Skip to main content

Инструкция по ICAP-интеграции KATA

Введение

Данное руководство содержит информацию об интеграции платформы KATA со сторонними решениями по протоколу ICAP, такими как Proxy server или NGFW. Также поддерживается возможность интеграции с другими решениями, поддерживающими передачу данных по ICAP. Описывает процесс настройки и проверки интеграции, встречающиеся проблемы в PoC, эксплуатации и шаги по их устранению.

Краткое описание решения

Kaspersky Anti Targeted Attack Platform — решение для защиты IT-инфраструктуры организации и своевременного обнаружения атак «нулевого дня», целевых атак и APT. Решение разработано для корпоративных пользователей.

Решение может получать и обрабатывать данные через подключение к прокси-серверу по ICAP, включая HTTP-, FTP- и HTTPS-трафик (с SSL-подменой на прокси).

  • Подключаться к прокси-серверу по протоколу ICAP, получать и обрабатывать данные HTTP- и FTP-трафика, а также HTTPS-трафика, если администратор настроил подмену SSL-сертификата на прокси-сервере.

В роли ICAP-сервера может выступать Central Node с функцией Sensor или отдельный компонент Sensor.

Важно: KATA не обеспечивает шифрование ICAP-трафика и аутентификацию клиентов по умолчанию. Необходимо самостоятельно настроить защищенное соединение между прокси-сервером и KATA с помощью туннелей или iptables.KATA.

ICAP-клиентом обычно является прокси, который отправляет данные на ICAP-сервер. Решение о пересылке данных и режим работы принимается на клиенте.

Добавлена ICAP-интеграция с обратной связью в двух режимах:

  • Стандартная проверка — объект доступен Sandbox, при обнаружении угрозы блокируется.
  • Усиленная проверка — объект недоступен Sandbox, при угрозе блокируется.

Примечание: При включении приема ICAP-трафика в режиме «Отключено» работает режим respmod:respmod: вердикт не возвращается, но результат доступен в интерфейсе KATA для роли «Офицер безопасности».

Для оптимизации нагрузки приложение может временно переключиться из режима усиленной проверки ICAP-трафика в режим стандартной проверки. В этом случае файлы, полученные из ICAP-трафика и отправленные на проверку в Sandbox, остаются доступными для скачивания. При обнаружении угрозы в проверенных файлах приложение создает алерт. Проверка файлов модулями Anti-Malware Engine и YARA продолжает работать в штатном режиме.

Если вы используете режим распределенного решения и мультитенантности, выполняйте действия включения приема ICAP трафика в веб-интерфейсе того сервера PCN или SCN, параметры которого вы хотите настроить.

На многих прокси серверах или системах поддерживающих передачу данных по ICAP, достаточно будет активировать функциональность ICAP-клиент и указать адрес ICAP-сервер. Детальнее по настройке и работе решения можно ознакомится в онлайн документации.

Включение функционала

Включение приема ICAP на Central Node

  1. Перейдите в веб-интерфейс CN по адресу:

    https://<IP_CN>:8443

  2. Введите учетные данные Localучетной Administratorзаписи с ролью Админитсратор (по умолчанию: Administrator/Administrator)это учетная запись admin автоматически созданная при установки системы). LogIn

  3. ОткройтДалее Sensor Servers,переходим выб раздел “Серите сенсор (напримвер,ы localhost)Sensor”.

    4. В

  4. Вданном разделе ICAPвстроенный integrationSensor withв proxyкомпонент serverCentral Node уназываетстя «Embedded Sensor». Нажимаем «Изменовите State: Enableь».

  5. В открывшемся меню перейдите в раздел “ICAP-интеграция”. В данном разделе переведите в состояние “включено” для включения функционала обработки “ICAP-трафика”.

  6. Далее в зависимости от типа проверки и принципа работы данной интеграции, выставьте режим “проверки в реальном времени”(описан выше) в зависимости от требований и типов проверки, которыми, хотели бы проверять передаваемые данные от “ICAP-клиента” (PROXY/NGFW).

Скопируйте ICAP-адреса:

icap://<IP-Сенсора>:1344/av/respmod
icap://<IP-Сенсора>:1344/av/reqmod

Важно - Для настройки на ICAP-клиенте используйте указанные адреса из поля Host.

Настройка параметров ICAP

В разделе Параметры → Проверка трафика ICAP можно:

  • В разделе “Уведомления” настроить собственные шаблоны страниц блокировки при разных типах срабатывания;
  • выставитьВ пункте “Порог блокировки выставить при каком уровне угрозы блокировать проверяемый файл;
  • В пунказатье в“Время ожидания проверки выставить время ожидания ответа по проверке.

Детальнее по настройке и работе решения можно ознакомится в онлайн документации.

Включение ICAP на Sensor через SSH

  1. ПНастрйодключитесь через SSH к Sensor.

  2. Авторизуйтесь учетной записью admin.

  3. Перейдите в:

    Program settings → Configure ICAP integrationна
    Sensor
    4. выполняется
  4. точно

    Втаключитже опцию Enableкак и для выбстреринного Embedded Sensor/Central Node.

    Детальнее режим:

    по
    • Standard ICAP scanning
    • Advanced ICAP scanning

  5. Скопируйте ICAP-адреса:

    icap://<IP-Сенсора>:1344/av/respmod
icap://<IP-Сенсора>:1344/av/reqmod

Настройкае прокси нра базе Squid

  1. Подключитесь по SSH к серверу Squid.

  2. Откройте конфигурацию:

    sudo nano /etc/squid/squid.conf

  3. Добавьте:

    icap_enable on
adaptation_send_username on
adaptation_send_client_ip on

icap_service kata_req reqmod_precache icap://<IP-Сенсора>:1344/av/reqmod
icap_service kata_resp respmod_precache icap://<IP-Сенсора>:1344/av/respmod

adaptation_access kata_req allow all
adaptation_access kata_resp allow all

icap_service_failure_limit -1

  4. Для логирования добавьте:

    logformat icap_squid ...
icap_log /var/log/squid/icap.log icap_squid

  5. Настройте исключшения длможно ознакомится SSLв bumping через список /etc/squid/donotbump.list,нлайн добкументавцив в squid.conf:и.

    acl do_not_bump dstdomain "/etc/squid/donotbump.list"
ssl_bump splice do_not_bump

  6. Перезапустите Squid:

    systemctl restart squid
systemctl status squid

Проверка работы

  • Настройте ПК на использование прокси.
  • Выполните запрос на загрузку EICAR-файла по HTTPS.
  • В CN → Dashboards → Processed → выберите ICAP → проверьте активность.
  • В Alerts → фильтр (Пример: по File name: EICAREICAR) → проверьте события.

Работа с ICAP-исключениями

Пользователи с ролью Старший сотрудник службы безопасности могут создавать список ICAP-исключений — перечень данных, которые Kaspersky Anti Targeted Attack Platform не будет проверять.

Можно создать правила ICAP-исключений для следующих данных:

  • Формат
  • Агент пользователя
  • MD5
  • Маска URL
  • IP или подсеть источника

Пользователи с ролями Аудитор и Сотрудник службы безопасности могут просматривать список правил ICAP-исключений.

Особенности в распределенном решении

  • В режиме распределенного решения:

    • ICAP-исключения, созданные на SCN, распространяются на все компоненты Sensor, подключенные к этой SCN.
    • ICAP-исключения, созданные на PCN, распространяются на SCN, установленную на одном устройстве с PCN, и все подключенные к этой SCN компоненты Sensor.

Детальнее по настройке и работе решения можно ознакомится в онлайн документации.

Back to top