只有当用户有 编辑设置 的权限时,用户才能配置与 Kaspersky Anti Targeted Attack Platform(以下简称 "KATA")的集成。
Kaspersky Anti Targeted Attack Platform 是一种解决方案,旨在保护企业 IT 基础架构并及时检测威胁,如零日攻击、目标攻击和复杂的目标攻击(称为高级持续威胁)。
KATA 可以与其他卡巴斯基的应用程序集成,用于接收并处理这些应用程序扫描的对象。Kaspersky Web Traffic Security 是一个可以担任此角色的应用程序。
Kaspersky Web Traffic Security 管理员必须在带角色控制的节点上配置 KATA 集成。完成此操作后,集成设置将发送作为集群一部分的带角色辅助的所有节点。然后,每个集群节点独立于其他节点与 KATA 服务器进行交互。
与 KATA 集成时有两个模式可用:将文件传输到 KATA 服务器,以及接收 KATA 检测到的对象。
发送文件到 KATA 服务器
Kaspersky Web Traffic Security 将未经流量处理规则或默认保护策略阻止的对象发送到 KATA 服务器。然而,应用程序不会等到 KATA 服务器发送这些对象的扫描结果。
处理每个文件时,应用程序将检查是否需要将该文件发送到 KATA 服务器。基于结果,扫描状态将被写入应用程序事件日志。以下状态可用:
对于具有 计划 和 失败 状态的文件,还会记录有关文件传输结果的详细信息。
与传输文件到 KATA 服务器相关的所有事件记录在通过 Syslog 协议的操作系统。
接收 KATA 检测到的对象
Kaspersky Web Traffic Security 从 KATA 服务器接收有关使用沙箱和 YARA 技术的 KATA 检测到的对象的信息。有关处理外部系统请求的详细信息,请参阅Kaspersky Anti Targeted Attack Platform 帮助指南。
有关接收的信息保存在 KATA 缓存中。每个集群节点会储存其各自的 KATA 缓存,并接受 KATA 检测到的对象,独立于其他节点。当存储期限到期时,有关对象的信息将从缓存中删除。应用保护规则和默认保护策略时,不再考虑这些对象。
在保护规则和默认保护策略中,您可以配置操作,以对从 KATA 服务器中接收信息的对象执行操作。在用户流量中检测到此对象时,Kaspersky Web Traffic Security 将依据规则中定义的设置处理这些对象。其允许您阻止潜在的有害对象,直到这些对象的相关信息添加到 KSN 信誉数据库和本地应用程序数据库中为止。
每个对象的扫描结果写入事件日志。以下扫描状态可用:
与扫描流量以匹配 KATA 对象相关的所有事件都记录到通过 Syslog 协议的操作系统日志中。