管理連線器

本節包含有關 Kaspersky Anti Targeted Attack Platform 中的連線器的資訊。連線器是處理與 Kaspersky Anti Targeted Attack Platform 的通訊的特殊軟體模組，可允許在應用程式本身或在應用程式的幫助下執行管理工作。

連線器擴展了應用程式的功能，使其能夠與第三方系統互動。根據其功能目的，連線器可以將資料傳送到第三方系統（例如，將事件、應用程式訊息和稽核記錄傳送至 SIEM 系統）或從第三方系統取得資料。應用程式還可以使用連線器對裝置進行主動輪詢。

執行連線器軟體模組的電腦稱為連線器部署節點。您可以在任何可以透過網路存取 Central Node 伺服器的電腦上部署連線器（包括安裝了應用程式元件的節點，包括 Central Node 伺服器本身）。

連線器表和連線器類型表顯示在應用程式 Web 介面的“設定”部分，“連線器”子部份。只有具有管理員角色的使用者才能管理連線器和連線器類型。擁有“安全稽核員”、“安全官”和“資深安全員”角色的使用者可以檢視連線器和連線器類型。

連線器的功能取決於所選的連線器類型。您可以在將連線器新增至應用程式時選擇連線器類型。應用程式內建有以下類型的現成連線器：

• Syslog

  此連線器類型支援將資料轉送至 syslog 伺服器。

  新增 Syslog連線器或編輯其設定時，配置連線器的一般設定以及“詳細資料”下的附加設定：

  • Syslog 伺服器位址
  • Syslog 伺服器連接埠
  • 資料傳輸系統
• SIEM

  此連線器類型支援將資料轉送至 SIEM 系統。

  當您新增“SIEM”連線器或編輯其設定時，配置連線器的一般設定以及“詳細資料”下的附加設定：

  • SIEM 系統伺服器位址
  • SIEM 系統伺服器連接埠
  • 資料傳輸系統
• 一般的

  此連線器類型允許連接使用 Kaspersky Anti Targeted Attack Platform API NDR的應用程式。

• 電子郵件

  此連線器類型提供透過電子郵件轉發資料的功能。

  新增“電子郵件”連線器或編輯其設定時，設定連線器的一般設定以及“詳細資料”下的附加設定：

  • 用作電子郵件寄件者的位址。
  • 電子郵件的收件者位址。
  • 事件、應用程式訊息和稽核記錄的電子郵件主旨行。
  • 事件、應用程式訊息、稽核記錄、網路互動描述以及整個通知電子郵件訊息的文字描述範本。您可以在範本中使用變數。
  • 當傳送的通知數量達到最大限額時傳送的電子郵件的主旨和主體。
  • 每天傳送的最大電子郵件數。
  • 每條訊息中的最大通知數。指定可放入單個電子郵件訊息中的相同類型（事件、應用程式訊息或稽核記錄）的已註冊通知的最大數量。如果有更多已註冊的通知，則會產生額外的電子郵件訊息（在每日限制內）。

  為了使電子郵件連線器正常運作，您必須先設定郵件伺服器連線。

• 主動輪詢

  此連線器類型提供了具有設定控制和主動輪詢作業的主動裝置輪詢功能。

  新增“活動輪詢”連線器或編輯其設定時，設定連線器的一般設定以及“詳細資料”下的附加設定：

  • 使用連線器時應用程式使用者可以使用的主動輪詢方法。
  • 允許或拒絕主動輪詢的裝置的被允許和被拒絕 IP 位址範圍。0.0.0.0位址與所有可能的 IP 位址相符。

    如果某個位址既包含在允許的 IP 位址中，也包含在拒絕的 IP 位址中，Kaspersky Anti Targeted Attack Platform 會將其歸類為拒絕的 IP 位址。

  • 其對應裝置可用於主動輪詢的位址空間的名稱。如有必要，在L3 位址空間欄位中選擇 IP 位址的位址空間，並在L2 位址空間欄位中選擇 M​​AC 位址的位址空間。

    如果選擇的位址空間與預設位址空間不同，請為該位址空間新增規則（或編輯現有規則）。此規則必須指定選擇此位址空間的連線器。當位址空間改變時，規則設定就會被配置。

• KUMA

  此連線器類型提供與 Kaspersky Unified Monitoring and Analysis Platform (KUMA) 的整合。此類連線器的軟體模組與 Kaspersky Anti Targeted Attack Platform 分開分發。這種類型的連線器可讓您將有關裝置和風險的資訊傳送到 KUMA，以及在 KUMA 中執行命令來變更裝置狀態。新增連線器後，必須在 KUMA 中配置整合（建立與 Kaspersky Anti Targeted Attack Platform 的連線）。KUMA 連線器使用 Kaspersky Anti Targeted Attack Platform API 與 Central Node 伺服器互動。

  KUMA 連線器提供的整合涉及傳送有關裝置和風險的資訊，以及應用命令來改變裝置狀態。若要將事件傳送至 KUMA，您可以向 Kaspersky Anti Targeted Attack Platform 新增 Syslog或 SIEM連線器，並為此連線器指定與 KUMA 伺服器的連線設定。新增連線器後，需要在 KUMA 端配置一個收集器。

• Cisco 交換機

  此連線器類型透過思科網路交換機為裝置提供自動網路存取控制支援。

  新增Cisco 交換機連線器或編輯其設定時，設定連線器的一般設定以及“詳細資料”下的附加設定：

  • 您想要在應用程式使用連線器執行的操作的事件中指定的開關的名稱。
  • 將連線器連線到交換機的定址資訊：IP 位址和 SSH 連接埠。
  • 透過 SSH 連線到交換機的憑證。
  • 在建立 SSH 連線之前，需要將公鑰與從網路交換機收到的公鑰進行配對；這樣做是為了防止網路中此裝置被欺騙。如果該值為空，則不執行檢查。
  • 用於限制裝置網路存取的方法。應用程式提供了基於MAC 位址（MAC ACL）、IP 位址（IP ACL）在交換機存取控制清單中建立拒絕規則的方法，以及透過停用裝置連線到的乙太網路連接埠的方法。

    若要使用停用乙太網路連接埠的方法，請設定交換機連線以防止多個裝置連線到一個連接埠。否則，停用乙太網路連接埠以阻止一個裝置也會阻止使用該連接埠連線到網路的所有裝置的網路存取。

  • 當變更網路存取限制方法時，此設定將重設拒絕規則。如果啟用此設定，變更方法將重置已設定的封鎖裝置的規則。
  • 此設定將網路裝置排除在網路存取限制方法之外。如果啟用此設定，則此方法不適用於網路裝置、防火牆、交換機、虛擬交換機、路由器、虛擬路由器、Wi-Fi裝置。
  • 此設定僅套用拒絕規則於新裝置。若啟用此設定，此方法僅適用於已註冊事件類型代碼為 4000005003 的新裝置偵測事件的未經授權的裝置。
  • 裝置表中“已授權”和“未授權”裝置的輪詢間隔。
  • 此設定可讓您設定連線器重新啟動時有關被封鎖裝置的通知。如果啟用此設定，則在啟用或重新啟動連線器後，先前已套用網路存取限制的裝置清單將傳送至 Central Node 伺服器。

如有必要，您可以新增其他連線器類型，以促進資料交換或在應用程式與其他接收系統互動時提供執行管理工作的功能。

某些連接埠和協定用於連線器與 Central Node 伺服器的連線。

第三方系統代表應用程式使用者之一透過連線器進行連接。我們建議為每個連線器使用單獨的使用者帳戶。這將幫助您使用稽核記錄分析透過連線器執行的操作。

應用程式中的最大連線器數量為 20。連線器類型的最大數量為 100。

本節內容 受管理和不受管理的連線器 將事件、應用程式訊息和稽核記錄傳送到第三方系統 透過 Cisco 交換機連線器自動控制裝置的網路存取 新增連線器 檢視連線器表 啟用或停用連線器 編輯連線器設定 為連線器建立新的通訊封包 刪除連線器 新增和刪除連線器類型

頁面頂部