Skip to main content

Инструкция по ICAP-интеграции KATA

📄 Инструкция по ICAP ICAP-интеграции с внешними системами

Введение

Данное руководство содержит информацию об интеграции платформы KATA со сторонними решениями по протоколу ICAP, такими как Proxy server или NGFW. Также поддерживается возможность интеграции с другими решениями, поддерживающими передачу данных по ICAP. Описывает процесс настройки и проверки данной интеграции, встречающиеся проблемы, наблюдаемые во время PoC, эксплуатации и шаги по их устранению.

Краткое описание решения

Kaspersky Anti Targeted Attack Platform решение (далее также "программа"), предназначенное для защиты IT-инфраструктуры организации и своевременного обнаружения таких угроз, как атаки "«нулевого дня"», целевыех атаки и сложAPT. Решеныие целевые атаки (advanced persistent threats, APT). Программа разработанао для корпоративных пользователей.

Решение может получать и обрабатывать данные слчедующимирез способами:

  • Подключатьсяение к прокси-серверу по протоколу ICAP, повклуючатья HTTP-, FTP- и обрабатывать данные HTTP- и FTP-трафика, а также HTTPS-трафика, е(сли администратор настроил SSL-подмену SSL-сертификатаой на прокси-сервере).

    Alt text

В роли ICAP ICAP-сервера может выступать как Central Node с функционаей Sensor илом Sensor, так и отдельно установленный компонент с функционалом Sensor.

Важно: При использовании отдельного прокси-сервера Kaspersky Anti Targeted Attack PlatformKATA не обеспечивает шифрование ICAP-трафика и аутентификацию ICAP-клиентов по умолчанию. Администратору нНеобходимо самостоятельно настробеспечить бзащищезопасное сетевное соединение между вашим прокси-сервером и KATA с помощью туннелирования трафикаей или средствами iptables.

В качестве ICAP-клиентаом обычно явыступаляется прокси-сервер, который взаимодействует с ICAP-сервером, используя протокоавл ICAP. KATA получаяет данные с прокси-сервера после их обработки на ICAP-сервере.

Решение о том, пересылкакие данныех пеи ресылатьжим на сервер для обработки,ы принимается на стороне клиента и полностью зависит от его реализации. На стороне клиента также определяется режим работы.

Добавлена ICAP-интеграция с обратной связью. ICAP-интеграция с обратной связью может работать в двух режимах:

  • Стандартная проверка — объект проверяется всеми поддерживаемыми технологиями. Во время проверки Sandbox объект доступен. ПSandbox, при обнаружении угрозы объект будет заблокировануется.
  • Усиленная проверка — объект проверяется всеми поддерживаемыми технологиями, но во время проверки Sandbox объект недоступен. ПSandbox, при обнаружении угрозы объект блокируется.

Важное пПримечание: ЕслПри включенитьи приема ICAP-трафика ICAP, но оставить состояние в режиме “Отключено”, будет доступна работа в режиме “respmod”.«Отключено» В эработомает режиме файлы отправляются на проверку в KATA, ноrespmod: вердикт не возвращается., Рно результат доступроверки можно будет увидеть в веб-интерфейсе KATA пдля родли учетной записью «Офицера Ббезопасности».

Ес

Вкли используется распределенное решючение функци мультитеонантность,ла

в

Включение приема ICAP-трафика выполняется в веб-интерфейсе того сервера PCN или SCN, параметры которого настраиваются.

Адрес ICAP-сервера KATA можно найти в веб-интерфейсе центрального узла в разделе Sensor Servers → выбранный Sensor → ICAP integration with proxy server.

Адрес отображается в формате:

icap://<IP-Сенсора>:1344/av/respmod
icap://<IP-Сенсора>:1344/av/reqmod

Настройка интеграции

Процесс включения приема ICAP-трафика на Central Node

  1. Перейдите в веб-интерфейс CN по адресу:

    https://<IP_CN>:8443
.

  2. Отметьте параметр Local Administrator, вВведите имяучетные дадминистратораные Local Administrator (по умолчанию: Administrator/Administrator) и пароль.

  3. Перейдите в раздел Sensor Servers, кликните по сенсору (в примере — localhost).

  4. Откройте Sensor Servers, выберите сенсор (например, localhost).

  5. В разделе ICAP integration with proxy server и установключите приемState: трафика, переведя состояние State в Enable.

  6. ЗаСкопомнируйте ICAP-адрес и режим, в котором будет работать CN::

    icap://<IP-Сенсора>:1344/av/respmod
icap://<IP-Сенсора>:1344/av/reqmod

Для настройки на ICAP-клиенте используйте дуказанные адреса из поля “Host”.

Важно: Если включить прием трафика ICAP, но состояние оставить в режиме “Отключено”, будет доступен режим “respmod” без возврата вердикта.Host.

Дополнительные нНастройкиа параметров ICAP

  • В разделе Параметры → Проверка трафика ICAP можно:

    • настраоивайте собственныеь шаблоны страниц блокировки;
    • увыстанавливайтеь порог блокировки;
    • указадавайтеь время ожидания проверки.

Включение ICAP на Sensor через SSH

  1. Подключитесь почерез SSH (например, Putty) к Sensor:Sensor.

    ssh admin@<IP-Sensor>

  2. Авторизуйтесь с учетнымой запи даннымисью admin.

  3. Перейдите в:

    Program settings → Configure ICAP integration

  4. ПоставьВключите галочку напцию Enable и выберите режим проверки:

    • Standard ICAP scanning
    • Advanced ICAP scanning

  5. ЗаСкопомнируйте ICAP-адреса для настройки на ICAP-клиенте:

    icap://<IP-Сенсора>:1344/av/respmod
icap://<IP-Сенсора>:1344/av/reqmod

(

Настройка прокси на базе Squid

  1. Подоклженючие: втесь по SSH к серверу Squid.

  2. Откройте конфигурацию:

    sudo nano /etc/squid/squid.conf

  3. Добавьте:

    icap_enable on
adaptation_send_username on
adaptation_send_client_ip on

icap_service kata_req reqmod_precache icap://<IP-Сенсора>:1344/av/reqmod
icap_service kata_resp respmod_precache icap://<IP-Сенсора>:1344/av/respmod

adaptation_access kata_req allow all
adaptation_access kata_resp allow all

icap_service_failure_limit -1

  4. Для логирования добавьте:

    logformat icap_squid ...
icap_log /var/log/squid/icap.log icap_squid

  5. Настройте исключения для SSL bumping через список /etc/squid/donotbump.list, добавив в squid.conf:

    acl do_not_bump dstdomain "/etc/squid/donotbump.list"
ssl_bump splice do_not_bump

  6. Перезапустите Squid:

    systemctl restart squid
systemctl status squid

Проверка работы

  • Настройте ПК на использование прокси.
  • Выполните запрос на загрузку EICAR-файла по HTTPS.
  • В CN → Dashboards → Processed → выберите ICAP → проверьте активность.
  • В Alerts → фильтр по File name: EICAR → проверьте события.

Troubleshooting ICAP интеграции KATA с внешними системами

  • Проверьте настройку приема трафика на CN/Sensor.

  • Используйте tcpdump на CN/Sensor:

    tcpdump -i <интерфейс> port 1344 -nn

  • Для проверки логов собери,те troubleshootingих через:

    sudo su
kata-collect-siem-logs log-history --output-dir <dir> --no-compress
kata-collect-siem-logs log-detects --output-dir <dir> --no-compress

  • Для удаления собранных логов:

    rm -f /tmp/log-history.log
rm -f /tmp/log-detects.log

Примечание

User Gate

  • В настройках User Gate создайте ICAP-сервер с адресами:

    icap://<IP-Сенсора>:1344/av/respmod
icap://<IP-Сенсора>:1344/av/reqmod

  • При необходимости включите передачу имени пользователя и IP.

Check Point

  • Настройте ICAP через конфигурационный файл согласно документации Check Point.
  • Созд.айте правило в Threat Prevention без включения Threat Emulation и Threat Extraction.

Континент 4

  • Настром жйте ICAP стиогле)

    Хасночешь, чтобы я закончил весь документации продукта (руководство администратора, Best Practices).

Советы по созданию заявки в службу таехническомй споддержки

  • Укажитиле полную информацию об устью?ановке, нагрузке и типе интеграции.

  • Приложите собранные логи.

  • Для сбора tcpdump:

    tcpdump -i <интерфейс> port 1344 -nn -w capture_file

  • Для выгрузки логов используйте WinSCP.

  • Для сбора collect log:

    sudo su
kata-collect

  • Выгрузите файл из /tmp/collect/ и приложите к тикету.

Back to top