Системные типы событий по технологии Контроль активов

Справка Kaspersky Anti Targeted Attack Platform
Kaspersky Anti Targeted Attack Platform
- Что нового
- О Kaspersky Threat Intelligence Portal
- Комплект поставки
- Аппаратные и программные требования
- Ограничения
Предоставление данных
- Служебные данные приложения
- Данные компонентов Central Node и Sensor
- Данные компонента Sandbox
- Данные, пересылаемые между компонентами приложения
- Данные в файлах трассировки приложения
- Данные Kaspersky Endpoint Agent для Windows
- Данные Kaspersky Endpoint Security для Windows
- Данные Kaspersky Endpoint Security для Linux
- Данные Kaspersky Endpoint Security для Mac
Лицензирование приложения
- О Лицензионном соглашении
- О лицензионном сертификате
- О лицензии
- О лицензионном ключе
- О файле ключа
- О коде активации
- О подписке
- Добавление лицензионного ключа
- Замена лицензионного ключа
- Удаление лицензионного ключа
- Просмотр информации о добавленных лицензионных ключах в веб-интерфейсе Central Node
- Просмотр текста Лицензионного соглашения в веб-интерфейсе Central Node
- Просмотр текста Политики конфиденциальности в веб-интерфейсе Central Node
- Просмотр информации о стороннем коде, используемом в приложении
- Просмотр текста Лицензионного соглашения в веб-интерфейсе Sandbox
- Просмотр текста Лицензионного соглашения компонента Endpoint Agent
- Режимы работы приложения в соответствии с лицензией
Архитектура приложения
- Компонент Sensor
- Компонент Central Node
- Компонент Sandbox
- Компонент Endpoint Agent
Принцип работы приложения
Распределенное решение и мультитенантность
- Сценарий перехода в режим распределенного решения и мультитенантности
- Изменения в параметрах приложения при переходе в режим распределенного решения и мультитенантности
- Назначение серверу роли PCN
- Назначение серверу роли SCN
- Просмотр информации о тенантах, серверах PCN и SCN
- Добавление тенанта на сервере PCN
- Удаление тенанта на сервере PCN
- Изменение названия тенанта на сервере PCN
- Отключение SCN от PCN
- Изменения в параметрах приложения при отключении SCN от PCN
Руководство по масштабированию
- Типовые схемы развертывания и установки компонентов приложения
- Калькулятор масштабирования
Установка и первоначальная настройка приложения
- Подготовка к установке компонентов приложения
- Порядок установки и настройки компонентов приложения
- Установка компонента Sandbox
- Развертывание компонента Central Node со встроенным Sensor в виде кластера
- Установка компонента Central Node со встроенным Sensor на сервере
- Установка компонента Sensor на отдельном сервере
- Оптимизация настроек сетевых интерфейсов для компонента Sensor
- Подключение и настройка внешнего хранилища для компонента Sensor
Настройка параметров масштабирования приложения
Настройка правил сетевого экрана
- Порты, используемые на компьютерах с установленными компонентами Kaspersky Anti Targeted Attack Platform
- Порты, используемые сервисами Kaspersky Anti Targeted Attack Platform в кластерной конфигурации
- Порты, используемые сервисами Central Node, установленным на сервере
- Порты, используемые сервисами в конфигурации с компонентом Sensor, установленным на отдельном сервере
- Порты для взаимодействия между сервисами анализа трафика сети
Настройка интеграции компонента Endpoint Agent с функциональным блоком KEDR
- Настройка доверенного соединения с приложением Kaspersky Endpoint Agent
- Настройка доверенного соединения с приложением Kaspersky Endpoint Security
- Скачивание TLS-сертификата сервера Central Node на компьютер
- Генерация TLS-сертификата сервера Central Node в веб-интерфейсе Kaspersky Anti Targeted Attack Platform
- Загрузка самостоятельно подготовленного TLS-сертификата сервера Central Node через веб-интерфейс Kaspersky Anti Targeted Attack Platform
- Включение проверки TLS-сертификата компонента Endpoint Agent в веб-интерфейсе Kaspersky Anti Targeted Attack Platform
- Генерация TLS-сертификата компонента Endpoint Agent в веб-интерфейсе Kaspersky Anti Targeted Attack Platform и скачивание криптоконтейнера
- Загрузка самостоятельно подготовленного TLS-сертификата компонента Endpoint Agent через веб-интерфейс Kaspersky Anti Targeted Attack Platform
- Просмотр таблицы TLS-сертификатов компонента Endpoint Agent в веб-интерфейсе Kaspersky Anti Targeted Attack Platform
- Фильтрация и поиск TLS-сертификатов компонента Endpoint Agent в веб-интерфейсе Kaspersky Anti Targeted Attack Platform
- Удаление TLS-сертификатов компонента Endpoint Agent в веб-интерфейсе Kaspersky Anti Targeted Attack Platform
- Настройка перенаправления трафика от компонента Endpoint Agent на сервер Sensor
Настройка интеграции компонента Endpoint Agent с функциональным блоком NDR
- Таблица серверов интеграции
- Сценарий подготовки к получению данных от компонента Endpoint Agent
- Добавление сервера интеграции
- Создание файла свертки для клиентов сервера интеграции
- Включение и выключение сервера интеграции
- Изменение параметров сервера интеграции
- Удаление сервера интеграции
Начало работы с приложением
- Начало работы в веб-интерфейсе приложения под учетной записью администратора
- Начало работы в меню администратора приложения
- Начало работы с приложением в режиме Technical Support Mode
Управление учетными записями администраторов и пользователей приложения
- Создание учетной записи администратора веб-интерфейса приложения
- Создание учетной записи пользователя веб-интерфейса приложения
- Настройка отображения таблицы учетных записей пользователей
- Просмотр таблицы учетных записей пользователей
- Фильтрация учетных записей
- Сброс фильтра учетных записей
- Изменение прав доступа учетной записи пользователя веб-интерфейса приложения
- Включение и отключение учетной записи администратора или пользователя веб-интерфейса приложения
- Изменение пароля учетной записи администратора или пользователя приложения
- Изменение пароля своей учетной записи
Аутентификация с помощью доменных учетных записей
- Создание keytab-файла
- Настройка интеграции с Active Directory
- Отключение интеграции с Active Directory
Участие в Kaspersky Security Network и использование Kaspersky Private Security Network
- Просмотр Положения о KSN и настройка участия в KSN
- Включение использования KPSN
- Настройка подключения к локальной репутационной базе KPSN
- Настройка сохранения информации в локальную репутационную базу KPSN
- Отказ от участия в KSN и использования KPSN
Работа с компонентом Sandbox через веб-интерфейс
- Обновление баз компонента Sandbox
- Настройка соединения компонентов Sandbox и Central Node
  - Обработка запросов на подключение от серверов Central Node в веб-интерфейсе Sandbox
- Настройка сетевых интерфейсов компонента Sandbox
- Установка даты и времени системы Sandbox
- Установка и настройка образов операционных систем и приложений для работы компонента Sandbox
- Работа с образами операционных систем и приложений в Хранилище Sandbox
- Работа с шаблонами виртуальных машин
- Управление виртуальными машинами
- Установка максимального количества одновременно запускаемых виртуальных машин
- Изменение количества лицензионных ключей для виртуальной машины с пользовательским образом операционной системы
- Загрузка журнала системы Sandbox на жесткий диск
- Экспорт параметров Sandbox
- Импорт параметров Sandbox
- Перезагрузка сервера Sandbox
- Выключение сервера Sandbox
- Изменение пароля учетной записи администратора Sandbox
Администратору: работа в веб-интерфейсе приложения
- Интерфейс Kaspersky Anti Targeted Attack Platform
- Мониторинг работы приложения
  - О виджетах и схемах расположения виджетов
  - Выбор тенанта и сервера для работы в разделе Мониторинг
  - Добавление виджета на текущую схему расположения виджетов
  - Перемещение виджета на текущей схеме расположения виджетов
  - Изменение отображения данных в виджетах NDR
  - Удаление виджета с текущей схемы расположения виджетов
  - Сохранение схемы расположения виджетов в PDF
  - Настройка периода отображения данных на виджетах
  - Мониторинг приема и обработки входящих данных
  - Мониторинг очередей обработки данных модулями и компонентами приложения
  - Мониторинг обработки данных компонентом Sandbox
  - Просмотр состояния работоспособности модулей и компонентов приложения
- Работа с информацией о серверах с компонентами Central Node и Sensor
  - Просмотр информации о серверах с компонентами Central Node и Sensor
  - Просмотр информации о сетевых интерфейсах
  - Определение Ethernet-порта, связанного с сетевым интерфейсом
- Управление серверами Central Node, PCN или SCN с помощью веб-интерфейса приложения
  - Изменение имени сервера
  - Настройка даты и времени сервера
  - Генерация или загрузка TLS-сертификата сервера
  - Скачивание TLS-сертификата сервера на компьютер
  - Назначение DNS-имени сервера
  - Настройка параметров DNS
  - Настройка параметров сетевого интерфейса
  - Настройка сетевого маршрута для использования по умолчанию
  - Настройка параметров соединения с прокси-сервером
  - Настройка параметров соединения с почтовым сервером
  - Управление параметрами сохранения трафика
  - Управление параметрами сохранения файлов дампа трафика
  - Выбор операционных систем для проверки объектов в Sandbox
  - Парольные политики
    - Обязательная смена пароля после первой успешной аутентификации
    - Обязательная смена пароля по истечении заданного периода
- Управление компонентом Sensor
  - Подключение компонента Sensor к Central Node
    - Подключение компонента Sensor с помощью файла свертки
    - Добавление и подключение компонента Sensor автоматически по сети
  - Управление сертификатом компонента Sensor
  - Вход в веб-интерфейс компонента Sensor
  - Изменение имени сервера
  - Управление точками мониторинга
  - Настройка максимального размера проверяемого файла
  - Настройка записи содержимого HTTP-пакета
  - Настройка интеграции с почтовым сервером по протоколу SMTP
  - Настройка интеграции с прокси-сервером по протоколу ICAP
  - Настройка записи зеркалированного трафика со SPAN-портов
  - Настройка интеграции с почтовым сервером по протоколу POP3
- Управление кластером
  - Просмотр таблицы серверов кластера
  - Добавление сервера в кластер
  - Увеличение дискового пространства сервера хранения
  - Вывод серверов из эксплуатации
    - Удаление сервера из кластера
  - Включение и выключение кластера
- Уведомления о максимальной загрузке центрального процессора и оперативной памяти серверов Central Node и Sensor
  - Настройка максимального допустимого значения загрузки центрального процессора и оперативной памяти серверов Central Node и Sensor
- Настройка соединения с протоколом SNMP
  - Описание объектов MIB Kaspersky Anti Targeted Attack Platform
- Работа с информацией о хостах с компонентом Endpoint Agent
  - Выбор тенанта для работы в разделе Endpoint Agents
  - Просмотр таблицы хостов c компонентом Endpoint Agent на отдельном сервере Central Node
  - Просмотр информации о хосте
  - Фильтрация и поиск хостов с компонентом Endpoint Agent по имени хоста
  - Фильтрация и поиск хостов с компонентом Endpoint Agent, изолированных от сети
  - Фильтрация и поиск хостов с компонентом Endpoint Agent по именам серверов PCN и SCN
  - Фильтрация и поиск хостов с компонентом Endpoint Agent по IP-адресу компьютера
  - Фильтрация и поиск хостов с компонентом Endpoint Agent по версии операционной системы на компьютере
  - Фильтрация и поиск хостов с компонентом Endpoint Agent по версии компонента
  - Фильтрация и поиск хостов с компонентом Endpoint Agent по их активности
  - Быстрое создание фильтра хостов с компонентом Endpoint Agent
  - Сброс фильтра хостов с компонентом Endpoint Agent
  - Настройка показателей активности компонента Endpoint Agent
  - Удаление хостов с компонентом Endpoint Agent
  - Автоматическое удаление неактивных хостов
  - Поддерживаемые интерпретаторы и процессы
- Настройка интеграции с компонентом Sandbox
  - Просмотр таблицы серверов с компонентом Sandbox
  - Создание запроса на подключение к серверу с компонентом Sandbox
  - Включение и отключение соединения с компонентом Sandbox
  - Удаление соединения с компонентом Sandbox
- Ручная отправка файлов с хостов с компонентом Endpoint Agent на проверку в Sandbox
  - Включение и отключение ручной отправки файлов с хостов Endpoint Agent на проверку в Sandbox
- Настройка интеграции с внешними системами
  - Просмотр таблицы внешних систем
  - Обработка запроса от внешней системы
  - Удаление внешней системы из списка разрешенных к интеграции
  - Настройка приоритета обработки трафика от почтовых сенсоров
- Настройка интеграции с Kaspersky Managed Detection and Response
  - Включение интеграции с MDR
  - Отключение интеграции с MDR
  - Замена конфигурационного файла MDR
- Настройка интеграции с SIEM-системой
  - Включение и отключение записи информации в удаленный журнал
  - Настройка основных параметров интеграции с SIEM-системой
  - Загрузка TLS-сертификата
  - Включение и отключение TLS-шифрования соединения с SIEM-системой
  - Содержание и свойства syslog-сообщений об обнаружениях
- Обновление сертификата для подключения к Central Node через API
- Управление коннекторами
  - Об управляемых и неуправляемых коннекторах
  - Об отправке событий, сообщений приложения и записей аудита в сторонние системы
  - Об автоматическом управлении сетевым доступом устройств с помощью коннекторов типа Cisco Switch
  - Добавление коннектора
  - Просмотр таблицы коннекторов
  - Включение и выключение коннектора
  - Изменение параметров коннектора
  - Создание нового файла свертки для коннектора
  - Удаление коннектора
  - Добавление и удаление типов коннекторов
- Управление секретами с учетными данными для удаленных подключений
  - Добавление секрета
  - Просмотр таблицы секретов
  - Защита от компрометации секретов при удаленных подключениях к устройствам
  - Изменение параметров секрета
  - Удаление секретов
- Обновление баз приложения
  - Выбор источника обновления баз
  - Запуск обновления баз вручную
- Создание списка паролей для архивов
- Настройка интеграции с приложением ArtX TLSproxy
Сотруднику службы безопасности: работа в веб-интерфейсе приложения
- Интерфейс Kaspersky Anti Targeted Attack Platform
- Выбор тенанта для работы в веб-интерфейсе приложения
- Мониторинг работы приложения
  - О виджетах и схемах расположения виджетов
  - Добавление виджета на текущую схему расположения виджетов
  - Перемещение виджета на текущей схеме расположения виджетов
  - Изменение отображения данных в виджетах NDR
  - Удаление виджета с текущей схемы расположения виджетов
  - Сохранение схемы расположения виджетов в PDF
  - Настройка периода отображения данных на виджетах
  - Настройка масштаба отображения виджетов
  - Основные принципы работы с виджетами типа "Алерты"
  - Информация в виджете Устройства
  - Информация в виджете События
  - Просмотр состояния работоспособности модулей и компонентов приложения
- Управление технологиями
  - Включение и выключение технологий
  - Настройка режима работы технологии Обнаружение активности устройств
  - Управление наследованием технологий
- Просмотр таблицы алертов
- Настройка отображения таблицы алертов
- Фильтрация, сортировка и поиск алертов
  - Фильтрация алертов по наличию статуса VIP
  - Фильтрация и поиск алертов по времени
  - Фильтрация алертов по степени важности
  - Фильтрация и поиск алертов по категориям обнаруженных объектов
  - Фильтрация и поиск алертов по полученной информации
  - Фильтрация и поиск алертов по адресу источника
  - Фильтрация и поиск алертов по адресу назначения
  - Фильтрация и поиск алертов по имени сервера
  - Фильтрация и поиск алертов по названию технологии
  - Фильтрация и поиск алертов по состоянию их обработки пользователем
  - Фильтрация и поиск алертов по имени пользователя, которыму они назначены
  - Сортировка алертов в таблице
  - Быстрое создание фильтра алертов
  - Сохранение фильтров
  - Сброс фильтра алертов
- Рекомендации по обработке алертов
  - Рекомендации по обработке AM-алертов
  - Рекомендации по обработке TAA-алертов
  - Рекомендации по обработке SB-алертов
  - Рекомендации по обработке IOC-алертов
  - Рекомендации по обработке YARA-алертов
  - Рекомендации по обработке IDS-алертов
  - Рекомендации по обработке NDR:IDS- и NDR:EA-алертов
- Просмотр алертов
  - Просмотр информации об алерте
  - Общая информация об алерте любого типа
  - Информация в блоке Информация об объекте
  - Информация в блоке Детали алерта
  - Информация в блоке Сведения о проверке технологиями NDR
  - Информация в блоке Результаты проверки
  - Информация в блоке Правило IDS
  - Информация в блоке URL
  - Информация в блоке IP устройств, связанных с обнаружением
  - Информация в блоке Сетевое событие
  - Результаты проверки в Sandbox
  - Результаты IOC-проверки
  - Информация в блоке Хосты
  - Информация в блоке Журнал изменений
  - Отправка данных об алерте
  - Просмотр связей алерта
- Действия пользователей с алертами
  - Назначение алертов определенному пользователю
  - Отметка о завершении обработки одного алерта
  - Отметка о завершении обработки алертов
  - Изменение статуса VIP алертов
  - Добавление комментария к алерту
- Мониторинг событий в трафике сети
  - Оценки и уровни критичности событий NDR
  - Технологии регистрации событий NDR
  - Статусы событий NDR
  - Таблица зарегистрированных событий NDR
  - Настройка таблицы зарегистрированных событий
  - Просмотр событий, вложенных в агрегирующее событие
  - Просмотр подробных данных о событии NDR
  - Изменение статусов событий NDR
  - Установка меток
  - Копирование событий NDR в текстовый редактор
  - Загрузка трафика для событий
  - Создание директории для экспорта событий на сетевой ресурс
- Поиск угроз по базе событий
  - Поиск событий в режиме конструктора
  - Поиск событий в режиме исходного кода
  - Конвертация в запрос для поиска событий в режиме исходного кода
  - Критерии для поиска событий
  - Операторы
  - Сортировка событий в таблице
  - Изменение условий поиска событий
  - Поиск событий по результатам их обработки в приложениях EPP
  - Поиск событий по условиям, заданным в файле формата IOC и YAML
  - Создание правила TAA (IOA) на основе условий поиска событий
- Информация о событиях
  - Рекомендации по обработке событий
    - Выполнение рекомендации по изоляции хоста
    - Выполнение рекомендации по запрету запуска файла
    - Выполнение рекомендации по созданию задачи
  - Информация о событиях в дереве событий
    - Просмотр информации о родительском процессе в дереве событий
    - Просмотр информации о событиях, инициированных родительским процессом, в дереве событий
    - Просмотр информации о хосте в дереве событий
  - Просмотр таблицы событий
  - Настройка отображения таблицы событий
  - Просмотр информации о событии
  - Информация о событии Запущен процесс
  - Информация о событии Завершен процесс
  - Информация о событии Загружен модуль
  - Информация о событии Удаленное соединение
  - Информация о событии Правило запрета
  - Информация о событии Заблокирован документ
  - Информация о событии Изменен файл
  - Информация о событии Журнал событий ОС
  - Информация о событии Изменение в реестре
  - Информация о событии Прослушан порт
  - Информация о событии Загружен драйвер
  - Информация о событии DNS
  - Информация о событии LDAP
  - Информация о событии Именованный канал
  - Информация о событии WMI
  - Информация о событии Обнаружение
  - Информация о событии Результат обработки обнаружения
  - Информация о событии Интерпретированный запуск файла
  - Информация о событии AMSI-проверка
  - Информация о событии Интерактивный ввод команд в консоли
  - Информация о событии Внедрение кода
  - Информация о событии Доступ к процессу
- Проверка цепочек событий по правилам TAA (IOA) "Лаборатории Касперского"
  - Включение и выключение проверки цепочек событий по правилам TAA (IOA) "Лаборатории Касперского"
  - Просмотр событий, отмеченных правилом TAA (IOA) "Лаборатории Касперского"
- Управление активами
  - Просмотр таблицы устройств
  - Просмотр информации об устройстве
  - Автоматическое добавление и обновление устройств
  - Добавление устройств вручную
  - Автоматическое присвоение статусов устройств
  - Автоматическая группировка устройств по заданному критерию
    - Автоматическая группировка устройств по заданному критерию, начиная с верхнего уровня иерархии в дереве групп
    - Автоматическая группировка устройств в выбранной группе устройств
  - Распределение устройств по группам вручную
  - Перемещение серверов с компонентами и групп в другие группы на карте сетевых взаимодействий
  - Дерево групп устройств
  - Формирование дерева групп устройств вручную
  - Установка и удаление меток для устройств
  - Групповое реагирование
  - Контроль пользователей на устройствах
  - Контроль запусков исполняемых файлов на устройствах
  - Задания активных опросов устройств
- Настройка адресных пространств
  - О правилах адресных пространств
  - О подсетях адресных пространств
  - Добавление адресного пространства
  - Формирование списка подсетей для контроля активов
  - Просмотр сведений об устройствах с IP-адресами из выбранных подсетей
  - Изменение адресного пространства
  - Удаление адресного пространства
- Работа с картой сетевых взаимодействий
  - Узлы на карте сетевых взаимодействий
  - Группы устройств на карте сетевых взаимодействий
  - Соединения на карте сетевых взаимодействий
  - Просмотр подробных сведений об объектах
  - Изменение масштаба карты сетевых взаимодействий
  - Позиционирование карты сетевых взаимодействий
  - Закрепление и открепление узлов и групп
  - Изменение местоположения узлов и групп вручную
  - Автоматическое распределение узлов и групп
  - Поиск узлов на карте сетевых взаимодействий
  - Фильтрация объектов на карте сетевых взаимодействий
  - Сохранение и загрузка параметров отображения карты сетевых взаимодействий
- Мониторинг сетевых сеансов
  - Таблица сетевых сеансов
  - Просмотр сведений о сетевом сеансе
  - Загрузка трафика сетевых сеансов
  - Поиск по сетевым пакетам
  - Преднастроенные правила поиска по сетевым пакетам
- Контроль рисков
  - О рисках категории Уязвимость
  - Сценарий реализации для процесса непрерывного управления рисками
  - Просмотр таблицы рисков
  - Просмотр сведений о риске
  - Изменение статусов рисков вручную
  - Просмотр сведений о рисках при работе с таблицей устройств
- Настройка типов событий NDR
  - Просмотр таблицы типов событий
  - Изменение параметров системного типа события
  - Настройка автоматического сохранения трафика для системных типов событий
  - Настройка передачи событий через коннекторы
  - Общие переменные для подстановки значений в Kaspersky Anti Targeted Attack Platform
  - Технологии регистрации событий NDR
  - Системные типы событий в Kaspersky Anti Targeted Attack Platform
- Настройка типов рисков
  - Просмотр таблицы типов рисков
  - Изменение базовой оценки для типа риска
  - Управление параметрами хранения рисков
- Системные типы событий в Kaspersky Anti Targeted Attack Platform
  - Системные типы событий по технологии Обнаружение вторжений
  - Системные типы событий по технологии Контроль активов
  - Системные типы событий по технологии Внешние системы
  - Системные типы событий по технологии Защита конечных устройств
- Работа с информацией о хостах с компонентом Endpoint Agent
  - Просмотр таблицы хостов с компонентом Endpoint Agent
  - Настройка отображения таблицы хостов с компонентом Endpoint Agent
  - Просмотр информации о хосте
  - Фильтрация и поиск хостов с компонентом Endpoint Agent по имени хоста
  - Фильтрация и поиск хостов с компонентом Endpoint Agent, изолированных от сети
  - Фильтрация и поиск хостов с компонентом Endpoint Agent по именам серверов PCN и SCN
  - Фильтрация и поиск хостов с компонентом Endpoint Agent по IP-адресу компьютера
  - Фильтрация и поиск хостов с компонентом Endpoint Agent по версии операционной системы на компьютере
  - Фильтрация и поиск хостов с компонентом Endpoint Agent по версии компонента
  - Фильтрация и поиск хостов с компонентом Endpoint Agent по их активности
  - Быстрое создание фильтра хостов с компонентом Endpoint Agent
  - Сброс фильтра хостов с компонентом Endpoint Agent
  - Удаление хостов с компонентом Endpoint Agent
  - Настройка показателей активности компонента Endpoint Agent
  - Поддерживаемые интерпретаторы и процессы
- Сетевая изоляция хостов с компонентом Endpoint Agent
  - Создание правила сетевой изоляции
  - Добавление исключения из правила сетевой изоляции
  - Удаление правила сетевой изоляции
  - Ограничения, действующие при сетевой изоляции
- Автоматическая отправка файлов с хостов с компонентом Endpoint Agent на проверку в Sandbox по правилам TAA (IOA) "Лаборатории Касперского"
  - Включение и отключение автоматической отправки файлов с хостов с компонентом Endpoint Agent на проверку компоненту Sandbox
- Выбор операционных систем для проверки объектов в Sandbox
  - Просмотр таблицы серверов с компонентом Sandbox
  - Выбор операционных систем для проверки объектов в Sandbox
- Работа с задачами
  - Просмотр таблицы задач
  - Просмотр информации о задаче
  - Создание задачи получения файла
  - Создание задачи сбора форензики
  - Создание задачи получения ключа реестра
  - Создание задачи получения метафайлов NTFS
  - Создание задачи получения дампа памяти процесса
  - Создание задачи получения образа диска
    - Конвертация файла из формата RAW в формат EWF
  - Создание задачи получения дампа оперативной памяти
  - Создание задачи завершения процесса
  - Создание задачи проверки хостов с помощью правил YARA
  - Создание задачи управления службами
  - Создание задачи выполнения приложения
  - Создание задачи удаления файла
  - Создание задачи помещения файла на карантин
  - Создание задачи восстановления файла из карантина
  - Создание копии задачи
  - Удаление задач
  - Фильтрация задач по времени создания
  - Фильтрация задач по типу
  - Фильтрация задач по имени
  - Фильтрация задач по имени и пути к файлу
  - Фильтрация задач по описанию
  - Фильтрация задач по имени сервера
  - Фильтрация задач по имени пользователя, создавшего задачу
  - Фильтрация задач по состоянию обработки
  - Сброс фильтра задач
- Работа с политиками (правилами запрета)
  - Просмотр таблицы правил запрета
  - Настройка отображения таблицы правил запрета
  - Просмотр правила запрета
  - Создание правила запрета
  - Импорт правил запрета
  - Включение и отключение правила запрета
  - Включение и отключение предустановок
  - Удаление правил запрета
  - Фильтрация правил запрета по имени
  - Фильтрация правил запрета по типу
  - Фильтрация правил запрета по хешу файла
  - Фильтрация правил запрета по имени сервера
  - Сброс фильтра правил запрета
- Работа с пользовательскими правилами
  - Об использовании индикаторов компрометации (IOC) и атаки (IOA) для поиска угроз
  - Работа с пользовательскими правилами TAA (IOA)
  - Работа с пользовательскими правилами IOC
  - Работа с пользовательскими правилами обнаружения вторжений
  - Работа с пользовательскими правилами YARA
- Работа с объектами в Хранилище и на карантине
  - Просмотр таблицы объектов, помещенных в Хранилище
  - Просмотр информации об объекте, загруженном в Хранилище через веб-интерфейс
  - Просмотр информации об объекте, помещенном в Хранилище по задаче получения файла
  - Просмотр информации об объекте, помещенном в Хранилище по задаче получения данных
  - Скачивание объектов из Хранилища
  - Загрузка объектов в Хранилище
  - Отправка объектов из Хранилища на проверку
  - Удаление объектов из Хранилища
  - Фильтрация объектов в Хранилище по типу объекта
  - Фильтрация объектов в Хранилище по описанию объекта
  - Фильтрация объектов в Хранилище по результатам проверки
  - Фильтрация объектов в Хранилище по имени сервера Central Node, PCN или SCN
  - Фильтрация объектов в Хранилище по источнику объекта
  - Фильтрация объектов по времени помещения в Хранилище
  - Сброс фильтра объектов в Хранилище
  - Просмотр таблицы объектов, помещенных на карантин на компьютерах с компонентом Endpoint Agent
  - Просмотр информации об объекте на карантине
  - Восстановление объекта из карантина
  - Получение копии объекта на карантине на сервер Kaspersky Anti Targeted Attack Platform
  - Удаление информации об объекте, помещенном на карантин, из таблицы
  - Фильтрация информации об объектах, помещенных на карантин, по типу объекта
  - Фильтрация информации об объектах, помещенных на карантин, по описанию объекта
  - Фильтрация информации об объектах, помещенных на карантин, по имени хоста
  - Фильтрация информации об объектах, помещенных на карантин, по времени
  - Сброс фильтра информации об объектах на карантине
- Работа с отчетами
  - Работа с общими отчетами
  - Работа с отчетами NDR
- Работа с правилами присвоения алертам статуса VIP
  - Просмотр таблицы правил присвоения статуса VIP
  - Создание правила присвоения статуса VIP
  - Удаление правила присвоения статуса VIP
  - Изменение правила присвоения статуса VIP
  - Импорт списка правил присвоения статуса VIP
  - Экспорт списка данных, исключенных из проверки
  - Фильтрация и поиск по типу правила присвоения статуса VIP
  - Фильтрация и поиск по значению правила присвоения статуса VIP
  - Фильтрация и поиск по описанию правила присвоения статуса VIP
  - Сброс фильтра правил присвоения статуса VIP
- Работа с разрешающими правилами для событий NDR
  - Просмотр таблицы разрешающих правил
  - Создание разрешающего правила с изначально пустыми значениями или со значениями из шаблона
  - Создание разрешающего правила на основе зарегистрированного события
  - Копирование разрешающего правила
  - Изменение параметров разрешающего правила
  - Включение и выключение разрешающих правил
  - Удаление разрешающих правил
- Работа со списком исключений из проверки
  - Просмотр таблицы данных, исключенных из проверки
  - Добавление правила исключения из проверки
  - Удаление правила исключения из проверки
  - Изменение правила, добавленного в исключения из проверки
  - Экспорт списка данных, исключенных из проверки
  - Фильтрация правил в списке исключений из проверки по критерию
  - Поиск правил в списке исключений из проверки по значению
  - Сброс фильтра правил в списке исключений из проверки
- Работа с исключениями из правил обнаружения вторжений
  - Просмотр таблицы правил обнаружения вторжений, добавленных в исключения
  - Добавление правила обнаружения вторжений в исключения
  - Редактирование описания правила обнаружения вторжений, добавленного в исключения
  - Удаление правил обнаружения вторжений из исключений
- Работа с TAA-исключениями
  - Просмотр таблицы правил TAA (IOA), добавленных в исключения
  - Добавление правила TAA (IOA) в исключения
  - Просмотр правила TAA (IOA), добавленного в исключения
  - Удаление правил TAA (IOA) из исключений
- Работа с ICAP-исключениями
  - Просмотр таблицы ICAP-исключений
  - Добавление правила в ICAP-исключения
  - Удаление правил из ICAP-исключений
  - Изменение и выключение правила в списке ICAP-исключений
  - Фильтрация правил в списке ICAP-исключений по критерию
  - Фильтрация правил в списке ICAP-исключений по значению
  - Фильтрация правил в списке ICAP-исключений по состоянию
  - Сброс условий фильтрации правил в списке ICAP-исключений
- Работа с зеркалированным трафиком со SPAN-портов
- Создание списка паролей для архивов
- Работа с информацией о серверах с компонентами Central Node и Sensor
- Просмотр параметров сервера
- Просмотр таблицы серверов с компонентом Sandbox
- Просмотр параметров набора операционных систем для проверки объектов в Sandbox
- Просмотр таблицы внешних систем
Работа с пользовательскими правилами Sandbox
- Просмотр таблицы пользовательских правил Sandbox
- Настройка отображения таблицы правил Sandbox
- Фильтрация и поиск правил Sandbox
- Сброс фильтра правил Sandbox
- Просмотр информации о пользовательском правиле Sandbox
- Создание пользовательского правила Sandbox для проверки файлов
- Создание пользовательского правила Sandbox для проверки URL-адреса
- Копирование пользовательского правила Sandbox
- Импорт пользовательских правил Sandbox для проверки файлов
- Изменение пользовательского правила Sandbox
- Включение и отключение пользовательских правил Sandbox
- Экспорт пользовательских правил Sandbox для проверки файлов
- Удаление пользовательских правил Sandbox
- Список расширений для категорий файлов
Отправка уведомлений
- Просмотр таблицы правил для отправки уведомлений
- Создание правила для отправки уведомлений об обнаружениях
- Создание правила для отправки уведомлений о работе компонентов приложения
- Включение и отключение правила для отправки уведомлений
- Изменение правила для отправки уведомлений
- Удаление правила для отправки уведомлений
- Фильтрация и поиск правил отправки уведомлений по типу правила
- Фильтрация и поиск правил отправки уведомлений по теме уведомлений
- Фильтрация и поиск правил отправки уведомлений по адресу электронной почты
- Фильтрация и поиск правил отправки уведомлений по их состоянию
- Сброс фильтра правил отправки уведомлений
Управление журналами
- Управление журналом активности
- Управление журналом активности пользователей NDR
- Настройка максимального объема хранения журналов трассировки
- Настройка максимального объема хранения журналов статистики
Просмотр сообщений приложения
Просмотр информации о файлах, поступавших на проверку в Kaspersky Anti Targeted Attack Platform
Управление приложением Kaspersky Endpoint Agent для Windows
Управление приложением Kaspersky Endpoint Security для Windows
Управление приложением Kaspersky Endpoint Security для Linux
Управление приложением Kaspersky Endpoint Security для Mac
Резервное копирование и восстановление данных
- Резервное копирование и восстановление данных сервера Central Node
- Резервное копирование и восстановление данных сервера Central Node в виде кластера
- Резервное копирование и восстановление данных сервера Central Node в режиме распределенного решения и мультитенантности
- Состав экспортируемых данных
Обновление Kaspersky Anti Targeted Attack Platform
- Обновление Central Node, установленного на сервере, с версии 6.1 до 7.0.3
- Обновление Central Node, установленного в виде кластера, с версии 6.1 до версии 7.0.3
- Подготовка к установке обновления в режиме распределенного решения и мультитенантности
- Обновление Sensor, установленного на отдельном сервере
- Состав и объем данных, сохраняемых при обновлении приложения Kaspersky Anti Targeted Attack Platform
- Обновление Kaspersky Anti Targeted Attack Platform с версии 7.0 до версии 7.0.1
- Обновление Kaspersky Anti Targeted Attack Platform с версии 7.0.1 до версии 7.0.3
Использование Kaspersky Anti Targeted Attack Platform API KATA и KEDR
- Интеграция внешней системы с Kaspersky Anti Targeted Attack Platform
- API для проверки объектов внешних систем
- API для получения внешними системами информации об алертах
  - Запрос на вывод информации об алертах
  - Состав передаваемых данных
- API для получения внешними системами информации о событиях приложения
- API для управления действиями по реагированию на угрозы
Использование Kaspersky Anti Targeted Attack Platform API NDR
- Обеспечение безопасного взаимодействия при использовании Kaspersky Anti Targeted Attack Platform API
- Создание и использование коннекторов для Kaspersky Anti Targeted Attack Platform API
Источники информации о приложении
Обращение в Службу технической поддержки
- Способы получения технической поддержки
- Техническая поддержка через Kaspersky CompanyAccount
Глоссарий
- Advanced persistent threat (APT)
- Anti-Malware Engine
- Backdoor-программа
- Central Node
- CSRF-атака
- End User License Agreement
- ICAP-данные
- ICAP-клиент
- Intrusion Detection System
- IOA
- IOC
- IOC-файл
- Kaspersky Anti Targeted Attack Platform
- Kaspersky Private Security Network
- Kaspersky Secure Mail Gateway
- Kaspersky Security Network (KSN)
- Kaspersky Threat Intelligence Portal
- KATA
- KEDR
- Kerberos-аутентификация
- Keytab-файл
- MIB (Management Information Base)
- MITM-атака
- NTP-сервер
- OpenIOC
- Sandbox
- Sensor
- SIEM-система
- SPAN
- Syslog
- Targeted Attack Analyzer
- TLS-шифрование
- YARA
- Алерт
- Альтернативный поток данных
- Атака "нулевого дня"
- Вредоносные веб-адреса
- Дамп
- Зеркалированный трафик
- Имя субъекта-службы (SPN)
- Компонент Endpoint Agent
- Локальная репутационная база KPSN
- Мультитенантность
- Обнаружение
- Правила YARA
- Правило TAA (IOA)
- Пропускная способность канала связи
- Распределенное решение
- Сигнатура
- Статус VIP
- Тенант
- Техника MITRE
- Трассировка
- Угрозы нового поколения
- Уязвимость "нулевого дня"
- Фишинговые URL-адреса
- Целевая атака
Информация о стороннем коде
Уведомления о товарных знаках

Сотруднику службы безопасности: работа в веб-интерфейсе приложения > Настройка типов событий NDR > Системные типы событий в Kaspersky Anti Targeted Attack Platform > Системные типы событий по технологии Контроль активов

Системные типы событий по технологии Контроль активов

В этой статье приведено описание системных типов событий, относящихся к технологии Контроль активов (см. таблицу ниже).

Системные типы событий по технологии Контроль активов (AM)

Код	Заголовок типа события	Условия для регистрации
4000005003	Обнаружено новое устройство с адресом $owner_ip_or_mac	В режиме наблюдения контроля активов автоматически добавлено новое устройство по обнаруженному IP- или MAC-адресу, который не указан для других устройств в таблице. Одновременно с регистрацией события приложение может зарегистрировать для этого устройства и риск Неразрешенное устройство. В этом случае устанавливается связь риска и события. В заголовке и в описании типа события используются следующие переменные: $owner_ip_or_mac – IP- или MAC-адрес устройства; $asset_name – присвоенное имя устройства; $assigned_mac – присвоенный MAC-адрес (если определен); $owner_ip – присвоенный IP-адрес (если определен); $asset_id – идентификатор устройства.
4000005004	Получена новая информация об устройстве с адресом $owner_ip_or_mac	В режиме наблюдения контроля активов автоматически обновлены сведения об устройстве на основе полученных данных из трафика. В заголовке и в описании типа события используются следующие переменные: $owner_ip_or_mac – IP- или MAC-адрес устройства; $asset_name – имя устройства; $updated_params – список обновленных сведений; $asset_id – идентификатор устройства.
4000005005	Обнаружен конфликт IP-адреса $owner_ip	В режиме наблюдения контроля активов обнаружено использование IP-адреса не тем устройством, для которого был указан этот IP-адрес. В заголовке и в описании типа события используются следующие переменные: $owner_ip – IP-адрес; $challenger_asset_name – имя устройства, которое использовало IP-адрес; $challenger_mac – MAC-адрес устройства, которое использовало IP-адрес; $asset_name – имя устройства, в параметрах которого был указан IP-адрес; $owner_mac – MAC-адрес устройства, в параметрах которого был указан IP-адрес; $challenger_ips_list – список других IP-адресов устройства, которое использовало IP-адрес; $asset_id – идентификатор устройства, в параметрах которого был указан IP-адрес; $challenger_id – идентификатор устройства, которое использовало IP-адрес.
4000005006	Обнаружен трафик с адреса $owner_ip_or_mac, который закреплен за устройством со статусом Неиспользуемое	В режиме наблюдения контроля активов или по полученным данным от EPP-приложения обнаружена активность устройства, которому был присвоен статус Неиспользуемое. Одновременно с регистрацией события приложение может зарегистрировать для этого устройства и риск Неразрешенное устройство. В этом случае устанавливается связь риска и события. В заголовке и в описании типа события используются следующие переменные: $owner_ip_or_mac – IP- или MAC-адрес устройства; $asset_name – имя устройства; $last_seen_timestamp – дата и время последнего появления устройства в сети; $asset_id – идентификатор устройства.
4000005007	Обнаружен новый IP-адрес $new_ip_addr у устройства с MAC-адресом $owner_mac	В режиме наблюдения контроля активов обнаружен новый IP-адрес, использованный устройством. В заголовке и в описании типа события используются следующие переменные: $new_ip_addr – обнаруженный IP-адрес; $owner_mac – MAC-адрес устройства; $asset_name – имя устройства; $owner_ips_list – список других IP-адресов устройства; $asset_id – идентификатор устройства.
4000005008	Добавлен MAC-адрес $owner_mac устройству с IP-адресом $owner_ip	В режиме наблюдения контроля активов автоматически добавлен MAC-адрес для сетевого интерфейса, у которого был указан только IP-адрес (при этом устройство было со статусом Неразрешенное или Неиспользуемое). В заголовке и в описании типа события используются следующие переменные: $owner_mac – обнаруженный MAC-адрес устройства; $owner_ip – IP-адрес устройства; $asset_name – имя устройства; $asset_id – идентификатор устройства.
4000005009	Добавлен IP-адрес $owner_ip устройству с MAC-адресом $owner_mac	В режиме наблюдения контроля активов автоматически добавлен IP-адрес для сетевого интерфейса, у которого был указан только MAC-адрес (при этом устройство было со статусом Неразрешенное или Неиспользуемое). В заголовке и в описании типа события используются следующие переменные: $owner_ip – обнаруженный IP-адрес устройства; $owner_mac – MAC-адрес устройства; $asset_name – имя устройства; $asset_id – идентификатор устройства.
4000005010	Обнаружен новый MAC-адрес $new_mac_addr у устройства с IP-адресом $owner_ip	В режиме наблюдения контроля активов обнаружен новый MAC-адрес, использованный устройством (при этом для устройства выключено автоматическое обновление адресной информации). В заголовке и в описании типа события используются следующие переменные: $new_mac_addr – обнаруженный MAC-адрес; $owner_ip – IP-адрес устройства; $asset_name – имя устройства; $asset_id – идентификатор устройства.
4000005011	Обнаружено изменение MAC-адреса $owner_mac на адрес $challenger_mac в полученных данных об устройстве от EPP-приложения	По полученным данным от EPP-приложения обновлен MAC-адрес устройства. В заголовке и в описании типа события используются следующие переменные: $owner_mac – старый MAC-адрес устройства; $challenger_mac – новый MAC-адрес устройства; $asset_name – имя устройства; $asset_id – идентификатор устройства.
4000005012	Обнаружена новая адресная информация устройства $asset_name в полученных данных от EPP-приложения	В полученных данных от EPP-приложения обнаружена новая адресная информация устройства. Событие этого типа регистрируется, если изменение адресной информации устройства не было обработано приложением как событие с кодом 4000005009 или 4000005010. В заголовке и в описании типа события используются следующие переменные: $asset_name – имя устройства; $detected_epp_addresses – адресная информация; $asset_id – идентификатор устройства.
4000005013	Обнаружен конфликт в адресах устройств $conflicted_epp_assets после получения данных от EPP-приложения	По полученным данным от EPP-приложения обнаружен конфликт с адресами нескольких устройств в Kaspersky Anti Targeted Attack Platform. По данным от EPP-приложения, адреса принадлежат одному устройству. В заголовке и в описании типа события используются следующие переменные: $conflicted_epp_assets – устройства, у которых обнаружен конфликт адресов; $unaccepted_epp_addresses – адреса, для которых установлена принадлежность одному устройству.
4000005014	Добавлена подсеть $subnet_mask по данным от EPP-приложения	После получения данных от EPP-приложения в список известных подсетей автоматически добавлена новая подсеть. Подсеть добавляется в то адресное пространство, в котором источником данных может являться сервер интеграции, получающий данные от EPP-приложения. При наличии нескольких таких адресных пространств выбирается то АП, которое содержит наиболее подходящую подсеть для автоматического добавления новой вложенной подсети. В заголовке и в описании типа события используются следующие переменные: $subnet_mask – адрес подсети; $subnet_type – тип подсети.
4000005016	Обнаружен несанкционированный DHCP-сервер с IP-адресом $owner_ip	Устройство $asset_name (ID: $asset_id) с адресом $owner_ip_or_mac определено как несанкционированный DHCP-сервер. В заголовке и в описании типа события используются следующие переменные: $asset_id – идентификатор устройства; $owner_ip_or_mac – IP- или MAC-адрес устройства.
4000005017	Обнаружен несанкционированный DHCP-ретранслятор с IP-адресом $owner_ip	Устройство $asset_name (ID: $asset_id) с адресом $owner_ip_or_mac определено как несанкционированный DHCP-ретранслятор. В заголовке и в описании типа события используются следующие переменные: $asset_name – имя устройства; $owner_ip_or_mac – IP- или MAC-адрес устройства.
4000005600	Обнаружены изменения в списке пользователей устройства с адресом $owner_ip_or_mac	При контроле пользователей на устройствах обнаружены изменения сведений о пользователях. В заголовке и в описании типа события используются следующие переменные: $owner_ip_or_mac – IP- или MAC-адрес устройства; $asset_name – имя устройства; $asset_id – идентификатор устройства; $added_asset_users – список добавленных пользователей; $modified_asset_users – список измененных пользователей; $removed_asset_users – список удаленных пользователей.
4000005601	Обнаружены изменения в списке приложений устройства с адресом $owner_ip_or_mac	При контроле приложений и патчей на устройствах обнаружены изменения сведений о приложениях устройства. В заголовке и в описании типа события используются следующие переменные: $owner_ip_or_mac – IP- или MAC-адрес устройства; $asset_name – имя устройства; $asset_id – идентификатор устройства; $added_asset_apps – список добавленных приложений; $removed_asset_apps – список удаленных приложений.
4000005602	Обнаружены изменения в списке патчей устройства с адресом $owner_ip_or_mac	При контроле приложений и патчей на устройствах обнаружены изменения сведений о патчей устройства. В заголовке и в описании типа события используются следующие переменные: $owner_ip_or_mac – IP- или MAC-адрес устройства; $asset_name – имя устройства; $asset_id – идентификатор устройства; $added_asset_patches – список добавленных патчей; $removed_asset_patches – список удаленных патчей.
4000005603	Обнаружены изменения в компоненте конфигурации $inventory_loc_key на устройстве	При контроле конфигураций устройств обнаружены изменения в компоненте конфигурации при сравнении с предыдущей конфигурацией по результатам сканирования устройства (для заданий в режимах обработки конфигураций Только обновление и/или Архивирование версий). В заголовке и в описании типа события используются следующие переменные: $inventory_loc_key – название компонента конфигурации; $device_config_inventory_changed_format – обнаруженные изменения в компоненте конфигурации.
4000005604	Обнаружены отличия от эталонного компонента конфигурации $inventory_loc_key на устройстве	При контроле конфигураций устройств обнаружены отличия от эталонного компонента конфигурации по результатам сканирования устройства (для заданий в режиме обработки конфигураций Сравнение с эталоном). В заголовке и в описании типа события используются следующие переменные: $inventory_loc_key – название компонента конфигурации; $device_config_diverged_format – обнаруженные отличия от эталонного компонента конфигурации.
4000005700	Обнаружено несовпадение открытого ключа при удаленном подключении к устройству	При удаленном подключении к устройству обнаружено несовпадение полученного открытого ключа устройства со значением, сохраненным в приложении. Сканирование устройства отменено. В описании типа события используются следующие переменные: $asset_name – имя устройства; $new_asset_sshpublickey – полученный открытый ключ; $old_asset_sshpublickey – сохраненный открытый ключ.
4000005701	Обнаружено несовпадение открытого ключа при активном опросе устройства	При активном опросе устройства обнаружено несовпадение полученного открытого ключа устройства со значением, сохраненным в приложении. Активный опрос устройства отменен. В описании типа события используются следующие переменные: $asset_name – имя устройства; $new_asset_sshpublickey – полученный открытый ключ; $old_asset_sshpublickey – сохраненный открытый ключ.
4000000004	Тестовое событие (AM)	Обнаружен тестовый сетевой пакет (при включенном методе обнаружения активности устройств).

Идентификатор статьи: 187476, Последнее изменение: 28 апр. 2025 г.

В начало