應用程式的工作原理

Kaspersky Anti Targeted Attack Platform 應用程式包括三個功能塊：

• Kaspersky Anti Targeted Attack（以下也稱為“KATA”），它偵測企業 IT 基礎架構邊界上的威脅。
• Kaspersky Endpoint Detection and Response（以下也稱為“KEDR”），為組織的區域網路提供防護。
• 網路偵測與回應（以下也稱為“NDR”），為企業 LAN 提供防護。

您可以使用應用程式的全部功能（KATA + NDR 金鑰和 KEDR 金鑰）或部分功能（僅 KATA/KATA + NDR 金鑰或僅 KEDR 金鑰）。

Kaspersky Anti Targeted Attack 的工作原理

Kaspersky Anti Targeted Attack 包括以下主要元件：

• Sensor。
• Central Node。
• Sandbox。

Sensor、Central Node 和 Sandbox 互動操作如下：

• Sensor 元件接收映像的 SPAN、ERSPAN、RSPAN 流量、HTTP、FTP、SMTP 和 DNS 協定的物件和中繼資料、HTTP 和 FTP 流量資料以及 HTTPS 流量資料（如果管理員已在代理伺服器上設定 SSL 憑證替代）、電子郵件的副本，並對收集的資料執行以下操作：
  

  從一個交換機連接埠重新導向到同一交換機（本機映像）或遠端交換機（遠端映像）的另一個連接埠的流量副本。網路管理員可以配置應該映像哪部分流量以傳輸到 Kaspersky Anti Targeted Attack Platform。

  Kaspersky Anti Targeted Attack Platform 支援從聚合裝置接收映像流量：網路包代理程式或網路輕觸。如果要對來自聚合裝置的流量套用篩選，則必須調整 Kaspersky Anti Targeted Attack Platform 的硬體需求。為了確定解決方案的實際硬體需求，我們建議先進行試點部署。

  • 使用入侵偵測系統技術（以下也稱為 IDS）掃描Internet 流量以尋找對企業 IT 基礎架構的入侵跡象。

    IDS 技術可以識別和偵測 80個協定（特別是 TCP/IP 模型的53 個應用層協定）中的網路活動，從而偵測可疑流量和網路攻擊。支援的協定包括 TCP、UDP、FTP、TFTP、SSH、SMTP、SMB、CIF、SSL、HTTP、HTTP/2、HTTPS、TLS、ICMPv4、ICMPv6、IPv4、IPv6、IRC、LDAP、NFS、DNS、RDP、DERPC、MS-RPC、Socket 等。

  • 根據卡巴斯基安全網路資料庫（以下也稱為“KSN”）或卡巴斯基私人安全網路（以下也稱為“KPSN”）檢查檔案和 URL 的信譽。
  • 傳送要由 Central Node 元件掃描的物件和檔案。

  您也可以使用郵件感應器作為 Sensor 元件，它是安裝了 Kaspersky Secure Mail Gateway (KSMG) 或 Kaspersky Security for Linux Mail Server (KLMS) 的伺服器或虛擬機。

• Central Node 元件使用防毒資料庫、Kaspersky Anti Targeted Attack 使用者建立的 YARA 規則資料庫掃描檔案和物件，並在必要時傳送要由 Sandbox 元件掃描的檔案和物件。
• Sandbox 元件分析虛擬作業系統中物件的行為，以偵測惡意活動和對企業 IT 基礎架構的有針對性的攻擊跡象，並將掃描結果傳送至 Central Node 伺服器。

如果偵測到任何威脅，Central Node 伺服器會在警示資料庫中記錄相關資訊。您可以應用程式 Web 介面的警示部分或透過產生警示報告來檢視警示表。

警示資訊也可以發佈到組織中使用的 SIEM 系統以及外部系統。有關 Sandbox 元件警示的資訊可以發佈在卡巴斯基私人安全網路的本機信譽資料庫中。

Kaspersky Endpoint Detection and Response 的工作原理

Kaspersky Endpoint Detection and Response 包括以下元件：

• Central Node。
• Endpoint Agent。

  此元件可由下列任一應用程式代表：Kaspersky Endpoint Security for Windows、Kaspersky Endpoint Security for Linux、Kaspersky Endpoint Security for Mac。

• Sandbox。

  可選元件。

  Sensor 元件可用作 Kaspersky Endpoint Agent 傳出連線的代理伺服器。

Endpoint Agent 和 Central Node 元件互操作下：

代表 Endpoint Agent 元件的應用程式之一安裝在企業 IT 基礎架構內的單個電腦上，持續監視處理程序、開放的網路連線和正在修改的檔案。監控資料被傳送到 Central Node 伺服器。事件根據這些資料產生。

• Kaspersky Endpoint Security for Windows 將以下事件的資料傳輸到 Central Node 伺服器：處理程序已啟動、處理程序已終止、模組已載入、到遠端主機的連線、阻止的應用程式（阻止規則）、檔案已封鎖、檔案已變更、系統事件日誌、登錄檔已修改、監聽的連接埠、驅動程式已載入、處理程序：解釋檔案執行、處理程序：主控台互動式輸入、偵測、偵測處理結果、AMSI 掃描、DNS、代碼注入、命名管道、WMI、LDAP。
• Kaspersky Endpoint Security for Linux 將以下事件的資料傳輸到 Central Node 伺服器：處理程序已啟動、處理程序已終止、阻止的應用程式（阻止規則）、檔案已封鎖、檔案已變更、系統事件日誌、偵測、偵測處理結果、代碼注入、DNS。
• Kaspersky Endpoint Security for Mac 將以下事件的資料傳輸到 Central Node 伺服器：處理程序已啟動、處理程序已終止、檔案已變更、偵測、偵測處理結果。

  NDR 功能的 Endpoint Agent 單獨連線，並且不會將觀察資訊傳送到 Central Node 伺服器。

到達 Central Node 伺服器的事件由 TAA (IOA) 規則標記。由於此標記，可以為需要使用者註意的事件產生警示。如果您有 Sandbox 元件，您也可以自動從 Endpoint Agent 主機傳送檔案，以便 Sandbox 元件根據 Kaspersky TAA (IOA) 規則進行掃描。

當 Central Node 伺服器與 Kaspersky Endpoint Security for Windows 整合時，您可以執行下列操作來對偵測到的威脅做出反應：

• 透過在 Kaspersky Endpoint Agent 主機上執行下列工作來管理檔案和應用程式：殺死處理程序，進行取證，啟動 YARA 掃描，執行應用程式，獲取檔案，刪除檔案，隔離檔案，從隔離區還原檔案，管理服務，獲取磁碟鏡像，獲取記憶體傾印。
• 配置政策以封鎖檔案和處理程序在選定主機上執行。
• 將單個主機與網路隔離。
• 使用 TAA (IOA) 規則對事件進行分類和分析。
• 使用 OpenIOC 相容檔案（IOC 檔案）來搜尋主機上和警示資料庫中的針對性攻擊、受感染和可能受感染物件的跡象。
• 使用 API​​ 執行威脅回應操作。

當 Central Node 伺服器與 Kaspersky Endpoint Security 11.4 for Linux 和 Kaspersky Endpoint Security for Mac 整合時，您可以執行下列操作來回應偵測到的威脅：

• 透過運行獲取檔案、執行應用程式工作管理檔案和應用程式。
• 使用 TAA (IOA) 規則對事件進行分類和分析。
• 使用 API​​ 執行下列威脅回應操作：管理應用程式執行工作。

當 Central Node 伺服器與 Kaspersky Endpoint Security 12 for Linux 整合時，您可以執行下列操作來對偵測到的威脅做出反應：

• 透過運行獲取檔案、執行應用程式、刪除檔案、殺死處理程序工作管理檔案和應用程式。
• 將單個主機與網路隔離。
• 使用 OpenIOC 相容檔案（IOC 檔案）來搜尋主機上和警示資料庫中的針對性攻擊、受感染和可能受感染物件的跡象。
• 使用 API​​ 執行下列威脅回應操作：主機網路隔離管理、管理應用程式執行工作。

當 Central Node 伺服器與 Kaspersky Endpoint Security 12.2 for Linux 整合時，您可以執行下列操作來對偵測到的威脅做出反應：

• 透過執行以下工作管理檔案和應用程式：獲取檔案、執行應用程式、刪除檔案、殺死處理程序、隔離檔案、從隔離區還原檔案。
• 配置政策以封鎖檔案和處理程序在選定主機上執行。
• 將單個主機與網路隔離。
• 使用 OpenIOC 相容檔案（IOC 檔案）來搜尋主機上和警示資料庫中的針對性攻擊、受感染和可能受感染物件的跡象。
• 使用 API​​ 執行下列威脅回應操作：主機網路隔離管理、管理應用程式執行工作、管理防護規則。

Kaspersky Anti Targeted Attack Platform 的工作原理如下圖所示。

Kaspersky Anti Targeted Attack Platform 的工作原理

您可以單獨配置每個 Central Node 元件的設定，也可以在分佈式解決方案模式下集中管理多個元件。

分佈式解決方案是指 Central Node 伺服器的兩層架構。此結構將主控制伺服器（稱為“主 Central Node (PCN)”）和輔助伺服器（稱為“從屬 Central Node (SCN)”）分開。

分佈式解決方案模式下 Kaspersky Anti Targeted Attack Platform 的工作原理如下圖所示。

分佈式解決方案模式下 Kaspersky Anti Targeted Attack Platform 的工作原理

另請參閱 Kaspersky Anti Targeted Attack Platform 說明 Kaspersky Anti Targeted Attack Platform 資料提供 應用程式產品授權 應用程式架構 分佈式解決方案和多租戶 規模調整指南 安裝和執行應用程式的初始配置 配置應用程式的大小設定 配置防火牆規則 配置 Endpoint Agent 元件與 KEDR 功能塊的整合 配置Endpoint Agent 元件與 NDR 功能塊的整合 應用程式使用入門 管理應用程式管理員和使用者的帳戶 使用網域帳戶進行身分驗證 參與卡巴斯基安全網路並使用卡巴斯基私有安全網路 透過 Web 介面管理 Sandbox 元件 對於管理員：應用程式 Web 介面使用入門 對於安全人員：應用程式 Web 介面使用入門 管理使用者定義的 Sandbox 規則 為 GosSOPKA 準備資料 傳送通知 管理日誌 檢視應用程式訊息 配置 Kaspersky Anti Targeted Attack Platform 的系統日誌和偵測的儲存期限 檢視已傳送至 Kaspersky Anti Targeted Attack Platform 進行掃描的檔案的資訊 管理 Kaspersky Endpoint Security for Windows 管理 Kaspersky Endpoint Security for Linux 管理 Kaspersky Endpoint Security for Mac 備份和還原資料 升級 Kaspersky Anti Targeted Attack Platform 在管理員選單中管理應用程式元件 使用 Kaspersky Anti Targeted Attack Platform API KATA 和 KEDR 使用 Kaspersky Anti Targeted Attack Platform API NDR 有關應用程式資訊的來源 聯絡技術支援服務 有關協力廠商代碼的資訊 商標聲明

頁面頂部