Принцип работы приложения
Приложение Kaspersky Anti Targeted Attack Platform включает в себя два функциональных блока:
- Kaspersky Anti Targeted Attack (далее также "KATA"), обнаруживающий угрозы по периметру IT-инфраструктуры предприятия.
- Network Detection and Response (далее также "NDR"), обеспечивающий защиту внутренней сети предприятия.
Вы можете использовать как полную функциональность приложения (ключ KATA+NDR), так и неполную (только ключ KATA).
Принцип работы Kaspersky Anti Targeted Attack
Kaspersky Anti Targeted Attack включает в себя следующие компоненты:
- Sensor.
- Central Node.
- Sandbox.
- Endpoint Agent (опционально, для проверки файлов в Sandbox).
Компоненты Sensor, Central Node и Sandbox взаимодействуют между собой по следующему принципу:
- Компонент Sensor получает зеркалированный SPAN-, ERSPAN-, RSPAN-трафик, объекты и метаинформацию HTTP-, FTP-, SMTP- и DNS-протоколов, данные HTTP- и FTP-трафика, а также HTTPS-трафика (если администратор настроил подмену SSL-сертификата на прокси-сервере), копии сообщений электронной почты и производит с полученными данными следующие действия:
- Проверяет интернет-трафик на наличие признаков вторжения в IT-инфраструктуру организации с помощью технологии Intrusion Detection System (далее также "IDS").
Технология IDS позволяет распознать и обнаружить сетевую активность по 80 протоколам, в частности по 53 протоколам прикладного уровня модели TCP/IP, фиксируя подозрительный трафик и сетевые атаки. В числе поддерживаемых протоколов TCP, UDP, FTP, TFTP, SSH, SMTP, SMB, CIF, SSL, HTTP, HTTP/2, HTTPS, TLS, ICMPv4, ICMPv6, IPv4, IPv6, IRC, LDAP, NFS, DNS, RDP, DCERPC, MS-RPC, WebSocket, Citrix и другие.
- Проверяет репутацию файлов и URL-адресов по базе знаний Kaspersky Security Network (далее также "KSN") или Kaspersky Private Security Network (далее также "KPSN").
- Отправляет объекты и файлы на проверку компоненту Central Node.
В качестве компонента Sensor также может использоваться почтовый сенсор – сервер или виртуальная машина, на которой установлено приложение "Лаборатории Касперского" Kaspersky Secure Mail Gateway (далее также "KSMG") или Kaspersky Security для Linux Mail Server (далее также "KLMS").
- Проверяет интернет-трафик на наличие признаков вторжения в IT-инфраструктуру организации с помощью технологии Intrusion Detection System (далее также "IDS").
- Компонент Central Node проверяет файлы и объекты с помощью антивирусных баз, баз YARA-правил, создаваемых пользователями Kaspersky Anti Targeted Attack, при необходимости отправляет файлы и объекты на проверку компоненту Sandbox.
- Компонент Sandbox анализирует поведение объектов в виртуальных операционных системах для выявления вредоносной активности и признаков целевых атак на IT-инфраструктуру организации и отправляет данные о результатах проверки на сервер Central Node.
При обнаружении угроз сервер Central Node записывает информацию о них в базу алертов. Вы можете просмотреть таблицу алертов в разделе Алерты веб-интерфейса приложения или сформировав отчет об алертах.
Информация об алертах также может публиковаться в SIEM-систему, которая используется в вашей организации, и во внешние системы. Информация об алертах компонента Sandbox может публиковаться в локальную репутационную базу Kaspersky Private Security Network.
Принцип работы Kaspersky Anti Targeted Attack Platform показан на рисунке ниже.
Принцип работы Kaspersky Anti Targeted Attack Platform
Вы можете настраивать параметры каждого компонента Central Node отдельно или управлять несколькими компонентами централизованно в режиме распределенного решения.
Распределенное решение представляет собой двухуровневую иерархию серверов Central Node. В этой структуре выделяется главный сервер управления – Primary Central Node (PCN) и подчиненные серверы – Secondary Central Node (SCN).
Принцип работы Kaspersky Anti Targeted Attack Platform в режиме распределенного решения показан на рисунке ниже.
Принцип работы Kaspersky Anti Targeted Attack Platform в режиме распределенного решения