Kaspersky Anti Targeted Attack Platform – решение (далее также "приложение"), предназначенное для защиты IT-инфраструктуры организации и своевременного обнаружения таких угроз, как атаки "нулевого дня", целевые атаки и сложные целевые атаки advanced persistent threats (далее также "APT"). Решение разработано для корпоративных пользователей.
Решение Kaspersky Anti Targeted Attack Platform включает в себя три функциональных блока:
Kaspersky Anti Targeted Attack (далее также "KATA"), обеспечивающий защиту периметра IT-инфраструктуры предприятия.
Kaspersky Endpoint Detection and Response (далее также "KEDR"), обеспечивающий защиту компьютеров локальной сети организации.
Network Detection and Response (далее также "NDR"), обеспечивающий защиту внутренней сети предприятия.
Решение может получать и обрабатывать данные следующими способами:
Интегрироваться в локальную сеть, получать и обрабатывать зеркалированный SPAN-, ERSPAN- и RSPAN-трафик и извлекать объекты и метаинформацию HTTP-, HTTP2, FTP-, SMTP- и DNS-, SMB- и NFS-протоколов.
Копия трафика, перенаправляемая с одного порта коммутатора на другой порт этого же коммутатора (локальное зеркалирование) или на удаленный коммутатор (удаленное зеркалирование). Администратор сети может настроить, какую часть трафика зеркалировать для передачи в Kaspersky Anti Targeted Attack Platform.
Подключаться к прокси-серверу по протоколу ICAP, получать и обрабатывать данные HTTP-, HTTP2- и FTP-трафика, а также HTTPS-трафика, если администратор настроил подмену SSL-сертификата на прокси-сервере.
Подключаться к почтовому серверу по протоколам POP3(S) и SMTP, получать и обрабатывать копии сообщений электронной почты.
Интегрироваться с приложениями "Лаборатории Касперского" Kaspersky Secure Mail Gateway и Kaspersky Security для Linux Mail Server, получать и обрабатывать копии сообщений электронной почты.
Принимать и обрабатывать копии сетевого трафика, которые отправляются с удаленного объекта с помощью приложения "Лаборатории Касперского" Kaspersky SD-WAN. Эта функциональность обеспечивает расширенную гибкость в обнаружении и контроле сетевой активности, позволяя анализировать трафик из различных точек сети и принимать соответствующие меры по обеспечению безопасности сети.
Вы можете получить подробную информацию о Kaspersky Secure Mail Gateway, Kaspersky Security для Linux Mail Server и Kaspersky SD-WAN из документации к этим приложениям.
Интегрироваться с приложениями Kaspersky Endpoint Agent и Kaspersky Endpoint Security и получать данные (события) с отдельных компьютеров, входящих в IT-инфраструктуру организации и работающих под управлением операционных систем Microsoft® Windows® и Linux®. Приложения осуществляют постоянное наблюдение за процессами, запущенными на этих компьютерах, открытыми сетевыми соединениями и изменяемыми файлами.
Интегрироваться с внешними системами с помощью интерфейса REST API и проверять файлы на этих системах.
Решение использует следующие средства анализа угроз (Threat Intelligence):
Инфраструктуру облачных служб Kaspersky Security Network (далее также "KSN"), предоставляющую доступ к оперативной базе знаний "Лаборатории Касперского" о репутации файлов, веб-ресурсов и программного обеспечения. Использование данных Kaspersky Security Network обеспечивает более высокую скорость реакции приложений "Лаборатории Касперского" на угрозы, повышает эффективность работы некоторых компонентов защиты, а также снижает вероятность ложных срабатываний.
Интеграцию с приложением "Лаборатории Касперского" Kaspersky Private Security Network (далее также "KPSN"), предоставляющую пользователю возможность получать доступ к репутационным базам KSN, а также другим статистическим данным, не отправляя данные в KSN со своих компьютеров.
Интеграцию с информационной системой "Лаборатории Касперского" Kaspersky Threat Intelligence Portal, которая содержит и отображает информацию о репутации файлов и URL-адресов.
Индикаторы IOC (Indicator of Compromise, или индикатор компрометации). Kaspersky Anti Targeted Attack Platform использует IOC-файлы открытого стандарта описания индикаторов компрометации OpenIOC. IOC-файлы содержат набор индикаторов, при совпадении с которыми программа считает событие обнаружением.
Индикаторы IOA (Indicator of Attack, или индикатор атаки). Kaspersky Anti Targeted Attack Platform проверяет базу событий приложения и отмечает события или цепочки событий, которые совпадают с поведением, описанным в правилах TAA (IOA).
Решение может обнаружить следующие события, происходящие внутри IT-инфраструктуры организации:
На компьютер локальной сети организации был загружен файл или была предпринята попытка загрузки файла.
На адрес электронной почты пользователя локальной сети организации был отправлен файл.
На компьютере локальной сети организации была открыта ссылка на веб-сайт.
IP-адрес или доменное имя компьютера локальной сети организации были замечены в сетевой активности.
На компьютере локальной сети организации были запущены процессы.
Приложение может предоставлять пользователю результаты своей работы и анализа угроз следующими способами:
Отображать результаты работы в веб-интерфейсе серверов Central Node, Primary Central Node (далее также PCN) или Secondary Central Node (далее также SCN).
Публиковать обнаружения в SIEM-систему, которая уже используется в вашей организации, по протоколу Syslog.
Интегрироваться с внешними системами с помощью интерфейса REST API и по запросу отправлять данные об обнаружениях и событиях решения во внешние системы.
Просматривать таблицу обнаруженных признаков целевых атак и вторжений в IT-инфраструктуру организации, осуществлять фильтрацию и поиск обнаружений, просмотр и работу с каждым обнаружением, выполнять рекомендации по оценке и расследованию инцидентов.
Просматривать таблицу событий, происходящих на компьютерах и серверах, входящих в IT-инфраструктуру организации, осуществлять поиск угроз, фильтрацию, просмотр и работу с каждым событием, выполнять рекомендации по оценке и расследованию инцидентов.
Выполнять задачи на компьютерах с Kaspersky Endpoint Agent и Kaspersky Endpoint Security: запускать приложения и останавливать процессы, скачивать и удалять файлы, помещать объекты на карантин на компьютерах с приложениями Kaspersky Endpoint Agent и Kaspersky Endpoint Security, копии файлов в Хранилище Kaspersky Anti Targeted Attack Platform, а также восстанавливать файлы из карантина.
Настраивать политики запрета запуска файлов и процессов, которые они считают небезопасными, на выбранных компьютерах с приложениями Kaspersky Endpoint Agent и Kaspersky Endpoint Security.
Изолировать отдельные компьютеры с приложениями Kaspersky Endpoint Agent и Kaspersky Endpoint Security от сети.
Работать с правилами TAA (IOA) для классификации и анализа событий.
Работать с пользовательскими правилами Targeted Attack Analyzer TAA (IOA), Intrusion Detection System (IDS) и YARA: загружать правила, по которым приложение будет проверять события и создавать обнаружения.
Работать с файлами открытого стандарта описания индикаторов компрометации OpenIOC (IOC-файлы) для поиска признаков целевых атак, зараженных и возможно зараженных объектов на хостах с компонентом Endpoint Agent и в базе обнаружений.
Добавлять правила TAA (IOA) и правила IDS, предоставленные специалистами "Лаборатории Касперского", в исключения из проверки.
Работать с объектами на карантине и копиями объектов в Хранилище.
Управлять отчетами о работе приложения и отчетами об обнаружениях.
Настраивать отправку уведомлений об обнаружениях и о проблемах в работе приложения на адреса электронной почты пользователей.
Работать со списком обнаружений со статусом VIP, со списком данных, исключенных из проверки, наполнять локальную репутационную базу KPSN.
Сохранять и выгружать копии сырого сетевого трафика для анализа во внешних системах.
Пользователи с ролью Аудитор могут выполнять следующие действия в приложении:
Осуществлять мониторинг работы компонентов решения.
Просматривать таблицу обнаруженных признаков целевых атак и вторжений в IT-инфраструктуру организации, осуществлять фильтрацию и поиск обнаружений, просматривать данные каждого обнаружения.
Просматривать таблицу событий, происходящих на компьютерах и серверах, входящих в IT-инфраструктуру организации, осуществлять поиск угроз, фильтрацию, просмотр каждого события.
Просматривать список хостов с компонентом Endpoint Agent и информацию о выбранных хостах.
Просматривать пользовательские правила Targeted Attack Analyzer TAA (IOA), Intrusion Detection System (IDS) и YARA.
Просматривать исключенные из проверки правила TAA (IOA) и правила IDS, предоставленные специалистами "Лаборатории Касперского".
Просматривать отчеты о работе приложения и отчеты об обнаружениях.
Просматривать список обнаружений со статусом VIP, список данных, исключенных из проверки.
Просматривать все настройки, производимые в веб-интерфейсе приложения.
Сохранять и выгружать копии сырого сетевого трафика для анализа во внешних системах.
Пользователи Локальный администратор и Администратор могут выполнять следующие действия в приложении:
Настраивать параметры работы приложения.
Настраивать серверы для работы в режиме распределенного решения и мультитенантности.
Производить интеграцию приложения с другими приложениями и системами.
Работать с TLS-сертификатами и настраивать доверенное соединение сервера Central Node c сервером Sandbox, а также серверов Kaspersky Anti Targeted Attack Platform c компонентом Endpoint Agent и с внешними системами.
Управлять учетными записями пользователей приложения.