О Kaspersky Anti Targeted Attack Platform

Kaspersky Anti Targeted Attack Platform – решение (далее также "приложение"), предназначенное для защиты IT-инфраструктуры организации и своевременного обнаружения таких угроз, как атаки "нулевого дня", целевые атаки и сложные целевые атаки advanced persistent threats (далее также "APT"). Решение разработано для корпоративных пользователей.

Решение Kaspersky Anti Targeted Attack Platform включает в себя два функциональных блока:

Kaspersky Anti Targeted Attack (далее также "KATA"), обеспечивающий защиту периметра IT-инфраструктуры предприятия.
Network Detection and Response (далее также "NDR"), обеспечивающий защиту внутренней сети предприятия.

Решение может получать и обрабатывать данные следующими способами:

Интегрироваться в локальную сеть, получать и обрабатывать зеркалированный SPAN-, ERSPAN- и RSPAN-трафик и извлекать объекты и метаинформацию HTTP-, HTTP2, FTP-, SMTP- и DNS-, SMB- и NFS-протоколов.
Копия трафика, перенаправляемая с одного порта коммутатора на другой порт этого же коммутатора (локальное зеркалирование) или на удаленный коммутатор (удаленное зеркалирование). Администратор сети может настроить, какую часть трафика зеркалировать для передачи в Kaspersky Anti Targeted Attack Platform.

Kaspersky Anti Targeted Attack Platform поддерживает получение зеркалированного трафика от агрегирующих устройств: брокера сетевых пакетов и сетевого отвода (Network tap). Если к трафику, подаваемому с помощью агрегирующих устройств, применяется фильтрация, аппаратные требования Kaspersky Anti Targeted Attack Platform меняются. Для определения фактических аппаратных требований решения рекомендуется предварительно провести его пилотирование.
Подключаться к прокси-серверу по протоколу ICAP, получать и обрабатывать данные HTTP-, HTTP2- и FTP-трафика, а также HTTPS-трафика, если администратор настроил подмену SSL-сертификата на прокси-сервере.
Подключаться к почтовому серверу по протоколам POP3(S) и SMTP, получать и обрабатывать копии сообщений электронной почты.
Интегрироваться с приложениями "Лаборатории Касперского" Kaspersky Secure Mail Gateway и Kaspersky Security для Linux Mail Server, получать и обрабатывать копии сообщений электронной почты.
Принимать и обрабатывать копии сетевого трафика, которые отправляются с удаленного объекта с помощью приложения "Лаборатории Касперского" Kaspersky SD-WAN. Эта функциональность обеспечивает расширенную гибкость в обнаружении и контроле сетевой активности, позволяя анализировать трафик из различных точек сети и принимать соответствующие меры по обеспечению безопасности сети.
Вы можете получить подробную информацию о Kaspersky Secure Mail Gateway, Kaspersky Security для Linux Mail Server и Kaspersky SD-WAN из документации к этим приложениям.
Интегрироваться с внешними системами с помощью интерфейса REST API и проверять файлы на этих системах.

Решение использует следующие средства анализа угроз (Threat Intelligence):

Инфраструктуру облачных служб Kaspersky Security Network (далее также "KSN"), предоставляющую доступ к оперативной базе знаний "Лаборатории Касперского" о репутации файлов, веб-ресурсов и программного обеспечения. Использование данных Kaspersky Security Network обеспечивает более высокую скорость реакции приложений "Лаборатории Касперского" на угрозы, повышает эффективность работы некоторых компонентов защиты, а также снижает вероятность ложных срабатываний.
Интеграцию с приложением "Лаборатории Касперского" Kaspersky Private Security Network (далее также "KPSN"), предоставляющую пользователю возможность получать доступ к репутационным базам KSN, а также другим статистическим данным, не отправляя данные в KSN со своих компьютеров.
Интеграцию с информационной системой "Лаборатории Касперского" Kaspersky Threat Intelligence Portal, которая содержит и отображает информацию о репутации файлов и URL-адресов.

Решение может предоставлять пользователю результаты своей работы и анализа угроз следующими способами:

Отображать результаты работы в веб-интерфейсе серверов Central Node, Primary Central Node (далее также PCN) или Secondary Central Node (далее также SCN).
Публиковать алерты в SIEM-систему, которая уже используется в вашей организации, по протоколу Syslog.
Интегрироваться с внешними системами с помощью интерфейса REST API и по запросу отправлять данные об алертах и событиях решения во внешние системы.
Публиковать информацию об алертах компонента Sandbox в локальную репутационную базу Kaspersky Private Security Network.

Пользователи с ролями Старший сотрудник службы безопасности и Сотрудник службы безопасности могут выполнять следующие действия в приложении:

Осуществлять мониторинг работы компонентов решения.
Просматривать таблицу обнаруженных признаков целевых атак и вторжений в IT-инфраструктуру организации, осуществлять фильтрацию и поиск алертов, просмотр и работу с каждым алертом, выполнять рекомендации по оценке и расследованию инцидентов.
Работать с пользовательскими правилами YARA, Sandbox и правилами обнаружения вторжений: загружать правила, по которым приложение будет проверять события и создавать алерты.
Работать с правилами обнаружения сетевых аномалий.
Управлять правилами сетевой изоляции устройств через решения Check Point NGFW и UserGate NGFW.
Работать с копиями объектов в Хранилище.
Управлять отчетами о работе приложения и отчетами об алертах.
Настраивать отправку уведомлений об алертах и о проблемах в работе приложения на адреса электронной почты пользователей.
Работать со списком алертов со статусом VIP, со списком данных, исключенных из проверки, наполнять локальную репутационную базу KPSN.
Сохранять и выгружать копии сырого сетевого трафика для анализа во внешних системах.

Пользователи с ролью Аудитор могут выполнять следующие действия в приложении:

Осуществлять мониторинг работы компонентов решения.
Просматривать таблицу обнаруженных признаков целевых атак и вторжений в IT-инфраструктуру организации, осуществлять фильтрацию и поиск алертов, просматривать данные каждого алерта.
Просматривать список компьютеров с компонентом Endpoint Agent, поддерживающих автоматический обмен файлами с Kaspersky Anti Targeted Attack Platform.
Просматривать пользовательские правила YARA, Sandbox и правила обнаружения вторжений.
Просматривать правила обнаружения сетевых аномалий.
Просматривать правила сетевой изоляции, применяемые через решения Check Point NGFW и UserGate NGFW.
Просматривать отчеты о работе приложения и отчеты об алертах.
Просматривать список алертов со статусом VIP, список данных, исключенных из проверки.
Просматривать все настройки, производимые в веб-интерфейсе приложения.
Сохранять и выгружать копии сырого сетевого трафика для анализа во внешних системах.

Пользователи с ролью Администратор могут выполнять следующие действия в приложении:

Настраивать параметры работы приложения.
Настраивать серверы для работы в режиме распределенного решения и мультитенантности.
Производить интеграцию приложения с другими приложениями и системами.
Работать с TLS-сертификатами и настраивать доверенное соединение сервера Central Node c сервером Sandbox, а также серверов Kaspersky Anti Targeted Attack Platform c компонентом Endpoint Agent и с внешними системами.
Управлять учетными записями пользователей приложения.
Настраивать автоматический обмен файлов с приложениями, выступающими в роли компонента Endpoint Agent, для их последующей проверки в Sandbox.
Осуществлять мониторинг работоспособности приложения.

См. также

Справка Kaspersky Anti Targeted Attack Platform

Предоставление данных

Лицензирование приложения

Архитектура приложения

Принцип работы приложения

Распределенное решение и мультитенантность

Руководство по масштабированию

Установка и первоначальная настройка приложения

Настройка параметров масштабирования приложения

Настройка правил сетевого экрана

Настройка интеграции компонента Endpoint Agent с функциональным блоком NDR