Настройка интеграции с программой Kaspersky Anti Targeted Attack Platform

Настройка интеграции с программой Kaspersky Anti Targeted Attack Platform (далее также "KATA") доступна только при наличии у пользователя права Изменять параметры.

Kaspersky Anti Targeted Attack Platform – решение, предназначенное для защиты IT-инфраструктуры организации и своевременного обнаружения таких угроз, как, например, атаки "нулевого дня", целевые атаки и сложные целевые атаки advanced persistent threats.

Программа KATA позволяет интегрироваться с другими программами "Лаборатории Касперского", чтобы получать и обрабатывать проверяемые ими объекты. В качестве такой программы может выступать Kaspersky Web Traffic Security.

Администратору Kaspersky Web Traffic Security требуется выполнить настройку интеграции KATA на Управляющем узле. После этого параметры интеграции отправляются на все Подчиненные узлы, входящие в кластер. Далее каждый узел кластера взаимодействует с сервером KATA самостоятельно, независимо от других узлов.

При интеграции с программой KATA доступно два режима: отправка файлов на сервер KATA и получение объектов, обнаруженных программой KATA.

Отправка файлов на сервер KATA

Kaspersky Web Traffic Security отправляет на сервер KATA объекты, которые не были заблокированы правилами обработки трафика или политикой защиты по умолчанию. При этом программа не ожидает от сервера KATA результатов проверки этих объектов.

При обработке каждого файла программа проверяет необходимость отправки его на сервер KATA. По результатам в журнал событий программы записывается статус проверки. Возможны следующие статусы:

Для файлов со статусами Запланировано и Завершено с ошибкой в журнал также записывается подробная информация о результате отправки файла.

Все события, связанные с отправкой файлов на сервер KATA, записываются в журнал операционной системы по протоколу Syslog.

Получение объектов, обнаруженных программой KATA

Kaspersky Web Traffic Security получает от сервера KATA информацию об объектах, обнаруженных программой KATA с помощью технологий Sandbox и YARA. Подробнее об этих технологиях см. Справку Kaspersky Anti Targeted Attack Platform.

Информация о полученных объектах сохраняется в кеш KATA. Каждый узел кластера хранит свой кеш KATA и получает объекты, обнаруженные программой KATA, независимо от других узлов. По истечении времени хранения информация об объектах удаляется из кеша. Эти объекты больше не учитываются при применении правил защиты и политики защиты по умолчанию.

В правилах защиты и в политике защиты по умолчанию вы можете настроить действия над объектами, информация о которых была получена с сервера KATA. При обнаружении в трафике пользователя таких объектов Kaspersky Web Traffic Security будет обрабатывать их согласно заданным в правилах параметрам. Это позволяет блокировать потенциально опасные объекты до того, как информация о них была добавлена в репутационные базы KSN, а также в локальные базы программы.

Результат проверки каждого объекта записывается в журнал событий. Возможны следующие статусы проверки:

Все события, связанные с проверкой трафика на соответствие объектам KATA, записываются в журнал операционной системы по протоколу Syslog.

В этом разделе справки

Сценарий настройки интеграции с программой KATA

Добавление сервера KATA

Изменение сервера KATA

Удаление сервера KATA

Выбор режима интеграции

Пересоздание сертификата KWTS

Настройка параметров кеша KATA

Мониторинг интеграции KATA

В начало