Die Konfiguration der Integration mit Kaspersky Anti Targeted Attack Platform (im Weiteren "KATA") ist nur verfügbar, wenn der Benutzer über die Berechtigung Einstellungen ändern verfügt.
Kaspersky Anti Targeted Attack Platform ist eine Lösung zum Schutz der IT-Infrastruktur des Unternehmens und zum rechtzeitigen Entdecken von Bedrohungen wie beispielsweise Zero-Day-Angriffe, gezielte Angriffe und komplizierte gezielte Angriffe von Advanced Persistent Threats.
Die KATA-Anwendung ermöglicht eine Integration mit anderen Kaspersky-Anwendungen, um von diesen untersuchte Objekte abzurufen und zu verarbeiten. Zu diesen Anwendungen zählt auch Kaspersky Web Traffic Security.
Der Administrator von Kaspersky Web Traffic Security führt die KATA-Integration im Verwaltungsknoten aus. Anschließend werden die Integrationseinstellungen an alle untergeordneten Knoten gesendet, die zum Cluster gehören. Im Weiteren interagiert jeder Cluster-Knoten selbstständig und unabhängig von anderen Knoten mit dem KATA-Server.
Bei einer Integration mit der KATA-Anwendung sind zwei Modi verfügbar: Versenden von Dateien an den KATA-Server und Abfragen von Objekten, die von der KATA-Anwendung erkannt wurden.
Versenden von Dateien an den KATA-Server
Kaspersky Web Traffic Security sendet Objekte an den KATA-Server, die nicht von den Regeln zur Verarbeitung des Datenverkehrs oder der Standard-Schutzrichtlinie blockiert wurden. Dabei wartet die Anwendung nicht auf die Untersuchungsergebnisse dieser Objekte vom KATA-Server.
Bei der Verarbeitung der einzelnen Dateien untersucht die Anwendung die Notwendigkeit ihres Versands an den KATA-Server. Gemäß den Ergebnissen wird der Untersuchungsstatus ins Ereignisprotokoll der Anwendung eingetragen. Folgende Status sind möglich:
Für Dateien mit dem Status Geplant und Mit Fehler beendet werden im Protokoll ferner detaillierte Informationen über das Ergebnis des Dateiversands eingetragen.
Alle Ereignisse, die mit dem Versand von Dateien an den KATA-Server zusammenhängen, werden gemäß dem Syslog-Protokoll in das Protokoll des Betriebssystem eingetragen.
Objekte abrufen, die von der KATA-Anwendung erkannt wurden
Kaspersky Web Traffic Security ruft vom KATA-Server Informationen über Objekte ab, die mithilfe der Sandbox- und YARA-Technologien von der KATA-Anwendung erkannt wurden. Mehr über diese Technologie finden Sie in der Hilfe zu Kaspersky Anti Targeted Attack Platform.
Informationen über abgerufene Objekte werden im KATA-Cache gespeichert. Jeder Cluster-Knoten speichert seinen eigenen KATA-Cache und ruft von der KATA-Anwendung gefundene Objekte unabhängig von anderen Knoten ab. Nach Ablauf der Aufbewahrungsfrist werden die Informationen über Objekte aus dem Cache gelöscht. Diese Objekte werden bei der Anwendung der Schutzregeln und Standard-Schutzrichtlinie nicht mehr berücksichtigt.
In den Schutzregeln und in der Standard-Schutzrichtlinie können Sie die Aktionen für Objekte anpassen, über die Informationen vom KATA-Server abgerufen wurden. Wenn solche Objekte im Datenverkehr des Benutzers erkannt werden, verarbeitet sie Kaspersky Web Traffic Security gemäß den in den Regeln angegebenen Einstellungen. Das ermöglicht das Blockieren von potenziell gefährlichen Objekten, solange noch keine entsprechenden Informationen in den Reputationsdatenbanken von KSN sowie in den lokalen Anwendungsdatenbanken vorliegen.
Das Untersuchungsergebnis wird für jedes Objekt in das Ereignisprotokoll eingetragen. Folgende Untersuchungsstatus sind möglich:
Alle Ereignisse, die mit der Untersuchung des Datenverkehrs auf Übereinstimmung mit KATA-Objekten zusammenhängen, werden gemäß dem Syslog-Protokoll in das Protokoll des Betriebssystem eingetragen.