Kaspersky Anti Targeted Attack Platform
Kaspersky Anti Targeted Attack Platform(以下簡稱“該應用程式”)是一個設計用來防護企業 IT 基礎架構和及時偵測諸如零時差攻擊、針對性攻擊,以及被稱為進階持續性威脅(以下也稱為“APT”)的複雜針對性攻擊等威脅的解決方案。該解決方案是為企業使用者開發的。
Kaspersky Anti Targeted Attack Platform 包含三個功能模組:
- Kaspersky Anti Targeted Attack Platform(以下也稱為“KATA”),為企業 IT 基礎架構提供邊界安全。
- Kaspersky Endpoint Detection and Response(以下也稱為“KEDR”),為組織的區域網路提供防護。
- 網路偵測與回應(以下也稱為“NDR”),為企業 LAN 提供防護。
此解決方案可以透過以下方式接收和處理資料:
- 整合到區域網路中,接收和處理映像的 SPAN、ERSPAN 和 RSPAN 流量,並從HTTP、HTTP2、FTP、SMTP、DNS、SMB 和 NFS 協定中提取物件和中繼資料。
- 透過 ICAP 協定連線到代理伺服器,接收和處理HTTP 流量、HTTP2 流量和 FTP 流量以及 HTTPS 流量(如果管理員在代理伺服器上配置了 SSL 憑證更換)的資料。
- 透過 POP3 (S) 和 SMTP 協定連線到郵件伺服器,接收和處理電子郵件訊息的副本。
- 與 Kaspersky Secure Mail Gateway 和 Kaspersky Security for Linux 郵件伺服器整合,接收並處理電子郵件的副本。
- 使用卡巴斯基 SD-WAN 應用程式接收並處理從遠端位置取得的網路流量副本。此功能提高了偵測和監控網路活動的靈活性,使您能夠分析來自網路不同點的流量並採取適當的措施以確保網路安全。
有關 Kaspersky Secure Mail Gateway、Kaspersky Security for Linux Mail Server 和 Kaspersky SD-WAN 的詳情,請參閱這些應用程式的檔案。
- 與 Kaspersky Endpoint Security 整合,並從企業 IT 基礎架構中運行 Microsoft® Windows®、Linux® 和 Mac® 作業系統的單台電腦接收資料(事件)。這些應用程式將持續監控在這些電腦上執行的處理程序、活動的網路連線和被修改的檔案。
- 使用 REST API 介面與外部系統整合並掃描這些系統上的檔案。
此解決方案使用以下威脅情報手段:
- 卡巴斯基安全網路(也稱為“KSN”)雲端服務的基礎架構,提供對卡巴斯基線上知識庫的存取,其中包含有關檔案、Web 資源和軟體信譽的資訊。使用來自卡巴斯基安全網路的資料可確保卡巴斯基應用程式能夠更快地回應威脅,提高某些防護元件的效能,並降低誤報的可能性。
- 與卡巴斯基私人安全網路 (KPSN) 整合,以存取卡巴斯基安全網路的信譽資料庫以及其他統計資料,而無需將資料從使用者電腦傳送到卡巴斯基安全網路。
- 與被稱為 Kaspersky Threat Intelligence Portal 的卡巴斯基資訊系統整合,該系統包含並顯示有關檔案和 URL 信譽的資訊。
- IOC(入侵指標)。Kaspersky Anti Targeted Attack Platform 使用符合 OpenIOC 標準的 IOC 檔案,該標準是描述入侵指標的開放標準。IOC 檔案包含一組與事件指標進行比較的指標。如果比較的指標匹配,應用程式將該事件視為警示。
- IOA(攻擊指標)。Kaspersky Anti Targeted Attack Platform 掃描應用程式的事件資料庫,並標記與 TAA (IOA) 規則描述的行為相符的事件或事件鏈。
此解決方案可以偵測企業 IT 基礎架構內發生的以下事件:
- 檔案已下載,或試圖將檔案下載到企業 LAN 電腦。
- 檔案已傳送至企業 LAN 上的使用者的電子郵件信箱。
- 網站連結在企業 LAN 電腦上開啟。
- 偵測到在企業 LAN 電腦的 IP 位址或網域名稱上有網路活動發生。
- 在企業 LAN 電腦上的處理程序已啟動。
應用程式可以透過以下方式向使用者提供其運行結果和威脅情報:
- 顯示在 Central Node、主 Central Node(以下簡稱“PCN”)或從屬 Central Node(以下簡稱“SCN”)伺服器的 Web 介面中完成的工作結果。
- 透過 syslog 協定向組織中已使用的 SIEM 系統發布警示。
- 透過 REST API 與外部系統整合,並根據需要將解決方案產生的警示資訊傳送到外部系統。
- 在卡巴斯基私人安全網路的本機信譽資料庫中發布有關 Sandbox 元件警示的資訊。
具有資深安全員或者安全官角色的使用者可以在應用程式中執行以下操作:
- 監控解決方案的元件。
- 檢視偵測到的針對性攻擊和入侵企業 IT 基礎架構的跡象表,篩選和搜尋警示,檢視和管理每個警示,遵循建議進行評估和調查事件。
- 檢視企業 IT 基礎架構的電腦和伺服器上發生的事件表,搜尋威脅,篩選、檢視和管理每個事件,遵循建議進行評估和調查事件。
- 在安裝有 Kaspersky Endpoint Security 的電腦上執行工作:執行應用程式和停止處理程序、下載和刪除檔案、在安裝有 Kaspersky Endpoint Security 的電腦上隔離物件、將檔案副本放置在 Kaspersky Anti Targeted Attack Platform 的儲存中,從隔離區還原檔案區。
- 在安裝有 Kaspersky Endpoint Security 的選定電腦上,設定政策以防止執行他們認為不安全的檔案和處理程序。
- 將安裝有 Kaspersky Endpoint Security 的單台電腦與網路隔離。
- 管理TAA(IOA)規則以進行事件分類和分析。
- 管理使用者定義的目標攻擊分析器 TAA (IOA)、YARA、Sandbox 和入侵偵測規則:上傳應用程式用於檢查事件和建立警示的規則。
- 使用 OpenIOC 相容檔案(IOC 檔案)在具有 Endpoint Agent 元件的主機上和警示資料庫中搜尋目標攻擊、受感染和可能受感染物件的跡象。
- 從掃描中排除卡巴斯基定義的 TAA (IOA) 規則和 IDS 規則。
- 管理隔離區中的物件和儲存中物件的副本。
- 管理有關應用程式效能和警示的報告。
- 配置將有關應用程式遇到的警示和問題的通知傳送到使用者的電子郵件信箱。
- 管理 VIP 警示清單和被從掃描中排除的資料清單,並填充 KPSN 的本機信譽資料庫。
- 儲存和下載原始網路流量的副本,以便在外部系統中進行分析。
具有安全稽核員角色的使用者可以在應用程式中執行以下操作:
- 監控解決方案的元件。
- 檢視偵測到的針對性攻擊和入侵企業 IT 基礎架構的跡象表,篩選和搜尋警示,以及檢視每個警示的資料。
- 檢視企業 IT 基礎架構的電腦和伺服器上發生的事件表,搜尋威脅,篩選並檢視每個事件。
- 檢視具有 Endpoint Agent 元件的主機清單以及所選主機的資訊。
- 檢視使用者定義的目標攻擊分析器 TAA (IOA)、YARA、Sandbox 和入侵偵測規則。
- 檢視卡巴斯基專家定義的掃描排除 TAA (IOA) 規則和 IDS 規則。
- 檢視有關應用程式效能和警示的報告。
- 檢視 VIP 警示清單以及被從掃描中排除的資料清單。
- 檢視在應用程式 Web 介面中進行的所有設定。
- 儲存和下載原始網路流量的副本,以便在外部系統中進行分析。
具有“管理員”角色的使用者可以在應用程式中執行以下操作:
- 編輯應用程式設定。
- 配置分佈式解決方案和多租戶模式的伺服器。
- 設定應用程式與其他應用程式和系統的整合。
- 管理 TLS 憑證並在 Central Node 伺服器和 Sandbox 伺服器之間、Kaspersky Anti Targeted Attack Platform 伺服器和 Endpoint Agent 元件之間以及與外部系統之間建立信任連線。
- 管理應用程式使用者的帳戶。
- 監控應用程式健康狀況。