В веб-интерфейсе приложения отображаются следующие типы алертов, на которые пользователю Kaspersky Anti Targeted Attack Platform рекомендуется обратить внимание:
На компьютер локальной сети организации был загружен файл или была предпринята попытка загрузки файла. Приложение обнаружило этот файл в зеркалированном трафике локальной сети организации или в ICAP-данных HTTP- и FTP-трафика, а также HTTPS-трафика, если администратор настроил подмену SSL-сертификата на прокси-сервере.
На адрес электронной почты пользователя локальной сети организации был отправлен файл. Приложение обнаружило этот файл в копиях сообщений электронной почты, полученных по протоколу POP3 или SMTP, или полученных с виртуальной машины или сервера с программой Kaspersky Secure Mail Gateway, если она используется в вашей организации.
На компьютере локальной сети организации была открыта ссылка на веб-сайт. Приложение обнаружило эту ссылку на веб-сайт в зеркалированном трафике локальной сети организации или в ICAP-данных HTTP- и FTP-трафика, а также HTTPS-трафика, если администратор настроил подмену SSL-сертификата на прокси-сервере.
IP-адрес или доменное имя компьютера локальной сети организации были замечены в сетевой активности. Приложение обнаружило эту сетевую активность в зеркалированном трафике локальной сети организации.
На компьютере локальной сети организации были запущены процессы. Приложение обнаружило эти процессы c помощью компонента Endpoint Agent, установленного на компьютеры, входящие в IT-инфраструктуру организации.
Если обнаружен файл, в зависимости от того, какие модули или компоненты приложения создали алерт, в веб-интерфейсе приложения может отображаться следующая информация:
общая информация об алерте и обнаруженном файле (например, IP-адрес компьютера, на котором обнаружен файл, имя обнаруженного файла);
результаты антивирусной проверки файла, выполненной ядром AM Engine;
результаты проверки файла на наличие признаков вторжения в IT-инфраструктуру организации, выполненной модулем YARA;
результаты исследования поведения файла, выполненного компонентом Sandbox;
результаты анализа исполняемых файлов формата APK в облачной инфраструктуре на основе технологии машинного обучения.
Если обнаружена ссылка на веб-сайт, в зависимости от того, какие модули или компоненты приложения создали алерт, в веб-интерфейсе приложения может отображаться следующая информация:
детали алерта и обнаруженной ссылки на веб-сайт (например, IP-адрес компьютера, на котором обнаружена ссылка на веб-сайт, адрес ссылки на веб-сайт);
результаты проверки ссылки на наличие признаков вредоносного, фишингового URL-адреса или URL-адреса, который ранее использовался злоумышленниками для целевых атак на IT-инфраструктуру организаций, выполненной модулем URL Reputation.
Если обнаружена сетевая активность IP-адреса или доменного имени компьютера локальной сети организации, в веб-интерфейсе приложения может отображаться следующая информация:
детали алерта и обнаруженной сетевой активности;
результаты проверки интернет-трафика на наличие признаков вторжения в IT-инфраструктуру организации по предустановленным правилам, выполненной модулем Intrusion Detection System (IDS);
результаты исследования сетевой активности, выполненного по правилам TAA (IOA) "Лаборатории Касперского";
результаты исследования сетевой активности, выполненного по пользовательским правилам TAA (IOA), IDS, IOC.
Если обнаружены процессы, запущенные на компьютере локальной сети организации, на котором установлен компонент Endpoint Agent, в веб-интерфейсе приложения может отображаться следующая информация:
общая информация об обнаружении и процессах, запущенных на этом компьютере;
результаты исследования сетевой активности компьютера, выполненного по правилам TAA (IOA) "Лаборатории Касперского";
результаты исследования сетевой активности компьютера, выполненного по пользовательским правилам TAA (IOA), IOC.
Управлять алертами могут пользователи с ролью Сотрудник службы безопасности или Старший сотрудник службы безопасности. Пользователи с ролью Аудитор могут просматривать алерты.