管理连接器

本节包含有关 Kaspersky Anti Targeted Attack Platform 中的连接器的信息。连接器是处理与 Kaspersky Anti Targeted Attack Platform 的通信的特殊软件模块，可以允许在应用程序本身中或在应用程序的帮助下执行管理任务。

连接器扩展了应用程序的功能，使其能够与第三方系统交互。根据其功能目的，连接器可以将数据发送到第三方系统（例如，将事件、应用程序消息和审计记录发送到 SIEM 系统）或从第三方系统获取数据。应用程序还可以使用连接器对设备进行主动轮询。

运行连接器软件模块的计算机称为连接器部署节点。您可以在任何可以通过网络访问 Central Node 服务器的计算机上部署连接器（包括安装了应用程序组件的节点，包括 Central Node 服务器本身）。

连接器表和连接器类型表显示在应用程序 Web 界面的“设置”部分，“连接器”子部份。只有具有管理员角色的用户才能管理连接器和连接器类型。拥有“安全审计员”、“安全官”和“高级安全官”角色的用户可以查看连接器和连接器类型。

连接器的功能取决于所选的连接器类型。您可以在将连接器添加到应用程序时选择连接器类型。应用程序内置有以下类型的现成连接器：

• Syslog

  此连接器类型支持将数据转发到 Syslog 服务器。

  添加 Syslog 连接器或编辑其设置时，配置连接器的常规设置以及“详细信息”下的附加设置：

  • Syslog 服务器地址
  • Syslog 服务器端口
  • 数据传输系统
• SIEM

  此连接器类型支持将数据转发到 SIEM 系统。

  添加“SIEM”连接器或编辑其设置时，配置连接器的常规设置以及“详细信息”下的附加设置：

  • SIEM 系统服务器地址
  • SIEM 系统服务器端口
  • 数据传输系统
• 一般的

  此连接器类型允许连接使用 Kaspersky Anti Targeted Attack Platform API NDR 的应用程序。

• 电子邮件

  此连接器类型提供通过电子邮件转发数据的功能。

  添加“电子邮件”连接器或编辑其设置时，配置连接器的常规设置以及“详细信息”下的附加设置：

  • 用作电子邮件发件人的地址。
  • 电子邮件的收件人地址。
  • 事件、应用程序消息和审计记录的电子邮件主题行。
  • 事件、应用程序消息、审计记录、网络交互描述以及整个通知电子邮件消息的文本描述模板。您可以在模板中使用变量。
  • 当发送的通知数量达到最大限额时发送的电子邮件的主题和正文。
  • 每天发送的最大电子邮件数。
  • 每条消息中的最大通知数。指定可放入单个电子邮件消息中的同一类型（事件、应用程序消息或审计记录）的已注册通知的最大数量。如果存在更多已注册的通知，则会生成额外的电子邮件消息（在每日限制内）。

  为了使电子邮件连接器正常工作，您必须首先配置邮件服务器连接。

• 主动轮询

  此连接器类型提供了具有配置控制和主动轮询作业的主动设备轮询功能。

  添加“活动轮询”连接器或编辑其设置时，配置连接器的常规设置以及“详细信息”下的附加设置：

  • 使用连接器时应用程序用户可以使用的主动轮询方法。
  • 允许或拒绝主动轮询的设备的被允许和被拒绝 IP 地址范围。0.0.0.0 地址与所有可能的 IP 地址匹配。

    如果某个地址既包含在允许的 IP 地址中，也包含在拒绝的 IP 地址中，Kaspersky Anti Targeted Attack Platform 会将其归类为拒绝的 IP 地址。

  • 其对应设备可用于主动轮询的地址空间的名称。如有必要，在 L3 地址空间字段中选择 IP 地址的地址空间，并在 L2 地址空间字段中选择 MAC 地址的地址空间。

    如果选择的地址空间与默认地址空间不同，请为该地址空间添加新规则（或编辑现有规则）。该规则必须指定选择此地址空间的连接器。当地址空间改变时，规则设置就会被配置。

• KUMA

  此连接器类型提供与 Kaspersky Unified Monitoring and Analysis Platform (KUMA) 的集成。此类连接器的软件模块与 Kaspersky Anti Targeted Attack Platform 分开分发。这种类型的连接器允许您将有关设备和风险的信息发送到 KUMA，以及在 KUMA 中运行命令来更改设备状态。添加连接器后，必须在 KUMA 中配置集成（创建与 Kaspersky Anti Targeted Attack Platform 的连接）。KUMA 连接器使用 Kaspersky Anti Targeted Attack Platform API 与 Central Node 服务器交互。

  KUMA 连接器提供的集成涉及发送有关设备和风险的信息，以及应用命令来改变设备状态。要将事件发送到 KUMA，您可以向 Kaspersky Anti Targeted Attack Platform 添加 Syslog 或 SIEM 连接器，并为此连接器指定与 KUMA 服务器的连接设置。添加连接器后，需要在 KUMA 端配置一个收集器。

• Cisco 交换机

  此连接器类型通过思科网络交换机为设备提供自动网络访问控制支持。

  添加 Cisco 交换机连接器或编辑其设置时，配置连接器的常规设置以及“详细信息”下的附加设置：

  • 您想要在应用程序使用连接器执行的操作的事件中指定的开关的名称。
  • 将连接器连接到交换机的寻址信息：IP 地址和 SSH 端口。
  • 通过 SSH 连接到交换机的凭据。
  • 在建立 SSH 连接之前，需要将公钥与从网络交换机收到的公钥进行匹配；这样做是为了防止网络中此设备被欺骗。如果该值为空，则不执行检查。
  • 用于限制设备网络访问的方法。应用程序提供了基于 MAC 地址（MAC ACL）、IP 地址（IP ACL）在交换机访问控制列表中创建拒绝规则的方法，以及通过禁用设备连接到的以太网端口的方法。

    要使用禁用以太网端口的方法，请配置交换机连接以防止多个设备连接到一个端口。否则，禁用以太网端口以阻止一个设备也会阻止使用该端口连接到网络的所有设备的网络访问。

  • 当更改网络访问限制方法时，此设置将重置拒绝规则。如果启用此设置，更改方法将重置已设置的阻止设备的规则。
  • 此设置将网络设备排除在网络访问限制方法之外。如果启用该设置，则该方法不适用于网络设备、防火墙、交换机、虚拟交换机、路由器、虚拟路由器、Wi-Fi 设备。
  • 此设置仅应用拒绝规则于新设备。如果启用此设置，该方法仅适用于已注册事件类型代码为 4000005003 的新设备检测事件的未经授权的设备。
  • 设备表中“已授权”和“未授权”设备的轮询间隔。
  • 此设置允许您配置连接器重新启动时有关被阻止设备的通知。如果启用此设置，则在启用或重新启动连接器后，先前已应用网络访问限制的设备列表将发送到 Central Node 服务器。

如有必要，您可以添加其他连接器类型，以促进数据交换或在应用程序与其他接收系统交互时提供执行管理任务的功能。

某些端口和协议用于连接器与 Central Node 服务器的连接。

第三方系统代表应用程序用户之一通过连接器进行连接。我们建议为每个连接器使用单独的用户账户。这将帮助您使用审计记录分析通过连接器执行的操作。

应用程序中的最大连接器数量为 20。连接器类型的最大数量为 100。

本节内容 受管理和不受管理的连接器 将事件、应用程序消息和审计记录发送到第三方系统 通过 Cisco 交换机连接器自动控制设备的网络访问 添加连接器 查看连接器表 启用或禁用连接器 编辑连接器设置 为连接器创建新的通信数据包 删除连接器 添加和删除连接器类型

页面顶部