Skip to main content

Инструкция по ICAP-интеграции KATA

Инструкция по ICAP интеграции с внешними системами

📝 Введение

РДанное руководство сопдержисывает пинформацию оцессб интеграции платформы KATA со всторонешними срешенистемаями через ICAP, включая:

✅ активацию ICAP на Central Node/Sensor;

подключение протоксолу ICAP, такими как ICAP-кProxy server или NGFW. Также поддерживается возможность интеграции с другими решениями, поддерживающими передачу данных по ICAP. Описывает процесс на;

стройки

и проверкуи данной интеграции, встречающиеся проблемы, наблюдаемые во время PoC, эксплуаты;

ации

и шаги по их устранение неисправностей (troubleshooting);

✅ рекомендации по заявкам в техническую поддержку.

📚 Краткое описание решения

    Kaspersky

  • KATAAnti Targeted Attack Platform – решение (далее также "пробграмма"), преспдназначечиванноет для защиты IT-инфраструктуры отрганизации цели своевыхременного обнаружения так (APT) их угроз, «как атаки "нулевого дня»;
    • ",
  • целевые атаки и сложные целевые атаки (advanced persistent threats, APT). Программа разработана для корпоративных пользователей.

    Решение может получать и обрабатывать данные следующими способами:

    • Подключаться к прокси-сервезру ICAPпо (HTTP/FTP/протоколу ICAP, получать и обрабатывать данные HTTP- и FTP-трафика, а также HTTPS-трафик);

      • а,
    • ICAP-если администратор настроил подмену SSL-сертификата на прокси-сервере.

      Alt text

    В роли ICAP сервера может выступаеть как Central Node с рфункционалом Sensor, так и отдельюно Sensor или установыделенный компонент с функционалом Sensor.

ВАЖНОажно: ШПри использовании отдельного прокси-сервера Kaspersky Anti Targeted Attack Platform не обеспечивает шифрование ICAP-трафика и аутентификацияю ICAP-клиентов не поддерживаются по умолчанию. Администратору нужнеобходимо самостоятельно обеспечить безопасное сетевое соединение между вашим прокси-сервером и KATA с помощищённыйью канал (VPN/SSH-туннелирования трафика или средствами iptables.

В качестве ICAP-клиента обычно выступает прокси-сервер, который взаимодействует с ICAP-сервером, исполь/iptables)зуя протокол ICAP. KATA получает данные с прокси-сервера после их обработки на ICAP-сервере.

Решение

⚙️о том, какие данные пересылать на сервер для обработки, принимается на стороне клиента и полностью зависит от его реализации. На стороне клиента также определяется режим работы.

Добавлена ICAP-интеграция с обратной связью. ICAP-интеграция с обратной связью может работать в двух режимах:

  • Стандартная проверка — объект проверяется всеми поддерживаемыми технологиями. Во время проверки Sandbox объект доступен. При обнаружении угрозы объект будет заблокирован.
  • Усиленная проверка — объект проверяется всеми поддерживаемыми технологиями, но во время проверки Sandbox объект недоступен. При обнаружении угрозы объект блокируется.

Важное примечание: Если включить прием трафика ICAP, но оставить состояние в режиме “Отключено”, будет доступна работа в режиме “respmod”. В этом режиме файлы отправляются на проверку в KATA, но вердикт не возвращается. Результат проверки можно будет увидеть в веб-интерфейсе KATA под учетной записью Офицера Безопасности.

Если используется распределенное решение и мультитенантность, включение ICAP нприема CentralICAP-трафика Node

Шаг 1. Авыполняеторизацися в веб-интерфейсе CN

того

Псервейдра PCN ители SCN, параметры которого надстреаиваютсу:я.

https://<IP_CN>:8443

Авторизуйтесь с учетной записью Local Administrator (по умолчанию: login: Administrator, password: Administrator).

Шаг 2. Включение ICAP

  • В интерфейсе откройте Sensor Servers → выберите сенсор (например, localhost).
  • Перейдите в раздел ICAP integration with proxy server.
  • Активируйте опцию приема трафика, установив State: Enabled.

Запомните адрес ICAP-сервера дляKATA можно найти в веб-интерфейсе центральнойкиго нузла пв разделе Sensor Servers → выбранный Sensor → ICAP integration with proxy server.

Адрес октображаетсия в формате:

icap://<IP-Сенсора>:1344/av/respmod
icap://<IP-Сенсора>:1344/av/reqmod

Настройка интеграции

Процесс включения приема ICAP-трафика на Central Node

  1. Перейдите в веб-интерфейс CN по адресу https://<IP_CN>:8443.

  2. Отметьте параметр Local Administrator, введите имя администратора (по умолчанию Administrator) и пароль.

  3. Перейдите в раздел Sensor Servers, кликните по сенсору (в примере — localhost).

  4. Откройте раздел ICAP integration with proxy server и включите прием трафика, переведя состояние State в Enable.

  5. Запомните адрес и режим, в котором будет работать CN:

    icap://<IP-Сенсора>:1344/av/respmod
icap://<IP-Сенсора>:1344/av/reqmod

Для настройки на ICAP-клиенте используйте данные из поля “Host”.

ВАЖНОажно: Если включить прием трафика ICAP, но состояние оставить State:в Disabled,режиме “Ото трафик можлючено”, будет доступен режим “respmod” без возвравлять, ноа вердикт не возвращается — результат будет виден только в интерфейсе KATA под учетной записью Офицера безопасности.

🚦

Дополнительные Ннастройки ICAP

  • В разделе Параметры → Проверка трафика ICAP:

    • настраивайте собственные шаблоны страниц блокировки;
    • устанавливайте порог блокировки;
    • задавайте время ожидания проверки.

Включение ICAP на Sensor через SSH

  1. Если Sensor развернут отдельно, пПодключитесь к нему по SSH:SSH (например, Putty) к Sensor:

    ssh admin@<IP-Sensor>

  2. ВклюАвторизуйтесь с учетными данными admin.

  3. Перейдите ICAP в CLI::

    Program settings → Configure ICAP integration
→ Enabled

  4. ВПоставьте галочку на Enable и выберите режим проверки:

    • Standard ICAP scanning – стандартная проверка, объект доступен Sandbox во время анализа.
    • Advanced ICAP scanning – усиленная проверка, объект не доступен Sandbox во время анализа.

    5. 🔗
  5. Н

    Застрпойка прокси (мна примере Squid)

    6. Шаг 1. Подключитесь к серверу Squid чеадрезса SSH и откройте файдл:

    sudo nano /etc/squid/squid.conf

    Шаг 2. Добавьтея настройки на ICAP-клиентеграции:

    icap_enable on
adaptation_send_username on
adaptation_send_client_ip on

icap_service kata_req reqmod_precache icap://<IP-Сенсора>:1344/av/reqmod
icap_service kata_resp respmod_precache icap://<IP-Сенсора>:1344/av/respmod

adaptation_access kata_req allow all
adaptation_access kata_resp allow all

icap_service_failure_limit -1

    Шаг 3. Добавьте логирование ICAP-трафика:

    logformat icap_squid %tl %6tr %rm %ru ...
icap_log /var/log/squid/icap.log icap_squid

    Шаг 4. При необходимости настройте исключения для SSL Bumping

    Создайте файл с доменами для исключения:

    nano /etc/squid/donotbump.list

    и внесите, например:

    .domain.com

    В squid.conf добавьте:

    acl do_not_bump dstdomain "/etc/squid/donotbump.list"
ssl_bump splice do_not_bump

    Шаг 5. Перезапустите Squid:

    systemctl restart squid
systemctl status squid

    ✅ Проверка работы

    1. Убедитесь, что тестовый ПК использует прокси.

    2. Выполните загрузку тестового файла EICAR через HTTPS.

    3. В интерфейсе CN:

      • Dashboards → Processed → Источник: ICAP → Период: Last hour – должны появиться события.
      • Alerts → фильтр по File name: EICAR – должно отображаться срабатывание.

    🛠 Troubleshooting

    Проверка сетевой связности

    На CN/Sensor:

    tcpdump -i <interface> port 1344 -nn

    При успешной передаче должны отображаться пакеты при генерации трафика.

    Проверка логов KATA

    Соберите логи:

    sudo su
kata-collect-siem-logs log-history --output-dir /tmp/logs --no-compress
kata-collect-siem-logs log-detects --output-dir /tmp/logs --no-compress

    ⚡ Примеры настройки для популярных решений

    UserGate

    • Укажите ICAP-сервер:

      icap://<IP-Сенсора>:1344/av/respmod
icap://<IP-Сенсора>:1344/av/reqmod

    • При необходимости активируйте передачу имени пользователя и IP-адреса.

Check Point

См. официальное (пруководство Check Point по ICAP.

Обратитлже внимание:

  • для коррвектнойсь работы создайте отдель ное правило в Threat Prevention Rules без включения Threat Emulation/Extraction;
  • события срабатывания будут доступны только в интерфейсе KATA.

Континент 4

Рекомендуется документация:

  • “Руководство администратора. Межсетевое экранирование” (стр. 71);
  • “Best Practices: Использование контентной фильтрации в версии 4.1.7 → ECAP-сервисы и ICAP-серверы” (стр. 8).

Настройка ICAPи проксизво, troubleshooting и т.дится. в ктонм же солти управления межсетевого экрана → Контроль доступа → ICAP-серверы.)

📨 Рекомендации для заявок в техническую поддержку

  • Соберите полную информацию об инфраструктуре: версия KATA, модель серверов, трафик.

  • Приложите логи:

    • tcpdump с CN/Sensor и Proxy:

      tcpdump -i <interface> port 1344 -nn -w capture.pcap

    • логи через kata-collect.

  • Описание проблемы, точное время, что происходило, и при каких условиях.

🔗 Полезные ссылки

💡 Хочешь, чтобы я пзакодготовнчил версиюь для покумечанти в PDFтаком стилие HTML полнос красивым оформлениемтью?

Back to top