Skip to main content

Инструкция по ICAP-интеграции KATA

Введение

Данное руководство содержит информацию об интеграции платформы KATA со сторонними решениями по протоколу ICAP, такими как Proxy server или NGFW. Также поддерживается возможность интеграции с другими решениями, поддерживающими передачу данных по ICAP. Описывает процесс настройки и проверки интеграции, встречающиеся проблемы в PoC, эксплуатации и шаги по их устранению.

Краткое описание решения

Kaspersky Anti Targeted Attack Platform — решение для защиты IT-инфраструктуры организации и своевременного обнаружения атак «нулевого дня», целевых атак и APT. Решение разработано для корпоративных пользователей.

Решение может получать и обрабатывать данные через подключение к прокси-серверу по ICAP, включая HTTP-, FTP- и HTTPS-трафик (с SSL-подменой на прокси).

  • Подключаться к прокси-серверу по протоколу ICAP, получать и обрабатывать данные HTTP- и FTP-трафика, а также HTTPS-трафика, если администратор настроил подмену SSL-сертификата на прокси-сервере.

В роли ICAP-сервера может выступать Central Node с функцией Sensor или отдельный компонент Sensor.

Важно: KATA не обеспечивает шифрование ICAP-трафика и аутентификацию клиентов по умолчанию. Необходимо самостоятельно настроить защищенное соединение между прокси-сервером и KATA.

ICAP-клиентом обычно является прокси, который отправляет данные на ICAP-сервер. Решение о пересылке данных и режим работы принимается на клиенте.

Добавлена ICAP-интеграция с обратной связью в двух режимах:

  • Стандартная проверка — объект доступен Sandbox, при обнаружении угрозы блокируется.
  • Усиленная проверка — объект недоступен Sandbox, при угрозе блокируется.

Примечание: При включении приема ICAP-трафика в режиме «Отключено» работает режим respmod: вердикт не возвращается, но результат доступен в интерфейсе KATA для роли «Офицер безопасности».

Для оптимизации нагрузки приложение может временно переключиться из режима усиленной проверки ICAP-трафика в режим стандартной проверки. В этом случае файлы, полученные из ICAP-трафика и отправленные на проверку в Sandbox, остаются доступными для скачивания. При обнаружении угрозы в проверенных файлах приложение создает алерт. Проверка файлов модулями Anti-Malware Engine и YARA продолжает работать в штатном режиме.

Если вы используете режим распределенного решения и мультитенантности, выполняйте действия включения приема ICAP трафика в веб-интерфейсе того сервера PCN или SCN, параметры которого вы хотите настроить.

На многих прокси серверах или системах поддерживающих передачу данных по ICAP, достаточно будет активировать функциональность ICAP-клиент и указать адрес ICAP-сервер. Детальнее по настройке и работе решения можно ознакомится в онлайн документации.

Включение функционала

Включение приема ICAP на Central Node

  1. Перейдите в веб-интерфейс CN по адресу:

    https://<IP_CN>:8443

  2. Введите учетные данные учетной записи с ролью Админитсратор (по умолчанию это учетная запись admin автоматически созданная при установки системы). LogIn

  3. Далее переходим в раздел “Серверы Sensor”. В данном разделе встроенный Sensor в компонент Central Node называется «Embedded Sensor». Нажимаем «Изменить».

  4. В открывшемся меню перейдите в раздел “ICAP-интеграция”. В данном разделе переведите в состояние “включено” для включения функционала обработки “ICAP-трафика”.

  5. Далее в зависимости от типа проверки и принципа работы данной интеграции, выставьте режим “проверки в реальном времени”(описан выше) в зависимости от требований и типов проверки, которыми, хотели бы проверять передаваемые данные от “ICAP-клиента” (PROXY/NGFW).

Скопируйте ICAP-адреса:

icap://<IP-Сенсора>:1344/av/respmod
icap://<IP-Сенсора>:1344/av/reqmod

Важно - Для настройки на ICAP-клиенте используйте указанные адреса из поля Host.

Настройка параметров ICAP

В разделе Параметры → Проверка трафика ICAP можно:

  • В разделе “Уведомления” настроить собственные шаблоны страниц блокировки при разных типах срабатывания;
  • В пункте “Порог блокировки” выставить при каком уровне угрозы блокировать проверяемый файл;
  • В пункте “Время ожидания проверки” выставить время ожидания ответа по проверке.

Детальнее по настройке и работе решения можно ознакомится в онлайн документации.

Включение ICAP на Sensor

Настрйока ICAP на Sensor выполняется точно также как и для встренного Embedded Sensor/Central Node.

Детальнее по настройке и работе решения можно ознакомится в онлайн документации.

Проверка работы

оспособности
    интеграции
  • Н

    После завершения настройек на стороне KATA и ICAP-клиента (прокси) проверьте корректность работы следующим образом:

    1. Убедитесь, что тестовый ПК настроен на использование вашего прокси.

    2. Выполните запрос на загрузку EICAR-тестового файла поEICAR через HTTPS.

    3. В интерфейсе Central Node:

      • Перейдите в раздел Dashboards.
      • В CNпанели → Dashboards → Processed → выберите ICAPисточник (ICAP) — IP-адрес вашего прокси и период (например, Last hour).
      • Убедитесь, что на графике есть активность (число обработанных URLs и Files больше нуля).

    4. Авторизуйтесь в CN под учетной записью с ролью Офицера безопасности, чтобы проверить срабатывание по загруженному файлу:

      • Откройте раздел Alerts.

      • Отфильтруйте события по полю File name, указав EICAR.

      • Проверьте список событий — убедитесь, что отображается нужный файл.

      • Откройте событие и проверьте карточктиву с подробностями:

        • Data Source должно содержать. ICAP Sensor <IP> — значит, трафик шел через настроенный ICAP.
        • В Alertsразделе Object information отобразится информация о проверенном фиайльтре (Пнапример:, поeicar.zip).
          • File name: EICAR) → п
        • Проверьте источник запроса, адреса Proxy и Web-сервера, убедитесь, что обращение бытия.ло по HTTPS.

    Работа с ICAP-исключениями

    Пользователи с ролью Старший сотрудник службы безопасности могут создавать список ICAP-исключений — перечень данных, которые Kaspersky Anti Targeted Attack Platform не будет проверять.

    Можно создать правила ICAP-исключений для следующих данных:

    • Формат
    • Агент пользователя
    • MD5
    • Маска URL
    • IP или подсеть источника

    Пользователи с ролями Аудитор и Сотрудник службы безопасности могут просматривать список правил ICAP-исключений.

    Особенности в распределенном решении

    • В режиме распределенного решения:

      • ICAP-исключения, созданные на SCN, распространяются на все компоненты Sensor, подключенные к этой SCN.
      • ICAP-исключения, созданные на PCN, распространяются на SCN, установленную на одном устройстве с PCN, и все подключенные к этой SCN компоненты Sensor.

    Детальнее по настройке и работе решения можно ознакомится в онлайн документации.

    📌 Примечания по интеграции с решениями

    🟢 UserGate

    • В UserGate необходимо создать ICAP-сервер и указать адреса, полученные на CN:

      icap://<IP-Сенсора>:1344/av/respmod
icap://<IP-Сенсора>:1344/av/reqmod

    • При необходимости активируйте опции:

      • «Посылать имя пользователя»
      • «Посылать IP-адрес»

    • После создания ICAP-сервера настройте ICAP-правило, выбрав ранее созданный сервер.

    🚨 Продолжить с раздела «Советы по созданию заявки в службу технической поддержки»?

Back to top