Un usuario puede configurar la integración con Kaspersky Anti Targeted Attack Platform (en lo sucesivo, también denominado "KATA") solo si el usuario tiene el permiso Editar configuración.
Kaspersky Anti Targeted Attack Platform es una solución diseñada para la protección de la infraestructura de TI corporativa y la detección oportuna de amenazas como ataques de día cero, ataques dirigidos y ataques dirigidos complejos conocidos como amenazas persistentes avanzadas.
KATA se puede integrar con otras aplicaciones de Kaspersky con el fin de recibir y procesar los objetos analizados por esas aplicaciones. Kaspersky Web Traffic Security es una aplicación que puede cumplir esta función.
El administrador de Kaspersky Web Traffic Security debe configurar la integración de KATA en el nodo con rol Control. Una vez hecho esto, la configuración de integración se envía a todos los nodos con rol Secundario que forman parte del clúster. Cada nodo de clúster luego interactúa con el servidor KATA de manera independiente de otros nodos.
Hay dos modos disponibles cuando se integra con KATA: transmisión de archivos al servidor KATA y recepción de objetos detectados por KATA.
Envío de archivos al servidor KATA
Kaspersky Web Traffic Security envía al servidor KATA los objetos que no fueron bloqueados por las reglas de procesamiento de tráfico o la directiva de protección predeterminada. Sin embargo, la aplicación no espera a que el servidor KATA envíe los resultados del análisis de estos objetos.
Cuando se procesa cada archivo, la aplicación verifica si el archivo debe enviarse al servidor KATA. Según los resultados, el estado del análisis se escribe en el registro de eventos de la aplicación. Los siguientes estados están disponibles:
Para los archivos con los estados Programado y Error, también se registra información detallada sobre el resultado de la transmisión del archivo.
Todos los eventos relacionados con la transmisión de archivos al servidor KATA se registran en el registro del sistema operativo a través del protocolo Syslog.
Recepción de objetos detectados por KATA
Kaspersky Web Traffic Security recibe del servidor KATA información sobre los objetos detectados por KATA mediante las tecnologías Sandbox y YARA. Para obtener más información sobre estas tecnologías, consulte la Guía de ayuda de la plataforma de Kaspersky Anti Targeted Attack.
La información sobre los objetos recibidos se guarda en el caché de KATA. Cada nodo de clúster almacena su propio caché de KATA y recibe los objetos detectados por KATA, de manera independiente de otros nodos. Cuando caduca el plazo de almacenamiento, la información sobre los objetos se elimina del caché. Estos objetos ya no se tienen en cuenta cuando se aplican las reglas de protección y la directiva de protección predeterminada.
En las reglas de protección y en la directiva de protección predeterminada puede configurar acciones para tomar objetos cuya información se recibió del servidor KATA. Cuando dichos objetos se detectan en el tráfico del usuario, Kaspersky Web Traffic Security los procesará de acuerdo con la configuración definida en las reglas. Esto le permite bloquear objetos potencialmente dañinos hasta que se agregue información sobre ellos a las bases de datos de reputación de KSN y a las bases de datos locales de la aplicación.
El resultado del análisis de cada objeto se escribe en el registro de eventos. Los siguientes estados de análisis están disponibles:
Todos los eventos relacionados con el análisis de tráfico en busca de coincidencias con objetos KATA se registran en el registro del sistema operativo a través del protocolo Syslog.