Kaspersky Anti Targeted Attack Platform 应用程序包括三个功能块:
您可以使用应用程序的全部功能(KATA 密钥和 KEDR 密钥)或部分功能(仅 KATA 密钥或仅 KEDR 密钥)。
Kaspersky Anti Targeted Attack 的工作原理
Kaspersky Anti Targeted Attack 包括以下主要组件:
Sensor、Central Node 和 Sandbox 交互操作如下:
IDS 技术可以识别和检测 80个协议(特别是 TCP/IP 模型的 53 个应用层协议)中的网络活动,从而检测可疑流量和网络攻击。支持的协议包括 TCP、UDP、FTP、TFTP、SSH、SMTP、SMB、CIF、SSL、HTTP、HTTP/2、HTTPS、TLS、ICMPv4、ICMPv6、IPv4、IPv6、IRC、LDAP、NFS、DNS、RDP、DERPC 、MS-RPC、WebSocket、Citrix 等。
您还可以使用邮件传感器作为 Sensor 组件,它是安装了 Kaspersky Secure Mail Gateway (KSMG) 或 Kaspersky Security for Linux Mail Server (KLMS) 的服务器或虚拟机。
如果检测到任何威胁,Central Node 服务器会在警报数据库中记录相关信息。您可以应用程序 Web 界面的警报部分或通过生成警报报告来查看警报表。
警报信息还可以发布到组织中使用的 SIEM 系统以及外部系统。有关 Sandbox 组件警报的信息可以发布在卡巴斯基私人安全网络的本地信誉数据库中。
Kaspersky Endpoint Detection and Response 的工作原理
Kaspersky Endpoint Detection and Response 包括以下组件:
该组件可以由以下任意应用程序代表: Kaspersky Endpoint Agent for Windows、 Kaspersky Endpoint Security for Windows、 Kaspersky Endpoint Security for Linux、 Kaspersky Endpoint Security for Mac。
可选组件。
Sensor 组件可用作Kaspersky Endpoint Agent 传出连接的代理服务器。
Endpoint Agent 和 Central Node 组件互操作如下:
代表 Endpoint Agent 组件的应用程序之一安装在企业 IT 基础架构内的单个计算机上,持续监视进程、开放的网络连接和正在被修改的文件。监控数据被发送到具有 Central Node 组件的服务器。事件根据这些数据生成。
Kaspersky Endpoint Agent for Windows 可与Endpoint Protection Platform(以下简称“EPP”)应用程序集成:
有关 Kaspersky Endpoint Agent for Windows 版本与 EPP 应用程序的兼容性的信息,请参阅Kaspersky Endpoint Agent for Windows 版本与 EPP 应用程序的兼容性部分。
在这种情况下,Kaspersky Endpoint Agent 还会将有关 EPP 应用程序检测到的威胁的信息以及这些应用程序的威胁处理结果发送到 Central Node 服务器。
EPP 应用程序、Kaspersky Endpoint Agent 和 Central Node 组件的互操作如下:
Kaspersky Endpoint Security for Windows 还可以向 Kaspersky Endpoint Agent Security for Windows 提供有关具有反恶意软件扫描接口支持(以下也称为“AMSI”)的第三方应用程序的信息,将对象(例如 PowerShell 脚本)发送到 Kaspersky Endpoint Security for Windows 进行额外扫描。
Central Node 服务器处理接收到的数据并在应用程序Web 界面中显示相应的事件。
EPP 应用程序数据处理会生成扫描: 检测、扫描: 检测处理结果、AMSI 扫描事件(当 Kaspersky Endpoint Agent for Windows 与 Kaspersky Endpoint Security for Windows 集成时)。
到达 Central Node 服务器的事件由 TAA (IOA) 规则标记。由于此标记,可以为需要用户注意的事件生成警报。如果您有 Sandbox 组件,您还可以自动从 Kaspersky Endpoint Agent 主机发送文件,以便 Sandbox 组件根据 Kaspersky TAA (IOA) 规则进行扫描。
当 Central Node 服务器与 Kaspersky Endpoint Agent for Windows 和 Kaspersky Endpoint Security for Windows 集成时,您可以执行以下操作来对检测到的威胁做出反应:
当 Central Node 服务器与 Kaspersky Endpoint Security 11.4 for Linux 和 Kaspersky Endpoint Security for Mac 集成时,您可以执行以下操作来对检测到的威胁做出反应:
当 Central Node 服务器与 Kaspersky Endpoint Security 12 for Linux 集成时,您可以执行以下操作来对检测到的威胁做出反应:
Kaspersky Anti Targeted Attack Platform 的工作原理如下图所示。
Kaspersky Anti Targeted Attack Platform 的工作原理
您可以单独配置每个 Central Node 组件的设置,也可以在分布式解决方案模式下集中管理多个组件。
分布式解决方案是指 Central Node 服务器的两层架构。该结构将主控制服务器(称为“主 Central Node (PCN)”)和辅助服务器(称为“从属 Central Node (SCN)”)分开。
分布式解决方案模式下 Kaspersky Anti Targeted Attack Platform 的工作原理如下图所示。
分布式解决方案模式下 Kaspersky Anti Targeted Attack Platform 的工作原理