Configuração da integração com a Kaspersky Anti Targeted Attack Platform
13 de dezembro de 2023
ID 187067
Um usuário pode configurar a integração com a Kaspersky Anti Targeted Attack Platform (doravante referida como "KATA") somente se tiver permissão para Editar configurações.
A Kaspersky Anti Targeted Attack Platform é a solução projetada para a proteção de infraestrutura de TI corporativa e detecção oportuna de ameaças, tais como ataque de dia zero, ataques direcionados, direcionados com alta complexidade, também conhecidos como ataques persistentes avançados.
O KATA pode ser integrado a outros aplicativos Kaspersky para fins de recebimento e processamento de objetos que são verificados por esses aplicativos. O Kaspersky Web Traffic Security é um aplicativo que executa essa função.
O administrador do Kaspersky Web Traffic Security deve configurar a integração do KATA no node com função Controle. Após isso ser feito, as configurações de integração são enviadas a todos os nodes com função Secundária que fazem parte do cluster. Cada node do cluster interage então com o servidor do KATA independente de outros nodes.
Estão disponíveis dois modos de integração com o KATA: transmissão de arquivos para o servidor do KATA e recebimento de objetos detectados pelo KATA.
Enviando arquivos para o servidor do KATA
O Kaspersky Web Traffic Security envia ao servidor do KATA os objetos que não estão bloqueados pelas regras de processamento de tráfego ou pela política de proteção padrão. No entanto, o aplicativo não aguarda para o servidor do KATA enviar os resultados da verificação desses objetos.
Quando cada arquivo é processado, o aplicativo verifica se esse necessita ser enviado ao servidor do KATA. Com base nos resultados, o status de verificação é gravado no log de eventos do aplicativo. Estão disponíveis os status a seguir:
- Não aplicável. Nenhum arquivo a ser verificado – A mensagem HTTP não contém arquivos para serem verificados.
- Desabilitado de acordo com as configurações do aplicativo – O modo de envio de arquivos ao servidor do KATA está desativado nas configurações do aplicativo.
- Ignorado de acordo com a ação da regra – A mensagem HTTP foi bloqueada pelo aplicativo (as ações Bloquear ou Redirecionar foram aplicadas) ou foi ignorada sem verificação, de acordo com a regra de bypass.
- Rejeitado pelo filtro do KATA – O arquivo não atende às condições de envio ao servidor do KATA.
- Agendado – A transmissão do arquivo está agendada.
- Falha – A transmissão do arquivo não está agendada.
Para arquivos com os status Agendado e Falha, informações detalhadas sobre o resultado da transmissão do arquivo também são registradas em log.
Todos os eventos relacionados à transmissão dos arquivos ao servidor do KATA estão registrados no log do sistema operacional via protocolo Syslog.
Recebendo objetos detectado pelo KATA
O Kaspersky Web Traffic Security recebe informações do servidor do KATA sobre objetos detectados pelo KATA usando área de sandbox e tecnologias YARA. Para obter detalhes sobre essas tecnologias, consulte o Guia de Ajuda do Kaspersky Anti Targeted Attack Platform.
As informações sobre objetos recebidos são salvas no cache do KATA. Cada node do cluster armazena seu próprio cache do KATA e recebe os objetos detectados pelo KATA de maneira independente dos outros nodes. Quando o período de armazenamento termina, informações sobre os objetos é excluída do cache. Esses objetos não são mais considerados se as regras de proteção e a política de proteção padrão forem aplicadas.
Nas regras de proteção e na política de proteção padrão, você pode configurar ações para obter objetos dos quais informações foram recebidas do servidor do KATA. Quando tais objetos são detectados no tráfego do usuário, o Kaspersky Web Traffic Security processará esses objetos de acordo com as configurações definidas nas regras. Isto permite a você bloquear objetos perigosos até que informações sobre eles sejam adicionadas aos bancos de dados de reputação da KSN e aos bancos de dados locais do aplicativo.
O resultado da verificação de cada objeto é gravado no log de evento. Estão disponíveis os status de verificação a seguir:
- não detectado – Nenhuma correspondência no cache do KATA foi detectada.
- Detectado – Ameaças foram detectadas.
- Não verificado – Uma verificação não foi executada com base nas configurações do aplicativo.
- erro de verificação – a verificação concluiu com um erro.
Todos os eventos relacionados à verificação de tráfego para correspondências com os objetos do KATA são registrados no log do sistema operacional via protocolo Syslog.