Kaspersky Anti Targeted Attack Platform

Управление коннекторами

Этот раздел содержит информацию об управлении коннекторами в Kaspersky Anti Targeted Attack Platform. Коннекторы – это специальные программные модули, которые обеспечивают обмен данными с Kaspersky Anti Targeted Attack Platform и могут предоставлять возможности выполнения управляющих действий в самом приложении или с помощью приложения.

Коннекторы расширяют функциональность приложения для взаимодействия со сторонними системами. В зависимости от своего функционального назначения, коннекторы могут передавать данные в сторонние системы (например, передавать события, сообщения приложения и записи аудита в SIEM-систему) или обеспечивать получение данных от сторонних систем. Также в приложении могут использоваться коннекторы для проведения активных опросов устройств.

Компьютеры, на которых работают программные модули коннекторов, называется узлами размещения коннекторов. В качестве узла размещения коннектора вы можете использовать любой компьютер, имеющий сетевой доступ к компьютеру сервера Central Node (в том числе узлы с установленными компонентами приложения, включая и компьютер самого сервера Central Node).

Таблицы коннекторов и типов коннекторов отображаются в разделе Параметры, подразделе Коннекторы веб-интерфейса приложения. Управлять коннекторами и типами коннекторов могут только пользователи с ролью Администратор. Пользователи с ролями Аудитор, Сотрудник службы безопасности и Старший сотрудник службы безопасности могут просматривать коннекторы и типы коннекторов.

Функциональные возможности коннектора зависят от выбранного типа коннектора. Вы можете выбрать нужный тип коннектора при добавлении коннектора в приложение. По умолчанию в приложение встроены следующие типы коннекторов:

• Syslog

  Этот тип коннектора предоставляет возможности отправки данных на сервер Syslog.

  При добавлении коннектора типа Syslog или при изменении параметров вам нужно настраивать не только общие параметры коннектора, но и дополнительные параметры, сгруппированные в блоке Детали:

  • Адрес сервера Syslog.
  • Порт сервера Syslog.
  • Протокол передачи данных.
• SIEM

  Этот тип коннектора предоставляет возможности отправки данных на сервер SIEM-системы.

  При добавлении коннектора типа SIEM или при изменении параметров вам нужно настраивать не только общие параметры коннектора, но и дополнительные параметры, сгруппированные в блоке Детали:

  • Адрес сервера SIEM-системы.
  • Порт сервера SIEM-системы.
  • Протокол передачи данных.
• Generic

  Этот тип коннектора предоставляет возможности подключения приложений, использующих Kaspersky Anti Targeted Attack Platform API NDR.

• Email

  Этот тип коннектора предоставляет возможности отправки данных в сообщениях электронной почты.

  При добавлении коннектора типа Email или при изменении параметров вам нужно настраивать не только общие параметры коннектора, но также и дополнительные параметры, сгруппированные в блоке Детали:

  • Адрес, указываемый в качестве отправителя сообщений электронной почты.
  • Адреса получателей сообщений электронной почты.
  • Темы сообщений электронной почты для событий, сообщений приложения и записей аудита.
  • Шаблоны текстовых описаний для событий, сообщений приложения, записей аудита, описаний сетевых взаимодействий и для всего письма с уведомлениями. Шаблоны составляются с использованием переменных.
  • Тема и текст письма для сообщения электронной почты о достижении максимального количества отправленных уведомлений.
  • Максимальное количество отправляемых сообщений электронной почты в сутки.
  • Максимальное количество уведомлений в каждом сообщении. Определяет максимальное количество зарегистрированных уведомлений одного типа (событий, сообщений приложения или записей аудита), которые можно поместить в одно сообщение электронной почты. Если зарегистрированных уведомлений больше, то формируется дополнительное сообщение электронной почты (в пределах суточного ограничения).

  Для работы коннектора типа Email следует предварительно настроить соединение с почтовым сервером.

• Active poll

  Этот тип коннектора предоставляет возможности активного опроса устройств в рамках заданий контроля конфигураций и заданий активных опросов.

  При добавлении коннектора типа Active poll или при изменении параметров вам нужно настраивать не только общие параметры коннектора, но также и дополнительные параметры, сгруппированные в блоке Детали:

  • Методы проведения активных опросов, которые будут доступны пользователю приложения при использовании коннектора.
  • Диапазоны разрешенных и запрещенных IP-адресов устройств, по которым будет разрешено и запрещено проведение активных опросов. Адрес 0.0.0.0 соответствует всем возможным IP-адресам.

    Если адрес входит в диапазон как разрешенных, так и запрещенных IP-адресов, то Kaspersky Anti Targeted Attack Platform отнесет его к запрещенным IP-адресам.

  • Имена адресных пространств, для устройств которых будет разрешено проведение активных опросов. Если требуется, вы можете выбрать адресные пространства для IP-адресов в поле Адресное пространство L3 и для MAC-адресов в поле Адресное пространство L2.

    При выборе адресного пространства, отличающегося от адресного пространства Default, вам нужно добавить новое правило для этого адресного пространства или изменить имеющееся правило. В правиле должен быть указан коннектор, для которого выбрано это адресное пространство. Настройка параметров правил выполняется при изменении адресного пространства.

• KUMA

  Этот тип коннектора предоставляет возможности интеграции с программным решением Kaspersky Unified Monitoring and Analysis Platform (далее также KUMA). Программные модули для коннекторов данного типа поставляются отдельно от Kaspersky Anti Targeted Attack Platform. С помощью коннектора данного типа вы можете отправлять в KUMA сведения об устройствах и рисках, а также применять в KUMA команды на изменение статусов устройств. После добавления коннектора требуется настроить интеграцию в KUMA (создать подключение к Kaspersky Anti Targeted Attack Platform). Взаимодействие коннектора KUMA с сервером Central Node выполняется с использованием Kaspersky Anti Targeted Attack Platform API.

  Коннектор KUMA обеспечивает интеграцию в части отправки сведений об устройствах и рисках и применения команд на изменение статусов устройств. Для отправки событий в KUMA вы можете добавить в Kaspersky Anti Targeted Attack Platform коннектор типа Syslog или SIEM и указать для этого коннектора данные для подключения к серверу KUMA. После добавления коннектора требуется настроить коллектор на стороне KUMA.

• Cisco Switch

  Этот тип коннектора предоставляет возможности автоматического управления сетевым доступом устройств с использованием сетевых коммутаторов Cisco.

  При добавлении коннектора типа Cisco Switch или при изменении параметров вам нужно настраивать не только общие параметры коннектора, но также и дополнительные параметры, сгруппированные в блоке Детали:

  • Имя коммутатора, которое будет указываться в событиях выполненных действий приложения с помощью коннектора.
  • Адресная информация для подключения коннектора к сетевому коммутатору: IP-адрес и SSH-порт.
  • Учетные данные для установки SSH-соединения с сетевым коммутатором.
  • Открытый ключ, используемый для проверки совпадения с полученным открытым ключом сетевого коммутатора перед установкой SSH-соединения с целью защиты от подмены этого устройства в сети. Если значение пустое, то проверка не выполняется.
  • Используемый метод для ограничения сетевого доступа устройств. Предусмотрены методы создания правил блокировки в списках контроля доступа коммутатора по MAC-адресам (MAC ACL), по IP-адресам (IP ACL), а также с отключением Ethernet-портов, к которым подключены устройства.

    Для использования метода отключения Ethernet-портов вам нужно настроить конфигурацию подключений к сетевому коммутатору таким образом, чтобы исключить соединение нескольких устройств через один порт. Иначе при отключении Ethernet-порта для блокировки одного устройства сетевой доступ будет также заблокирован для всех устройств, которые соединены с сетью через этот порт.

  • Параметр сброса правил блокировки при изменении метода ограничения сетевого доступа. Если параметр включен, при изменении метода сбрасываются правила, которые ранее были заданы для блокировки устройств.
  • Параметр исключения сетевых устройств для применения метода ограничения сетевого доступа. Если параметр включен, метод не применяется к устройствам категорий Сетевое устройство, Брандмауэр, Коммутатор, Виртуальный коммутатор, Маршрутизатор, Виртуальный маршрутизатор, Wi-Fi.
  • Параметр применения правил блокировки только к новым устройствам. Если параметр включен, метод применяется только к тем неразрешенным устройствам, для которых зарегистрировано событие обнаружения нового устройства с кодом типа события 4000005003.
  • Длительность интервала времени между запросами данных о наличии устройств со статусами Разрешенное и Неразрешенное в таблице устройств.
  • Параметр отправки уведомлений о заблокированных устройствах при перезапуске коннектора. Если параметр включен, после включения или перезапуска коннектора на сервер Central Node отправляется список устройств, для которых ранее были применены ограничения сетевого доступа.

При необходимости в приложение можно добавлять другие типы коннекторов, которые будут обеспечивать обмен данными или предоставлять возможности выполнения управляющих действий при взаимодействии приложения с другими сторонними системами.

Для соединений коннекторов с сервером Central Node используются определенные порты и протоколы.

Подключение сторонней системы через коннектор выполняется от имени одного из пользователей приложения. Для каждого коннектора рекомендуется использовать отдельную учетную запись пользователя. За счет этого вам будет удобнее анализировать действия, которые выполнялись через коннекторы, по записям аудита.

Максимальное количество коннекторов в приложении – 20. Максимальное количество типов коннекторов – 100.