О Kaspersky Anti Targeted Attack Platform
Kaspersky Anti Targeted Attack Platform – решение (далее также "приложение"), предназначенное для защиты IT-инфраструктуры организации и своевременного обнаружения таких угроз, как атаки "нулевого дня", целевые атаки и сложные целевые атаки advanced persistent threats (далее также "APT"). Решение разработано для корпоративных пользователей.
Решение Kaspersky Anti Targeted Attack Platform включает в себя три функциональных блока:
- Kaspersky Anti Targeted Attack (далее также "KATA"), обеспечивающий защиту периметра IT-инфраструктуры предприятия.
- Kaspersky Endpoint Detection and Response (далее также "KEDR"), обеспечивающий защиту компьютеров локальной сети организации.
- Network Detection and Response (далее также "NDR"), обеспечивающий защиту внутренней сети предприятия.
Решение может получать и обрабатывать данные следующими способами:
- Интегрироваться в локальную сеть, получать и обрабатывать зеркалированный SPAN-, ERSPAN- и RSPAN-трафик и извлекать объекты и метаинформацию HTTP-, HTTP2, FTP-, SMTP- и DNS-, SMB- и NFS-протоколов.
- Подключаться к прокси-серверу по протоколу ICAP, получать и обрабатывать данные HTTP-, HTTP2- и FTP-трафика, а также HTTPS-трафика, если администратор настроил подмену SSL-сертификата на прокси-сервере.
- Подключаться к почтовому серверу по протоколам POP3(S) и SMTP, получать и обрабатывать копии сообщений электронной почты.
- Интегрироваться с приложениями "Лаборатории Касперского" Kaspersky Secure Mail Gateway и Kaspersky Security для Linux Mail Server, получать и обрабатывать копии сообщений электронной почты.
- Принимать и обрабатывать копии сетевого трафика, которые отправляются с удаленного объекта с помощью приложения "Лаборатории Касперского" Kaspersky SD-WAN. Эта функциональность обеспечивает расширенную гибкость в обнаружении и контроле сетевой активности, позволяя анализировать трафик из различных точек сети и принимать соответствующие меры по обеспечению безопасности сети.
Вы можете получить подробную информацию о Kaspersky Secure Mail Gateway, Kaspersky Security для Linux Mail Server и Kaspersky SD-WAN из документации к этим приложениям.
- Интегрироваться с приложением Kaspersky Endpoint Security и получать данные (события) с отдельных компьютеров, входящих в IT-инфраструктуру организации и работающих под управлением операционных систем Microsoft® Windows®, Linux® и Mac®. Приложения осуществляют постоянное наблюдение за процессами, запущенными на этих компьютерах, открытыми сетевыми соединениями и изменяемыми файлами.
- Интегрироваться с внешними системами с помощью интерфейса REST API и проверять файлы на этих системах.
Решение использует следующие средства анализа угроз (Threat Intelligence):
- Инфраструктуру облачных служб Kaspersky Security Network (далее также "KSN"), предоставляющую доступ к оперативной базе знаний "Лаборатории Касперского" о репутации файлов, веб-ресурсов и программного обеспечения. Использование данных Kaspersky Security Network обеспечивает более высокую скорость реакции приложений "Лаборатории Касперского" на угрозы, повышает эффективность работы некоторых компонентов защиты, а также снижает вероятность ложных срабатываний.
- Интеграцию с приложением "Лаборатории Касперского" Kaspersky Private Security Network (далее также "KPSN"), предоставляющую пользователю возможность получать доступ к репутационным базам KSN, а также другим статистическим данным, не отправляя данные в KSN со своих компьютеров.
- Интеграцию с информационной системой "Лаборатории Касперского" Kaspersky Threat Intelligence Portal, которая содержит и отображает информацию о репутации файлов и URL-адресов.
- Индикаторы IOC (Indicator of Compromise, или индикатор компрометации). Kaspersky Anti Targeted Attack Platform использует IOC-файлы открытого стандарта описания индикаторов компрометации OpenIOC. IOC-файлы содержат набор индикаторов, при совпадении с которыми приложение считает событие алертом.
- Индикаторы IOA (Indicator of Attack, или индикатор атаки). Kaspersky Anti Targeted Attack Platform проверяет базу событий приложения и отмечает события или цепочки событий, которые совпадают с поведением, описанным в правилах TAA (IOA).
Решение может обнаружить следующие события, происходящие внутри IT-инфраструктуры организации:
- На компьютер локальной сети организации был загружен файл или была предпринята попытка загрузки файла.
- На адрес электронной почты пользователя локальной сети организации был отправлен файл.
- На компьютере локальной сети организации была открыта ссылка на веб-сайт.
- IP-адрес или доменное имя компьютера локальной сети организации были замечены в сетевой активности.
- На компьютере локальной сети организации были запущены процессы.
Приложение может предоставлять пользователю результаты своей работы и анализа угроз следующими способами:
- Отображать результаты работы в веб-интерфейсе серверов Central Node, Primary Central Node (далее также PCN) или Secondary Central Node (далее также SCN).
- Публиковать алерты в SIEM-систему, которая уже используется в вашей организации, по протоколу Syslog.
- Интегрироваться с внешними системами с помощью интерфейса REST API и по запросу отправлять данные об алертах и событиях решения во внешние системы.
- Публиковать информацию об алертах компонента Sandbox в локальную репутационную базу Kaspersky Private Security Network.
Пользователи с ролями Старший сотрудник службы безопасности и Сотрудник службы безопасности могут выполнять следующие действия в приложении:
- Осуществлять мониторинг работы компонентов решения.
- Просматривать таблицу обнаруженных признаков целевых атак и вторжений в IT-инфраструктуру организации, осуществлять фильтрацию и поиск алертов, просмотр и работу с каждым алертом, выполнять рекомендации по оценке и расследованию инцидентов.
- Просматривать таблицу событий, происходящих на компьютерах и серверах, входящих в IT-инфраструктуру организации, осуществлять поиск угроз, фильтрацию, просмотр и работу с каждым событием, выполнять рекомендации по оценке и расследованию инцидентов.
- Выполнять задачи на компьютерах с Kaspersky Endpoint Security: запускать приложения и останавливать процессы, скачивать и удалять файлы, помещать объекты на карантин на компьютерах с приложением Kaspersky Endpoint Security, копии файлов в Хранилище Kaspersky Anti Targeted Attack Platform, а также восстанавливать файлы из карантина.
- Настраивать политики запрета запуска файлов и процессов, которые они считают небезопасными, на выбранных компьютерах с приложением Kaspersky Endpoint Security.
- Изолировать отдельные компьютеры с приложением Kaspersky Endpoint Security от сети.
- Работать с правилами TAA (IOA) для классификации и анализа событий.
- Работать с пользовательскими правилами Targeted Attack Analyzer TAA (IOA), YARA, Sandbox и правилами обнаружения вторжений: загружать правила, по которым приложение будет проверять события и создавать алерты.
- Работать с файлами открытого стандарта описания индикаторов компрометации OpenIOC (IOC-файлы) для поиска признаков целевых атак, зараженных и возможно зараженных объектов на хостах с компонентом Endpoint Agent и в базе алертов.
- Добавлять правила TAA (IOA) и правила IDS, предоставленные специалистами "Лаборатории Касперского", в исключения из проверки.
- Работать с объектами на карантине и копиями объектов в Хранилище.
- Управлять отчетами о работе приложения и отчетами об алертах.
- Настраивать отправку уведомлений об алертах и о проблемах в работе приложения на адреса электронной почты пользователей.
- Работать со списком алертов со статусом VIP, со списком данных, исключенных из проверки, наполнять локальную репутационную базу KPSN.
- Сохранять и выгружать копии сырого сетевого трафика для анализа во внешних системах.
Пользователи с ролью Аудитор могут выполнять следующие действия в приложении:
- Осуществлять мониторинг работы компонентов решения.
- Просматривать таблицу обнаруженных признаков целевых атак и вторжений в IT-инфраструктуру организации, осуществлять фильтрацию и поиск алертов, просматривать данные каждого алерта.
- Просматривать таблицу событий, происходящих на компьютерах и серверах, входящих в IT-инфраструктуру организации, осуществлять поиск угроз, фильтрацию, просмотр каждого события.
- Просматривать список хостов с компонентом Endpoint Agent и информацию о выбранных хостах.
- Просматривать пользовательские правила Targeted Attack Analyzer TAA (IOA), YARA, Sandbox и правила обнаружения вторжений.
- Просматривать исключенные из проверки правила TAA (IOA) и правила IDS, предоставленные специалистами "Лаборатории Касперского".
- Просматривать отчеты о работе приложения и отчеты об алертах.
- Просматривать список алертов со статусом VIP, список данных, исключенных из проверки.
- Просматривать все настройки, производимые в веб-интерфейсе приложения.
- Сохранять и выгружать копии сырого сетевого трафика для анализа во внешних системах.
Пользователи с ролью Администратор могут выполнять следующие действия в приложении:
- Настраивать параметры работы приложения.
- Настраивать серверы для работы в режиме распределенного решения и мультитенантности.
- Производить интеграцию приложения с другими приложениями и системами.
- Работать с TLS-сертификатами и настраивать доверенное соединение сервера Central Node c сервером Sandbox, а также серверов Kaspersky Anti Targeted Attack Platform c компонентом Endpoint Agent и с внешними системами.
- Управлять учетными записями пользователей приложения.
- Осуществлять мониторинг работоспособности приложения.