Skip to main content

Инструкция по ICAP-интеграции KATA

📄 Инструкция по ICAP-интеграции с внешними системами

Введение

Данное руководство содержит информацию об интеграции платформы KATA со сторонними решениями по протоколу ICAP, такими как Proxy server или NGFW. Также поддерживается возможность интеграции с другими решениями, поддерживающими передачу данных по ICAP. Описывает процесс настройки и проверки интеграции, встречающиеся проблемы в PoC, эксплуатации и шаги по их устранению.

Краткое описание решения

Kaspersky Anti Targeted Attack Platform — решение для защиты IT-инфраструктуры организации и своевременного обнаружения атак «нулевого дня», целевых атак и APT. Решение разработано для корпоративных пользователей.

Решение может получать и обрабатывать данные через подключение к прокси-серверу по ICAP, включая HTTP-, FTP- и HTTPS-трафик (с SSL-подменой на прокси).

В роли ICAP-сервера может выступать Central Node с функцией Sensor или отдельный компонент Sensor.

Важно: KATA не обеспечивает шифрование ICAP-трафика и аутентификацию клиентов по умолчанию. Необходимо самостоятельно настроить защищенное соединение между прокси-сервером и KATA с помощью туннелей или iptables.

ICAP-клиентом обычно является прокси, который отправляет данные на ICAP-сервер. Решение о пересылке данных и режим работы принимается на клиенте.

Добавлена ICAP-интеграция с обратной связью в двух режимах:

  • Стандартная проверка — объект доступен Sandbox, при обнаружении угрозы блокируется.
  • Усиленная проверка — объект недоступен Sandbox, при угрозе блокируется.

Примечание: При включении приема ICAP-трафика в режиме «Отключено» работает режим respmod: вердикт не возвращается, но результат доступен в интерфейсе KATA для роли «Офицер безопасности».

Включение функционала

Включение приема ICAP на Central Node

  1. Перейдите в веб-интерфейс CN по адресу:

    https://<IP_CN>:8443

  2. Введите учетные данные Local Administrator (по умолчанию: Administrator/Administrator).

  3. Откройте Sensor Servers, выберите сенсор (например, localhost).

  4. В разделе ICAP integration with proxy server установите State: Enable.

  5. Скопируйте ICAP-адреса:

    icap://<IP-Сенсора>:1344/av/respmod
icap://<IP-Сенсора>:1344/av/reqmod

Для настройки на ICAP-клиенте используйте указанные адреса из поля Host.

Настройка параметров ICAP

В разделе Параметры → Проверка трафика ICAP можно:

  • настроить шаблоны страниц блокировки;
  • выставить порог блокировки;
  • указать время ожидания проверки.

Включение ICAP на Sensor через SSH

  1. Подключитесь через SSH к Sensor.

  2. Авторизуйтесь учетной записью admin.

  3. Перейдите в:

    Program settings → Configure ICAP integration

  4. Включите опцию Enable и выберите режим:

    • Standard ICAP scanning
    • Advanced ICAP scanning

  5. Скопируйте ICAP-адреса:

    icap://<IP-Сенсора>:1344/av/respmod
icap://<IP-Сенсора>:1344/av/reqmod

Настройка прокси на базе Squid

  1. Подключитесь по SSH к серверу Squid.

  2. Откройте конфигурацию:

    sudo nano /etc/squid/squid.conf

  3. Добавьте:

    icap_enable on
adaptation_send_username on
adaptation_send_client_ip on

icap_service kata_req reqmod_precache icap://<IP-Сенсора>:1344/av/reqmod
icap_service kata_resp respmod_precache icap://<IP-Сенсора>:1344/av/respmod

adaptation_access kata_req allow all
adaptation_access kata_resp allow all

icap_service_failure_limit -1

  4. Для логирования добавьте:

    logformat icap_squid ...
icap_log /var/log/squid/icap.log icap_squid

  5. Настройте исключения для SSL bumping через список /etc/squid/donotbump.list, добавив в squid.conf:

    acl do_not_bump dstdomain "/etc/squid/donotbump.list"
ssl_bump splice do_not_bump

  6. Перезапустите Squid:

    systemctl restart squid
systemctl status squid

Проверка работы

  • Настройте ПК на использование прокси.
  • Выполните запрос на загрузку EICAR-файла по HTTPS.
  • В CN → Dashboards → Processed → выберите ICAP → проверьте активность.
  • В Alerts → фильтр по File name: EICAR → проверьте события.

Troubleshooting ICAP интеграции KATA с внешними системами

  • Проверьте настройку приема трафика на CN/Sensor.

  • Используйте tcpdump на CN/Sensor:

    tcpdump -i <интерфейс> port 1344 -nn

  • Для проверки логов соберите их через:

    sudo su
kata-collect-siem-logs log-history --output-dir <dir> --no-compress
kata-collect-siem-logs log-detects --output-dir <dir> --no-compress

  • Для удаления собранных логов:

    rm -f /tmp/log-history.log
rm -f /tmp/log-detects.log

Примечание

User Gate

  • В настройках User Gate создайте ICAP-сервер с адресами:

    icap://<IP-Сенсора>:1344/av/respmod
icap://<IP-Сенсора>:1344/av/reqmod

  • При необходимости включите передачу имени пользователя и IP.

Check Point

  • Настройте ICAP через конфигурационный файл согласно документации Check Point.
  • Создайте правило в Threat Prevention без включения Threat Emulation и Threat Extraction.

Континент 4

  • Настройте ICAP согласно документации продукта (руководство администратора, Best Practices).

Советы по созданию заявки в службу технической поддержки

  • Укажите полную информацию об установке, нагрузке и типе интеграции.

  • Приложите собранные логи.

  • Для сбора tcpdump:

    tcpdump -i <интерфейс> port 1344 -nn -w capture_file

  • Для выгрузки логов используйте WinSCP.

  • Для сбора collect log:

    sudo su
kata-collect

  • Выгрузите файл из /tmp/collect/ и приложите к тикету.

Back to top