Skip to main content

Инструкция по ICAP-интеграции KATA

Инструкция по ICAP интеграции с внешними системами

Введение

Данное руководство содержит информацию об интеграции платформы KATA со сторонними решениями по протоколу ICAP, такими как Proxy server или NGFW. Также поддерживается возможность интеграции с другими решениями, поддерживающими передачу данных по ICAP. Описывает процесс настройки и проверки данной интеграции, встречающиеся проблемы, наблюдаемые во время PoC, эксплуатации и шаги по их устранению.

Краткое описание решения

Kaspersky Anti Targeted Attack Platform – решение (далее также "программа"), предназначенное для защиты IT-инфраструктуры организации и своевременного обнаружения таких угроз, как атаки "нулевого дня", целевые атаки и сложные целевые атаки (advanced persistent threats, APT). Программа разработана для корпоративных пользователей.

Решение может получать и обрабатывать данные следующими способами:

  • Подключаться к прокси-серверу по протоколу ICAP, получать и обрабатывать данные HTTP- и FTP-трафика, а также HTTPS-трафика, если администратор настроил подмену SSL-сертификата на прокси-сервере.

    Alt text

В роли ICAP сервера может выступать как Central Node с функционалом Sensor, так и отдельно установленный компонент с функционалом Sensor.

Важно: При использовании отдельного прокси-сервера Kaspersky Anti Targeted Attack Platform не обеспечивает шифрование ICAP-трафика и аутентификацию ICAP-клиентов по умолчанию. Администратору необходимо самостоятельно обеспечить безопасное сетевое соединение между вашим прокси-сервером и KATA с помощью туннелирования трафика или средствами iptables.

В качестве ICAP-клиента обычно выступает прокси-сервер, который взаимодействует с ICAP-сервером, используя протокол ICAP. KATA получает данные с прокси-сервера после их обработки на ICAP-сервере.

Решение о том, какие данные пересылать на сервер для обработки, принимается на стороне клиента и полностью зависит от его реализации. На стороне клиента также определяется режим работы.

Добавлена ICAP-интеграция с обратной связью. ICAP-интеграция с обратной связью может работать в двух режимах:

  • Стандартная проверка — объект проверяется всеми поддерживаемыми технологиями. Во время проверки Sandbox объект доступен. При обнаружении угрозы объект будет заблокирован.
  • Усиленная проверка — объект проверяется всеми поддерживаемыми технологиями, но во время проверки Sandbox объект недоступен. При обнаружении угрозы объект блокируется.

Важное примечание: Если включить прием трафика ICAP, но оставить состояние в режиме “Отключено”, будет доступна работа в режиме “respmod”. В этом режиме файлы отправляются на проверку в KATA, но вердикт не возвращается. Результат проверки можно будет увидеть в веб-интерфейсе KATA под учетной записью Офицера Безопасности.

Если используется распределенное решение и мультитенантность, включение приема ICAP-трафика выполняется в веб-интерфейсе того сервера PCN или SCN, параметры которого настраиваются.

Адрес ICAP-сервера KATA можно найти в веб-интерфейсе центрального узла в разделе Sensor Servers → выбранный Sensor → ICAP integration with proxy server.

Адрес отображается в формате:

icap://<IP-Сенсора>:1344/av/respmod
icap://<IP-Сенсора>:1344/av/reqmod

Настройка интеграции

Процесс включения приема ICAP-трафика на Central Node

  1. Перейдите в веб-интерфейс CN по адресу https://<IP_CN>:8443.

  2. Отметьте параметр Local Administrator, введите имя администратора (по умолчанию Administrator) и пароль.

  3. Перейдите в раздел Sensor Servers, кликните по сенсору (в примере — localhost).

  4. Откройте раздел ICAP integration with proxy server и включите прием трафика, переведя состояние State в Enable.

  5. Запомните адрес и режим, в котором будет работать CN:

    icap://<IP-Сенсора>:1344/av/respmod
icap://<IP-Сенсора>:1344/av/reqmod

Для настройки на ICAP-клиенте используйте данные из поля “Host”.

Важно: Если включить прием трафика ICAP, но состояние оставить в режиме “Отключено”, будет доступен режим “respmod” без возврата вердикта.

Дополнительные настройки ICAP

  • В разделе Параметры → Проверка трафика ICAP:

    • настраивайте собственные шаблоны страниц блокировки;
    • устанавливайте порог блокировки;
    • задавайте время ожидания проверки.

Включение ICAP на Sensor через SSH

  1. Подключитесь по SSH (например, Putty) к Sensor:

    ssh admin@<IP-Sensor>

  2. Авторизуйтесь с учетными данными admin.

  3. Перейдите в:

    Program settings → Configure ICAP integration

  4. Поставьте галочку на Enable и выберите режим проверки:

    • Standard ICAP scanning
    • Advanced ICAP scanning

  5. Запомните адреса для настройки на ICAP-клиенте:

    icap://<IP-Сенсора>:1344/av/respmod
icap://<IP-Сенсора>:1344/av/reqmod

(продолжение: весь раздел настройки прокси, troubleshooting и т.д. в том же стиле)

Хочешь, чтобы я закончил весь документ в таком стиле полностью?

Back to top