр Лицензионного соглашения и Политики конфиденциальности
- Шаг 2. Выбор роли сервера
- Шаг 3. Выбор диска для установки компонента
- Шаг 4. Выделение диска для базы данных компонента Targeted Attack Analyzer
- Шаг 5. Выбор маски сети для адресации серверов
- Шаг 6. Выбор маски сети для адресации компонентов приложения
- Шаг 7. Выбор внешнего сетевого интерфейса
- Шаг 8. Выбор способа получения IP-адресов для сетевых интерфейсов
- Шаг 9. Создание учетной записи администратора
- Шаг 10. Добавление адресов DNS-серверов
- Шаг 11. Настройка получения зеркалированного трафика со SPAN-портов
- Шаг 12. Настройка синхронизации времени с NTP-сервером
- Установка компонента Sensor на отдельном сервере
- Настройка Kaspersky Anti Targeted Attack Platform на базе операционной системы Astra Linux
- Оптимизация настроек сетевых интерфейсов для компонента Sensor
- Подключение и настройка внешнего хранилища для компонента Sensor
- Очистка жестких дисков на серверах хранения
- Подготовка к установке компонентов приложения
- Настройка параметров масштабирования приложения
- Настройка интеграции Kaspersky Anti Targeted Attack Platform с компонентом Endpoint Agent
- Настройка доверенного соединения Kaspersky Anti Targeted Attack Platform с приложением Kaspersky Endpoint Agent
- Скачивание TLS-сертификата сервера Central Node на компьютер
- Генерация TLS-сертификата сервера Central Node в веб-интерфейсе Kaspersky Anti Targeted Attack Platform
- Загрузка самостоятельно подготовленного TLS-сертификата сервера Central Node через веб-интерфейс Kaspersky Anti Targeted Attack Platform
- Загрузка TLS-сертификата сервера Central Node или Sensor в Kaspersky Endpoint Agent
- Включение проверки TLS-сертификата Kaspersky Endpoint Agent в веб-интерфейсе Kaspersky Anti Targeted Attack Platform
- Генерация TLS-сертификата Kaspersky Endpoint Agent в веб-интерфейсе Kaspersky Anti Targeted Attack Platform и скачивание криптоконтейнера
- Загрузка самостоятельно подготовленного TLS-сертификата Kaspersky Endpoint Agent через веб-интерфейс Kaspersky Anti Targeted Attack Platform
- Просмотр таблицы TLS-сертификатов Kaspersky Endpoint Agent в веб-интерфейсе Kaspersky Anti Targeted Attack Platform
- Фильтрация и поиск TLS-сертификатов Kaspersky Endpoint Agent в веб-интерфейсе Kaspersky Anti Targeted Attack Platform
- Удаление TLS-сертификатов Kaspersky Endpoint Agent в веб-интерфейсе Kaspersky Anti Targeted Attack Platform
- Настройка проверки TLS-сертификата Kaspersky Endpoint Agent сервером Central Node и загрузка криптоконтейнера в Kaspersky Endpoint Agent
- Настройка перенаправления трафика от Kaspersky Endpoint Agent на сервер Sensor
- Генерация TLS-сертификата сервера Sensor в меню администратора сервера Sensor
- Загрузка самостоятельно подготовленного TLS-сертификата сервера Sensor через меню администратора сервера Sensor
- Скачивание TLS-сертификата сервера Sensor на компьютер
- Настройка интеграции и доверенного соединения с Kaspersky Anti Targeted Attack Platform на стороне Kaspersky Endpoint Agent
- Настройка доверенного соединения Kaspersky Anti Targeted Attack Platform с приложением Kaspersky Endpoint Agent
- Начало работы с приложением
- Управление учетными записями администраторов и пользователей приложения
- Создание учетной записи администратора веб-интерфейса приложения
- Создание учетной записи пользователя веб-интерфейса приложения
- Настройка отображения таблицы учетных записей пользователей
- Просмотр таблицы учетных записей пользователей
- Фильтрация учетных записей
- Сброс фильтра учетных записей
- Изменение прав доступа учетной записи пользователя веб-интерфейса приложения
- Включение и отключение учетной записи администратора или пользователя веб-интерфейса приложения
- Изменение пароля учетной записи администратора или пользователя приложения
- Изменение пароля своей учетной записи
- Аутентификация с помощью доменных учетных записей
- Участие в Kaspersky Security Network и использование Kaspersky Private Security Network
- Работа с компонентом Sandbox через веб-интерфейс
- Обновление баз компонента Sandbox
- Настройка соединения компонентов Sandbox и Central Node
- Настройка сетевых интерфейсов компонента Sandbox
- Установка даты и времени системы Sandbox
- Установка и настройка образов операционных систем и приложений для работы компонента Sandbox
- Работа с образами операционных систем и приложений в Хранилище Sandbox
- Работа с шаблонами виртуальных машин
- Управление виртуальными машинами
- Установка максимального количества одновременно запускаемых виртуальных машин
- Изменение количества лицензионных ключей для виртуальной машины с пользовательским образом операционной системы
- Загрузка журнала системы Sandbox на жесткий диск
- Экспорт параметров Sandbox
- Импорт параметров Sandbox
- Перезагрузка сервера Sandbox
- Выключение сервера Sandbox
- Изменение пароля учетной записи администратора Sandbox
- Администратору: работа в веб-интерфейсе приложения
- Интерфейс Kaspersky Anti Targeted Attack Platform
- Мониторинг работы приложения
- О виджетах и схемах расположения виджетов
- Выбор тенанта и сервера для работы в разделе Мониторинг
- Добавление виджета на текущую схему расположения виджетов
- Перемещение виджета на текущей схеме расположения виджетов
- Удаление виджета с текущей схемы расположения виджетов
- Сохранение схемы расположения виджетов в PDF
- Настройка периода отображения данных на виджетах
- Мониторинг приема и обработки входящих данных
- Мониторинг очередей обработки данных модулями и компонентами приложения
- Мониторинг обработки данных компонентом Sandbox
- Просмотр состояния работоспособности модулей и компонентов приложения
- Управление серверами Central Node, PCN или SCN с помощью веб-интерфейса приложения
- Настройка даты и времени сервера
- Генерация или загрузка TLS-сертификата сервера
- Скачивание TLS-сертификата сервера на компьютер
- Назначение DNS-имени сервера
- Настройка параметров DNS
- Настройка параметров сетевого интерфейса
- Настройка сетевого маршрута для использования по умолчанию
- Настройка параметров соединения с прокси-сервером
- Настройка параметров соединения с почтовым сервером
- Выбор операционных систем для проверки объектов в Sandbox
- Управление компонентом Sensor
- Просмотр таблицы серверов с компонентом Sensor
- Обработка запроса на подключение от компонента Sensor
- Настройка максимального размера проверяемого файла
- Настройка получения зеркалированного трафика со SPAN-портов
- Выбор сетевых протоколов для получения зеркалированного трафика со SPAN-портов
- Настройка интеграции с почтовым сервером по протоколу SMTP
- Настройка TLS-шифрования соединений с почтовым сервером по протоколу SMTP
- Настройка интеграции с прокси-сервером по протоколу ICAP
- Настройка записи сырого сетевого трафика
- Настройка интеграции с почтовым сервером по протоколу POP3
- Управление кластером
- Уведомления о максимальной загрузке центрального процессора и оперативной памяти серверов Central Node и Sensor
- Настройка соединения с протоколом SNMP
- Работа с информацией о хостах с компонентом Endpoint Agent
- Выбор тенанта для работы в разделе Endpoint Agents
- Просмотр таблицы хостов c компонентом Endpoint Agent на отдельном сервере Central Node
- Просмотр информации о хосте
- Фильтрация и поиск хостов с компонентом Endpoint Agent по имени хоста
- Фильтрация и поиск хостов с компонентом Endpoint Agent, изолированных от сети
- Фильтрация и поиск хостов с компонентом Endpoint Agent по именам серверов PCN и SCN
- Фильтрация и поиск хостов с компонентом Endpoint Agent по IP-адресу компьютера
- Фильтрация и поиск хостов с компонентом Endpoint Agent по версии операционной системы на компьютере
- Фильтрация и поиск хостов с компонентом Endpoint Agent по версии компонента
- Фильтрация и поиск хостов с компонентом Endpoint Agent по их активности
- Быстрое создание фильтра хостов с компонентом Endpoint Agent
- Сброс фильтра хостов с компонентом Endpoint Agent
- Настройка показателей активности компонента Endpoint Agent
- Удаление хостов с компонентом Endpoint Agent
- Автоматическое удаление неактивных хостов
- Поддерживаемые интерпретаторы и процессы
- Настройка интеграции с компонентом Sandbox
- Настройка интеграции с внешними системами
- Настройка интеграции с Kaspersky Managed Detection and Response
- Настройка интеграции с SIEM-системой
- Управление журналом активности
- Обновление баз приложения
- Создание списка паролей для архивов
- Настройка интеграции с приложением ArtX TLSproxy 1.9.1
- Сотруднику службы безопасности: работа в веб-интерфейсе приложения
- Интерфейс Kaspersky Anti Targeted Attack Platform
- Выбор тенанта для работы в веб-интерфейсе приложения
- Мониторинг работы приложения
- О виджетах и схемах расположения виджетов
- Добавление виджета на текущую схему расположения виджетов
- Перемещение виджета на текущей схеме расположения виджетов
- Удаление виджета с текущей схемы расположения виджетов
- Сохранение схемы расположения виджетов в PDF
- Настройка периода отображения данных на виджетах
- Настройка масштаба отображения виджетов
- Основные принципы работы с виджетами типа "Обнаружения"
- Просмотр состояния работоспособности модулей и компонентов приложения
- Просмотр таблицы обнаружений
- Настройка отображения таблицы обнаружений
- Фильтрация, сортировка и поиск обнаружений
- Фильтрация обнаружений по наличию статуса VIP
- Фильтрация и поиск обнаружений по времени
- Фильтрация обнаружений по степени важности
- Фильтрация и поиск обнаружений по категориям обнаруженных объектов
- Фильтрация и поиск обнаружений по полученной информации
- Фильтрация и поиск обнаружений по адресу источника
- Фильтрация и поиск обнаружений по адресу назначения
- Фильтрация и поиск обнаружений по имени сервера
- Фильтрация и поиск обнаружений по названию технологии
- Фильтрация и поиск обнаружений по состоянию их обработки пользователем
- Сортировка обнаружений в таблице
- Быстрое создание фильтра обнаружений
- Сброс фильтра обнаружений
- Рекомендации по обработке обнаружений
- Просмотр обнаружений
- Просмотр информации об обнаружении
- Общая информация об обнаружении любого типа
- Информация в блоке Информация об объекте
- Информация в блоке Информация об обнаружении
- Информация в блоке Результаты проверки
- Информация в блоке Правило IDS
- Информация в блоке Сетевое событие
- Результаты проверки в Sandbox
- Результаты IOC-проверки
- Информация в блоке Хосты
- Информация в блоке Журнал изменений
- Отправка данных об обнаружении
- Просмотр информации об обнаружении
- Действия пользователей над обнаружениями
- Поиск угроз по базе событий
- Поиск событий в режиме конструктора
- Поиск событий в режиме исходного кода
- Сортировка событий в таблице
- Изменение условий поиска событий
- Поиск событий по результатам их обработки в приложениях EPP
- Загрузка IOC-файла и поиск событий по условиям, заданным в IOC-файле
- Создание правила TAA (IOA) на основе условий поиска событий
- Информация о событиях
- Рекомендации по обработке событий
- Информация о событиях в дереве событий
- Просмотр таблицы событий
- Настройка отображения таблицы событий
- Просмотр информации о событии
- Информация о событии Запущен процесс
- Информация о событии Завершен процесс
- Информация о событии Загружен модуль
- Информация о событии Удаленное соединение
- Информация о событии Правило запрета
- Информация о событии Заблокирован документ
- Информация о событии Изменен файл
- Информация о событии Журнал событий ОС
- Информация о событии Изменение в реестре
- Информация о событии Прослушан порт
- Информация о событии Загружен драйвер
- Информация о событии Обнаружение
- Информация о событии Результат обработки обнаружения
- Информация о событии Интерпретированный запуск файла
- Информация о событии AMSI-проверка
- Информация о событии Интерактивный ввод команд в консоли
- Работа с информацией о хостах с компонентом Endpoint Agent
- Просмотр таблицы хостов с компонентом Endpoint Agent
- Настройка отображения таблицы хостов с компонентом Endpoint Agent
- Просмотр информации о хосте
- Фильтрация и поиск хостов с компонентом Endpoint Agent по имени хоста
- Фильтрация и поиск хостов с компонентом Endpoint Agent, изолированных от сети
- Фильтрация и поиск хостов с компонентом Endpoint Agent по именам серверов PCN и SCN
- Фильтрация и поиск хостов с компонентом Endpoint Agent по IP-адресу компьютера
- Фильтрация и поиск хостов с компонентом Endpoint Agent по версии операционной системы на компьютере
- Фильтрация и поиск хостов с компонентом Endpoint Agent по версии компонента
- Фильтрация и поиск хостов с компонентом Endpoint Agent по их активности
- Быстрое создание фильтра хостов с компонентом Endpoint Agent
- Сброс фильтра хостов с компонентом Endpoint Agent
- Удаление хостов с компонентом Endpoint Agent
- Настройка показателей активности компонента Endpoint Agent
- Поддерживаемые интерпретаторы и процессы
- Сетевая изоляция хостов с компонентом Endpoint Agent
- Автоматическая отправка файлов с хостов с компонентом Endpoint Agent на проверку в Sandbox по правилам TAA (IOA) "Лаборатории Касперского"
- Выбор операционных систем для проверки объектов в Sandbox
- Работа с задачами
- Просмотр таблицы задач
- Просмотр информации о задаче
- Создание задачи получения файла
- Создание задачи сбора форензики
- Создание задачи получения ключа реестра
- Создание задачи получения метафайлов NTFS
- Создание задачи получения дампа памяти процесса
- Создание задачи получения образа диска
- Создание задачи получения дампа оперативной памяти
- Создание задачи завершения процесса
- Создание задачи проверки хостов с помощью правил YARA
- Создание задачи управления службами
- Создание задачи выполнения приложения
- Создание задачи удаления файла
- Создание задачи помещения файла на карантин
- Создание задачи восстановления файла из карантина
- Создание копии задачи
- Удаление задач
- Фильтрация задач по времени создания
- Фильтрация задач по типу
- Фильтрация задач по имени
- Фильтрация задач по имени и пути к файлу
- Фильтрация задач по описанию
- Фильтрация задач по имени сервера
- Фильтрация задач по имени пользователя, создавшего задачу
- Фильтрация задач по состоянию обработки
- Сброс фильтра задач
- Работа с политиками (правилами запрета)
- Просмотр таблицы правил запрета
- Настройка отображения таблицы правил запрета
- Просмотр правила запрета
- Создание правила запрета
- Импорт правил запрета
- Включение и отключение правила запрета
- Включение и отключение предустановок
- Удаление правил запрета
- Фильтрация правил запрета по имени
- Фильтрация правил запрета по типу
- Фильтрация правил запрета по хешу файла
- Фильтрация правил запрета по имени сервера
- Сброс фильтра правил запрета
- Работа с пользовательскими правилами
- Об использовании индикаторов компрометации (IOC) и атаки (IOA) для поиска угроз
- Работа с пользовательскими правилами TAA (IOA)
- Просмотр таблицы правил TAA (IOA)
- Создание правила TAA (IOA) на основе условий поиска событий
- Импорт правила TAA (IOA)
- Просмотр информации о правиле TAA (IOA)
- Поиск обнаружений и событий, в которых сработали правила TAA (IOA)
- Фильтрация и поиск правил TAA (IOA)
- Сброс фильтра правил TAA (IOA)
- Включение и отключение использования правил TAA (IOA)
- Изменение правила TAA (IOA)
- Удаление правил TAA (IOA)
- Работа с пользовательскими правилами IOC
- Просмотр таблицы IOC-файлов
- Просмотр информации об IOC-файле
- Загрузка IOC-файла
- Скачивание IOC-файла на компьютер
- Включение и отключение автоматического использования IOC-файла при проверке хостов
- Удаление IOC-файла
- Поиск обнаружений по результатам IOC-проверки
- Поиск событий по IOC-файлу
- Фильтрация и поиск IOC-файлов
- Сброс фильтра IOC-файлов
- Настройка расписания IOC-проверки
- Работа с пользовательскими правилами IDS
- Импорт пользовательского правила IDS
- Просмотр информации о пользовательском правиле IDS
- Включение и отключение использования правила IDS при проверке событий
- Настройка важности обнаружений, выполненных по пользовательскому правилу IDS
- Замена пользовательского правила IDS
- Экспорт файла пользовательского правила IDS на компьютер
- Удаление пользовательского правила IDS
- Работа с пользовательскими правилами YARA
- Работа с объектами в Хранилище и на карантине
- Просмотр таблицы объектов, помещенных в Хранилище
- Просмотр информации об объекте, загруженном в Хранилище через веб-интерфейс
- Просмотр информации об объекте, помещенном в Хранилище по задаче получения файла
- Просмотр информации об объекте, помещенном в Хранилище по задаче получения данных
- Скачивание объектов из Хранилища
- Загрузка объектов в Хранилище
- Отправка объектов из Хранилища на проверку
- Удаление объектов из Хранилища
- Фильтрация объектов в Хранилище по типу объекта
- Фильтрация объектов в Хранилище по описанию объекта
- Фильтрация объектов в Хранилище по результатам проверки
- Фильтрация объектов в Хранилище по имени сервера Central Node, PCN или SCN
- Фильтрация объектов в Хранилище по источнику объекта
- Фильтрация объектов по времени помещения в Хранилище
- Сброс фильтра объектов в Хранилище
- Просмотр таблицы объектов, помещенных на карантин на компьютерах с компонентом Endpoint Agent
- Просмотр информации об объекте на карантине
- Восстановление объекта из карантина
- Получение копии объекта на карантине на сервер Kaspersky Anti Targeted Attack Platform
- Удаление информации об объекте, помещенном на карантин, из таблицы
- Фильтрация информации об объектах, помещенных на карантин, по типу объекта
- Фильтрация информации об объектах, помещенных на карантин, по описанию объекта
- Фильтрация информации об объектах, помещенных на карантин, по имени хоста
- Фильтрация информации об объектах, помещенных на карантин, по времени
- Сброс фильтра информации об объектах на карантине
- Работа с отчетами
- Просмотр таблицы шаблонов и отчетов
- Создание шаблона
- Создание отчета по шаблону
- Просмотр отчета
- Скачивание отчета на локальный компьютер
- Изменение шаблона
- Фильтрация шаблонов по имени
- Фильтрация шаблонов по имени пользователя, создавшего шаблон
- Фильтрация шаблонов по времени создания
- Сброс фильтра шаблонов
- Удаление шаблона
- Фильтрация отчетов по времени создания
- Фильтрация отчетов по имени
- Фильтрация отчетов по имени сервера с компонентом Central Node
- Фильтрация отчетов по имени пользователя, создавшего отчет
- Сброс фильтра отчетов
- Удаление отчета
- Работа с правилами присвоения обнаружениям статуса VIP
- Просмотр таблицы правил присвоения статуса VIP
- Создание правила присвоения статуса VIP
- Удаление правила присвоения статуса VIP
- Изменение правила присвоения статуса VIP
- Импорт списка правил присвоения статуса VIP
- Экспорт списка данных, исключенных из проверки
- Фильтрация и поиск по типу правила присвоения статуса VIP
- Фильтрация и поиск по значению правила присвоения статуса VIP
- Фильтрация и поиск по описанию правила присвоения статуса VIP
- Сброс фильтра правил присвоения статуса VIP
- Работа со списком исключений из проверки
- Просмотр таблицы данных, исключенных из проверки
- Добавление правила исключения из проверки
- Удаление правила исключения из проверки
- Изменение правила, добавленного в исключения из проверки
- Экспорт списка данных, исключенных из проверки
- Фильтрация правил в списке исключений из проверки по критерию
- Поиск правил в списке исключений из проверки по значению
- Сброс фильтра правил в списке исключений из проверки
- Работа с IDS-исключениями
- Работа с TAA-исключениями
- Работа с ICAP-исключениями
- Просмотр таблицы ICAP-исключений
- Добавление правила в ICAP-исключения
- Удаление правил из ICAP-исключений
- Изменение и выключение правила в списке ICAP-исключений
- Фильтрация правил в списке ICAP-исключений по критерию
- Фильтрация правил в списке ICAP-исключений по значению
- Фильтрация правил в списке ICAP-исключений по состоянию
- Сброс условий фильтрации правил в списке ICAP-исключений
- Создание списка паролей для архивов
- Просмотр параметров сервера
- Просмотр таблицы серверов с компонентом Sandbox
- Просмотр параметров набора операционных систем для проверки объектов в Sandbox
- Просмотр таблицы серверов с компонентом Sensor
- Работа с сырым сетевым трафиком
- Просмотр таблицы внешних систем
- Работа с пользовательскими правилами Sandbox
- Просмотр таблицы пользовательских правил Sandbox
- Настройка отображения таблицы правил Sandbox
- Фильтрация и поиск правил Sandbox
- Сброс фильтра правил Sandbox
- Просмотр информации о пользовательском правиле Sandbox
- Создание пользовательского правила Sandbox для проверки файлов
- Создание пользовательского правила Sandbox для проверки URL-адреса
- Копирование пользовательского правила Sandbox
- Импорт пользовательских правил Sandbox для проверки файлов
- Изменение пользовательского правила Sandbox
- Включение и отключение пользовательских правил Sandbox
- Экспорт пользовательских правил Sandbox для проверки файлов
- Удаление пользовательских правил Sandbox
- Список расширений для категорий файлов
- Отправка уведомлений
- Просмотр таблицы правил для отправки уведомлений
- Создание правила для отправки уведомлений об обнаружениях
- Создание правила для отправки уведомлений о работе компонентов приложения
- Включение и отключение правила для отправки уведомлений
- Изменение правила для отправки уведомлений
- Удаление правила для отправки уведомлений
- Фильтрация и поиск правил отправки уведомлений по типу правила
- Фильтрация и поиск правил отправки уведомлений по теме уведомлений
- Фильтрация и поиск правил отправки уведомлений по адресу электронной почты
- Фильтрация и поиск правил отправки уведомлений по их состоянию
- Сброс фильтра правил отправки уведомлений
- Управление приложением Kaspersky Endpoint Agent для Windows
- Управление приложением Kaspersky Endpoint Security для Windows
- Управление приложением Kaspersky Endpoint Security для Linux
- Управление приложением Kaspersky Endpoint Security для Mac
- Создание резервной копии и восстановление приложения
- Создание резервной копии параметров сервера Central Node из меню администратора приложения
- Загрузка файла с резервной копией параметров сервера с сервера Central Node или PCN на жесткий диск компьютера
- Загрузка файла с резервной копией параметров сервера с вашего компьютера на сервер Central Node
- Восстановление параметров сервера из резервной копии через меню администратора приложения
- Создание резервной копии приложения в режиме Technical Support Mode
- Восстановление приложения из резервной копии в режиме Technical Support Mode
- Обновление Kaspersky Anti Targeted Attack Platform
- Обновление компонента Central Node, установленного на сервере
- Обновление компонента Central Node, установленного в виде кластера
- Установка пакета обновления приложения до версии 6.0.1
- Установка пакета обновления приложения до версии 6.0.2
- Установка пакета обновления приложения до версии 6.0.4
- Состав и объем данных, сохраняемых при обновлении приложения Kaspersky Anti Targeted Attack Platform
- Взаимодействие с внешними системами по API
- Интеграция внешней системы с Kaspersky Anti Targeted Attack Platform
- API для проверки объектов внешних систем
- API для получения внешними системами информации об обнаружениях приложения
- API для получения внешними системами информации о событиях приложения
- API для управления действиями по реагированию на угрозы
- Источники информации о приложении
- Обращение в Службу технической поддержки
- Глоссарий
- Advanced persistent threat (APT)
- Anti-Malware Engine
- Backdoor-программа
- Central Node
- CSRF-атака
- End User License Agreement
- ICAP-данные
- ICAP-клиент
- Intrusion Detection System
- IOA
- IOC
- IOC-файл
- Kaspersky Anti Targeted Attack Platform
- Kaspersky Private Security Network
- Kaspersky Secure Mail Gateway
- Kaspersky Security Network (KSN)
- Kaspersky Threat Intelligence Portal
- KATA
- KEDR
- Kerberos-аутентификация
- Keytab-файл
- MIB (Management Information Base)
- MITM-атака
- NTP-сервер
- OpenIOC
- Sandbox
- Sensor
- SIEM-система
- SPAN
- Syslog
- Targeted Attack Analyzer
- TLS-шифрование
- YARA
- Альтернативный поток данных
- Атака "нулевого дня"
- Вредоносные веб-адреса
- Дамп
- Зеркалированнный трафик
- Имя субъекта-службы (SPN)
- Компонент Endpoint Agent
- Локальная репутационная база KPSN
- Мультитенантность
- Правила YARA
- Правило TAA (IOA)
- Пропускная способность канала связи
- Распределенное решение
- Сигнатура
- Статус VIP
- Тенант
- Техника MITRE
- Трассировка
- Угрозы нового поколения
- Уязвимость "нулевого дня"
- Фишинговые URL-адреса
- Целевая атака
- Информация о стороннем коде
- Уведомления о товарных знаках
Сотруднику службы безопасности: работа в веб-интерфейсе приложения > Рекомендации по обработке обнаружений > Рекомендации по обработке AM-обнаружений
Рекомендации по обработке AM-обнаружений
Рекомендации по обработке AM-обнаружений
В правой части окна в блоке Рекомендации отображаются рекомендации, которые вы можете выполнить, и количество обнаружений или событий, имеющих общие признаки с обнаружением, над которым вы работаете.
Вы можете выполнить следующие рекомендации:
- В разделе Оценка раскройте список Найти похожие обнаружения.
Отобразится список признаков, по которым вы можете найти похожие обнаружения, и количество похожих обнаружений по каждому признаку.
Выберите один из следующих признаков:
- По MD5. По ссылке в новой вкладке браузера откроется таблица обнаружений Обнаружения, отфильтрованных по столбцу Сведения ‑ MD5-хешу. MD5-хеш файла из обнаружения, над которым вы работаете, выделен желтым цветом.
- По SHA256. По ссылке в новой вкладке браузера откроется таблица обнаружений Обнаружения, отфильтрованных по столбцу Сведения ‑ SHA256-хешу. SHA256-хеш файла из обнаружения, над которым вы работаете, выделен желтым цветом.
- По имени хоста. По ссылке в новой вкладке браузера откроется таблица обнаружений Обнаружения, отфильтрованных по столбцу Адрес источника. Имя хоста из обнаружения, над которым вы работаете, выделено желтым цветом.
- По адресу отправителя. По ссылке в новой вкладке браузера откроется таблица обнаружений Обнаружения, отфильтрованных по столбцу Адрес источника. Адрес отправителя сообщения электронной почты из обнаружения, над которым вы работаете, выделен желтым цветом.
- По адресу получателя. По ссылке в новой вкладке браузера откроется таблица обнаружений Обнаружения, отфильтрованных по столбцу Адрес назначения. Адрес получателя сообщения электронной почты из обнаружения, над которым вы работаете, выделен желтым цветом.
- По URL. По ссылке в новой вкладке браузера откроется таблица обнаружений Обнаружения, отфильтрованных по столбцу Сведения ‑ URL-адресу из обнаружения, над которым вы работаете.
- В разделе Оценка выберите Найти похожие события. По ссылке в новой вкладке браузера откроется таблица событий Поиск угроз. В условиях поиска выбран тип события Результат обработки обнаружения и настроен фильтр поиска, например, по RemoteIP, MD5, SHA256, URI. В значениях фильтрации указаны свойства обнаружения, над которым вы работаете. Например, MD5 файла из обнаружения.
Действие доступно только если вы используете
функциональность KEDRи добавили лицензионный ключ KEDR.Kaspersky Endpoint Detection and Response. Функциональный блок программы Kaspersky Anti Targeted Attack Platform, обеспечивающий защиту компьютеров локальной сети организации.
- В разделе Расследование выберите Найти похожие события. По ссылке в новой вкладке браузера откроется таблица событий Поиск угроз. В условиях поиска настроен фильтр поиска, например, по RemoteIP, MD5, SHA256, URI. В значениях фильтрации указаны свойства обнаружения, над которым вы работаете. Например, MD5 файла из обнаружения.
Действие доступно только если вы используете функциональность KEDR и добавили лицензионный ключ KEDR.
|
См. также Рекомендации по обработке обнаружений Рекомендации по обработке TAA-обнаружений Рекомендации по обработке SB-обнаружений Рекомендации по обработке IOC-обнаружений |
Идентификатор статьи: 247616, Последнее изменение: 6 сент. 2024 г.