Kaufversion von Kaspersky Anti Targeted Attack Platform 3.0
Die Kaufversion von Kaspersky Anti Targeted Attack Platform 3.0 wurde am 27. Dezember 2017 veröffentlicht.
Kaspersky Anti Targeted Attack Platform enthält folgende Komponenten:
- Sensor. Diese Komponente empfängt Daten. Als Sensor kann auch ein Server oder eine virtuelle Maschine, auf der das Kaspersky Lab Programm Kaspersky Secure Mail Gateway installiert ist, verwendet werden. Kaspersky Secure Mail Gateway untersucht den E-Mail-Verkehr. Je nach Ergebnissen der Untersuchung von E-Mail-Nachrichten kann Kaspersky Anti Targeted Attack Platform die Weiterleitung von Nachrichten blockieren.
- Central Node. Diese Komponente untersucht Daten, Verhaltensweise von Objekten und zeigt Untersuchungsergebnisse in der Benutzeroberfläche des Programms an.
- Sandbox. Diese Komponente startet virtuelle Images von Betriebssystemen Windows XP Service Pack 3 (32 Bit), Windows 7 (32 Bit) und Windows 7 (64 Bit). Sie führt Dateien in diesen Betriebssystemen aus und überwacht die Verhaltensweise von Dateien in jedem Betriebssystem, um schädliche Aktivitäten, Anzeichen von gezielten Angriffen und des Eindringens in die IT-Infrastruktur des Unternehmens zu erkennen.
- Endpoint Sensors. Diese Komponente wird auf Client-Computern unter Verwaltung von Betriebssystemen Microsoft Windows installiert. Sie überwacht ständig Prozesse auf diesen Computern, offene Ports und änderbare Dateien. Als Endpoint Sensors kann auch der Agent, der ins Programm Kaspersky Endpoint Security für Windows eingebettet ist, verwendet werden.
Neuerungen in Kaspersky Anti Targeted Attack 3.0
- Die Lösung Kaspersky Anti Targeted Attack Platform schließt zwei Funktionsblöcke ein:
- Kaspersky Anti Targeted Attack (KATA). Dieser Funktionsteil schützt den Grenzen der IT-Infrastruktur eines Unternehmens.
- Kaspersky Endpoint Detection and Response (KEDR). Dieser Funktionsteil schützt Arbeitsstationen des Unternehmensnetzwerks. Kaspersky Endpoint Detection and Response wird getrennt von Kaspersky Anti Targeted Attack lizenziert. Zur Aktivierung dieser Funktionalität ist ein einzelner Schlüssel erforderlich. Sie können Kaspersky Endpoint Detection and Response zusammen mit oder separat von Kaspersky Anti Targeted Attack kaufen.
- Zu Kaspersky Endpoint Detection and Response wurden folgende neue Möglichkeiten hinzugefügt:
- Es wurde ein System entwickelt, das Ereignisse von Arbeitsstationen auf dem Sevrer Central Node speichert. Das System speichert Ereignisse wie Start und Beenden von Prozessen, Laden von DLL-Dateien, versuchte Verbindungen zu einem Remote-Host, Senden von HTTP-Anfragen, Erstellen von Dateien sowie Ereignisse SuccessfulLogin und FailedLogin im Windows-Verlauf).
- Es wurde eine Benutzeroberfläche für die Suche und Anzeige von Daten der Überwachung von Arbeitsstationen entwickelt. Der Baum der von Arbeitsstationen eingegangenen Ereignissen wurde visualisiert.
- Es wurde eine Benutzeroberfläche entwickelt, über die Sie auf Ereignisse, die auf Arbeitsstationen registriert werden, reagieren können. Folgende Aktionen sind verfügbar: Kill Process (Prozess beenden), Delete File (Datei löschen), Get File (eine Datei von einer Arbeitsstation erhalten und in den Speicher auf dem Server Central Node senden), Quarantine File (eine Datei auf einer Arbeitsstation löschen und in die Quarantäne auf dem Server Central Node senden), Restore File (eine Datei aus der Quarantäne wiederherstellen), Run Program (Programm starten).
- Der Start von ausführbaren Dateien und Skripts sowie das Öffnen von Microsoft Office-Dokumenten auf Arbeitsstationen kann anhand von Regeln auf allen oder bestimmten Arbeitsstationen blockiert werden.
- Die Untersuchung auf Kompromittierungsindikatoren (Indicators of Compromise – IoC) in der Datenbank von Ereignissen, die von Arbeitsstationen eingegangen sind, wurde hinzugefügt. Es wurde eine IoC-Untersuchung unmittelbar auf Arbeitsstationen hinzugefügt. Kompromittierungsindikatoren werden im Format OpenIOC dargestellt.
- Es können Dateien von Arbeitsstationen erhalten werden. Erhaltene Dateien werden in spezielle Speicher Speicher und Quarantäne. Alle Dateien, die in die Speicher verschoben werden, werden standardmäßig mithilfe von Technologien AM, YARA und Sandbox untersucht.
- Zur Web-Schnittstelle wurde der Abschnitt Berichte hinzugefügt, in dem Sie Berichte über erkannte Ereignisse in Form von Tabellen und Grafiken erstellen und Ihr Design anpassen können, um Berichte auf einem Firmenbogen zu veröffentlichen.
- Kaspersky Anti Targeted Attack Platform kann mit dem Kaspersky Security Center 10 Service Pack 3 integriert werden. Nach der Integration sind folgende Möglichkeiten verfügbar: Die Komponente Endpoint Sensors kann aus der Ferne auf Arbeitsstationen installiert, deinstalliert, aktiviert, deaktiviert und überwacht werden. Infos über die Ausführung von Endpoint Sensors können in der Benutzeroberfläche des Kaspersky Security Center 10 und in der Web-Schnittstelle von Kaspersky Anti Targeted Attack Platform abgerufen werden.
- Der Sensor-Server kann jetzt als Vermittler (Proxy) beim Datenverkehr zwischen der Komponente Endpoint Sensors und dem Server Central Node verwendet werden.
- Das CEF-Format von Dateien für die Integration mit SIEM-Systemen wird nun unterstützt. Es wurde die Web-Schnittstelle für die Anpassung der Einstellungen für die Integration mit SIEM-Systemen umgesetzt.
- Die IDS-Untersuchung von Netzwerkaktivitäten der Dateien, die in der Sandbox ausgeführt werden, hinzugefügt.
- Der Baum von in der Sandbox erkannten Ereignissen wurde visualisiert.
- Es wurde eine prioritätsbasierte Schleife der Untersuchung des E-Mail-Datenverkehrs von den Servern von Kaspersky Secure Mail Gateway (KSMG) und des E-Mail-Datenverkehrs, der von Arbeitsstationen erhalten und in den Speicher des Servers Central Node geladen wurde, umgesetzt.
- Die Datenbanken der Sensor- und Sandbox-Server können vom Server Central Node aus aktualisiert werden.
- Kaspersky Anti Targeted Attack Platform 2.0 kann auf die Version 3.0 upgegradet werden.
Vorbereitung zur Installation
Vor der Installation des Programms bereiten Sie die IT-Infrastruktur Ihres Unternehmens vor. Gehen Sie dazu wie folgt vor:
- Prüfen Sie, dass der Computer und die Server, die für die Nutzung der Web-Schnittstelle des Programms bestimmt ist, die Hardware- und Softwareanforderungen erfüllen.
- Prüfen Sie, dass die Computer, auf denen die Komponente Endpoint Sensors installiert wird, die Hardware- und Softwareanforderungen erfüllen.
- Für die beiden Netzwerkschnittstellen verbieten Sie den Zugang des Servers mit der Komponente Sandbox zum lokalen Unternehmensnetzwerk, um das Netzwerk vor Objekten, die analysiert werden, zu schützen.
- Für die erste Netzwerkschnittstelle erlauben Sie den Internetzugriff des Servers mit der Komponente Sandbox, damit die Datenbanken aktualisiert und die Verhaltensweise von Objekten analysiert werden kann.
- Für die zweite Netzwerkschnittstelle erlauben Sie eine eingehende Verbindung des Servers mit der Komponente Sandbox über Ports 22 und 443.
- Erlauben Sie eine Verbindung des Servers mit der Komponente Central Node über Ports 22, 80, 443, 8443, 161, 8081, 6379 und 5432.
- Erlauben Sie eine Verbindung des Servers mit der Komponente Sensor über Ports 22, 443, 161, 8081, 6379 und 5432.
- Erlauben Sie eine Verbindung des Servers mit der Komponente Sandbox über Ports 22 und 443.
- Erlauben Sie eine Verbindung der Computer und Server mit der Komponente Endpoint Sensors über Port 443.
- Erlauben Sie eine eingehende Verbindung der Computer mit der Komponente Endpoint Sensors und des Servers mit der Komponente Central Node direkt ohne Verwendung des Proxyservers.
Bei Bedarf können Sie andere Ports für die Funktion der Programmkomponenten im Menü des Administrators des Servers mit der Komponente Central Node zuweisen. Beim Ändern von Ports im Menü des Administrators müssen Sie Verbindungen über diese Ports innerhalb der IT-Infrastruktur Ihres Unternehmens erlauben.
Reihenfolge der Installation der Programmkomponenten
- Installieren Sie die Komponente Sandbox.
- Passen Sie die Einstellungen der Komponente Sandbox über die Web-Schnittstelle der Sandbox.
- Installieren Sie Images der Betriebssysteme Microsoft Windows für die Ausführung der Komponente Sandbox.
- Installieren Sie die Komponenten Central Node und Sensor je nach Schema der Bereitstellung und Installation des Programms.
- Wenn Sie die Lösung auf zwei Servern bereitstellen,installieren Sie die Komponenten Central Node und Sensor auf einem und demselben Server.
- Wenn Sie die Lösung auf drei oder mehr Servern bereitstellen, installieren Sie die Komponente Central Node auf einem Server. Installieren Sie die Komponente Sensor auf dem zweiten oder auf mehreren Servern.
- Installieren Sie die Komponente Endpoint Sensors auf Computern innerhalb der IT-Infrastruktur Ihres Unternehmens.
Erste Schritte
So starten Sie die Nutzung über die Web-Schnittstelle:
- Im Browser auf einem Computer mit Zugriff auf den Server mit der Komponente Central Node geben Sie die IP-Adresse des Servers mit der Komponente Central Node.
- Geben Sie den Benutzernamen und das Kennwort für den Zugriff auf die Web-Schnittstelle, den/das Sie bei der Installation und Konfiguration der Komponente Central Node angegeben haben.
So starten Sie die Nutzung im Menü des Programmadministrators in der Konsole zur Verwaltung des Servers mit den Programmkomponenten:
- Öffnen Sie die Konsole zur Verwaltung des Servers, dessen Einstellungen Sie ändern möchten, über das Protokoll SSH oder über den Terminal.
- Geben Sie den Benutzernamen und das Kennwort für den Zugriff auf das Menü des Administrators, den/das Sie bei der Installation und Konfiguration der Komponente Sandbox angegeben haben.
So starten Sie die Nutzung des Programms im Modus Technical Support Mode:
- Öffnen Sie die Verwaltungskonsole des Servers, den Sie im Modus Technical Support Mode nutzen möchten, über das Protokoll SSH oder über den Terminal.
- Geben Sie das Administratorkonto und das Kennwort ein, das beim Bereitstellen des Programms angegeben wurde.
- Im Menü des Administrators des Programms wählen Sie Technical Support Mode.
- Drücken Sie die Eingabetaste.
- Wählen Sie Yes und drücken Sie die Eingabetaste.