只有當使用者有編輯設定的權限時,使用者才能配置与 Kaspersky Anti Targeted Attack Platform(以下簡稱 "KATA")的整合。
Kaspersky Anti Targeted Attack Platform 是一種解決方案,旨在防護企业 IT 基礎結構並及時偵測威脅,如零日攻擊、目標攻擊和複雜的目標攻擊(称為進階持續威脅)。
KATA 可以與其他卡巴斯基的應用程式整合,用於接收並處理這些應用程式掃描的物件。Kaspersky Web Traffic Security 是一個可以擔任此角色的應用程式。
Kaspersky Web Traffic Security 管理員必須在具有角色控制的節點上配置 KATA 整合。完成此操作後,整合設定將傳送作為叢集一部分的具有角色協助的所有節點。然後,每個叢集節點獨立于其他節點與 KATA 伺服器進行互動。
與 KATA 整合時有两個模式可用:將檔案傳輸到 KATA 伺服器,以及接收 KATA 偵測到的物件。
傳送檔案到 KATA 伺服器
Kaspersky Web Traffic Security 將未經流量處理規則或預設防護政策封鎖的物件傳送到 KATA 伺服器。然而,應用程式不會等到 KATA 伺服器傳送這些物件的掃描結果。
處理每個檔案時,應用程式將檢查是否需要將該檔案傳送到 KATA 伺服器。基于結果,掃描狀態將被寫入應用程式事件記錄。以下狀態可用:
對于具有排程和失敗狀態的檔案,还會記錄有關檔案傳輸結果的詳細資訊。
与傳輸檔案到 KATA 伺服器相關的所有事件記錄在透過 Syslog 協定的作業系統。
接收 KATA 偵測到的物件
Kaspersky Web Traffic Security 從 KATA 伺服器接收有關使用沙箱和 YARA 技術的 KATA 偵測到的物件的資訊。有關處理外部系統請求的詳細資訊,請參閱 Kaspersky Anti Targeted Attack Platform 說明手冊。
有關接收的資訊儲存在 KATA 快取中。每個叢集節點會儲存其各自的 KATA 快取,並接受 KATA 偵測到的物件,獨立于其他節點。當儲存期限到期時,有關物件的資訊將從快取中删除。套用防護規則和預設防護政策時,不再考量這些物件。
在防護規則和預設防護政策中,您可以配置操作,以對從 KATA 伺服器中接收資訊的物件執行操作。在使用者流量中偵測到此物件時,Kaspersky Web Traffic Security 將依据規則中定義的設定處理這些物件。其允许您封鎖潜在的有害物件,直到這些物件的相關資訊新增到 KSN 信誉資料庫和本機應用程式資料庫中為止。
每個物件的掃描結果寫入事件記錄。以下掃描狀態可用:
与掃描流量以比對 KATA 物件相關的所有事件都記錄到透過 Syslog 協定的作業系統記錄中。