La configuration de l'intégration avec Kaspersky Anti Targeted Attack Platform (également dénommé ici « KATA ») n'est disponible que si l'utilisateur dispose des privilèges Modifier les paramètres.
Kaspersky Anti Targeted Attack Platform est une solution conçue pour protéger l'infrastructure informatique de votre organisation et détecter en temps utile les menaces telles que les attaques « zero-day », les attaques ciblées et les attaques ciblées advanced persistent threats.
L'application KATA vous permet d'intégrer d'autres applications Kaspersky pour recevoir et traiter les objets vérifiés. Kaspersky Web Traffic Security peut être utilisé comme une application de ce type.
L'administrateur de Kaspersky Web Traffic Security doit configurer l'intégration KATA sur le Nœud maître. Les paramètres d'intégration sont ensuite envoyés à tous les Nœuds secondaires du cluster. Ensuite, chaque nœud de cluster communique avec le serveur KATA indépendamment, sans tenir compte des autres nœuds.
Lors de l'intégration avec l'application KATA, deux modes sont disponibles : envoyer des fichiers au serveur KATA et recevoir les objets détectés par l'application KATA.
Envoi de fichiers au serveur KATA
Kaspersky Web Traffic Security envoie, au serveur KATA, les objets qui n'ont pas été bloqués par les règles de traitement du trafic ou la stratégie de protection par défaut. L'application ne prévoit pas que le serveur KATA vérifie ces objets.
Lors du traitement de chaque fichier, l'application vérifie si celui-ci doit être envoyé au serveur KATA. En fonction des résultats, l'état de l'analyse est enregistré dans le journal des événements de l'application. Les états suivants sont possibles :
Des informations détaillées sur le résultat de l'envoi du fichier sont également enregistrées dans le journal pour les fichiers avec les états Planifié et Soldé sur un échec.
Tous les événements liés à l'envoi de fichiers au serveur KATA sont enregistrés dans le journal du système d'exploitation via le protocole Syslog.
Réception d'objets détectés par l'application KATA
Kaspersky Web Traffic Security reçoit du serveur KATA des informations sur les objets détectés par l'application KATA en utilisant les technologies Sandbox et YARA. Pour plus d'informations sur ces technologies, consultez la section Aide de Kaspersky Anti Targeted Attack Platform.
Les informations sur les objets reçus sont stockées dans le cache KATA. Chaque nœud de cluster stocke son propre cache KATA et reçoit les objets détectés par l'application KATA indépendamment des autres nœuds. Lorsque la durée de conservation arrive à expiration, les informations sur les objets sont supprimées du cache. Ces objets ne sont plus pris en compte lors de l'application des règles de protection et de la stratégie de protection par défaut.
Dans les règles de protection et la stratégie de protection par défaut, vous pouvez configurer les actions sur les objets dont vous avez été informé par le serveur KATA. Si de tels objets sont détectés dans le trafic utilisateur, Kaspersky Web Traffic Security les traitera selon les paramètres spécifiés dans les règles. Cela permet de bloquer les objets potentiellement dangereux avant que les informations les concernant n'aient été ajoutées aux bases de données de réputation de KSN, ainsi qu'aux bases locales de l'application.
Le résultat de l'analyse de chaque objet est enregistré dans le journal des événements. Les états d'analyse suivants sont possibles :
Tous les événements liés à la vérification de la conformité du trafic avec les objets KATA sont enregistrés dans le journal du système d'exploitation via le protocole Syslog.