Справочный портал
PT Sandbox 5.21 · Справка администратора
Русский
Интеграция с внешними системами
PT NAD 7.1 и выше
В этой статье
Добавление источника в PT Sandbox

При ин­те­гра­ции про­дук­тов PT NAD от­прав­ля­ет из­вле­чен­ные из тра­фи­ка фай­лы на про­вер­ку в PT Sandbox и по­лу­ча­ет ре­зуль­та­ты про­вер­ки. Ин­фор­ма­ция об об­на­ру­жен­ных угро­зах отоб­ра­жа­ет­ся в кар­точ­ках сес­сий и атак, а та­к­же в таб­ли­цах сес­сий и атак в столб­це с мет­ка­ми ре­пу­та­ции.

Если в ва­шей ин­фор­ма­ци­он­ной си­сте­ме ис­поль­зу­ет­ся меж­се­те­вой экран или дру­гие сред­ства кон­тро­ля се­те­во­го тра­фи­ка, тре­бу­ет­ся на­стро­ить в них пра­ви­ла, раз­ре­ша­ю­щие пе­ре­да­чу тра­фи­ка че­рез порт TCP 2344 от узла PT NAD к ос­нов­но­му узлу PT Sandbox.

Ин­те­гра­ция осу­ществ­ля­ет­ся по ICAP. При этом PT Sandbox яв­ля­ет­ся ICAP-сер­ве­ром. В ка­че­стве ICAP-кли­ен­та в PT NAD ис­поль­зу­ет­ся мо­дуль ptdpi-worker@icap. Он от­прав­ля­ет из­вле­чен­ные из тра­фи­ка фай­лы на про­вер­ку и по­лу­ча­ет ре­зуль­та­ты про­вер­ки. В PT Sandbox та­к­же от­прав­ля­ет­ся до­пол­ни­тель­ная ин­фор­ма­ция о фай­лах, на­при­мер про­то­кол, по ко­то­ро­му пе­ре­хва­чен файл, и IP-ад­ре­са уз­лов, меж­ду ко­то­ры­ми он пе­ре­да­вал­ся.

Для на­строй­ки ин­те­гра­ции необ­хо­ди­мо:

  • В PT Sandbox до­ба­вить ис­точ­ник с ти­пом PT NAD.
  • В цен­тре управ­ле­ния PT NAD в па­ра­мет­рах ин­те­гра­ции с PT Sandbox ука­зать па­ра­мет­ры со­здан­но­го ICAP-сер­ве­ра.
    Ин­струк­ции по на­строй­ке PT NAD при­ве­де­ны в тех­ни­че­ской до­ку­мен­та­ции про­дук­та.

До­бав­ле­ние ис­точ­ни­ка в PT Sandbox

Что­бы до­ба­вить ис­точ­ник в PT Sandbox:В глав­ном меню вы­бе­ри­те Ис­точ­ни­ки.На­жми­те кноп­ку До­ба­вить ис­точ­ник.В поле На­зва­ние вве­ди­те на­зва­ние ис­точ­ни­ка, ко­то­рое бу­дет ука­за­но в свой­ствах по­лу­чен­ных от него объ­ек­тов.
На­зва­ние долж­но со­дер­жать не ме­нее пяти сим­во­лов и быть уни­каль­ным сре­ди на­зва­ний всех ис­точ­ни­ков. На­зва­ние мо­жет со­дер­жать толь­ко строч­ные бук­вы ла­тин­ско­го ал­фа­ви­та, циф­ры, де­фис и при этом на­чи­нать­ся и за­кан­чи­вать­ся толь­ко бук­ва­ми.
В рас­кры­ва­ю­щем­ся спис­ке Тип вы­бе­ри­те PT NAD.Если необ­хо­ди­мо, в поле Ад­ре­са ICAP-сер­ве­ра вве­ди­те до­пол­ни­тель­ные IP-ад­ре­са.
В поле ука­зан IP-ад­рес ICAP-сер­ве­ра, со­зда­ва­е­мо­го в PT Sandbox. Он по­на­до­бит­ся вам при на­строй­ке ин­те­гра­ции в PT NAD.
Если необ­хо­ди­мо, из­ме­ни­те стан­дарт­ный порт под­клю­че­ния к ICAP-сер­ве­ру.
Ука­зан­ный порт не дол­жен ис­поль­зо­вать­ся дру­ги­ми ис­точ­ни­ка­ми для про­вер­ки, служ­ба­ми или при­ло­же­ни­я­ми ОС.
Если необ­хо­ди­мо при­ни­мать объ­ек­ты толь­ко с опре­де­лен­ных ад­ре­сов, вклю­чи­те филь­тра­цию вхо­дя­щих под­клю­че­ний и ука­жи­те IP-ад­ре­са раз­ре­шен­ных уз­лов или под­се­тей.На­жми­те кноп­ку До­ба­вить ис­точ­ник.Ис­точ­ник до­бав­лен в PT Sandbox.
PT ISIM 5.2 и выше
PT Threat Analyzer 2.10 и выше
В этой статье
Добавление источника в PT Sandbox