Вы мо­же­те на­стро­ить ин­те­гра­цию PT NAD с внеш­ней ана­ли­ти­че­ской си­сте­мой для про­вер­ки фай­лов, из­вле­чен­ных из тра­фи­ка. В ка­че­стве та­кой си­сте­мы мо­жет вы­сту­пать один из про­дук­тов Positive Technologies: Positive Technologies MultiScanner (PT MultiScanner) или Positive Technologies Sandbox (PT Sandbox). При на­стро­ен­ной ин­те­гра­ции PT NAD от­прав­ля­ет из­вле­чен­ные из тра­фи­ка фай­лы на про­вер­ку во внеш­нюю ана­ли­ти­че­скую си­сте­му, ко­то­рая воз­вра­ща­ет ре­зуль­та­ты про­вер­ки в PT NAD. Ин­фор­ма­ция об об­на­ру­жен­ных угро­зах отоб­ра­жа­ет­ся в кар­точ­ках сес­сий и атак, а та­к­же в таб­ли­цах сес­сий и атак в столб­це с мет­ка­ми ре­пу­та­ции.

Ин­те­гра­ция осу­ществ­ля­ет­ся по ICAP с по­мо­щью мо­ду­ля ptdpi-worker@icap. Он яв­ля­ет­ся ICAP-кли­ен­том, ко­то­рый от­прав­ля­ет из­вле­чен­ные фай­лы ICAP-сер­ве­ру внеш­ней ана­ли­ти­че­ской си­сте­мы и по­лу­ча­ет от него ре­зуль­та­ты про­вер­ки фай­лов. На­строй­ка ин­те­гра­ции вы­пол­ня­ет­ся в веб-ин­тер­фей­сах PT NAD и внеш­ней ана­ли­ти­че­ской си­сте­мы.

На­строй­ка ин­те­гра­ции

Пе­ред на­строй­кой ин­те­гра­ции вам или ад­ми­ни­стра­то­ру внеш­ней ана­ли­ти­че­ской си­сте­мы нуж­но уста­но­вить и на­стро­ить ее ICAP-сер­вер. Вы мо­же­те най­ти по­дроб­ную ин­фор­ма­цию об уста­нов­ке и на­строй­ке ICAP-сер­ве­ра в до­ку­мен­та­ции к этой си­сте­ме (PT Sandbox или PT MultiScanner).

Пе­ред вы­пол­не­ни­ем ин­струк­ции нуж­но ука­зать ад­рес веб-ин­тер­фей­са.

sudo /opt/ptsecurity/nad/bin/manage external_resources upsert

Про­вер­ка ин­те­гра­ции

sudo /opt/ptsecurity/icap-worker/bin/check-icap <Путь к файлу>

sudo /opt/ptsecurity/icap-worker/bin/check-icap /home/user/archive.tar.gz

{
  "type": "ms",
  "cat": "no_malware",
  "color": "0",
  "ref": "https://198.51.100.32/files/478064f5ea272e...4eaa86d501a",
  "sandbox": false
}

Типы фай­лов