[設定の編集]権限が付与されているユーザーのみ、 Kaspersky Anti Targeted Attack Platform(以後「KATA」の略称でも表記)との連携を設定できます。
Kaspersky Anti Targeted Attack Platform は、企業の IT インフラストラクチャを保護するとともに、ゼロデイ攻撃や標的型攻撃、APT 攻撃(様々な攻撃手法を組み合わせた長期間にわたる標的型攻撃)を迅速に検知するためのソリューションです。
他のカスペルスキー製品でスキャンしたオブジェクトを KATA で取得して処理するために、KATA とその他のカスペルスキー製品を連携させることができます。Kaspersky Web Traffic Security は、KATA と連携させることができる製品の 1 つです。
Kaspersky Web Traffic Security の管理者は、コントロールロールのノードで KATA との連携を設定する必要があります。その後、クラスターに含まれるセカンダリロールのノードすべてに連携の設定が反映されます。クラスターの各ノードは、その他のノードとは独立して KATA サーバーと対話します。
KATA との連携では、KATA サーバーにファイルを送信するモードと KATA で検知されたオブジェクトを取得するモードの 2 つのモードを使用できます:
KATA サーバーへのファイルの送信
Kaspersky Web Traffic Security は、トラフィック処理ルールおよび既定の保護ポリシーでブロックされなかったオブジェクトを KATA サーバーに送信します。しかし、本製品側で KATA サーバーでのオブジェクトのスキャン結果が送信されるのを待機することはありません。
各ファイルの処理時に、それぞれのファイルを KATA サーバーに送信する必要があるかがチェックされます。結果に基づいて、スキャンのステータスが本製品のイベントログに書き込まれます。次のステータスがあります:
「スケジュール済み」ステータスまたは「失敗」ステータスが割り当てられているファイルでは、ファイルの送信に関する詳細情報も合わせて記録されます。
KATA サーバーへのファイルの送信に関するすべてのイベントは、Syslog プロトコル経由でオペレーティングシステムのログに記録されます。
KATA で検知されたオブジェクトの取得
Kaspersky Web Traffic Security は KATA でサンドボックス技術と YARA 技術を使用して検知されたオブジェクトに関する情報を KATA サーバーから取得します。詳細については、「Kaspersky Anti Targeted Attack Platform Help Guide」を参照してください。
取得したオブジェクトに関する情報は KATA のキャッシュに保存されます。各クラスターノードでは、KATA キャッシュの保存と KATA で検知されたオブジェクトの取得とが、その他のノードからは独立して行われます。保管期間が終了すると、オブジェクトに関する情報はキャッシュから削除されます。保護ルールと既定の保護ポリシーの適用時に、キャッシュから削除されたこれらのオブジェクトは考慮されません。
保護ルールと既定の保護ポリシーで、KATA サーバーから情報を取得したオブジェクトに対して実行する処理を設定できます。これらのオブジェクトがユーザートラフィック内で検知された場合、Kaspersky Web Traffic Security はルールで指定されている設定に従ってオブジェクトを処理します。これにより、有害な可能性のあるオブジェクトに関する情報が KSN のレピュテーションデータベースとローカルの定義データベースに追加されるまでの間も、こうしたオブジェクトをブロックできます。
各オブジェクトをスキャンした結果はイベントログに書き込まれます。次のスキャンステータスがあります:
KATA で検知されたオブジェクトとトラフィックが一致するかどうかのスキャンに関するすべてのイベントは、Syslog プロトコル経由でオペレーティングシステムのログに記録されます。