Этот раздел содержит информацию об управлении коннекторами в Kaspersky Anti Targeted Attack Platform. Коннекторы – это специальные программные модули, которые обеспечивают обмен данными с Kaspersky Anti Targeted Attack Platform и могут предоставлять возможности выполнения управляющих действий в самом приложении или с помощью приложения.
Коннекторы расширяют функциональность приложения для взаимодействия со сторонними системами. В зависимости от своего функционального назначения, коннекторы могут передавать данные в сторонние системы (например, передавать события, сообщения приложения и записи аудита в SIEM-систему) или обеспечивать получение данных от сторонних систем. Также в приложении могут использоваться коннекторы для проведения активных опросов устройств.
Компьютеры, на которых работают программные модули коннекторов, называется узлами размещения коннекторов. В качестве узла размещения коннектора вы можете использовать любой компьютер, имеющий сетевой доступ к компьютеру сервера Central Node (в том числе узлы с установленными компонентами приложения, включая и компьютер самого сервера Central Node).
Таблицы коннекторов и типов коннекторов отображаются в разделе Параметры, подразделе Коннекторы веб-интерфейса приложения. Управлять коннекторами и типами коннекторов могут только пользователи с ролью Администратор. Пользователи с ролями Аудитор, Сотрудник службы безопасности и Старший сотрудник службы безопасности могут просматривать коннекторы и типы коннекторов.
Функциональные возможности коннектора зависят от выбранного типа коннектора. Вы можете выбрать нужный тип коннектора при добавлении коннектора в приложение. По умолчанию в приложение встроены следующие типы коннекторов:
Этот тип коннектора предоставляет возможности отправки данных на сервер Syslog.
При добавлении коннектора типа Syslog или при изменении параметров вам нужно настраивать не только общие параметры коннектора, но и дополнительные параметры, сгруппированные в блоке Детали:
Этот тип коннектора предоставляет возможности отправки данных на сервер SIEM-системы.
При добавлении коннектора типа SIEM или при изменении параметров вам нужно настраивать не только общие параметры коннектора, но и дополнительные параметры, сгруппированные в блоке Детали:
Этот тип коннектора предоставляет возможности подключения приложений, использующих Kaspersky Anti Targeted Attack Platform API NDR.
Этот тип коннектора предоставляет возможности отправки данных в сообщениях электронной почты.
При добавлении коннектора типа Email или при изменении параметров вам нужно настраивать не только общие параметры коннектора, но также и дополнительные параметры, сгруппированные в блоке Детали:
Для работы коннектора типа Email следует предварительно настроить соединение с почтовым сервером.
Этот тип коннектора предоставляет возможности активного опроса устройств в рамках заданий контроля конфигураций и заданий активных опросов.
При добавлении коннектора типа Active poll или при изменении параметров вам нужно настраивать не только общие параметры коннектора, но также и дополнительные параметры, сгруппированные в блоке Детали:
0.0.0.0
соответствует всем возможным IP-адресам. Если адрес входит в диапазон как разрешенных, так и запрещенных IP-адресов, то Kaspersky Anti Targeted Attack Platform отнесет его к запрещенным IP-адресам.
При выборе адресного пространства, отличающегося от адресного пространства Default, вам нужно добавить новое правило для этого адресного пространства или изменить имеющееся правило. В правиле должен быть указан коннектор, для которого выбрано это адресное пространство. Настройка параметров правил выполняется при изменении адресного пространства.
Этот тип коннектора предоставляет возможности интеграции с программным решением Kaspersky Unified Monitoring and Analysis Platform (далее также KUMA). Программные модули для коннекторов данного типа поставляются отдельно от Kaspersky Anti Targeted Attack Platform. С помощью коннектора данного типа вы можете отправлять в KUMA сведения об устройствах и рисках, а также применять в KUMA команды на изменение статусов устройств. После добавления коннектора требуется настроить интеграцию в KUMA (создать подключение к Kaspersky Anti Targeted Attack Platform). Взаимодействие коннектора KUMA с сервером Central Node выполняется с использованием Kaspersky Anti Targeted Attack Platform API.
Коннектор KUMA обеспечивает интеграцию в части отправки сведений об устройствах и рисках и применения команд на изменение статусов устройств. Для отправки событий в KUMA вы можете добавить в Kaspersky Anti Targeted Attack Platform коннектор типа Syslog или SIEM и указать для этого коннектора данные для подключения к серверу KUMA. После добавления коннектора требуется настроить коллектор на стороне KUMA.
Этот тип коннектора предоставляет возможности автоматического управления сетевым доступом устройств с использованием сетевых коммутаторов Cisco.
При добавлении коннектора типа Cisco Switch или при изменении параметров вам нужно настраивать не только общие параметры коннектора, но также и дополнительные параметры, сгруппированные в блоке Детали:
Для использования метода отключения Ethernet-портов вам нужно настроить конфигурацию подключений к сетевому коммутатору таким образом, чтобы исключить соединение нескольких устройств через один порт. Иначе при отключении Ethernet-порта для блокировки одного устройства сетевой доступ будет также заблокирован для всех устройств, которые соединены с сетью через этот порт.
При необходимости в приложение можно добавлять другие типы коннекторов, которые будут обеспечивать обмен данными или предоставлять возможности выполнения управляющих действий при взаимодействии приложения с другими сторонними системами.
Для соединений коннекторов с сервером Central Node используются определенные порты и протоколы.
Подключение сторонней системы через коннектор выполняется от имени одного из пользователей приложения. Для каждого коннектора рекомендуется использовать отдельную учетную запись пользователя. За счет этого вам будет удобнее анализировать действия, которые выполнялись через коннекторы, по записям аудита.
Максимальное количество коннекторов в приложении – 20. Максимальное количество типов коннекторов – 100.