Informations sur la sortie commerciale de Kaspersky Anti Targeted Attack Platform 3.0
La sortie commerciale de Kaspersky Anti Targeted Attack Platform 3.0 a eu lieu le 27 décembre 2017.
Kaspersky Anti Targeted Attack Platform inclut les modules suivants :
- Sensor. Ce module effectue la réception des données. Un serveur ou une machine virtuelle dotée de Kaspersky Secure Mail Gateway peut être également utilisé(e) en tant que module Sensor. Kaspersky Secure Mail Gateway analyse le trafic de messagerie. Sur la base des résultats du traitement des messages électroniques dans Kaspersky Anti Targeted Attack Platform, Kaspersky Secure Mail Gateway peut bloquer le transfert de messages.
- Central Node. Ce module analyse les données et le comportement des objets et affiche les résultats de l'analyse dans l'interface Web de l'application.
- Sandbox. Sandbox lance également les images virtuelles des systèmes d'exploitation (Windows XP SP3 32 bits, Windows 7 32 et 64 bits). Sandbox exécute les fichiers dans ces systèmes d'exploitation et surveille le comportement des fichiers dans chaque système d'exploitation afin de détecter une activité malveillante, des indices des attaques ciblées et des intrusions dans l'infrastructure IT de l'entreprise.
- Endpoint Sensors. Le module s'installe sur des ordinateurs de l'infrastructure IT de l'entreprise tournant sous Windows. Il surveille les processus exécutés sur ces ordinateurs, les connexions réseau établies et les fichiers modifiés. L'agent faisant partie de Kasperksy Endpoint Security for Windows peut être également utilisé en tant que module Endpoint Sensors.
Nouveautés dans Kaspersky Anti Targeted Attack 3.0
- Désormais, Kaspersky Anti Targeted Attack Platform comprend deux blocs fonctionnels :
- Kaspersky Anti Targeted Attack qui assure la protection de périmètre du réseau de l'entreprise.
- Kaspersky Endpoint Detection and Response qui assure la protection des postes de travail du réseau de l'entreprise. Kaspersky Endpoint Detection and Response requiert des licences séparées et ne peut pas être activé avec celles de Kaspersky Anti Targeted Attack. Pour activer Kaspersky Endpoint Detection and Response, une clé séparée est utilisée. Vous pouvez acheter Kaspersky Endpoint Detection and Response avec Kaspersky Anti Targeted Attack ou séparément.
- Kaspersky Endpoint Detection and Response apporte les fonctions suivantes :
- Un système de stockage des événements des postes de travail sur le serveur Central Node a été mis en œuvre (par exemple, l'exécution et l'arrêt des processus, le chargement des fichiers DLL, les tentatives de connexion à un hôte distant, l'envoi des requêtes HTTP, la création des fichiers, les événements SuccessfulLogin et Evénements FailedLogin du journal des événements Windows).
- Une interface qui permet de rechercher et consulter les données de surveillance des postes de travail. Il existe maintenant une visualisation de l'arbre des événements reçus des postes de travail.
- Une interface qui permet de réagir aux événements détectés sur les postes de travail a été créée. Les actions suivantes sont disponibles : Kill Process (arrêter le processus), Delete File (supprimer un fichier), Get File (obtenir le fichier depuis un poste de travail et l'envoyer dans le stockage sur le serveur Central Node), Quarantine File (supprimer le fichier sur le poste de travail et le placer dans la Quarantaine sur le serveur Central Node), Restore File (restaurer un fichier depuis la Quarantaine), Run Program (exécuter une application).
- Il est désormais possible de bloquer les fichiers exécutables et les scripts ainsi que l'ouverture des documents Microsoft Office sur les postes de travail tout en configurant les règles de blocage pour tous les postes de travail ou pour des postes de travail spécifiques.
- L'analyse à la présence des indicateurs de compromission (analyse IOC) dans la base de données des événements des postes de travail a été ajoutée. L'analyse IOC effectuée directement sur les postes de travail a été mise en œuvre. Le format de présentation des indicateurs de compromission OpenIOC est utilisé.
- La possibilité d'obtenir les fichiers depuis les postes de travail a été mise en œuvre. Les fichiers reçus sont placés dans les stockages dédiés : Stockage ou Quarantaine. Par défaut, tous les fichiers placés dans les stockages sont analysées à l'aide des technologies AM, YARA et Sandbox.
- La section Rapports a été ajoutée dans l'interface Web de l'application. Dans cette section vous pouvez créer des rapports sur les événements détectés sous forme de tableaux et de graphiques, configurer leur aspect, par exemple, en vue de la publication des rapports sur le papier à en-tête de votre entreprise.
- Il est désormais possible d'intégrer Kaspersky Anti Targeted Attack Platform avec Kaspersky Security Center 10 SP3. Après l'intégration les fonctions suivantes sont disponibles : installation à distance, suppression, activation, désactivation, surveillance de l'état du module Endpoint Sensors sur les postes de travail du réseau de l'entreprise. Il est désormais possible de consulter les informations sur le fonctionnement du module Endpoint Sensors dans l'interface de Kaspersky Security Center et dans l'interface Web de Kaspersky Anti Targeted Attack Platform.
- Il est désormais possible d'utiliser le serveur Sensor en tant qu'intermédiaire (proxy) lors de la transmission du trafic entre le module Endpoint Sensors et le serveur Central Node.
- Le format CEF des fichiers pour l'intégration aux systèmes SIEM est désormais pris en charge. L'interface Web qui permet de configurer les paramètres de l'intégration avec les systèmes SIEM a été mise en œuvre.
- L'analyse IDS de l'activité réseau des fichiers exécutés dans Sandbox a été ajoutée.
- La visualisation de l'arbre des événements enregistrés dans Sandbox a été ajoutée.
- Une file d'attente prioritaire pour l'analyse du trafic de messagerie des serveurs de Kaspersky Secure Mail Gateway et du trafic reçu des postes de travail et placé dans le Stockage du serveur Central Node a été mise en œuvre.
- La possibilité de mettre à jour les bases de données sur les serveurs Sensor et Sandbox depuis le serveur Central Node a été ajoutée.
- La possibilité de mettre à niveau Kaspersky Anti Targeted Attack Platform de la version 2.0 jusqu'à la version 3.0.
Préparation à l'installation
Avant d'installer l'application, préparez l'infrastructure IT de votre entreprise :
- Assurez-vous que les serveurs et l'ordinateur sur lesquels l'utilisation de l'interface Web de l'application est prévue répondent aux configurations matérielle et logicielle requises.
- Assurez-vous que les ordinateurs sur lesquels l'installation du module Endpoint Sensors est prévue, répondent aux configurations matérielle et logicielle requises.
- Pour les deux interfaces réseau, bloquez l'accès du serveur hébergeant le module Sandbox au réseau local de l'entreprise afin de protéger le réseau contre les objets analysés.
- Pour la première interface réseau, autorisez l'accès Internet pour le serveur hébergeant le module Sandbox afin de permettre la mise à jour des bases de données et l'analyse du comportement des objets.
- Pour la deuxième interface réseau, autorisez les connexions entrantes vers les ports 22 et 443 pour le serveur hébergeant le module Sandbox.
- Pour le serveur doté du module Central Node, autorisez les connexions vers les ports 22, 80, 443, 8443, 161, 8081, 6379 et 5432
- Pour le serveur doté du module Sensor, autorisez les connexions vers les ports 22, 443, 161, 8081, 6379 et 5432.
- Pour le serveur doté du module Sandbox , autorisez les connexions vers les ports 22 et 443.
- Pour les postes clients et serveurs dotés du module Endpoint Sensors, autorisez les connexions vers le port 443.
- Pour les postes clients dotés du module Endpoint Sensors et le serveur doté du module Central Node, autorisez les connexions entrantes sans utiliser un serveur proxy.
Si nécessaire, vous pouvez configurer des autres ports pour les modules de l'application dans le menu d'administrateur du serveur doté hébergeant le module Central Node. Si vous changez des ports dans le menu d'administrateur, vous devez autoriser les connexions vers ces ports au sein de l'infrastructure IT de votre entreprise.
Ordre de l'installation des modules de l'application
- Installez le module Sandbox.
- Configurez le module Sandbox via l'interface Web de Sandbox.
- Installez les images des systèmes d'exploitation Windows à utiliser avec le module Sandbox.
- Installez les modules Central Node et Sensor selon le schéma de déploiement et d'installation de l'application :
- Si vous utilisez le schéma de déploiement sur deux serveurs, installez les modules Central Node et Sensor sur le même serveur.
- Si vous utilisez le schéma de déploiement sur trois serveurs ou plus, installez le module Central Node séparément sur le premier serveur. Installez le module Sensor sur le deuxième serveur ou sur plusieurs serveurs.
- Installez le module Endpoint Sensors sur les postes client du réseau de l'entreprise.
Premiers pas
Pour utiliser l'interface Web :
- Dans un navigateur sur l'ordinateur sur l'accès au serveur Central Node est autorisé tapez l'adresses IP du serveur hébergeant le module Central Node.
- Saisissez le nom utilisateur et le mot de passe que vous avez spécifiés lors de l'installation et la configuration du module Central Node pour accéder à l'interface Web de l'application.
Pour utiliser le menu d'administrateur de l'application dans la console de gestion du serveur et configurer les modules de l'application :
- Ouvrez la console de gestion du serveur dont vous souhaitez modifier les paramètres via le protocole SSH ou via le terminal.
- Saisissez le nom d'utilisateur et le mot de passe que vous avez spécifiés lors de l'installation du module Sandbox pour accéder au menu d'administrateur.
Pour commencer à utiliser l'application en mode Technical Support :
- Ouvrez la console de gestion du serveur que vous souhaitez utiliser en mode Technical Support via le protocole SSH ou via le terminal.
- Saisissez le nom et le mot de passe du compte d'administrateur créé pendant le déploiement de l'application.
- Dans le menu d'administrateur de l'application sélectionnez Technical Support Mode.
- Appuyez sur Entrée sur le clavier.
- Sélectionnez Yes et appuyez sur Entrée sur le clavier.