Konfiguration der Integration mit Kaspersky Anti Targeted Attack Platform
19. Dezember 2024
ID 187067
Die Konfiguration der Integration mit Kaspersky Anti Targeted Attack Platform (im Weiteren "KATA") ist nur verfügbar, wenn der Benutzer über die Berechtigung Einstellungen ändern verfügt.
Kaspersky Anti Targeted Attack Platform ist eine Lösung zum Schutz der IT-Infrastruktur des Unternehmens und zum rechtzeitigen Entdecken von Bedrohungen wie beispielsweise Zero-Day-Angriffe, gezielte Angriffe und komplizierte gezielte Angriffe von Advanced Persistent Threats.
Das Programm KATA ermöglicht eine Integration mit anderen Programmen von Kaspersky, um von diesen untersuchte Objekte abzurufen und zu verarbeiten. Zu diesen Programmen zählt auch Kaspersky Web Traffic Security.
Der Administrator von Kaspersky Web Traffic Security führt die KATA-Integration im Verwaltungsknoten aus. Anschließend werden die Integrationseinstellungen an alle untergeordneten Knoten gesendet, die zum Cluster gehören. Im Weiteren interagiert jeder Cluster-Knoten selbstständig und unabhängig von anderen Knoten mit dem KATA-Server.
Bei der Integration mit dem Programm KATA sind zwei Modi verfügbar: Versenden von Dateien an den KATA-Server und Abfragen von Objekten, die von KATA erkannt wurden.
Versenden von Dateien an den KATA-Server
Kaspersky Web Traffic Security sendet Objekte an den KATA-Server, die nicht von den Regeln zur Verarbeitung des Datenverkehrs oder der Standard-Schutzrichtlinie blockiert wurden. Dabei wartet das Programm nicht auf die Untersuchungsergebnis dieser Objekte vom KATA-Server.
Bei der Verarbeitung der einzelnen Dateien untersucht das Programm die Notwendigkeit ihres Versands an den KATA-Server. Gemäß den Ergebnissen wird der Untersuchungsstatus ins Ereignisprotokoll des Programms eingetragen. Folgende Status sind möglich:
- Nicht anwendbar. Keine Datei zur Untersuchung – die HTTP-Nachricht enthält keine Dateien zur Untersuchung
- Gemäß Programmeinstellungen deaktiviert – der Modus für den Versand von Dateien an den KATA-Server ist in den Programmeinstellungen deaktiviert
- Gemäß Aktion einer Regel übersprungen – die HTTP-Nachricht wurde vom Programm blockiert (die Aktionen Blockieren oder Umleiten wurden angewendet), oder gemäß der Umgehungsregel ohne Untersuchung übersprungen
- Durch KATA-Filter deaktiviert – die Datei erfüllt nicht die Bedingungen für einen Versand an den KATA-Server
- Geplant – Dateiversand geplant
- Mit Fehler beendet – der Versand der Datei konnte nicht geplant werden
Für Dateien mit dem Status Geplant und Mit Fehler beendet werden im Protokoll ferner detaillierte Informationen über das Ergebnis des Dateiversands eingetragen.
Alle Ereignisse, die mit dem Versand von Dateien an den KATA-Server zusammenhängen, werden gemäß dem Protokoll Syslog in das Protokoll des Betriebssystem eingetragen.
Objekte abrufen, die vom Programm KATA erkannt wurden
Kaspersky Web Traffic Security ruft vom KATA-Server Informationen über Objekte ab, die mithilfe der Technologien Sandbox und YARA vom Programm KATA erkannt wurden. Mehr über diese Technologie finden Sie in der Hilfe zu Kaspersky Anti Targeted Attack Platform.
Informationen über abgerufene Objekte werden im KATA-Cache gespeichert. Jeder Cluster-Knoten speichert seinen eigenen KATA-Cache und ruft von KATA gefundene Objekte unabhängig von anderen Knoten ab. Nach Ablauf der Aufbewahrungsfrist werden die Informationen über Objekte aus dem Cache gelöscht. Diese Objekte werden bei der Anwendung der Schutzregeln und Standard-Schutzrichtlinie nicht mehr berücksichtigt.
In den Schutzregeln und in der Standard-Schutzrichtlinie können Sie die Aktionen für Objekte anpassen, über die Informationen vom KATA-Server abgerufen wurden. Wenn solche Objekte im Datenverkehr des Benutzers erkannt werden, verarbeitet sie Kaspersky Web Traffic Security gemäß den in den Regeln angegebenen Einstellungen. Das erlaubt ein Blockieren von potenziell gefährlichen Objekten solange noch keine entsprechenden Informationen in den Reputationsdatenbanken von KSN sowie in den lokale Programmdatenbanken vorliegen.
Das Untersuchungsergebnis wird für jedes Objekt in das Ereignisprotokoll eingetragen. Folgende Untersuchungsstatus sind möglich:
- Nicht erkannt – es wurde keine Übereinstimmung mit dem KATA-Cache erkannt
- Erkannt – Bedrohung erkannt
- Nicht untersucht – keine Untersuchung gemäß Programmeinstellungen ausgeführt
- Untersuchungsfehler – die Untersuchung wurde mit einem Fehler beendet
Alle Ereignisse, die mit der Untersuchung des Datenverkehrs auf Übereinstimmung mit KATA-Objekten zusammenhängen, werden gemäß dem Protokoll Syslog in das Protokoll des Betriebssystem eingetragen.