Релиз Kaspersky Anti Targeted Attack Platform 6.0

[Demiad]

Что нового
В Kaspersky Anti Targeted Attack Platform появились следующие изменения:

1. В комплект поставки добавлен дистрибутив приложения Kaspersky Anti Targeted Attack Platform на базе операционной системы Astra Linux.
2. Добавлена поддержка KVM-виртуализации для ограниченного числа хостов с компонентом Endpoint Agent.
3. Добавлена ICAP-интеграция с обратной связью. ICAP-интеграция с обратной связью может работать в двух режимах:
   • Стандартная проверка. В режиме стандартной проверки объект проверяется всеми поддерживаемыми технологиями. Во время проверки компонентом Sandbox объект будет доступен. В случае обнаружения угрозы объект будет заблокирован
   • Усиленная проверка. В режиме усиленной проверки объект проверятся всеми поддерживаемыми технологиями. Во время проверки компонентом Sandbox объект не будет доступен. В случае обнаружения угрозы объект будет заблокирован.
4. Добавлена возможность обнаружения угроз в протоколах SMB, NFS, HTTP2.
5. Добавлена возможность проверки зеркалированного зашифрованного трафика при помощи интеграции с приложением ArtX TLSproxy 1.9.1.
6. Для компонента Sensor поддержаны захват и анализ трафика на скорости до 10 Гбит/с включительно.
7. Добавлена возможность записи, хранения и выгрузки копий сырого сетевого трафика.
8. Добавлена возможность настройки автоматического удаления неактивных хостов, отображающихся в списке Endpoint Agents на сервере с компонентом Central Node.
9. В роли компонента Endpoint Agent можно использовать приложение Kaspersky Endpoint Security для Mac со встроенной поддержкой Kaspersky Anti Targeted Attack Platform.
10. Добавлена возможность развертывания на облачной платформе VK Cloud.
11. Расширен функционал для хостов с компонентом Endpoint Agent, представленного Kaspersky Endpoint Security для Linux 12:
12. Добавлена задача Удалить файл.
13. Добавлена задача Завершить процесс.
14. Добавлена возможность изолировать отдельные хосты от сети.
15. Добавлена возможность работать с файлами открытого стандарта описания индикаторов компрометации OpenIOC (IOC-файлы).
16. Прекращена поддержка компонентом Sandbox операционной системы Windows XP SP3 в преднастроенном виде.

Справка

< Предыдущая версия  |

[Presales Ninja]

Привет!

п.3 Добавлена ICAP-интеграция с обратной связью.

Это интересно. Ищу пример работающего конфига сквида (Squid Cache: Version 4.15).

В части ICAP у меня так

# KATA ICAP
icap_enable on

adaptation_send_username on
adaptation_send_client_ip on
icap_service kata_req reqmod_precache icap://kata-cn.my.lab:1344/av/reqmod
icap_service kata_resp respmod_precache icap://kata-cn.my.lab:1344/av/respmod
icap_service_failure_limit -1
adaptation_access kata_req allow all
adaptation_access kata_resp allow all

Но с таким конфигом не работает. В логе сквида ошибка

essential ICAP service is down after an options fetch failure: icap://kata-cn.my.lab:1344/av/reqmod [down,!opt]

п.4  Добавлена возможность обнаружения угроз в протоколах SMB, NFS, HTTP2.

Это интересно. Но. SMBv1 работает. SMBv2 - не взлетело. SMBv2/v3 поддерживается?

п.5 Добавлена возможность проверки зеркалированного зашифрованного трафика при помощи интеграции с приложением ArtX TLSproxy 1.9.1.

ArtX TLSproxy расшифровывает и отправляет трафик на тот же SPAN интерфейс KATA? Если так, то в чем здесь интеграция? Использовать другие же "расшифровщики" не запрещено?

п.10 Добавлена возможность развертывания на облачной платформе VK Cloud.

Здесь речь про полноценный SaaS или про возможность арендовать сервер у VK и развернуть KATA? Если второе, то что мешало раньше это сделать у любого другого провайдера?

Остальное интересно, но кончено не хватает полноценного NTA, а не "выгружай трафик и иди в ваершарк".

[IlyaP]

В 08.12.2023 в 12:30, Presales Ninja сказал:

Привет!

п.3 Добавлена ICAP-интеграция с обратной связью.

Это интересно. Ищу пример работающего конфига сквида (Squid Cache: Version 4.15).

В части ICAP у меня так

# KATA ICAP
icap_enable on

adaptation_send_username on
adaptation_send_client_ip on
icap_service kata_req reqmod_precache icap://kata-cn.my.lab:1344/av/reqmod
icap_service kata_resp respmod_precache icap://kata-cn.my.lab:1344/av/respmod
icap_service_failure_limit -1
adaptation_access kata_req allow all
adaptation_access kata_resp allow all

Но с таким конфигом не работает. В логе сквида ошибка

essential ICAP service is down after an options fetch failure: icap://kata-cn.my.lab:1344/av/reqmod [down,!opt]

п.4  Добавлена возможность обнаружения угроз в протоколах SMB, NFS, HTTP2.

Это интересно. Но. SMBv1 работает. SMBv2 - не взлетело. SMBv2/v3 поддерживается?

п.5 Добавлена возможность проверки зеркалированного зашифрованного трафика при помощи интеграции с приложением ArtX TLSproxy 1.9.1.

ArtX TLSproxy расшифровывает и отправляет трафик на тот же SPAN интерфейс KATA? Если так, то в чем здесь интеграция? Использовать другие же "расшифровщики" не запрещено?

п.10 Добавлена возможность развертывания на облачной платформе VK Cloud.

Здесь речь про полноценный SaaS или про возможность арендовать сервер у VK и развернуть KATA? Если второе, то что мешало раньше это сделать у любого другого провайдера?

Остальное интересно, но кончено не хватает полноценного NTA, а не "выгружай трафик и иди в ваершарк".

Привет!

Удалось заставить работать ICAP? Тоже как то не выходит. Я правда с NGFW пытаюсь задружить.

[Demiad]

@Presales Ninja, @IlyaP, добрый день. У нас есть профильный чат в Telegram по KATA и сопутствующим продуктам. Коллеги в нём смогут оперативно вам ответить на все интересующие вопросы. Ссылка на чат https://t.me/kss_b2b

[Alexan]

Жаль, что компания нигде не публикует выход минорных обновлений своих продуктов (возможно и не только минорных по ряду продуктов) с описанием изменений. В данном случае, речь о версиях KATA/EDR 6.01 и 6.0.2.
Обычно, можно узнать об этом, случайно в том или ином чате в телеге.