KATA
Защита периметра. Настройка платформы

Рады приветствовать вас уже в 4 статье блока KATA из цикла по Symphony XDR на портале TS University!

В прошлых статьях мы развернули двусерверный вариант платформы, обновили до последней версии и взглянули на интерфейс администратора. А сейчас пришло время настройки.

В третьей статье мы остановились на обзоре раздела «Серверы Sandbox», поэтому давайте сразу же и подключим песочницу.

1. Подключение песочницы
Нажмем «Добавить» в последнем разделе главного меню, вводим IP-адрес сервера песочницы и кликаем на кнопку «Получить отпечаток сертификата».

Отпечаток сертификата можно проверить в веб-интерфейсе сервера песочницы, который мы подключаем. Перейдем туда и откроем раздел главного меню «Авторизация KATA».

Отпечатки должны совпадать. Если они не совпадают, то либо вы ошиблись ip-адресом сервера песочницы, либо у вас «man in the middle». И это нужно расследовать.

Между серверами платформы не должно быть устройств (программных или аппаратных), подменяющих сертификат и расшифровывающих трафик. Это может привести к некорректной работе системы.

Когда вы убедились, что отпечатки совпадают, нажимайте «Добавить» в интерфейсе центрального узла. Вы увидите, что сервер появился в списке, и в столбце «Авторизация» будет указано «Запрос отправлен».

Теперь давайте снова перейдем к серверу песочницы в раздел «Авторизация KATA». Мы увидим запрос на подключение.

Нажимаем «Принять» и «Применить». Вас попросят подтвердить сохранение изменений: нажимаем «Да».

С этого момента центральный узел в состоянии отправлять объекты на проверку в песочницу. В интерфейсе центрального узла в графе «Авторизация» теперь стоит «Одобрено». А в интерфейсе сервера песочницы в графе «Состояние» для этого центрального узла указано «Принят».

2. Лицензирование
Теперь перейдём в раздел «Параметры» и лицензируем нашу инсталляцию.

В разделе лицензирования доступно добавление только файлов лицензии. Коды активации не поддерживаются.

Как уже упоминалось ранее, функциональность платформы KATA делится на защиту периметра и EDR-защиту конечных точек. Для начала мы лицензируем только защиту периметра. Это даст нам понимание того, какой функционал откроется для нас в данном случае.

А лицензию для KEDR мы добавим позже, когда будем рассматривать защиту хостов.

После добавления лицензии вы увидите серийный номер, срок действия и количество оставшихся дней.

Но это не всё. Добавляются для администратора и 2 раздела меню: Отчеты и Внешние системы.

Кратко о разделах:

• Отчёты позволяют включить/выключить функцию записи активности пользователей в веб-интерфейсе и скачать журнал. Причём по умолчанию эта функция отключена.
• Внешние системы ведут учёт сторонних сервисов, которые были подключены к KATA для проверки файлов. Это могут быть самописные системы, подключенные по API, или внешние сенсоры (например, KSMG и KWTS).

Помимо этого, в разделе «Серверы Sensor» открывается возможность настраивать источники трафика. Мы остановимся на этом более подробно в следующей статье.

3. Дата и время
Для взаимодействия узлов платформы очень важна синхронизация времени между ними. Допускается только минимальное расхождение в несколько минут по UTC.

Поэтому лучшим решением будет настроить синхронизацию с NTP-серверами. Можно использовать корпоративные (например: контроллеры домена) и публичные сервера.

NTP-сервера мы указали при установке. Поэтому остается только верно выставить часовой пояс.

4. Общие параметры
Тут располагаются настройки обновления баз, мониторинга системы и SNMP.

Обновление баз, как и в случае с сервером песочницы, может происходить через безопасное/ небезопасное соединение с серверов Лаборатории Касперского, а также со сторонних веб-серверов. После привязки лицензии обновление баз запустится по расписанию автоматически или вы можете запустить его вручную (по кнопке).

Параметры Мониторинга помогают определить, когда ваша система работает на пределе выделенных ресурсов. Информация об этом будет выводиться в окне предупреждений на странице Мониторинга.

SNMP-протокол позволяет выгрузить низкоуровневую информацию о состоянии сервера в стороннюю систему мониторинга. Подробно мы тут останавливаться не будем. Информацию по настройке SNMP вы сможете получить в онлайн-справке к KATA на портале Лаборатории Касперского.

5. Сертификаты
Сертификат сервера — это важная составляющая коммуникации как между службами внутри платформы, так и со сторонними системами.

Если мы используем функционал KATA, то тут будет показан только сертификат сервера. Лицензия KEDR расширит эту страницу. Мы посмотрим на это в будущих статьях.

В случаях смены сертификата сервера потребуется заново настроить связь сенсоров, песочниц и центральных узлов в распределенной установке.

6. Проверка трафика ICAP
В KATA 6.0, помимо проверки файлов и ссылок, переданных по протоколу ICAP, появилась возможность блокировать соединение. В этом разделе меню можно настроить страницы блокировки и проверки файлов, важность такого обнаружения и максимальное время ожидания проверки.

7.KSN/KPSN и MDR
В этом разделе можно подключаться к внешним службам Лаборатории Касперского.

Немного о каждой из них:

• Подключение к KSN (Kaspersky Security Network) позволяет задействовать облачную базу Лаборатории Касперского для получения более актуальных данных об объектах, чем те, которые содержатся в базах. Следует заметить, что такой механизм, как URL Reputation, не работает без подключения к KSN, и в целом качество обнаружения вредоносных объектов может быть ниже. Для работы KSN сведения об объектах в анонимизированном виде отправляются в облако Лаборатории Касперского;
• Служба KPSN (Kaspersky Private Security Network) по своему назначению аналогична KSN. Разница лишь в том, что KPSN развёртывается в локальной инфраструктуре, и никакие данные организации не выходят за периметр сети. Зачастую KPSN используют в закрытых инфраструктурах. KPSN гарантированно только скачивает информацию из облака и не отправляет её вовне;
• Служба MDR расшифровывается как Managed Detection and Response. Это услуга, которую предоставляют специалисты вендора. При подключении к данной службе специалисты Лаборатории будут получать обнаружения из KATA и связанный контекст, обрабатывать их на своей стороне и предоставлять рекомендации по реагированию. Очень мощный инструмент для компаний, у которых недостаточно своих специалистов ИБ или они хотят получить второе мнение

8. Уведомления
Для того чтобы оперативно реагировать на проблемы в работе служб платформы KATA, можно настроить почтовые уведомления.

После заполнения данных о вашем почтовом сервере, на который будет доставляться почта, вам нужно будет создать правила уведомлений. То есть: кому, с какой темой письма и по работе каких модулей они будут приходить.

9. Интеграция с SIEM-системой
Здесь можно подключить пересылку информации о событиях в SIEM-систему.

Следует отметить, что в обновлении KATA 6, помимо данных об обнаружениях, появилась возможность отправлять и телеметрию с конечных узлов в SIEM-систему. Данный функционал, доступный по API, уже реализован «из коробки» при интеграции с SIEM-системой Kaspersky Unified Monitoring and Analysis Platform версии 3.0 , в других же SIEM системах для работы может потребоваться дополнительная разработка специального скрипта-сборщика.

10. Сетевые параметры
В этом разделе мы можем настроить различные параметры, связанные с сетью:

• используемые серверы DNS
• прокси-сервер для доступа в интернет
• имя сервера и сетевые интерфейсы

11. Пароли к архивам
В этом разделе можно указать пароли к архивам, которые будут попадать на проверку в KATA. Тут вы можете задаться вопросом: «зачем это необходимо?». Ведь очень маловероятно, что пароли, которые мы укажем, подойдут к архивам из интернета. И будете правы.

Эта возможность предоставлена не для того, чтобы пытаться угадать пароли от архивов, приходящих извне, а чтобы распаковывать архивы, проходящие изнутри.

Например: у вас есть сервис собственной разработки, и в нем все выгружаемые файлы архивируются с каким-то паролем для обеспечения сохранности. В таком случае этот пароль может быть занесен в список, и KATA сможет проверить архив при передаче в почте или в сыром трафике (и уведомить администратора при необходимости).

12. Пользователи

Напоследок остался раздел с управлением пользователями платформы.

В платформе есть всего 6 предварительно настроенных роли пользователей. Создавать свои роли нельзя, как нельзя и менять набор прав у существующих.

Вот их список:

• Локальный администратор Administrator. Он в системе только один. Создать ещё одного пользователя с такой ролью нельзя. Пользователь с этой ролью имеет права для настройки и сопровождения продукта, но не работает с событиями безопасности;
• Локальный администратор admin. Он в системе только один. Создать ещё одного пользователя с такой ролью нельзя. Пользователь с этой ролью необходим для конфигурации параметров масштабирования и просмотра состояния узлов кластера в отказоустойчивой установке;
• Администратор. Идентичен по возможностям локальному администратору Administrator, за исключением настройки распределённого режима. Настройка распределенного режима доступна только Administrator;
• Старший сотрудник службы безопасности. Пользователю с этой ролью доступна настройка технологий обнаружения и обработки обнаружений, но недоступна настройка параметров инсталляции и взаимодействия с инфраструктурой;
• Сотрудник службы безопасности. Пользователю с этой ролью доступна только часть обнаружений в веб-интерфейсе, и он не может менять настройки технологий обнаружений. Помимо этого, он не видит подробности обнаружений, отмеченных VIP-статусом;
• Аудитор. Пользователь с ролью Аудитор может видеть все разделы интерфейса, но не может ничего менять

Нами уже был создан один пользователь под именем security с ролью Старший сотрудник службы безопасности. Этого нам будет достаточно, чтобы познакомиться со всеми функциями продукта.

Важной особенностью является то, что созданного пользователя нельзя удалить, нельзя переименовать или изменить роль. Доступна только смена пароля и включение/выключение учетной записи.

Помимо локальных учетных записей, есть возможность интегрировать KATA со службой каталогов Active Directory. В таком случае появится возможность назначать роли в системе пользователям AD.