Sortie commerciale de Kaspersky Anti Targeted Attack Platform 3.6
Dernière mise à jour : 29 mai 2019
Article ID : 15143
La sortie commerciale de Kaspersky Anti Targeted Attack Platform 3.0 a eu lieu le 24 mai 2019.
Kaspersky Anti Targeted Attack Platform est une solution de protection du réseau informatique de l'entreprise qui permet de détecter à temps des menaces.
L'application comporte deux blocs de fonctionnalités :
- Kaspersky Anti Targeted Attack (KATA) qui assure la protection de l'infrastructure informatique de l'entreprise.
- Kaspersky Endpoint Detection and Response (KEDR) qui assure la protection des postes de travail du réseau local de l'entreprise. Vous pouvez acheter Kaspersky Endpoint Detection and Response avec Kaspersky Anti Targeted Attack ou séparément. Pour activer le produit, utilisez la clé spéciale pour KEDR.
Pour plus d'informations sur l'application, consultez le Manuel de l’administrateur.
Nouveautés
- Ajout de la classification des menaces détectées par le module Sandbox conformément à la matrice MITRE ATT&CK a été ajoutée. Le module Sandbox compare les activités suspectes détectées aux phases d'attaque, techniques et méthodes d'intrusion dans la matrice MITRE ATT & CK.
- Possibilité de créer une base de données personnalisée d'indicateurs d'attaque (IOA) pour classer et analyser les événements.
- Nouveau scénario de déploiement de l'application qui permet à plusieurs serveurs du nœud central de se connecter aux mêmes serveurs Sandbox.
- Prise en charge de la sensibilité à la casse pour la recherche, l'édition et la suppression de fichiers, dossiers et autres objets conformément au système de fichiers NTFS.
- Surveillance de nouvelles clés de registre : analyse des informations sur les branches de registre des sections de HKEY_USERS/HKEY_CURRENT_USER.
- Envoi de nouveaux types d'événements Windows (enregistrement des événements Windows) avec les ID suivants :
- EventId 4776 : l'ordinateur a tenté de vérifier les données du compte utilisateur.
- EventId 4648 : une tentative de connexion avec les identifiants.
- EventId 4768 : le ticket d'authentification du service Kerberos (TGT) a été demandé.
- EventId 4769 : le ticket de service Kerberos a été demandé.
- Pass-the-hash (4776, 4624),
- Keberoast (4769),
- Mimikatz (4624, 4648, 4768).
- Prise en charge de l'API pour l'envoi d'informations sur les alertes de Kaspersky Anti Targeted Attack Platform aux solutions tierces à la demande des solutions tierces. Les informations d'alerte transmises peuvent également contenir des informations supplémentaires, par exemple les technologies déclenchées, les types d'objets, la gravité de l'alerte.
- Mise en œovre du mode multilocation qui permet d'installer Kaspersky Anti Targeted Attack Platform comme une solution distribuée et de l'utiliser pour protéger l'infrastructure de plusieurs entreprises.
- Un ou plusieurs serveurs Central Node peuvent être utilisés pour la même entreprise.
- Chaque entreprise peut administrer l'application indépendamment des autres entreprises.
- Le fournisseur peut gérer les données de plusieurs entreprises.
- Nouvelle méthode d'analyse des fichiers APK du système d'exploitation Android basée sur l'apprentissage automatique.
- Désormais, la technologie Targeted Attack Analyzer fournit une nouvelle analyse et une classification automatiques des alertes et des événements sur Endpoint Sensors. Elle vérifie si les événements collectés correspondent aux indicateurs d'attaque (IOA) et à la matrice MITRE ATT&CK La base de données des règles de l'AIO est créée par des experts de Kaspersky Lab et est continuellement mise à jour. Les nouveaux événements qui ont déclenché des règles IOA sont marqués dans l'interface de l'application. Les règles de l'AIO contiennent des descriptions des signes d'attaques, des exemples et des contre-mesures recommandées, des liens vers les informations sur chaque signe d'attaque dans la base de connaissances MITRE ATT&CK.
- Possibilités étendues de craquage des mots de passe des documents Microsoft Office et des messages électroniques. Implémentation de la possibilité de craquer les mots de passe des pièces jointes aux courriels des formats suivants : ArchiveRAR (RAR v5) et Archive7z (7z). La possibilité de craquer les mots de passe des documents aux formats PDF, Word, Excel et PowerPoint a également été ajoutée. Les mots de passe sont recherchés dans une base de données de mots de passe existante ou dérivés des données dans le corps du message électronique.
- La performance de l'application a été optimisée. Les serveurs Central Node et Sandboxont ont maintenant besoin de 30 % de matériel en moins.
Restrictions
- En mode solution distribuée, Kaspersky Anti Targeted Attack Platform ne supporte pas l'intégration avec Kaspersky Security Center.
- Le module Endpoint Sensors de l'application, installé sur des ordinateurs séparés, est incompatible avec l'application Kaspersky Security for Windows Server.