Kaspersky Anti Targeted Attack Platform
- Справка Kaspersky Anti Targeted Attack Platform
- Kaspersky Anti Targeted Attack Platform
- Что нового
- О Kaspersky Threat Intelligence Portal
- Комплект поставки
- Аппаратные и программные требования
- Совместимость версий Kaspersky Endpoint Agent для Windows с версиями Kaspersky Anti Targeted Attack Platform
- Совместимость версий Kaspersky Endpoint Agent для Windows с приложениями EPP
- Совместимость версий Kaspersky Endpoint Security для Windows с версиями Kaspersky Anti Targeted Attack Platform
- Совместимость версий Kaspersky Endpoint Security для Linux с версиями Kaspersky Anti Targeted Attack Platform
- Совместимость Kaspersky Endpoint Security для Mac с версиями Kaspersky Anti Targeted Attack Platform
- Совместимость версий KUMA с версиями Kaspersky Anti Targeted Attack Platform
- Совместимость версий XDR с версиями Kaspersky Anti Targeted Attack Platform
- Совместимость версий KPSN с версиями Kaspersky Anti Targeted Attack Platform
- Совместимость Kaspersky Anti Targeted Attack Platform с VK Cloud
- Ограничения
- Предоставление данных
- Служебные данные приложения
- Данные компонентов Central Node и Sensor
- Данные компонента Sandbox
- Данные, пересылаемые между компонентами приложения
- Данные в файлах трассировки приложения
- Данные Kaspersky Endpoint Agent для Windows
- Данные Kaspersky Endpoint Security для Windows
- Данные Kaspersky Endpoint Security для Linux
- Данные Kaspersky Endpoint Security для Mac
- Лицензирование приложения
- О Лицензионном соглашении
- О лицензионном сертификате
- О лицензии
- О лицензионном ключе
- О файле ключа
- О коде активации
- О подписке
- Добавление лицензионного ключа
- Замена лицензионного ключа
- Удаление лицензионного ключа
- Просмотр информации о добавленных лицензионных ключах в веб-интерфейсе Central Node
- Просмотр текста Лицензионного соглашения в веб-интерфейсе Central Node
- Просмотр текста Политики конфиденциальности в веб-интерфейсе Central Node
- Просмотр информации о стороннем коде, используемом в приложении
- Просмотр текста Лицензионного соглашения в веб-интерфейсе Sandbox
- Просмотр текста Лицензионного соглашения компонента Endpoint Agent
- Режимы работы приложения в соответствии с лицензией
- Архитектура приложения
- Принцип работы приложения
- Распределенное решение и мультитенантность
- Сценарий перехода в режим распределенного решения и мультитенантности
- Изменения в параметрах приложения при переходе в режим распределенного решения и мультитенантности
- Назначение серверу роли PCN
- Назначение серверу роли SCN
- Просмотр информации о тенантах, серверах PCN и SCN
- Добавление тенанта на сервере PCN
- Удаление тенанта на сервере PCN
- Изменение названия тенанта на сервере PCN
- Отключение SCN от PCN
- Изменения в параметрах приложения при отключении SCN от PCN
- Руководство по масштабированию
- Установка и первоначальная настройка приложения
- Подготовка к установке компонентов приложения
- Подготовка IT-инфраструктуры к установке компонентов приложения
- Подготовка IT-инфраструктуры к интеграции с почтовым сервером для приема сообщений по протоколу POP3
- Подготовка IT-инфраструктуры к интеграции с почтовым сервером для отправки сообщений по протоколу SMTP
- Подготовка виртуальной машины к установке компонента Sandbox
- Подготовка установочного образа диска с компонентами Central Node, Sensor и Sandbox
- Порядок установки и настройки компонентов приложения
- Установка компонента Sandbox
- Шаг 1. Просмотр Лицензионного соглашения и Политики конфиденциальности
- Шаг 2. Выбор диска для установки компонента Sandbox
- Шаг 3. Назначение имени хоста
- Шаг 4. Выбор управляющего сетевого интерфейса в списке
- Шаг 5. Назначение адреса и маски сети управляющего интерфейса
- Шаг 6. Добавление адресов DNS-серверов
- Шаг 7. Настройка статического сетевого маршрута
- Шаг 8. Настройка минимальной длины пароля администратора Sandbox
- Шаг 9. Создание учетной записи администратора Sandbox
- Развертывание компонента Central Node со встроенным Sensor в виде кластера
- Развертывание сервера хранения данных
- Шаг 1. Просмотр Лицензионного соглашения и Политики конфиденциальности
- Шаг 2. Выбор роли сервера
- Шаг 3. Выбор режима развертывания
- Шаг 4. Выбор диска для установки компонента
- Шаг 5. Выбор маски сети для адресации серверов
- Шаг 6. Выбор маски сети для адресации компонентов приложения
- Шаг 7. Выбор кластерного сетевого интерфейса
- Шаг 8. Выбор внешнего сетевого интерфейса
- Шаг 9. Выбор способа получения IP-адресов для сетевых интерфейсов
- Шаг 10. Создание учетной записи администратора и аутентификация сервера в кластере
- Шаг 11. Добавление адресов DNS-серверов
- Шаг 12. Настройка синхронизации времени с NTP-сервером
- Шаг 13. Выбор дисков для Ceph-хранилища
- Развертывание обрабатывающего сервера
- Шаг 1. Просмотр Лицензионного соглашения и Политики конфиденциальности
- Шаг 2. Выбор роли сервера
- Шаг 3. Выбор диска для установки компонента
- Шаг 4. Выбор маски сети для адресации серверов кластера
- Шаг 5. Выбор маски сети для адресации компонентов приложения
- Шаг 6. Выбор кластерного сетевого интерфейса
- Шаг 7. Выбор внешнего сетевого интерфейса
- Шаг 8. Выбор способа получения IP-адресов для сетевых интерфейсов
- Шаг 9. Аутентификация сервера в кластере
- Шаг 10. Выбор языка локализации функциональности NDR и настройка получения зеркалированного трафика со SPAN-портов
- Очистка жестких дисков на серверах хранения
- Развертывание сервера хранения данных
- Установка компонента Central Node со встроенным Sensor на сервере
- Шаг 1. Просмотр Лицензионного соглашения и Политики конфиденциальности
- Шаг 2. Выбор роли сервера
- Шаг 3. Выбор диска для установки компонента
- Шаг 4. Выделение диска для базы данных компонента Targeted Attack Analyzer
- Шаг 5. Выбор маски сети для адресации серверов
- Шаг 6. Выбор маски сети для адресации компонентов приложения
- Шаг 7. Выбор внешнего сетевого интерфейса
- Шаг 8. Выбор способа получения IP-адресов для сетевых интерфейсов
- Шаг 9. Создание учетной записи администратора
- Шаг 10. Выбор языка локализации функционала NDR
- Шаг 11. Добавление адресов DNS-серверов
- Шаг 12. Настройка синхронизации времени с NTP-сервером
- Шаг 13. Настройка получения зеркалированного трафика со SPAN-портов
- Установка компонента Sensor на отдельном сервере
- Шаг 1. Просмотр Лицензионного соглашения и Политики конфиденциальности
- Шаг 2. Выбор роли сервера
- Шаг 3. Выбор диска для установки компонента
- Шаг 4. Выбор маски сети для адресации серверов
- Шаг 5. Выбор маски сети для адресации компонентов приложения
- Шаг 6. Выбор внешнего сетевого интерфейса
- Шаг 7. Выбор способа получения IP-адресов для сетевых интерфейсов
- Шаг 8. Создание учетной записи администратора
- Шаг 9. Добавление адресов DNS-серверов
- Шаг 10. Настройка синхронизации времени с NTP-сервером
- Шаг 11. Настройка получения зеркалированного трафика со SPAN-портов
- Оптимизация настроек сетевых интерфейсов для компонента Sensor
- Подключение и настройка внешнего хранилища для компонента Sensor
- Подготовка к установке компонентов приложения
- Настройка параметров масштабирования приложения
- Настройка правил сетевого экрана
- Порты, используемые на компьютерах с установленными компонентами Kaspersky Anti Targeted Attack Platform
- Порты, используемые сервисами Kaspersky Anti Targeted Attack Platform в кластерной конфигурации
- Порты, используемые сервисами Central Node, установленным на сервере
- Порты, используемые сервисами в конфигурации с компонентом Sensor, установленным на отдельном сервере
- Порты для взаимодействия между сервисами анализа трафика сети
- Настройка интеграции компонента Endpoint Agent с функциональным блоком KEDR
- Настройка доверенного соединения с приложением Kaspersky Endpoint Agent
- Настройка проверки TLS-сертификата Kaspersky Endpoint Agent сервером Central Node и загрузка криптоконтейнера в Kaspersky Endpoint Agent
- Загрузка TLS-сертификата сервера Central Node или Sensor в Kaspersky Endpoint Agent
- Настройка интеграции и доверенного соединения с Kaspersky Anti Targeted Attack Platform на стороне Kaspersky Endpoint Agent
- Настройка доверенного соединения с приложением Kaspersky Endpoint Security
- Скачивание TLS-сертификата сервера Central Node на компьютер
- Генерация TLS-сертификата сервера Central Node в веб-интерфейсе Kaspersky Anti Targeted Attack Platform
- Загрузка самостоятельно подготовленного TLS-сертификата сервера Central Node через веб-интерфейс Kaspersky Anti Targeted Attack Platform
- Включение проверки TLS-сертификата компонента Endpoint Agent в веб-интерфейсе Kaspersky Anti Targeted Attack Platform
- Генерация TLS-сертификата компонента Endpoint Agent в веб-интерфейсе Kaspersky Anti Targeted Attack Platform и скачивание криптоконтейнера
- Загрузка самостоятельно подготовленного TLS-сертификата компонента Endpoint Agent через веб-интерфейс Kaspersky Anti Targeted Attack Platform
- Просмотр таблицы TLS-сертификатов компонента Endpoint Agent в веб-интерфейсе Kaspersky Anti Targeted Attack Platform
- Фильтрация и поиск TLS-сертификатов компонента Endpoint Agent в веб-интерфейсе Kaspersky Anti Targeted Attack Platform
- Удаление TLS-сертификатов компонента Endpoint Agent в веб-интерфейсе Kaspersky Anti Targeted Attack Platform
- Настройка перенаправления трафика от компонента Endpoint Agent на сервер Sensor
- Настройка доверенного соединения с приложением Kaspersky Endpoint Agent
- Настройка интеграции компонента Endpoint Agent с функциональным блоком NDR
- Начало работы с приложением
- Управление учетными записями администраторов и пользователей приложения
- Создание учетной записи администратора веб-интерфейса приложения
- Создание учетной записи пользователя веб-интерфейса приложения
- Настройка отображения таблицы учетных записей пользователей
- Просмотр таблицы учетных записей пользователей
- Фильтрация учетных записей
- Сброс фильтра учетных записей
- Изменение прав доступа учетной записи пользователя веб-интерфейса приложения
- Включение и отключение учетной записи администратора или пользователя веб-интерфейса приложения
- Изменение пароля учетной записи администратора или пользователя приложения
- Изменение пароля своей учетной записи
- Аутентификация с помощью доменных учетных записей
- Участие в Kaspersky Security Network и использование Kaspersky Private Security Network
- Работа с компонентом Sandbox через веб-интерфейс
- Обновление баз компонента Sandbox
- Настройка соединения компонентов Sandbox и Central Node
- Настройка сетевых интерфейсов компонента Sandbox
- Установка даты и времени системы Sandbox
- Установка и настройка образов операционных систем и приложений для работы компонента Sandbox
- Работа с образами операционных систем и приложений в Хранилище Sandbox
- Работа с шаблонами виртуальных машин
- Управление виртуальными машинами
- Установка максимального количества одновременно запускаемых виртуальных машин
- Изменение количества лицензионных ключей для виртуальной машины с пользовательским образом операционной системы
- Загрузка журнала системы Sandbox на жесткий диск
- Экспорт параметров Sandbox
- Импорт параметров Sandbox
- Перезагрузка сервера Sandbox
- Выключение сервера Sandbox
- Изменение пароля учетной записи администратора Sandbox
- Администратору: работа в веб-интерфейсе приложения
- Интерфейс Kaspersky Anti Targeted Attack Platform
- Мониторинг работы приложения
- О виджетах и схемах расположения виджетов
- Выбор тенанта и сервера для работы в разделе Мониторинг
- Добавление виджета на текущую схему расположения виджетов
- Перемещение виджета на текущей схеме расположения виджетов
- Изменение отображения данных в виджетах NDR
- Удаление виджета с текущей схемы расположения виджетов
- Сохранение схемы расположения виджетов в PDF
- Настройка периода отображения данных на виджетах
- Мониторинг приема и обработки входящих данных
- Мониторинг очередей обработки данных модулями и компонентами приложения
- Мониторинг обработки данных компонентом Sandbox
- Просмотр состояния работоспособности модулей и компонентов приложения
- Работа с информацией о серверах с компонентами Central Node и Sensor
- Управление серверами Central Node, PCN или SCN с помощью веб-интерфейса приложения
- Изменение имени сервера
- Настройка даты и времени сервера
- Генерация или загрузка TLS-сертификата сервера
- Скачивание TLS-сертификата сервера на компьютер
- Назначение DNS-имени сервера
- Настройка параметров DNS
- Настройка параметров сетевого интерфейса
- Настройка сетевого маршрута для использования по умолчанию
- Настройка параметров соединения с прокси-сервером
- Настройка параметров соединения с почтовым сервером
- Управление параметрами сохранения трафика
- Управление параметрами сохранения файлов дампа трафика
- Выбор операционных систем для проверки объектов в Sandbox
- Парольные политики
- Управление компонентом Sensor
- Подключение компонента Sensor к Central Node
- Управление сертификатом компонента Sensor
- Вход в веб-интерфейс компонента Sensor
- Изменение имени сервера
- Управление точками мониторинга
- Настройка максимального размера проверяемого файла
- Настройка записи содержимого HTTP-пакета
- Настройка интеграции с почтовым сервером по протоколу SMTP
- Настройка интеграции с прокси-сервером по протоколу ICAP
- Настройка записи зеркалированного трафика со SPAN-портов
- Настройка интеграции с почтовым сервером по протоколу POP3
- Управление кластером
- Уведомления о максимальной загрузке центрального процессора и оперативной памяти серверов Central Node и Sensor
- Настройка соединения с протоколом SNMP
- Работа с информацией о хостах с компонентом Endpoint Agent
- Выбор тенанта для работы в разделе Endpoint Agents
- Просмотр таблицы хостов c компонентом Endpoint Agent на отдельном сервере Central Node
- Просмотр информации о хосте
- Фильтрация и поиск хостов с компонентом Endpoint Agent по имени хоста
- Фильтрация и поиск хостов с компонентом Endpoint Agent, изолированных от сети
- Фильтрация и поиск хостов с компонентом Endpoint Agent по именам серверов PCN и SCN
- Фильтрация и поиск хостов с компонентом Endpoint Agent по IP-адресу компьютера
- Фильтрация и поиск хостов с компонентом Endpoint Agent по версии операционной системы на компьютере
- Фильтрация и поиск хостов с компонентом Endpoint Agent по версии компонента
- Фильтрация и поиск хостов с компонентом Endpoint Agent по их активности
- Быстрое создание фильтра хостов с компонентом Endpoint Agent
- Сброс фильтра хостов с компонентом Endpoint Agent
- Настройка показателей активности компонента Endpoint Agent
- Удаление хостов с компонентом Endpoint Agent
- Автоматическое удаление неактивных хостов
- Поддерживаемые интерпретаторы и процессы
- Настройка интеграции с компонентом Sandbox
- Ручная отправка файлов с хостов с компонентом Endpoint Agent на проверку в Sandbox
- Настройка интеграции с внешними системами
- Настройка интеграции с Kaspersky Managed Detection and Response
- Настройка интеграции с SIEM-системой
- Обновление сертификата для подключения к Central Node через API
- Управление коннекторами
- Об управляемых и неуправляемых коннекторах
- Об отправке событий, сообщений приложения и записей аудита в сторонние системы
- Об автоматическом управлении сетевым доступом устройств с помощью коннекторов типа Cisco Switch
- Добавление коннектора
- Просмотр таблицы коннекторов
- Включение и выключение коннектора
- Изменение параметров коннектора
- Создание нового файла свертки для коннектора
- Удаление коннектора
- Добавление и удаление типов коннекторов
- Управление секретами с учетными данными для удаленных подключений
- Обновление баз приложения
- Создание списка паролей для архивов
- Настройка интеграции с приложением ArtX TLSproxy
- Сотруднику службы безопасности: работа в веб-интерфейсе приложения
- Интерфейс Kaspersky Anti Targeted Attack Platform
- Выбор тенанта для работы в веб-интерфейсе приложения
- Мониторинг работы приложения
- О виджетах и схемах расположения виджетов
- Добавление виджета на текущую схему расположения виджетов
- Перемещение виджета на текущей схеме расположения виджетов
- Изменение отображения данных в виджетах NDR
- Удаление виджета с текущей схемы расположения виджетов
- Сохранение схемы расположения виджетов в PDF
- Настройка периода отображения данных на виджетах
- Настройка масштаба отображения виджетов
- Основные принципы работы с виджетами типа "Алерты"
- Информация в виджете Устройства
- Информация в виджете События
- Просмотр состояния работоспособности модулей и компонентов приложения
- Управление технологиями
- Просмотр таблицы алертов
- Настройка отображения таблицы алертов
- Фильтрация, сортировка и поиск алертов
- Фильтрация алертов по наличию статуса VIP
- Фильтрация и поиск алертов по времени
- Фильтрация алертов по степени важности
- Фильтрация и поиск алертов по категориям обнаруженных объектов
- Фильтрация и поиск алертов по полученной информации
- Фильтрация и поиск алертов по адресу источника
- Фильтрация и поиск алертов по адресу назначения
- Фильтрация и поиск алертов по имени сервера
- Фильтрация и поиск алертов по названию технологии
- Фильтрация и поиск алертов по состоянию их обработки пользователем
- Фильтрация и поиск алертов по имени пользователя, которыму они назначены
- Сортировка алертов в таблице
- Быстрое создание фильтра алертов
- Сохранение фильтров
- Сброс фильтра алертов
- Рекомендации по обработке алертов
- Просмотр алертов
- Просмотр информации об алерте
- Общая информация об алерте любого типа
- Информация в блоке Информация об объекте
- Информация в блоке Детали алерта
- Информация в блоке Сведения о проверке технологиями NDR
- Информация в блоке Результаты проверки
- Информация в блоке Правило IDS
- Информация в блоке URL
- Информация в блоке IP устройств, связанных с обнаружением
- Информация в блоке Сетевое событие
- Результаты проверки в Sandbox
- Результаты IOC-проверки
- Информация в блоке Хосты
- Информация в блоке Журнал изменений
- Отправка данных об алерте
- Просмотр связей алерта
- Действия пользователей с алертами
- Мониторинг событий в трафике сети
- Оценки и уровни критичности событий NDR
- Технологии регистрации событий NDR
- Статусы событий NDR
- Таблица зарегистрированных событий NDR
- Настройка таблицы зарегистрированных событий
- Просмотр событий, вложенных в агрегирующее событие
- Просмотр подробных данных о событии NDR
- Изменение статусов событий NDR
- Установка меток
- Копирование событий NDR в текстовый редактор
- Загрузка трафика для событий
- Создание директории для экспорта событий на сетевой ресурс
- Поиск угроз по базе событий
- Поиск событий в режиме конструктора
- Поиск событий в режиме исходного кода
- Конвертация в запрос для поиска событий в режиме исходного кода
- Критерии для поиска событий
- Операторы
- Сортировка событий в таблице
- Изменение условий поиска событий
- Поиск событий по результатам их обработки в приложениях EPP
- Поиск событий по условиям, заданным в файле формата IOC и YAML
- Создание правила TAA (IOA) на основе условий поиска событий
- Информация о событиях
- Рекомендации по обработке событий
- Информация о событиях в дереве событий
- Просмотр таблицы событий
- Настройка отображения таблицы событий
- Просмотр информации о событии
- Информация о событии Запущен процесс
- Информация о событии Завершен процесс
- Информация о событии Загружен модуль
- Информация о событии Удаленное соединение
- Информация о событии Правило запрета
- Информация о событии Заблокирован документ
- Информация о событии Изменен файл
- Информация о событии Журнал событий ОС
- Информация о событии Изменение в реестре
- Информация о событии Прослушан порт
- Информация о событии Загружен драйвер
- Информация о событии DNS
- Информация о событии LDAP
- Информация о событии Именованный канал
- Информация о событии WMI
- Информация о событии Обнаружение
- Информация о событии Результат обработки обнаружения
- Информация о событии Интерпретированный запуск файла
- Информация о событии AMSI-проверка
- Информация о событии Интерактивный ввод команд в консоли
- Информация о событии Внедрение кода
- Информация о событии Доступ к процессу
- Проверка цепочек событий по правилам TAA (IOA) "Лаборатории Касперского"
- Управление активами
- Просмотр таблицы устройств
- Просмотр информации об устройстве
- Автоматическое добавление и обновление устройств
- Добавление устройств вручную
- Автоматическое присвоение статусов устройств
- Автоматическая группировка устройств по заданному критерию
- Распределение устройств по группам вручную
- Перемещение серверов с компонентами и групп в другие группы на карте сетевых взаимодействий
- Дерево групп устройств
- Формирование дерева групп устройств вручную
- Установка и удаление меток для устройств
- Групповое реагирование
- Контроль пользователей на устройствах
- Контроль запусков исполняемых файлов на устройствах
- Задания активных опросов устройств
- Добавление задания активного опроса
- Изменение задания активного опроса
- Просмотр таблицы заданий активных опросов
- Запуск и остановка заданий активных опросов
- Просмотр общих сведений о выполнении запусков заданий активных опросов
- Просмотр отчета о выполнении задания активного опроса
- Удаление заданий активных опросов
- Настройка адресных пространств
- Работа с картой сетевых взаимодействий
- Узлы на карте сетевых взаимодействий
- Группы устройств на карте сетевых взаимодействий
- Соединения на карте сетевых взаимодействий
- Просмотр подробных сведений об объектах
- Изменение масштаба карты сетевых взаимодействий
- Позиционирование карты сетевых взаимодействий
- Закрепление и открепление узлов и групп
- Изменение местоположения узлов и групп вручную
- Автоматическое распределение узлов и групп
- Поиск узлов на карте сетевых взаимодействий
- Фильтрация объектов на карте сетевых взаимодействий
- Сохранение и загрузка параметров отображения карты сетевых взаимодействий
- Добавление нового вида с сохранением текущих параметров отображения карты сетевых взаимодействий
- Обновление вида с сохранением текущих параметров отображения карты сетевых взаимодействий
- Переименование вида карты сетевых взаимодействий
- Удаление вида карты сетевых взаимодействий
- Применение на карте сетевых взаимодействий параметров, сохраненных в виде
- Мониторинг сетевых сеансов
- Контроль рисков
- Настройка типов событий NDR
- Просмотр таблицы типов событий
- Изменение параметров системного типа события
- Настройка автоматического сохранения трафика для системных типов событий
- Настройка передачи событий через коннекторы
- Общие переменные для подстановки значений в Kaspersky Anti Targeted Attack Platform
- Технологии регистрации событий NDR
- Системные типы событий в Kaspersky Anti Targeted Attack Platform
- Настройка типов рисков
- Системные типы событий в Kaspersky Anti Targeted Attack Platform
- Работа с информацией о хостах с компонентом Endpoint Agent
- Просмотр таблицы хостов с компонентом Endpoint Agent
- Настройка отображения таблицы хостов с компонентом Endpoint Agent
- Просмотр информации о хосте
- Фильтрация и поиск хостов с компонентом Endpoint Agent по имени хоста
- Фильтрация и поиск хостов с компонентом Endpoint Agent, изолированных от сети
- Фильтрация и поиск хостов с компонентом Endpoint Agent по именам серверов PCN и SCN
- Фильтрация и поиск хостов с компонентом Endpoint Agent по IP-адресу компьютера
- Фильтрация и поиск хостов с компонентом Endpoint Agent по версии операционной системы на компьютере
- Фильтрация и поиск хостов с компонентом Endpoint Agent по версии компонента
- Фильтрация и поиск хостов с компонентом Endpoint Agent по их активности
- Быстрое создание фильтра хостов с компонентом Endpoint Agent
- Сброс фильтра хостов с компонентом Endpoint Agent
- Удаление хостов с компонентом Endpoint Agent
- Настройка показателей активности компонента Endpoint Agent
- Поддерживаемые интерпретаторы и процессы
- Сетевая изоляция хостов с компонентом Endpoint Agent
- Автоматическая отправка файлов с хостов с компонентом Endpoint Agent на проверку в Sandbox по правилам TAA (IOA) "Лаборатории Касперского"
- Выбор операционных систем для проверки объектов в Sandbox
- Работа с задачами
- Просмотр таблицы задач
- Просмотр информации о задаче
- Создание задачи получения файла
- Создание задачи сбора форензики
- Создание задачи получения ключа реестра
- Создание задачи получения метафайлов NTFS
- Создание задачи получения дампа памяти процесса
- Создание задачи получения образа диска
- Создание задачи получения дампа оперативной памяти
- Создание задачи завершения процесса
- Создание задачи проверки хостов с помощью правил YARA
- Создание задачи управления службами
- Создание задачи выполнения приложения
- Создание задачи удаления файла
- Создание задачи помещения файла на карантин
- Создание задачи восстановления файла из карантина
- Создание копии задачи
- Удаление задач
- Фильтрация задач по времени создания
- Фильтрация задач по типу
- Фильтрация задач по имени
- Фильтрация задач по имени и пути к файлу
- Фильтрация задач по описанию
- Фильтрация задач по имени сервера
- Фильтрация задач по имени пользователя, создавшего задачу
- Фильтрация задач по состоянию обработки
- Сброс фильтра задач
- Работа с политиками (правилами запрета)
- Просмотр таблицы правил запрета
- Настройка отображения таблицы правил запрета
- Просмотр правила запрета
- Создание правила запрета
- Импорт правил запрета
- Включение и отключение правила запрета
- Включение и отключение предустановок
- Удаление правил запрета
- Фильтрация правил запрета по имени
- Фильтрация правил запрета по типу
- Фильтрация правил запрета по хешу файла
- Фильтрация правил запрета по имени сервера
- Сброс фильтра правил запрета
- Работа с пользовательскими правилами
- Об использовании индикаторов компрометации (IOC) и атаки (IOA) для поиска угроз
- Работа с пользовательскими правилами TAA (IOA)
- Просмотр таблицы правил TAA (IOA)
- Создание правила TAA (IOA) на основе условий поиска событий
- Импорт правил TAA (IOA)
- Просмотр информации о правиле TAA (IOA)
- Поиск алертов и событий, в которых сработали правила TAA (IOA)
- Фильтрация и поиск правил TAA (IOA)
- Сброс фильтра правил TAA (IOA)
- Включение и отключение использования правил TAA (IOA)
- Изменение правила TAA (IOA)
- Удаление правил TAA (IOA)
- Работа с пользовательскими правилами IOC
- Просмотр таблицы IOC-файлов
- Просмотр информации об IOC-файле
- Загрузка IOC-файла
- Скачивание IOC-файла на компьютер
- Включение и отключение автоматического использования IOC-файла при проверке хостов
- Удаление IOC-файла
- Поиск алертов по результатам IOC-проверки
- Поиск событий по IOC-файлу
- Фильтрация и поиск IOC-файлов
- Сброс фильтра IOC-файлов
- Настройка расписания IOC-проверки
- Работа с пользовательскими правилами обнаружения вторжений
- Работа с пользовательскими правилами YARA
- Работа с объектами в Хранилище и на карантине
- Просмотр таблицы объектов, помещенных в Хранилище
- Просмотр информации об объекте, загруженном в Хранилище через веб-интерфейс
- Просмотр информации об объекте, помещенном в Хранилище по задаче получения файла
- Просмотр информации об объекте, помещенном в Хранилище по задаче получения данных
- Скачивание объектов из Хранилища
- Загрузка объектов в Хранилище
- Отправка объектов из Хранилища на проверку
- Удаление объектов из Хранилища
- Фильтрация объектов в Хранилище по типу объекта
- Фильтрация объектов в Хранилище по описанию объекта
- Фильтрация объектов в Хранилище по результатам проверки
- Фильтрация объектов в Хранилище по имени сервера Central Node, PCN или SCN
- Фильтрация объектов в Хранилище по источнику объекта
- Фильтрация объектов по времени помещения в Хранилище
- Сброс фильтра объектов в Хранилище
- Просмотр таблицы объектов, помещенных на карантин на компьютерах с компонентом Endpoint Agent
- Просмотр информации об объекте на карантине
- Восстановление объекта из карантина
- Получение копии объекта на карантине на сервер Kaspersky Anti Targeted Attack Platform
- Удаление информации об объекте, помещенном на карантин, из таблицы
- Фильтрация информации об объектах, помещенных на карантин, по типу объекта
- Фильтрация информации об объектах, помещенных на карантин, по описанию объекта
- Фильтрация информации об объектах, помещенных на карантин, по имени хоста
- Фильтрация информации об объектах, помещенных на карантин, по времени
- Сброс фильтра информации об объектах на карантине
- Работа с отчетами
- Работа с общими отчетами
- Просмотр таблицы шаблонов и отчетов
- Создание шаблона
- Создание отчета по шаблону
- Просмотр отчета
- Скачивание отчета на локальный компьютер
- Изменение шаблона
- Фильтрация шаблонов по имени
- Фильтрация шаблонов по имени пользователя, создавшего шаблон
- Фильтрация шаблонов по времени создания
- Сброс фильтра шаблонов
- Удаление шаблона
- Фильтрация отчетов по времени создания
- Фильтрация отчетов по имени
- Фильтрация отчетов по имени сервера с компонентом Central Node
- Фильтрация отчетов по имени пользователя, создавшего отчет
- Сброс фильтра отчетов
- Удаление отчета
- Работа с отчетами NDR
- Просмотр таблицы шаблонов отчетов NDR
- Просмотр сведений о шаблоне отчета NDR
- Просмотр таблицы отчетов NDR
- Формирование отчета NDR по шаблону вручную
- Дублирование шаблона отчета NDR
- Изменение шаблона отчета NDR
- Экспорт отчета NDR в файл
- Удаление шаблона отчета NDR
- Удаление отчета NDR
- Отмена формирования отчета NDR
- Управление параметрами хранения файлов отчетов
- Работа с общими отчетами
- Работа с правилами присвоения алертам статуса VIP
- Просмотр таблицы правил присвоения статуса VIP
- Создание правила присвоения статуса VIP
- Удаление правила присвоения статуса VIP
- Изменение правила присвоения статуса VIP
- Импорт списка правил присвоения статуса VIP
- Экспорт списка данных, исключенных из проверки
- Фильтрация и поиск по типу правила присвоения статуса VIP
- Фильтрация и поиск по значению правила присвоения статуса VIP
- Фильтрация и поиск по описанию правила присвоения статуса VIP
- Сброс фильтра правил присвоения статуса VIP
- Работа с разрешающими правилами для событий NDR
- Просмотр таблицы разрешающих правил
- Создание разрешающего правила с изначально пустыми значениями или со значениями из шаблона
- Создание разрешающего правила на основе зарегистрированного события
- Копирование разрешающего правила
- Изменение параметров разрешающего правила
- Включение и выключение разрешающих правил
- Удаление разрешающих правил
- Работа со списком исключений из проверки
- Просмотр таблицы данных, исключенных из проверки
- Добавление правила исключения из проверки
- Удаление правила исключения из проверки
- Изменение правила, добавленного в исключения из проверки
- Экспорт списка данных, исключенных из проверки
- Фильтрация правил в списке исключений из проверки по критерию
- Поиск правил в списке исключений из проверки по значению
- Сброс фильтра правил в списке исключений из проверки
- Работа с исключениями из правил обнаружения вторжений
- Работа с TAA-исключениями
- Работа с ICAP-исключениями
- Просмотр таблицы ICAP-исключений
- Добавление правила в ICAP-исключения
- Удаление правил из ICAP-исключений
- Изменение и выключение правила в списке ICAP-исключений
- Фильтрация правил в списке ICAP-исключений по критерию
- Фильтрация правил в списке ICAP-исключений по значению
- Фильтрация правил в списке ICAP-исключений по состоянию
- Сброс условий фильтрации правил в списке ICAP-исключений
- Работа с зеркалированным трафиком со SPAN-портов
- Создание списка паролей для архивов
- Работа с информацией о серверах с компонентами Central Node и Sensor
- Просмотр параметров сервера
- Просмотр таблицы серверов с компонентом Sandbox
- Просмотр параметров набора операционных систем для проверки объектов в Sandbox
- Просмотр таблицы внешних систем
- Работа с пользовательскими правилами Sandbox
- Просмотр таблицы пользовательских правил Sandbox
- Настройка отображения таблицы правил Sandbox
- Фильтрация и поиск правил Sandbox
- Сброс фильтра правил Sandbox
- Просмотр информации о пользовательском правиле Sandbox
- Создание пользовательского правила Sandbox для проверки файлов
- Создание пользовательского правила Sandbox для проверки URL-адреса
- Копирование пользовательского правила Sandbox
- Импорт пользовательских правил Sandbox для проверки файлов
- Изменение пользовательского правила Sandbox
- Включение и отключение пользовательских правил Sandbox
- Экспорт пользовательских правил Sandbox для проверки файлов
- Удаление пользовательских правил Sandbox
- Список расширений для категорий файлов
- Отправка уведомлений
- Просмотр таблицы правил для отправки уведомлений
- Создание правила для отправки уведомлений об обнаружениях
- Создание правила для отправки уведомлений о работе компонентов приложения
- Включение и отключение правила для отправки уведомлений
- Изменение правила для отправки уведомлений
- Удаление правила для отправки уведомлений
- Фильтрация и поиск правил отправки уведомлений по типу правила
- Фильтрация и поиск правил отправки уведомлений по теме уведомлений
- Фильтрация и поиск правил отправки уведомлений по адресу электронной почты
- Фильтрация и поиск правил отправки уведомлений по их состоянию
- Сброс фильтра правил отправки уведомлений
- Управление журналами
- Просмотр сообщений приложения
- Просмотр информации о файлах, поступавших на проверку в Kaspersky Anti Targeted Attack Platform
- Управление приложением Kaspersky Endpoint Agent для Windows
- Управление приложением Kaspersky Endpoint Security для Windows
- Управление приложением Kaspersky Endpoint Security для Linux
- Управление приложением Kaspersky Endpoint Security для Mac
- Резервное копирование и восстановление данных
- Обновление Kaspersky Anti Targeted Attack Platform
- Обновление Central Node, установленного на сервере, с версии 6.1 до 7.0.3
- Обновление Central Node, установленного в виде кластера, с версии 6.1 до версии 7.0.3
- Подготовка к установке обновления в режиме распределенного решения и мультитенантности
- Обновление Sensor, установленного на отдельном сервере
- Состав и объем данных, сохраняемых при обновлении приложения Kaspersky Anti Targeted Attack Platform
- Обновление Kaspersky Anti Targeted Attack Platform с версии 7.0 до версии 7.0.1
- Обновление Kaspersky Anti Targeted Attack Platform с версии 7.0.1 до версии 7.0.3
- Использование Kaspersky Anti Targeted Attack Platform API KATA и KEDR
- Интеграция внешней системы с Kaspersky Anti Targeted Attack Platform
- API для проверки объектов внешних систем
- API для получения внешними системами информации об алертах
- API для получения внешними системами информации о событиях приложения
- API для управления действиями по реагированию на угрозы
- Использование Kaspersky Anti Targeted Attack Platform API NDR
- Источники информации о приложении
- Обращение в Службу технической поддержки
- Глоссарий
- Advanced persistent threat (APT)
- Anti-Malware Engine
- Backdoor-программа
- Central Node
- CSRF-атака
- End User License Agreement
- ICAP-данные
- ICAP-клиент
- Intrusion Detection System
- IOA
- IOC
- IOC-файл
- Kaspersky Anti Targeted Attack Platform
- Kaspersky Private Security Network
- Kaspersky Secure Mail Gateway
- Kaspersky Security Network (KSN)
- Kaspersky Threat Intelligence Portal
- KATA
- KEDR
- Kerberos-аутентификация
- Keytab-файл
- MIB (Management Information Base)
- MITM-атака
- NTP-сервер
- OpenIOC
- Sandbox
- Sensor
- SIEM-система
- SPAN
- Syslog
- Targeted Attack Analyzer
- TLS-шифрование
- YARA
- Алерт
- Альтернативный поток данных
- Атака "нулевого дня"
- Вредоносные веб-адреса
- Дамп
- Зеркалированный трафик
- Имя субъекта-службы (SPN)
- Компонент Endpoint Agent
- Локальная репутационная база KPSN
- Мультитенантность
- Обнаружение
- Правила YARA
- Правило TAA (IOA)
- Пропускная способность канала связи
- Распределенное решение
- Сигнатура
- Статус VIP
- Тенант
- Техника MITRE
- Трассировка
- Угрозы нового поколения
- Уязвимость "нулевого дня"
- Фишинговые URL-адреса
- Целевая атака
- Информация о стороннем коде
- Уведомления о товарных знаках
Сотруднику службы безопасности: работа в веб-интерфейсе приложения > Работа с пользовательскими правилами > Работа с пользовательскими правилами обнаружения вторжений
Работа с пользовательскими правилами обнаружения вторжений
Работа с пользовательскими правилами обнаружения вторжений
Для обнаружения вторжений в трафике сети вы можете использовать правила обнаружения вторжений и дополнительные методы обнаружения вторжений по встроенным алгоритмам. При обнаружении в трафике признаков атак Kaspersky Anti Targeted Attack Platform регистрирует события по технологии Обнаружение вторжений.
Для работы с пользовательскими правилами обнаружения вторжений требуется действующий лицензионный ключ KATA или KATA + NDR.
Правило обнаружения вторжений описывает аномалию трафика, которая может быть признаком атаки в сети. Правила содержат условия, по которым система обнаружения вторжений анализирует трафик.
Приложение применяет правила обнаружения вторжений, если включен метод обнаружения вторжений по правилам. Вы можете включать и выключать применение метода.
Вы можете использовать следующие типы наборов правил:
- Системные наборы правил. Эти наборы правил поставляются "Лабораторией Касперского" и предназначены для обнаружения признаков наиболее часто встречающихся атак или нежелательной сетевой активности. Системные наборы правил доступны сразу после установки приложения. Вы можете обновлять системные наборы правил, устанавливая обновления.
- Пользовательские наборы правил. Эти наборы правил вы самостоятельно загружаете в приложение. Для загрузки нужно использовать файлы, в которых содержатся структуры данных, задающие правила обнаружения вторжений. Файлы для загрузки должны находиться в одной директории и иметь расширение rules. Имена пользовательских наборов правил совпадают с именами файлов, из которых были загружены эти наборы правил.
Пользовательские наборы правил обнаружения вторжений отображаются в разделе Пользовательские правила → Обнаружение вторжений.
Приложение поддерживает применение не более чем 50 000 правил суммарно во всех загруженных наборах правил. Ограничение количества загруженных наборов правил – не более 100.
Правила, загружаемые из пользовательских наборов правил, могут содержать такие условия для анализа трафика, по которым приложение будет регистрировать слишком большое количество событий срабатывания этих правил. В этом случае вам нужно учитывать, что регистрация слишком большого количества событий может повлиять на производительность системы обнаружения вторжений.
Наборы правил обнаружения вторжений могут быть включены или выключены. Правила из включенного набора применяются при анализе трафика, если включен метод обнаружения вторжений по правилам. Если набор правил выключен, правила из этого набора не применяются.
При загрузке набора правил приложение выполняет проверку содержащихся в нем правил. Если в проверяемых правилах обнаружены ошибки, приложение блокирует применение таких правил. Если обнаружены ошибки во всех правилах набора или набор не содержит правил, приложение выключает этот набор правил.
При обнаружении в трафике условий, заданных в правиле из включенного набора, приложение регистрирует событие срабатывания правила. Для регистрации используются системные типы событий, которым присвоены следующие коды:
- 4000003000 – для события при срабатывании правила из системного набора правил;
- 4000003001 – для события при срабатывании правила из пользовательского набора правил.
Пользовательские наборы правил могут содержать правила, полученные из других систем обнаружения и предотвращения вторжений. При обработке таких правил приложение не выполняет заданные в них действия, применяющиеся по отношению к сетевым пакетам (например, действия drop и reject). В результате срабатывания правил обнаружения вторжений в Kaspersky Anti Targeted Attack Platform выполняется только регистрация событий.
Значения оценок событий Kaspersky Anti Targeted Attack Platform соответствуют значениям приоритетов в правилах обнаружения вторжений (см. таблицу ниже).
Соответствие приоритетов правил и значений оценок событий
Значения приоритетов в правилах обнаружения вторжений |
Значения оценок событий Kaspersky Anti Targeted Attack Platform |
|---|---|
4 и более |
2.5 |
3 |
4.5 |
2 |
6.5 |
1 |
9 |
Настройка параметров регистрации событий обнаружения вторжений выполняется в разделе Параметры → Типы событий.
Вы можете просмотреть события обнаружения вторжений в таблице зарегистрированных событий.
Пользователи с ролью Старший сотрудник службы безопасности могут загружать, включать и выключать пользовательские наборы правил обнаружения вторжений. Пользователи с ролью Аудитор могут просматривать пользовательские наборы правил обнаружения. У пользователей с ролью Сотрудник службы безопасности нет доступа к пользовательским правилам обнаружения вторжений.
Идентификатор статьи: 137926, Последнее изменение: 28 апр. 2025 г.