Um usuário pode configurar a integração com a Kaspersky Anti Targeted Attack Platform (doravante referida como "KATA") somente se tiver permissão para Editar configurações.
A Kaspersky Anti Targeted Attack Platform é a solução projetada para a proteção de infraestrutura de TI corporativa e detecção oportuna de ameaças, tais como ataque de dia zero, ataques direcionados, direcionados com alta complexidade, também conhecidos como ataques persistentes avançados.
O KATA pode ser integrado a outros aplicativos Kaspersky para fins de recebimento e processamento de objetos que são verificados por esses aplicativos. O Kaspersky Web Traffic Security é um aplicativo que executa essa função.
O administrador do Kaspersky Web Traffic Security deve configurar a integração do KATA no node com função Controle. Após isso ser feito, as configurações de integração são enviadas a todos os nodes com função Secundária que fazem parte do cluster. Cada node do cluster interage então com o servidor do KATA independente de outros nodes.
Estão disponíveis dois modos de integração com o KATA: transmissão de arquivos para o servidor do KATA e recebimento de objetos detectados pelo KATA.
Enviando arquivos para o servidor do KATA
O Kaspersky Web Traffic Security envia ao servidor do KATA os objetos que não estão bloqueados pelas regras de processamento de tráfego ou pela política de proteção padrão. No entanto, o aplicativo não aguarda para o servidor do KATA enviar os resultados da verificação desses objetos.
Quando cada arquivo é processado, o aplicativo verifica se esse necessita ser enviado ao servidor do KATA. Com base nos resultados, o status de verificação é gravado no log de eventos do aplicativo. Estão disponíveis os status a seguir:
Para arquivos com os status Agendado e Falha, informações detalhadas sobre o resultado da transmissão do arquivo também são registradas em log.
Todos os eventos relacionados à transmissão dos arquivos ao servidor do KATA estão registrados no log do sistema operacional via protocolo Syslog.
Recebendo objetos detectado pelo KATA
O Kaspersky Web Traffic Security recebe informações do servidor do KATA sobre objetos detectados pelo KATA usando área de sandbox e tecnologias YARA. Para obter detalhes sobre essas tecnologias, consulte o Guia de Ajuda do Kaspersky Anti Targeted Attack Platform.
As informações sobre objetos recebidos são salvas no cache do KATA. Cada node do cluster armazena seu próprio cache do KATA e recebe os objetos detectados pelo KATA de maneira independente dos outros nodes. Quando o período de armazenamento termina, informações sobre os objetos é excluída do cache. Esses objetos não são mais considerados se as regras de proteção e a política de proteção padrão forem aplicadas.
Nas regras de proteção e na política de proteção padrão, você pode configurar ações para obter objetos dos quais informações foram recebidas do servidor do KATA. Quando tais objetos são detectados no tráfego do usuário, o Kaspersky Web Traffic Security processará esses objetos de acordo com as configurações definidas nas regras. Isto permite a você bloquear objetos perigosos até que informações sobre eles sejam adicionadas aos bancos de dados de reputação da KSN e aos bancos de dados locais do aplicativo.
O resultado da verificação de cada objeto é gravado no log de evento. Estão disponíveis os status de verificação a seguir:
Todos os eventos relacionados à verificação de tráfego para correspondências com os objetos do KATA são registrados no log do sistema operacional via protocolo Syslog.