Просмотр информации о файлах, поступавших на проверку в Kaspersky Anti Targeted Attack Platform

При необходимости вы можете просмотреть, проходил ли файл проверку в Kaspersky Anti Targeted Attack Platform и с каким результатом завершилась проверка. Для этого вам нужно получить данные о работе приложения с помощью скрипта kata-collect.

Чтобы получить данные о работе приложения с помощью скрипта kata-collect:

Войдите в консоль управления того сервера, с которого вы хотите получить данные, по протоколу SSH или через терминал.
Если вы используете Kaspersky Anti Targeted Attack Platform в режиме режиме распределенного решения и мультитенантности, вам нужно выполнить шаги этой инструкции на каждом сервере Central Node. Если в инфраструктуре вашей организации есть отдельно установленные компоненты Sensor, вам также требуется выполнить шаги инструкции на серверах с этим компонентом. При развертывании приложения в виде кластера вам нужно выполнить шаги инструкции на одном любом сервере с ролью manager в Docker swarm. Для просмотра роли сервера используйте команду $ docker node ls.

Режим работы, при котором Kaspersky Anti Targeted Attack Platform используется для защиты инфраструктуры нескольких организаций или филиалов одной организации одновременно.

Двухуровневая иерархия серверов с установленными компонентами Central Node, в которой выделяется главный сервер управления – Primary Central Node (PCN) и подчиненные серверы – Secondary Central Node (SCN).
В ответ на приглашение системы введите имя и пароль учетной записи администратора, заданный при установке компонента.
Отобразится меню администратора компонента приложения.
В списке разделов меню администратора приложения выберите раздел Technical Support Mode.
Нажмите на клавишу Enter.
Отобразится окно подтверждения входа в режим Technical Support Mode.
Подтвердите, что хотите выполнять действия с приложением в режиме Technical Support Mode. Для этого выберите Yes и нажмите на клавишу Enter.
Запустите скрипт, выполнив команду:
sudo kata-run.sh kata-collect --output-dir <path>

Вы также можете указать один или несколько параметров к этой команде (см. таблицу ниже).

Параметры для утилиты kata-collect

Обязательный параметр	Параметр	Описание
Да	`--output-dir <path>`	Создать директорию по указанному пути, где <path> – это абсолютный или относительный путь к директории, в которую будет записан архив с выгруженными данными. Если путь не был указан, архив с данными по умолчанию будет помещен в директорию /tmp/collect.
Нет	`--no-prometheus`	Пропустить подготовку и выгрузку дампа базы данных prometheus. Использование этого параметра значительно ускоряет работу скрипта.
Нет	`--no-siem-logs`	Пропустить выгрузку данных, записываемых в SIEM-систему.
Нет	`--siem-logs-range-start <YYYY-MM-DD-HH>`	Выгрузить данные, записываемые в SIEM-систему, начиная с этой даты (включительно).
Нет	`--siem-logs-range-end <YYYY-MM-DD-HH>`	Выгрузить данные, записываемые в SIEM-систему, заканчивая этой датой (включительно).

Пример:

Команда для получения данных о работе приложения с данными SIEM-системы, отфильтрованными по дате, и без базы данных prometheus:

sudo kata-run.sh kata-collect --output-dir <path> --no-prometheus --siem-logs-range-start <YYYY-MM-DD-HH> --siem-logs-range-end <YYYY-MM-DD-HH>

Когда скрипт завершит работу, в указанную директорию будет помещен архив collect--<дата выгрузки архива>tar.gz. Информация о файлах, поступавших на проверку Kaspersky Anti Targeted Attack Platform, содержится в журнале, который располагается внутри созданного архива в директории /logs/kaspersky/siem/log-history/. Если файл был исключен из проверки, информация о нем также будет отражена в журнале.

Вы можете найти любой файл по его имени или MD5-хешу.

Если файл был получен компонентом Sensor, вы можете найти его по следующим полям:

Информация об источнике файла:
- IP-адрес источника и IP-адрес назначения, если файл был получен из трафика.
- Электронный адрес отправителя и получателя, если файл был получен по электронной почте.
- IP-адрес и идентификатор внешней системы, если файл был получен от нее.
- IP-адрес и имя хоста, если файл был получен с хоста Endpoint Agent.
- Имя учетной записи пользователя, если файл был загружен в Kaspersky Anti Targeted Attack Platform вручную.
Тип источника: span, smtp, icap, pop3, external (внешняя система), endpoint (хост Endpoint Agent), upload (файл загружен вручную).
Для электронных писем в журнале фиксируется поле Message-ID.

Особенности записи информации о файлах

При поиске информации о файлах в журнале вам нужно учитывать следующие особенности записи информации о файлах:

Запись информации о файле происходит два раза: при получении файла из трафика и при его проверке. Если в вашей инфраструктуре компонент Sensor установлен отдельно от Central Node, запись о получении файла будет располагаться в журнале компонента Sensor, запись о проверке файла - в журнале компонента Central Node, к которому подключен Sensor. Если компонент Central Node и Sensor установлены на одном сервере, обе записи будут располагаться в журнале Central Node.
Для составных файлов (например, архив или письмо) в журнале записывается хеш родительского файла и имя и хеш дочернего файла, если дочерний файл был проверен одной из технологий Kaspersky Anti Targeted Attack Platform.

Примеры записей в журнале apt-history для MD5-хеша файла

Вы можете посмотреть примеры записей в журнале apt-history для MD5-хеша файла в таблице ниже.

Примеры записей в журнале apt-history для MD5-хеша файла

Запись в журнале	Значение
2024-06-11 02:37:03.645586 info apt-history: f0429d4845208857cd303df968ef545e enqueued am, priority: normal	Файл поступил на обработку по технологии Anti-Malware Engine.
2024-06-11 02:37:03.647434 info apt-history: external KSMG sensor with ip 10.0.0.0 provide file with name: File_Name 2024/2025, md5: f0429d4845208857cd303df968ef545e, msg_id: <87c13e55e789aa966089b6bf2e8c453b@localhost.localdomain>	Строка для объектов, поступивших на обработку в Kaspersky Anti Targeted Attack Platform от Kaspersky Secure Mail Gateway и Kaspersky Security для Linux Mail Server. Информация, на которую рекомендуется обратить внимание: external KSMG sensor with ip 10.0.0.0 - IP-адрес сервера Kaspersky Secure Mail Gateway. File_Name 2024/2025 - имя файла. md5 - MD5-хеш проверяемого файла. msg_id - идентификатор сообщения (message id).
2024-06-11 02:37:03.847696 info apt-history: f0429d4845208857cd303df968ef545e engine am result {verdict: CLEAN, bases_version: 202406071010, detect_time: 2024-06-11 02:37:03.841275, rescan_priority: 3, sb_hash: 77f5b6276dd9b1c534b6c9adcff86845, multitask_details: {priority: background, tasks: {pdf: 1}}, scanEngines: [sb]}	Результат обработки объекта по технологии Anti-Malware Engine. Включает статус, присвоенный объекту после проверки (CLEAN) и информацию о технологиях, по которым объект будет дополнительно проверен ("scanEngines: [sb]"). Информация, на которую рекомендуется обратить внимание: multitask_details -сведения о задаче на проверку. priority - приоритет проверки. Возможные значения параметра: background, must. scanEngines - технология проверки. Возможные значения: [yr] - YARA, [sb] - Sandbox.
2024-06-11 02:37:03.886784 info apt-history: f0429d4845208857cd303df968ef545e enqueued sb: {pdf: 1}, priority: low, sb_priority: background	Задание было отправлено на обработку компоненту Sandbox. Информация, на которую рекомендуется обратить внимание: {pdf: 1} - количество и тип объектов, отправленных на проверку. low - приоритет обработки. Возможные значения приоритета обработки: low, medium, high. background - тип очереди на обработку компонентом Sandbox. Возможные значения: background, must.
2024-06-11 02:37:04.179597 info apt-history: f0429d4845208857cd303df968ef545e delivered to sb, sb_hash: 77f5b6276dd9b1c534b6c9adcff86845, node: Server_Name, mtask_id: 900	Задание было отправлено на обработку компоненту Sandbox. Информация, на которую рекомендуется обратить внимание: node:Server_Name - имя сервера с компонентом Sandbox. mtask_id: 900 - ID задания.
2024-06-11 02:38:44.515070 info apt-history: f0429d4845208857cd303df968ef545e sb result received, sb_hash: 77f5b6276dd9b1c534b6c9adcff86845, node: Server_Name, mtask_id: 900, priority: low	Получен результат обработки объекта компонентом Sandbox.
2024-06-11 02:38:44.783370 info apt-history: f0429d4845208857cd303df968ef545e engine sb result {bases_version: 202406102122, detect_time: 2024-06-11 02:38:44.776655, verdict: SILENT, hidden: True, details: [{file: //[From WCR <test@mail.com>][Date 11 Jun 2024 03:51:21][Subj Company_Name 2024/2025]/WCR-form.pdf, images: [{verdicts_info: {ScannerVersion: 1.22.3.34, ...}, hidden: True, verdict: SILENT, sb_id: fb15ec106318b0d54babce2379d956f7, image: Win7_x64, task_id: task0, file: //[From WCR <test@mail.com>][Date 11 Jun 2024 03:51:21][Subj Company_Name 2024/2025]/WCR-form.pdf, file_id: 1, filesize: 445856, md5: 0d87eebc9676214f35046a482150e537, tracing_mode: all_events, store_artifacts: False, bases_version: 202406102122, ids_bases_version: 202406101817, version: 1.22.3.34, suspicious_log: [], network_activity: {http: [], dns: []}}], verdict: SILENT, hidden: True, priority: 150}], md5_list: [], file_list: [], sb_hash: 77f5b6276dd9b1c534b6c9adcff86845, sb_names_map: {0: {md5: , name: }, 1: {md5: 0d87eebc9676214f35046a482150e537, name: //[From WCR <test@mail.com>][Date 11 Jun 2024 03:51:21][Subj Company_Name 2024/2025]/WCR-form.pdf}, 2: {md5: 71072dd9a36d7ce560cebc533ecb3cad, name: }}}	Результат обработки объектов на всех виртуальных машинах компонента Sandbox. Информация, на которую рекомендуется обратить внимание: verdict - результаты проверки файла. Формируется по результатам проверки файла на всех виртуальных машинах. Для обнаружений с результатом SILENT не создается запись в базе обнаружений. hidden: True - объект с этим результатом не требует дальнейшей проверки модулями Kaspersky Anti Targeted Attack Platform. details - информация о проверке объекта в виртуальных машинах. Включает следующие поля: file - имя файла для отображения (WCR-form.pdf). В этой записи поле содержит следующую информацию: From - электронный адрес отправителя. Date - дата и время выполнения события. Subj - тема письма. images - информация о проверке объекта в виртуальных машинах. verdicts_info - результаты проверки файла. Может отличаться для каждой виртуальной машины, в которой был проверен объект. hidden: True - объект с этим результатом не требует дальнейшей проверки модулями Kaspersky Anti Targeted Attack Platform. verdict - результаты проверки файла на виртуальной машине. Для обнаружений с результатом SILENT не создается запись в базе обнаружений. image - образ, в котором был запущен файл. filesize - размер файла. md5 - MD5-хеш файла. tracing mode: all_events - запись операций, которые выполняет файл после запуска. suspicious log [] - запись о вредоносных действиях, которые выполнил файл. Для этого поля нет значений, так как файл не выполнял вредоносные действия. network activity - сетевая активность, инициированная файлом. http [] - файл не выполнял обращений по HTTP. dns [] - файл не выполнял обращений по DNS. В полях suspicious log и network activity фиксируется только факт вредоносной активности. Если вы хотите посмотреть детали обнаружений, вы можете сделать это в веб-интерфейсе приложения. priority - приоритет проверки. Возможные значения: 1 - высокий, 100 - стандартный, 150 - фоновая проверка. md5_list - MD5-хеши файлов, при проверке которых были найдены обнаружения. file_list - имена файлов, при проверке которых были найдены обнаружения. sb_names_map - имя файла, которое будет отображаться в информации об обнаружении в веб-интерфейсе приложения.
2024-06-11 02:38:44.841529 info apt-history: New sb_detect for file alert: {id: 2720, victim: default, state: new, md5: f0429d4845208857cd303df968ef545e}	Информация о результатах обработки компонентом Sandbox сохранена в базе приложения. Служебная запись. Не является признаком наличия обнаружения в базе обнаружений приложения.

В начало