Kaspersky Anti Targeted Attack Platform

Kaspersky Anti Targeted Attack Platform（以下简称“该应用程序”）是一个设计用来保护企业 IT 基础构架和及时检测诸如零日攻击、针对性攻击，以及被称为高级持续性威胁（以下也称为“APT”）的复杂针对性攻击等威胁的解决方案。该解决方案是为企业用户开发的。

Kaspersky Anti Targeted Attack Platform 包括三个功能模块：

• Kaspersky Anti Targeted Attack Platform（以下也称为“KATA”），为企业 IT 基础构架提供边界安全。
• Kaspersky Endpoint Detection and Response（以下也称为“KEDR”），为组织的局域网提供保护。
• 网络检测和响应（以下也称为“NDR”），为企业 LAN 提供保护。

该解决方案可以通过以下方式接收和处理数据：

• 集成到局域网中，接收和处理镜像的SPAN、ERSPAN 和 RSPAN 流量，并从 HTTP、HTTP2、FTP、SMTP、DNS、SMB 和 NFS 协议中提取对象和元数据。

  从一个交换机端口重定向到同一交换机（本地镜像）或远程交换机（远程镜像）的另一个端口的流量副本。网络管理员可以配置应该镜像哪部分流量以传输到 Kaspersky Anti Targeted Attack Platform。

• 通过 ICAP 协议连接到代理服务器，接收和处理 HTTP 流量、HTTP2 流量和 FTP 流量以及 HTTPS 流量（如果管理员在代理服务器上配置了 SSL 证书更换）的数据。
• 通过 POP3 (S) 和 SMTP 协议连接到邮件服务器，接收和处理电子邮件消息的副本。
• 与 Kaspersky Secure Mail Gateway 和 Kaspersky Security for Linux 邮件服务器集成，接收并处理电子邮件的副本。
• 使用卡巴斯基 SD-WAN 应用程序接收并处理从远程位置获取的网络流量副本。此功能提高了检测和监控网络活动的灵活性，使您能够分析来自网络不同点的流量并采取适当的措施以确保网络安全。

  有关 Kaspersky Secure Mail Gateway、Kaspersky Security for Linux Mail Server 和 Kaspersky SD-WAN 的详情，请参阅这些应用程序的文档。

• 与 Kaspersky Endpoint Agent 和 Kaspersky Endpoint Security 集成，并从企业 IT 基础架构中运行 Microsoft Windows 和 Linux 操作系统的单台计算机接收数据（事件）。这些应用程序将持续监控在这些计算机上运行的进程、活动的网络连接和被修改的文件。
• 使用 REST API 接口与外部系统集成并扫描这些系统上的文件。

该解决方案使用以下威胁情报手段：

• 卡巴斯基安全网络（也称为“KSN”）云服务的基础架构，提供对卡巴斯基在线知识库的访问，其中包含有关文件、Web 资源和软件信誉的信息。使用来自卡巴斯基安全网络的数据可确保卡巴斯基应用程序能够更快地响应威胁，提高某些保护组件的性能，并降低误报的可能性。
• 与卡巴斯基私有安全网络 (KPSN) 集成，以访问卡巴斯基安全网络的信誉数据库以及其他统计数据，而无需将数据从用户计算机发送到卡巴斯基安全网络。
• 与被称为 Kaspersky Threat Intelligence Portal 的卡巴斯基信息系统集成，该系统包含并显示有关文件和 URL 信誉的信息。
• IOC（入侵指标）。Kaspersky Anti Targeted Attack Platform 使用符合 OpenIOC 标准的 IOC 文件，该标准是描述入侵指标的开放标准。IOC 文件包含一组与事件指标进行比较的指标。如果比较的指标匹配，程序将该事件视为警报。
• IOA（攻击指标）。Kaspersky Anti Targeted Attack Platform 扫描应用程序的事件数据库，并标记与 TAA (IOA) 规则描述的行为相匹配的事件或事件链。

该解决方案可以检测企业 IT 基础架构内发生的以下事件：

• 文件已下载，或试图将文件下载到企业 LAN 计算机。
• 文件已发送到企业 LAN 上的用户的电子邮件地址。
• 网站链接在企业 LAN 计算机上打开。
• 检测到在企业 LAN 计算机的 IP 地址或域名上有网络活动发生。
• 在企业 LAN 计算机上的进程已启动。

应用程序可以通过以下方式向用户提供其运行结果和威胁情报：

• 显示在 Central Node、主 Central Node（以下简称 “PCN”）或从属 Central Node（以下简称 “SCN”）服务器的 Web 界面中完成的工作结果。
• 通过 Syslog 协议向组织中已使用的 SIEM 系统发布警报。
• 通过 REST API 与外部系统集成，并根据需要将解决方案生成的警报信息发送到外部系统。
• 在卡巴斯基私人安全网络的本地信誉数据库中发布有关 Sandbox 组件警报的信息。

具有高级安全官或者安全官角色的用户可以在应用程序中执行以下操作：

• 监控解决方案的组件。
• 查看检测到的针对性攻击和入侵企业 IT 基础架构的迹象表，筛选和搜索警报，查看和管理每个警报，遵循建议进行评估和调查事件。
• 查看企业 IT 基础架构的计算机和服务器上发生的事件表，搜索威胁，筛选、查看和管理每个事件，遵循建议进行评估和调查事件。
• 在安装有 Kaspersky Endpoint Agent 和 Kaspersky Endpoint Security 的计算机上运行任务：运行应用程序和停止进程、下载和删除文件、在安装有 Kaspersky Endpoint Agent 和 Kaspersky Endpoint Security 的计算机上隔离对象、将文件副本放置在 Kaspersky Anti Targeted Attack Platform 的存储中，从隔离区恢复文件。
• 在安装有 Kaspersky Endpoint Agent 和 Kaspersky Endpoint Security 的选定计算机上，设置策略以防止运行他们认为不安全的文件和进程。
• 将安装有 Kaspersky Endpoint Agent 和 Kaspersky Endpoint Security 的单个计算机与网络隔离。
• 使用 TAA (IOA) 规则对事件进行分类和分析。
• 管理用户定义的针对性攻击分析器 TAA (IOA)、入侵检测系统 (IDS) 和 YARA 规则，上传用于扫描事件和创建警报的规则。
• 使用 OpenIOC 兼容文件（IOC 文件）在具有 Endpoint Agent 组件的主机上和警报数据库中搜索目标攻击、受感染和可能受感染对象的迹象。
• 从扫描中排除卡巴斯基定义的 TAA (IOA) 规则和 IDS 规则。
• 管理隔离区中的对象和存储中对象的副本。
• 管理有关应用程序性能和警报的报告。
• 配置将有关应用程序遇到的警报和问题的通知发送到用户的电子邮件地址。
• 管理 VIP 警报列表和被从扫描中排除的数据列表，并填充 KPSN 的本地信誉数据库。
• 存储和下载原始网络流量的副本，以便在外部系统中进行分析。

具有安全审计员角色的用户可以在应用程序中执行以下操作：

• 监控解决方案的组件。
• 查看检测到的针对性攻击和入侵企业 IT 基础架构的迹象表，筛选和搜索警报，以及查看每个警报的数据。
• 查看企业 IT 基础架构的计算机和服务器上发生的事件表，搜索威胁，筛选和查看每个事件。
• 查看具有 Endpoint Agent 组件的主机列表以及有关所选主机的信息。
• 查看针对性攻击分析器 TAA (IOA)、入侵检测系统 (IDS) 和 YARA 的用户定义规则。
• 查看卡巴斯基专家定义的扫描排除 TAA (IOA) 规则和 IDS 规则。
• 查看有关应用程序性能和警报的报告。
• 查看 VIP 警报列表以及被从扫描中排除的数据列表。
• 查看在应用程序 Web 界面中进行的所有设置。
• 存储和下载原始网络流量的副本，以便在外部系统中进行分析。

具有本地管理员或者管理员角色的用户可以在应用程序中执行以下操作：

• 编辑应用程序设置。
• 配置分布式解决方案和多租户模式的服务器。
• 设置应用程序与其他应用程序和系统的集成。
• 管理 TLS 证书并在中央节点服务器和 Sandbox 服务器之间、Kaspersky Anti Targeted Attack Platform 服务器和 Endpoint Agent 组件之间以及与外部系统之间建立信任连接。
• 管理应用程序用户的账户。
• 监控应用程序健康状况。