- Справка Kaspersky Anti Targeted Attack Platform
- Kaspersky Anti Targeted Attack Platform
- Что нового
- О Kaspersky Threat Intelligence Portal
- Комплект поставки
- Аппаратные и программные требования
- Совместимость версий Kaspersky Endpoint Agent для Windows с версиями Kaspersky Anti Targeted Attack Platform
- Совместимость версий Kaspersky Endpoint Agent для Windows с приложениями EPP
- Совместимость версий Kaspersky Endpoint Security для Windows с версиями Kaspersky Anti Targeted Attack Platform
- Совместимость версий Kaspersky Endpoint Security для Linux с версиями Kaspersky Anti Targeted Attack Platform
- Совместимость Kaspersky Endpoint Security для Mac с версиями Kaspersky Anti Targeted Attack Platform
- Совместимость версий KUMA с версиями Kaspersky Anti Targeted Attack Platform
- Совместимость версий XDR с версиями Kaspersky Anti Targeted Attack Platform
- Совместимость версий KPSN с версиями Kaspersky Anti Targeted Attack Platform
- Совместимость Kaspersky Anti Targeted Attack Platform с VK Cloud
- Ограничения
- Предоставление данных
- Служебные данные приложения
- Данные компонентов Central Node и Sensor
- Данные компонента Sandbox
- Данные, пересылаемые между компонентами приложения
- Данные в файлах трассировки приложения
- Данные Kaspersky Endpoint Agent для Windows
- Данные Kaspersky Endpoint Security для Windows
- Данные Kaspersky Endpoint Security для Linux
- Данные Kaspersky Endpoint Security для Mac
- Лицензирование приложения
- О Лицензионном соглашении
- О лицензионном сертификате
- О лицензии
- О лицензионном ключе
- О файле ключа
- О коде активации
- О подписке
- Добавление лицензионного ключа
- Замена лицензионного ключа
- Удаление лицензионного ключа
- Просмотр информации о добавленных лицензионных ключах в веб-интерфейсе Central Node
- Просмотр текста Лицензионного соглашения в веб-интерфейсе Central Node
- Просмотр текста Политики конфиденциальности в веб-интерфейсе Central Node
- Просмотр информации о стороннем коде, используемом в приложении
- Просмотр текста Лицензионного соглашения в веб-интерфейсе Sandbox
- Просмотр текста Лицензионного соглашения компонента Endpoint Agent
- Режимы работы приложения в соответствии с лицензией
- Архитектура приложения
- Принцип работы приложения
- Распределенное решение и мультитенантность
- Сценарий перехода в режим распределенного решения и мультитенантности
- Изменения в параметрах приложения при переходе в режим распределенного решения и мультитенантности
- Назначение серверу роли PCN
- Назначение серверу роли SCN
- Просмотр информации о тенантах, серверах PCN и SCN
- Добавление тенанта на сервере PCN
- Удаление тенанта на сервере PCN
- Изменение названия тенанта на сервере PCN
- Отключение SCN от PCN
- Изменения в параметрах приложения при отключении SCN от PCN
- Руководство по масштабированию
- Установка и первоначальная настройка приложения
- Подготовка к установке компонентов приложения
- Подготовка IT-инфраструктуры к установке компонентов приложения
- Подготовка IT-инфраструктуры к интеграции с почтовым сервером для приема сообщений по протоколу POP3
- Подготовка IT-инфраструктуры к интеграции с почтовым сервером для отправки сообщений по протоколу SMTP
- Подготовка виртуальной машины к установке компонента Sandbox
- Подготовка установочного образа диска с компонентами Central Node, Sensor и Sandbox
- Порядок установки и настройки компонентов приложения
- Установка компонента Sandbox
- Шаг 1. Просмотр Лицензионного соглашения и Политики конфиденциальности
- Шаг 2. Выбор диска для установки компонента Sandbox
- Шаг 3. Назначение имени хоста
- Шаг 4. Выбор управляющего сетевого интерфейса в списке
- Шаг 5. Назначение адреса и маски сети управляющего интерфейса
- Шаг 6. Добавление адресов DNS-серверов
- Шаг 7. Настройка статического сетевого маршрута
- Шаг 8. Настройка минимальной длины пароля администратора Sandbox
- Шаг 9. Создание учетной записи администратора Sandbox
- Развертывание компонента Central Node со встроенным Sensor в виде кластера
- Развертывание сервера хранения данных
- Шаг 1. Просмотр Лицензионного соглашения и Политики конфиденциальности
- Шаг 2. Выбор роли сервера
- Шаг 3. Выбор режима развертывания
- Шаг 4. Выбор диска для установки компонента
- Шаг 5. Выбор маски сети для адресации серверов
- Шаг 6. Выбор маски сети для адресации компонентов приложения
- Шаг 7. Выбор кластерного сетевого интерфейса
- Шаг 8. Выбор внешнего сетевого интерфейса
- Шаг 9. Выбор способа получения IP-адресов для сетевых интерфейсов
- Шаг 10. Создание учетной записи администратора и аутентификация сервера в кластере
- Шаг 11. Добавление адресов DNS-серверов
- Шаг 12. Настройка синхронизации времени с NTP-сервером
- Шаг 13. Выбор дисков для Ceph-хранилища
- Развертывание обрабатывающего сервера
- Шаг 1. Просмотр Лицензионного соглашения и Политики конфиденциальности
- Шаг 2. Выбор роли сервера
- Шаг 3. Выбор диска для установки компонента
- Шаг 4. Выбор маски сети для адресации серверов кластера
- Шаг 5. Выбор маски сети для адресации компонентов приложения
- Шаг 6. Выбор кластерного сетевого интерфейса
- Шаг 7. Выбор внешнего сетевого интерфейса
- Шаг 8. Выбор способа получения IP-адресов для сетевых интерфейсов
- Шаг 9. Аутентификация сервера в кластере
- Шаг 10. Выбор языка локализации функциональности NDR и настройка получения зеркалированного трафика со SPAN-портов
- Очистка жестких дисков на серверах хранения
- Развертывание сервера хранения данных
- Установка компонента Central Node со встроенным Sensor на сервере
- Шаг 1. Просмотр Лицензионного соглашения и Политики конфиденциальности
- Шаг 2. Выбор роли сервера
- Шаг 3. Выбор диска для установки компонента
- Шаг 4. Выделение диска для базы данных компонента Targeted Attack Analyzer
- Шаг 5. Выбор маски сети для адресации серверов
- Шаг 6. Выбор маски сети для адресации компонентов приложения
- Шаг 7. Выбор внешнего сетевого интерфейса
- Шаг 8. Выбор способа получения IP-адресов для сетевых интерфейсов
- Шаг 9. Создание учетной записи администратора
- Шаг 10. Выбор языка локализации функционала NDR
- Шаг 11. Добавление адресов DNS-серверов
- Шаг 12. Настройка синхронизации времени с NTP-сервером
- Шаг 13. Настройка получения зеркалированного трафика со SPAN-портов
- Установка компонента Sensor на отдельном сервере
- Шаг 1. Просмотр Лицензионного соглашения и Политики конфиденциальности
- Шаг 2. Выбор роли сервера
- Шаг 3. Выбор диска для установки компонента
- Шаг 4. Выбор маски сети для адресации серверов
- Шаг 5. Выбор маски сети для адресации компонентов приложения
- Шаг 6. Выбор внешнего сетевого интерфейса
- Шаг 7. Выбор способа получения IP-адресов для сетевых интерфейсов
- Шаг 8. Создание учетной записи администратора
- Шаг 9. Добавление адресов DNS-серверов
- Шаг 10. Настройка синхронизации времени с NTP-сервером
- Шаг 11. Настройка получения зеркалированного трафика со SPAN-портов
- Оптимизация настроек сетевых интерфейсов для компонента Sensor
- Подключение и настройка внешнего хранилища для компонента Sensor
- Подготовка к установке компонентов приложения
- Настройка параметров масштабирования приложения
- Настройка правил сетевого экрана
- Порты, используемые на компьютерах с установленными компонентами Kaspersky Anti Targeted Attack Platform
- Порты, используемые сервисами Kaspersky Anti Targeted Attack Platform в кластерной конфигурации
- Порты, используемые сервисами Central Node, установленного на сервере
- Порты, используемые сервисами в конфигурации с компонентом Sensor, установленным на отдельном сервере
- Порты для взаимодействия между сервисами анализа трафика сети
- Настройка интеграции компонента Endpoint Agent с функциональным блоком KEDR
- Настройка доверенного соединения с приложением Kaspersky Endpoint Agent
- Настройка проверки TLS-сертификата Kaspersky Endpoint Agent сервером Central Node и загрузка криптоконтейнера в Kaspersky Endpoint Agent
- Загрузка TLS-сертификата сервера Central Node или Sensor в Kaspersky Endpoint Agent
- Настройка интеграции и доверенного соединения с Kaspersky Anti Targeted Attack Platform на стороне Kaspersky Endpoint Agent
- Настройка доверенного соединения с приложением Kaspersky Endpoint Security
- Скачивание TLS-сертификата сервера Central Node на компьютер
- Генерация TLS-сертификата сервера Central Node в веб-интерфейсе Kaspersky Anti Targeted Attack Platform
- Загрузка самостоятельно подготовленного TLS-сертификата сервера Central Node через веб-интерфейс Kaspersky Anti Targeted Attack Platform
- Включение проверки TLS-сертификата компонента Endpoint Agent в веб-интерфейсе Kaspersky Anti Targeted Attack Platform
- Генерация TLS-сертификата компонента Endpoint Agent в веб-интерфейсе Kaspersky Anti Targeted Attack Platform и скачивание криптоконтейнера
- Загрузка самостоятельно подготовленного TLS-сертификата компонента Endpoint Agent через веб-интерфейс Kaspersky Anti Targeted Attack Platform
- Просмотр таблицы TLS-сертификатов компонента Endpoint Agent в веб-интерфейсе Kaspersky Anti Targeted Attack Platform
- Фильтрация и поиск TLS-сертификатов компонента Endpoint Agent в веб-интерфейсе Kaspersky Anti Targeted Attack Platform
- Удаление TLS-сертификатов компонента Endpoint Agent в веб-интерфейсе Kaspersky Anti Targeted Attack Platform
- Настройка перенаправления трафика от компонента Endpoint Agent на сервер Sensor
- Настройка доверенного соединения с приложением Kaspersky Endpoint Agent
- Настройка интеграции компонента Endpoint Agent с функциональным блоком NDR
- Начало работы с приложением
- Управление учетными записями администраторов и пользователей приложения
- Создание учетной записи администратора веб-интерфейса приложения
- Создание учетной записи пользователя веб-интерфейса приложения
- Настройка отображения таблицы учетных записей
- Просмотр таблицы учетных записей
- Фильтрация учетных записей
- Сброс фильтра учетных записей
- Изменение прав доступа учетной записи к данным PCN и SCN
- Включение и отключение учетной записи
- Изменение пароля учетной записи администратора или пользователя приложения
- Изменение пароля своей учетной записи
- Аутентификация с помощью доменных учетных записей
- Участие в Kaspersky Security Network и использование Kaspersky Private Security Network
- Работа с компонентом Sandbox через веб-интерфейс
- Обновление баз компонента Sandbox
- Настройка соединения компонентов Sandbox и Central Node
- Настройка сетевых интерфейсов компонента Sandbox
- Установка даты и времени системы Sandbox
- Установка и настройка образов операционных систем и приложений для работы компонента Sandbox
- Работа с образами операционных систем и приложений в Хранилище Sandbox
- Работа с шаблонами виртуальных машин
- Управление виртуальными машинами
- Установка максимального количества одновременно запускаемых виртуальных машин
- Изменение количества лицензионных ключей для виртуальной машины с пользовательским образом операционной системы
- Загрузка журнала системы Sandbox на жесткий диск
- Экспорт параметров Sandbox
- Импорт параметров Sandbox
- Перезагрузка сервера Sandbox
- Выключение сервера Sandbox
- Изменение пароля учетной записи администратора Sandbox
- Администратору: работа в веб-интерфейсе приложения
- Интерфейс Kaspersky Anti Targeted Attack Platform
- Мониторинг работы приложения
- О виджетах и схемах расположения виджетов
- Выбор тенанта и сервера для работы в разделе Мониторинг
- Добавление виджета на текущую схему расположения виджетов
- Перемещение виджета на текущей схеме расположения виджетов
- Изменение отображения данных в виджетах NDR
- Удаление виджета с текущей схемы расположения виджетов
- Сохранение схемы расположения виджетов в PDF
- Настройка периода отображения данных на виджетах
- Мониторинг приема и обработки входящих данных
- Мониторинг очередей обработки данных модулями и компонентами приложения
- Мониторинг обработки данных компонентом Sandbox
- Просмотр состояния работоспособности модулей и компонентов приложения
- Работа с информацией о серверах с компонентами Central Node и Sensor
- Управление серверами Central Node, PCN или SCN с помощью веб-интерфейса приложения
- Изменение имени сервера
- Настройка даты и времени сервера
- Генерация или загрузка TLS-сертификата сервера
- Скачивание TLS-сертификата сервера на компьютер
- Назначение DNS-имени сервера
- Настройка параметров DNS
- Настройка параметров сетевого интерфейса
- Настройка сетевого маршрута для использования по умолчанию
- Настройка параметров соединения с прокси-сервером
- Настройка параметров соединения с почтовым сервером
- Управление параметрами сохранения трафика
- Управление параметрами сохранения файлов дампа трафика
- Выбор операционных систем для проверки объектов в Sandbox
- Парольные политики
- Управление компонентом Sensor
- Подключение компонента Sensor к Central Node
- Управление сертификатом компонента Sensor
- Вход в веб-интерфейс компонента Sensor
- Изменение имени сервера
- Управление точками мониторинга
- Настройка максимального размера проверяемого файла
- Настройка записи содержимого HTTP-пакета
- Настройка интеграции с почтовым сервером по протоколу SMTP
- Настройка интеграции с прокси-сервером по протоколу ICAP
- Настройка записи зеркалированного трафика со SPAN-портов
- Настройка интеграции с почтовым сервером по протоколу POP3
- Управление кластером
- Уведомления о максимальной загрузке центрального процессора и оперативной памяти серверов Central Node и Sensor
- Настройка соединения с протоколом SNMP
- Работа с информацией о хостах с компонентом Endpoint Agent
- Выбор тенанта для работы в разделе Endpoint Agents
- Просмотр таблицы хостов c компонентом Endpoint Agent на отдельном сервере Central Node
- Просмотр информации о хосте
- Фильтрация и поиск хостов с компонентом Endpoint Agent по имени хоста
- Фильтрация и поиск хостов с компонентом Endpoint Agent, изолированных от сети
- Фильтрация и поиск хостов с компонентом Endpoint Agent по именам серверов PCN и SCN
- Фильтрация и поиск хостов с компонентом Endpoint Agent по IP-адресу компьютера
- Фильтрация и поиск хостов с компонентом Endpoint Agent по версии операционной системы на компьютере
- Фильтрация и поиск хостов с компонентом Endpoint Agent по версии компонента
- Фильтрация и поиск хостов с компонентом Endpoint Agent по их активности
- Быстрое создание фильтра хостов с компонентом Endpoint Agent
- Сброс фильтра хостов с компонентом Endpoint Agent
- Настройка показателей активности компонента Endpoint Agent
- Удаление хостов с компонентом Endpoint Agent
- Автоматическое удаление неактивных хостов
- Поддерживаемые интерпретаторы и процессы
- Настройка интеграции с компонентом Sandbox
- Ручная отправка файлов с хостов с компонентом Endpoint Agent на проверку в Sandbox
- Настройка интеграции с внешними системами
- Настройка интеграции с Kaspersky Managed Detection and Response
- Настройка интеграции с SIEM-системой
- Обновление сертификата для подключения к Central Node через API
- Управление коннекторами
- Об управляемых и неуправляемых коннекторах
- Об отправке событий, сообщений приложения и записей аудита в сторонние системы
- Об автоматическом управлении сетевым доступом устройств с помощью коннекторов типа Cisco Switch
- Добавление коннектора
- Просмотр таблицы коннекторов
- Включение и выключение коннектора
- Изменение параметров коннектора
- Создание нового файла свертки для коннектора
- Удаление коннектора
- Добавление и удаление типов коннекторов
- Управление секретами с учетными данными для удаленных подключений
- Обновление баз приложения
- Создание списка паролей для архивов
- Настройка интеграции с приложением ArtX TLSproxy
- Сотруднику службы безопасности: работа в веб-интерфейсе приложения
- Интерфейс Kaspersky Anti Targeted Attack Platform
- Выбор тенанта для работы в веб-интерфейсе приложения
- Мониторинг работы приложения
- О виджетах и схемах расположения виджетов
- Добавление виджета на текущую схему расположения виджетов
- Перемещение виджета на текущей схеме расположения виджетов
- Изменение отображения данных в виджетах NDR
- Удаление виджета с текущей схемы расположения виджетов
- Сохранение схемы расположения виджетов в PDF
- Настройка периода отображения данных на виджетах
- Настройка масштаба отображения виджетов
- Основные принципы работы с виджетами типа "Алерты"
- Информация в виджете Устройства
- Информация в виджете События
- Просмотр состояния работоспособности модулей и компонентов приложения
- Управление технологиями
- Просмотр таблицы алертов
- Настройка отображения таблицы алертов
- Фильтрация, сортировка и поиск алертов
- Фильтрация алертов по наличию статуса VIP
- Фильтрация и поиск алертов по времени
- Фильтрация алертов по степени важности
- Фильтрация и поиск алертов по категориям обнаруженных объектов
- Фильтрация и поиск алертов по полученной информации
- Фильтрация и поиск алертов по адресу источника
- Фильтрация и поиск алертов по адресу назначения
- Фильтрация и поиск алертов по имени сервера
- Фильтрация и поиск алертов по названию технологии
- Фильтрация и поиск алертов по состоянию их обработки пользователем
- Фильтрация и поиск алертов по имени пользователя, которыму они назначены
- Сортировка алертов в таблице
- Быстрое создание фильтра алертов
- Сохранение фильтров
- Сброс фильтра алертов
- Рекомендации по обработке алертов
- Просмотр алертов
- Просмотр информации об алерте
- Общая информация об алерте любого типа
- Информация в блоке Информация об объекте
- Информация в блоке Детали алерта
- Информация в блоке Сведения о проверке технологиями NDR
- Информация в блоке Результаты проверки
- Информация в блоке Правило IDS
- Информация в блоке URL
- Информация в блоке IP устройств, связанных с обнаружением
- Информация в блоке Сетевое событие
- Результаты проверки в Sandbox
- Результаты IOC-проверки
- Информация в блоке Хосты
- Информация в блоке Журнал изменений
- Отправка данных об алерте
- Просмотр связей алерта
- Действия пользователей с алертами
- Мониторинг событий в трафике сети
- Оценки и уровни критичности событий NDR
- Технологии регистрации событий NDR
- Статусы событий NDR
- Таблица зарегистрированных событий NDR
- Настройка таблицы зарегистрированных событий
- Просмотр событий, вложенных в агрегирующее событие
- Просмотр подробных данных о событии NDR
- Изменение статусов событий NDR
- Установка меток
- Копирование событий NDR в текстовый редактор
- Загрузка трафика для событий
- Создание директории для экспорта событий на сетевой ресурс
- Поиск угроз по базе событий
- Поиск событий в режиме конструктора
- Поиск событий в режиме исходного кода
- Конвертация в запрос для поиска событий в режиме исходного кода
- Критерии для поиска событий
- Операторы
- Сортировка событий в таблице
- Изменение условий поиска событий
- Поиск событий по результатам их обработки в приложениях EPP
- Поиск событий по условиям, заданным в файле формата IOC и YAML
- Создание правила TAA (IOA) на основе условий поиска событий
- Информация о событиях
- Рекомендации по обработке событий
- Информация о событиях в дереве событий
- Просмотр таблицы событий
- Настройка отображения таблицы событий
- Просмотр информации о событии
- Информация о событии Запущен процесс
- Информация о событии Завершен процесс
- Информация о событии Загружен модуль
- Информация о событии Удаленное соединение
- Информация о событии Правило запрета
- Информация о событии Заблокирован документ
- Информация о событии Изменен файл
- Информация о событии Журнал событий ОС
- Информация о событии Изменение в реестре
- Информация о событии Прослушан порт
- Информация о событии Загружен драйвер
- Информация о событии DNS
- Информация о событии LDAP
- Информация о событии Именованный канал
- Информация о событии WMI
- Информация о событии Обнаружение
- Информация о событии Результат обработки обнаружения
- Информация о событии Интерпретированный запуск файла
- Информация о событии AMSI-проверка
- Информация о событии Интерактивный ввод команд в консоли
- Информация о событии Внедрение кода
- Информация о событии Доступ к процессу
- Проверка цепочек событий по правилам TAA (IOA) "Лаборатории Касперского"
- Управление активами
- Просмотр таблицы устройств
- Просмотр информации об устройстве
- Автоматическое добавление и обновление устройств
- Добавление устройств вручную
- Автоматическое присвоение статусов устройств
- Автоматическая группировка устройств по заданному критерию
- Распределение устройств по группам вручную
- Перемещение серверов с компонентами и групп в другие группы на карте сетевых взаимодействий
- Дерево групп устройств
- Формирование дерева групп устройств вручную
- Установка и удаление меток для устройств
- Групповое реагирование
- Контроль пользователей на устройствах
- Контроль запусков исполняемых файлов на устройствах
- Задания активных опросов устройств
- Добавление задания активного опроса
- Изменение задания активного опроса
- Просмотр таблицы заданий активных опросов
- Запуск и остановка заданий активных опросов
- Просмотр общих сведений о выполнении запусков заданий активных опросов
- Просмотр отчета о выполнении задания активного опроса
- Удаление заданий активных опросов
- Настройка адресных пространств
- Работа с картой сетевых взаимодействий
- Узлы на карте сетевых взаимодействий
- Группы устройств на карте сетевых взаимодействий
- Соединения на карте сетевых взаимодействий
- Просмотр подробных сведений об объектах
- Изменение масштаба карты сетевых взаимодействий
- Позиционирование карты сетевых взаимодействий
- Закрепление и открепление узлов и групп
- Изменение местоположения узлов и групп вручную
- Автоматическое распределение узлов и групп
- Поиск узлов на карте сетевых взаимодействий
- Фильтрация объектов на карте сетевых взаимодействий
- Сохранение и загрузка параметров отображения карты сетевых взаимодействий
- Добавление нового вида с сохранением текущих параметров отображения карты сетевых взаимодействий
- Обновление вида с сохранением текущих параметров отображения карты сетевых взаимодействий
- Переименование вида карты сетевых взаимодействий
- Удаление вида карты сетевых взаимодействий
- Применение на карте сетевых взаимодействий параметров, сохраненных в виде
- Мониторинг сетевых сеансов
- Контроль рисков
- Настройка типов событий NDR
- Просмотр таблицы типов событий
- Изменение параметров системного типа события
- Настройка автоматического сохранения трафика для системных типов событий
- Настройка передачи событий через коннекторы
- Общие переменные для подстановки значений в Kaspersky Anti Targeted Attack Platform
- Технологии регистрации событий NDR
- Системные типы событий в Kaspersky Anti Targeted Attack Platform
- Настройка типов рисков
- Системные типы событий в Kaspersky Anti Targeted Attack Platform
- Работа с информацией о хостах с компонентом Endpoint Agent
- Просмотр таблицы хостов с компонентом Endpoint Agent
- Настройка отображения таблицы хостов с компонентом Endpoint Agent
- Просмотр информации о хосте
- Фильтрация и поиск хостов с компонентом Endpoint Agent по имени хоста
- Фильтрация и поиск хостов с компонентом Endpoint Agent, изолированных от сети
- Фильтрация и поиск хостов с компонентом Endpoint Agent по именам серверов PCN и SCN
- Фильтрация и поиск хостов с компонентом Endpoint Agent по IP-адресу компьютера
- Фильтрация и поиск хостов с компонентом Endpoint Agent по версии операционной системы на компьютере
- Фильтрация и поиск хостов с компонентом Endpoint Agent по версии компонента
- Фильтрация и поиск хостов с компонентом Endpoint Agent по их активности
- Быстрое создание фильтра хостов с компонентом Endpoint Agent
- Сброс фильтра хостов с компонентом Endpoint Agent
- Удаление хостов с компонентом Endpoint Agent
- Поддерживаемые интерпретаторы и процессы
- Сетевая изоляция хостов с компонентом Endpoint Agent
- Автоматическая отправка файлов с хостов с компонентом Endpoint Agent на проверку в Sandbox по правилам TAA (IOA) "Лаборатории Касперского"
- Выбор операционных систем для проверки объектов в Sandbox
- Работа с задачами
- Просмотр таблицы задач
- Просмотр информации о задаче
- Создание задачи получения файла
- Создание задачи сбора форензики
- Создание задачи получения ключа реестра
- Создание задачи получения метафайлов NTFS
- Создание задачи получения дампа памяти процесса
- Создание задачи получения образа диска
- Создание задачи получения дампа оперативной памяти
- Создание задачи завершения процесса
- Создание задачи проверки хостов с помощью правил YARA
- Создание задачи управления службами
- Создание задачи выполнения приложения
- Создание задачи удаления файла
- Создание задачи помещения файла на карантин
- Создание задачи восстановления файла из карантина
- Создание копии задачи
- Удаление задач
- Фильтрация задач по времени создания
- Фильтрация задач по типу
- Фильтрация задач по имени
- Фильтрация задач по имени и пути к файлу
- Фильтрация задач по описанию
- Фильтрация задач по имени сервера
- Фильтрация задач по имени пользователя, создавшего задачу
- Фильтрация задач по состоянию обработки
- Сброс фильтра задач
- Работа с политиками (правилами запрета)
- Просмотр таблицы правил запрета
- Настройка отображения таблицы правил запрета
- Просмотр правила запрета
- Создание правила запрета
- Импорт правил запрета
- Включение и отключение правила запрета
- Включение и отключение предустановок
- Удаление правил запрета
- Фильтрация правил запрета по имени
- Фильтрация правил запрета по типу
- Фильтрация правил запрета по хешу файла
- Фильтрация правил запрета по имени сервера
- Сброс фильтра правил запрета
- Работа с пользовательскими правилами
- Об использовании индикаторов компрометации (IOC) и атаки (IOA) для поиска угроз
- Работа с пользовательскими правилами TAA (IOA)
- Просмотр таблицы правил TAA (IOA)
- Создание правила TAA (IOA) на основе условий поиска событий
- Импорт правил TAA (IOA)
- Просмотр информации о правиле TAA (IOA)
- Поиск алертов и событий, в которых сработали правила TAA (IOA)
- Фильтрация и поиск правил TAA (IOA)
- Сброс фильтра правил TAA (IOA)
- Включение и отключение использования правил TAA (IOA)
- Изменение правила TAA (IOA)
- Удаление правил TAA (IOA)
- Работа с пользовательскими правилами IOC
- Просмотр таблицы IOC-файлов
- Просмотр информации об IOC-файле
- Загрузка IOC-файла
- Скачивание IOC-файла на компьютер
- Включение и отключение автоматического использования IOC-файла при проверке хостов
- Удаление IOC-файла
- Поиск алертов по результатам IOC-проверки
- Поиск событий по IOC-файлу
- Фильтрация и поиск IOC-файлов
- Сброс фильтра IOC-файлов
- Настройка расписания IOC-проверки
- Работа с пользовательскими правилами обнаружения вторжений
- Работа с пользовательскими правилами YARA
- Работа с объектами в Хранилище и на карантине
- Просмотр таблицы объектов, помещенных в Хранилище
- Просмотр информации об объекте, загруженном в Хранилище через веб-интерфейс
- Просмотр информации об объекте, помещенном в Хранилище по задаче получения файла
- Просмотр информации об объекте, помещенном в Хранилище по задаче получения данных
- Скачивание объектов из Хранилища
- Загрузка объектов в Хранилище
- Отправка объектов из Хранилища на проверку
- Удаление объектов из Хранилища
- Фильтрация объектов в Хранилище по типу объекта
- Фильтрация объектов в Хранилище по описанию объекта
- Фильтрация объектов в Хранилище по результатам проверки
- Фильтрация объектов в Хранилище по имени сервера Central Node, PCN или SCN
- Фильтрация объектов в Хранилище по источнику объекта
- Фильтрация объектов по времени помещения в Хранилище
- Сброс фильтра объектов в Хранилище
- Просмотр таблицы объектов, помещенных на карантин на компьютерах с компонентом Endpoint Agent
- Просмотр информации об объекте на карантине
- Восстановление объекта из карантина
- Получение копии объекта на карантине на сервер Kaspersky Anti Targeted Attack Platform
- Удаление информации об объекте, помещенном на карантин, из таблицы
- Фильтрация информации об объектах, помещенных на карантин, по типу объекта
- Фильтрация информации об объектах, помещенных на карантин, по описанию объекта
- Фильтрация информации об объектах, помещенных на карантин, по имени хоста
- Фильтрация информации об объектах, помещенных на карантин, по времени
- Сброс фильтра информации об объектах на карантине
- Работа с отчетами
- Работа с общими отчетами
- Просмотр таблицы шаблонов и отчетов
- Создание шаблона
- Создание отчета по шаблону
- Просмотр отчета
- Скачивание отчета на локальный компьютер
- Изменение шаблона
- Фильтрация шаблонов по имени
- Фильтрация шаблонов по имени пользователя, создавшего шаблон
- Фильтрация шаблонов по времени создания
- Сброс фильтра шаблонов
- Удаление шаблона
- Фильтрация отчетов по времени создания
- Фильтрация отчетов по имени
- Фильтрация отчетов по имени сервера с компонентом Central Node
- Фильтрация отчетов по имени пользователя, создавшего отчет
- Сброс фильтра отчетов
- Удаление отчета
- Работа с отчетами NDR
- Просмотр таблицы шаблонов отчетов NDR
- Просмотр сведений о шаблоне отчета NDR
- Просмотр таблицы отчетов NDR
- Формирование отчета NDR по шаблону вручную
- Дублирование шаблона отчета NDR
- Изменение шаблона отчета NDR
- Экспорт отчета NDR в файл
- Удаление шаблона отчета NDR
- Удаление отчета NDR
- Отмена формирования отчета NDR
- Управление параметрами хранения файлов отчетов
- Работа с общими отчетами
- Работа с правилами присвоения алертам статуса VIP
- Просмотр таблицы правил присвоения статуса VIP
- Создание правила присвоения статуса VIP
- Удаление правила присвоения статуса VIP
- Изменение правила присвоения статуса VIP
- Импорт списка правил присвоения статуса VIP
- Экспорт списка данных, исключенных из проверки
- Фильтрация и поиск по типу правила присвоения статуса VIP
- Фильтрация и поиск по значению правила присвоения статуса VIP
- Фильтрация и поиск по описанию правила присвоения статуса VIP
- Сброс фильтра правил присвоения статуса VIP
- Работа с разрешающими правилами для событий NDR
- Просмотр таблицы разрешающих правил
- Создание разрешающего правила с изначально пустыми значениями или со значениями из шаблона
- Создание разрешающего правила на основе зарегистрированного события
- Копирование разрешающего правила
- Изменение параметров разрешающего правила
- Включение и выключение разрешающих правил
- Удаление разрешающих правил
- Работа со списком исключений из проверки
- Просмотр таблицы данных, исключенных из проверки
- Добавление правила исключения из проверки
- Удаление правила исключения из проверки
- Изменение правила, добавленного в исключения из проверки
- Экспорт списка данных, исключенных из проверки
- Фильтрация правил в списке исключений из проверки по критерию
- Поиск правил в списке исключений из проверки по значению
- Сброс фильтра правил в списке исключений из проверки
- Работа с исключениями из правил обнаружения вторжений
- Работа с TAA-исключениями
- Работа с ICAP-исключениями
- Просмотр таблицы ICAP-исключений
- Добавление правила в ICAP-исключения
- Удаление правил из ICAP-исключений
- Изменение и выключение правила в списке ICAP-исключений
- Фильтрация правил в списке ICAP-исключений по критерию
- Фильтрация правил в списке ICAP-исключений по значению
- Фильтрация правил в списке ICAP-исключений по состоянию
- Сброс условий фильтрации правил в списке ICAP-исключений
- Работа с зеркалированным трафиком со SPAN-портов
- Создание списка паролей для архивов
- Работа с информацией о серверах с компонентами Central Node и Sensor
- Просмотр параметров сервера
- Просмотр таблицы серверов с компонентом Sandbox
- Просмотр параметров набора операционных систем для проверки объектов в Sandbox
- Просмотр таблицы внешних систем
- Работа с пользовательскими правилами Sandbox
- Просмотр таблицы пользовательских правил Sandbox
- Настройка отображения таблицы правил Sandbox
- Фильтрация и поиск правил Sandbox
- Сброс фильтра правил Sandbox
- Просмотр информации о пользовательском правиле Sandbox
- Создание пользовательского правила Sandbox для проверки файлов
- Создание пользовательского правила Sandbox для проверки URL-адреса
- Копирование пользовательского правила Sandbox
- Импорт пользовательских правил Sandbox для проверки файлов
- Изменение пользовательского правила Sandbox
- Включение и отключение пользовательских правил Sandbox
- Экспорт пользовательских правил Sandbox для проверки файлов
- Удаление пользовательских правил Sandbox
- Список расширений для категорий файлов
- Отправка уведомлений
- Просмотр таблицы правил для отправки уведомлений
- Создание правила для отправки уведомлений об обнаружениях
- Создание правила для отправки уведомлений о работе компонентов приложения
- Включение и отключение правила для отправки уведомлений
- Изменение правила для отправки уведомлений
- Удаление правила для отправки уведомлений
- Фильтрация и поиск правил отправки уведомлений по типу правила
- Фильтрация и поиск правил отправки уведомлений по теме уведомлений
- Фильтрация и поиск правил отправки уведомлений по адресу электронной почты
- Фильтрация и поиск правил отправки уведомлений по их состоянию
- Сброс фильтра правил отправки уведомлений
- Управление журналами
- Просмотр сообщений приложения
- Просмотр информации о файлах, поступавших на проверку в Kaspersky Anti Targeted Attack Platform
- Управление приложением Kaspersky Endpoint Agent для Windows
- Управление приложением Kaspersky Endpoint Security для Windows
- Управление приложением Kaspersky Endpoint Security для Linux
- Управление приложением Kaspersky Endpoint Security для Mac
- Резервное копирование и восстановление данных
- Обновление Kaspersky Anti Targeted Attack Platform
- Обновление Central Node, установленного на сервере, с версии 6.1 до 7.0.3
- Обновление Central Node, установленного в виде кластера, с версии 6.1 до версии 7.0.3
- Подготовка к установке обновления в режиме распределенного решения и мультитенантности
- Обновление Sensor, установленного на отдельном сервере
- Состав и объем данных, сохраняемых при обновлении приложения Kaspersky Anti Targeted Attack Platform
- Обновление Kaspersky Anti Targeted Attack Platform с версии 7.0 до версии 7.0.1
- Обновление Kaspersky Anti Targeted Attack Platform с версии 7.0.1 до версии 7.0.3
- Использование Kaspersky Anti Targeted Attack Platform API KATA и KEDR
- Интеграция внешней системы с Kaspersky Anti Targeted Attack Platform
- API для проверки объектов внешних систем
- API для получения внешними системами информации об алертах
- API для получения внешними системами информации о событиях приложения
- API для управления действиями по реагированию на угрозы
- Использование Kaspersky Anti Targeted Attack Platform API NDR
- Источники информации о приложении
- Обращение в Службу технической поддержки
- Глоссарий
- Advanced persistent threat (APT)
- Anti-Malware Engine
- Backdoor-программа
- Central Node
- CSRF-атака
- End User License Agreement
- ICAP-данные
- ICAP-клиент
- Intrusion Detection System
- IOA
- IOC
- IOC-файл
- Kaspersky Anti Targeted Attack Platform
- Kaspersky Private Security Network
- Kaspersky Secure Mail Gateway
- Kaspersky Security Network (KSN)
- Kaspersky Threat Intelligence Portal
- KATA
- KEDR
- Kerberos-аутентификация
- Keytab-файл
- MIB (Management Information Base)
- MITM-атака
- NTP-сервер
- OpenIOC
- Sandbox
- Sensor
- SIEM-система
- SPAN
- Syslog
- Targeted Attack Analyzer
- TLS-шифрование
- YARA
- Алерт
- Альтернативный поток данных
- Атака "нулевого дня"
- Вредоносные веб-адреса
- Дамп
- Зеркалированный трафик
- Имя субъекта-службы (SPN)
- Компонент Endpoint Agent
- Локальная репутационная база KPSN
- Мультитенантность
- Обнаружение
- Правила YARA
- Правило TAA (IOA)
- Пропускная способность канала связи
- Распределенное решение
- Сигнатура
- Статус VIP
- Тенант
- Техника MITRE
- Трассировка
- Угрозы нового поколения
- Уязвимость "нулевого дня"
- Фишинговые URL-адреса
- Целевая атака
- Информация о стороннем коде
- Уведомления о товарных знаках
About widgets and layouts
You can use widgets to monitor application operation.
A layout is the appearance of the workspace of the application web interface window in the Dashboard section. You can add, delete, and move widgets in the layout, as well as configure the scale of widgets.
If you are using the
and , this section displays information for the selected tenant. NDR widgets display information only for the current or selected node.By default, this section displays information only on alerts that were not processed by users. To also display information on processed alerts, enable the Show closed alerts toggle switch in the upper-right corner of the window.
The Dashboard section displays the following widgets:
- Alerts:
- Alerts by status. Displays the alert status depending on the Kaspersky Anti Targeted Attack Platform user processing the alert and on whether or not this alert has been processed.
- Alerts by technology. Displays the names of the application modules or components that generated the alert.
- Alerts by attack vector. Displays detected objects based on the vector of the attack.
- VIP alerts by importance. Displays the importance of alerts with VIP status depending on the impact that these alerts may have on the security of computers or the corporate LAN based on Kaspersky experience.
- Alerts by importance. Displays the importance of alerts for users of the Kaspersky Anti Targeted Attack Platform depending on the impact that these alerts may have on the security of computers or the corporate LAN based on Kaspersky experience.
The left part of each widget displays attack vectors, alert importance levels, alert states, and scanning technologies that generated the alerts. The right part of each widget displays the number of times the alerts were triggered during the selected period for data display in widgets.
Clicking the link with the name of the attack vector, alert importance level, alert state, and the scanning technology that generated the alert takes you to the Alerts section of the application web interface where you can view related alerts. Alerts are filtered based on the selected element.
- Top 10:
- Domains. 10 domains most frequently seen in alerts.
- IP addresses. 10 IP addresses most frequently seen in alerts.
- Sender's email addresses. 10 email senders most frequently seen in alerts.
- Recipient's email addresses. 10 email recipients most frequently seen in alerts.
- TAA hosts. 10 hosts that occur most frequently in events and alerts generated by the Targeted Attack Analyzer (TAA) technology.
- TAA rules. 10 TAA (IOA) rules that occur most frequently in events and alerts generated by the Targeted Attack Analyzer (TAA) technology.
- Sent to Sandbox by TAA rules. 10 TAA (IOA) rules that most frequently cause Kaspersky Anti Targeted Attack Platform to send files for scanning by the Sandbox component.
The left part of each widget lists the domains, email addresses of recipients, IP addresses and email addresses of message senders, host names, and TAA (IOA) rule names. The right part of each widget displays the number of times the alerts were triggered during the selected period for data display in widgets.
By clicking the link with the name of each domain, recipient address, IP address, and message sender address, you can go to the Alerts section of the application web interface and view related alerts.
Click the link with the host name and the name of the TAA (IOA) rule to go to the Events section of the application web interface and view related events.
Alerts and events are filtered based on the selected element.
- NDR:
- Network traffic event scores. Bar graph of the distribution of events by their scores for the selected period. The bars correspond to integer values of scores. You can change the data display mode to a pie chart with the distribution of events by severity levels. Depending on its score, an event may have a Low (0.0–3.9), Medium (4.0–7.9), or High (8.0–10.0) severity.
- Network traffic events by technology. How many events have been registered by which event registration technology during the selected period.
- Device security status. Distribution of devices by their security states.
- Frequent application users in network traffic events. User names most frequently registered in events based on information from EPP applications for the selected period.
- Frequent applications in network traffic events. Third-party applications most frequently registered in events based on information from EPP applications for the selected period.
- Frequent devices in network traffic events. The most frequently registered devices in events for the selected period.
- Frequent devices by risk count. The most frequently registered devices in detected risks for the selected period.
- Risk scores. Bar graph of the distribution of risks by their scores for the selected period. The bars correspond to integer values of scores. You can change the data display mode to a pie chart with the distribution of risks by severity levels. Depending on its score, a risk may have a Low (0.0–3.9), Medium (4.0–7.9), or High (8.0–10.0) severity.
- Custom widget. You can create widgets with arbitrary content. For example, you can use custom widgets to logically separate groups of widgets in the Dashboard section.
- Devices. Contains information about devices on the network (arranged by device category).
- Network traffic events. Contains information about the NDR events and aggregate events that have the most recent last-seen date and time.
- Situational awareness. Notifications about currently identified threats to system security (for example, Detected 10 unauthorized network interactions). The widget displays notifications in order of their importance.
- Protection by EPP applications. Ratio of the number of computers protected by EPP applications to the number of computers not protected by EPP applications. The total number of protected and unprotected computers is displayed in the center of the pie chart.
A computer is considered protected by an EPP application if Kaspersky Anti Targeted Attack Platform is aware of the following conditions being satisfied:
- An EPP application is installed on the computer.
- The Real-Time Protection task is running for the EPP application.
- The connection of the EPP application to the integration server has the Active status.
A computer is considered unprotected by an EPP application if at least one of the conditions is not satisfied. The check for the lack of EPP application protection is performed for all devices in Kaspersky Anti Targeted Attack Platform that contain the name of the Windows operating system (any version) as the installed operating system, or if the devices belong to one of the following categories:
- Server
- Workstation
For correct information to be displayed in NDR widgets, you must configure the synchronization of date and time between Central Node and Sensor components.
Widgets display only basic information that changes dynamically. If you need to view detailed information (for example, about devices with issues), you can navigate from the Dashboard section to other sections of the application web interface. You can navigate the web interface by clicking widgets.