Kaspersky Tìm hiểu định nghĩa Endpoint Kaspersky

L

Lê Triệu Phú

Intern
A. Kaspersky Scan Engine
1. Tổng quan
Kaspersky Scan Engine là một giải pháp engine quét phía server dựa trên Kaspersky Anti-Virus SDK. Cung cấp dịch vụ REST/HTTP (HTTP mode) và ICAP (ICAP mode) để quét file, bộ nhớ, URL và HTTP traffic, giúp tích hợp chức năng anti-malware vào proxy, mail gateway, web portals, cloud storage hoặc ứng dụng của bên thứ ba.

2. Nguyên lý hoạt động

Cách hoạt động chính:

  • HTTP mode: KSE chạy như một service REST-like — nhận request (JSON/plain), quét đối tượng (file/body) và trả JSON/plain response với kết quả. Thuận tiện để tích hợp trực tiếp từ ứng dụng qua HTTP API.
  • ICAP mode: KSE hoạt động như ICAP plug-in, phù hợp để tích hợp với proxy/NGFW/NAS để quét luồng HTTP/response/requests theo chuẩn ICAP (thường dùng cho web-filtering/ proxy scanning).
  • Có GUI quản lý để cấu hình, xem logs và thống kê; engine có thể chạy độc lập hoặc theo cụm (cluster).
B. Cơ sở dữ liệu chữ ký
1. Cấu trúc và thành phần dữ liệu:
  • Signature patterns: Mẫu byte/hex, hash MD5/SHA, biểu thức logic để nhận diện file độc hại cụ thể. Dùng dể phát hiện xác định (deterministic)
  • Heuristic/Generic rules: Luật suy đoán cho các họ/biến thể malware chưa có chữ ký cụ thể. Giúp giúp giảm độ trễ khi malware mới xuất hiện
  • Cloud reputation indicators: ID/metadata dùng khi tra cứu nhanh với Kaspersky Security Network (KSN) giúp hỗ trợ xác minh
  • URL/Phishing/Spam DB: Danh sách tên miền, URL độc hại, lừa đảo. Áp dụng cho Web/Mail Protection
  • Module detection: Các plug-in chuyên biệt (ví dụ adware, exploits). Tích hợp vào engine như gói cập nhật riêng
2. Chu kỳ và cơ chế cập nhật
Tần xuất:

  • Gần như liên tục. Kaspersky phát hành bản cập nhật trung bình hàng giờ, có thể nhiều lần/giờ trong tình huống bùng phát.
  • Endpoint mặc định kiểm tra cập nhật mỗi giờ, có thể đặt dày hơn (15 phút) hoặc thưa hơn tùy môi trường.


Quy trình:

  • Agent Endpoint (hoặc KSC) định kỳ so sánh phiên bản hiện tại với máy chủ cập nhật.
  • Chỉ tải delta updates (các gói chênh lệch) để tiết kiệm dung lượng.
  • Sau khi tải về, gói được xác thực chữ ký số để đảm bảo toàn vẹn.
  • Engine chuyển sang database mới không cần khởi động lại (hot-swap).
C. Quản lý tập trung
1. Kiến trúc tổng thể
Thành phần và vai trò

  • KSC Administration Server: “Bộ não” – lưu trữ cơ sở dữ liệu, nhận log/sự kiện từ agent, phân phối cập nhật và policy.
  • Network Agents (NA): Dịch vụ chạy trên từng endpoint, đóng vai trò “điệp viên” giao tiếp hai chiều giữa endpoint và Admin Server.
  • Administration Console: Giao diện quản trị: có thể cài trên máy quản trị (MMC) hoặc dùng Web Console (HTML5) để truy cập từ xa.
  • Distribution Points (DP): Node phụ tải (proxy/mirror) để tối ưu băng thông trong mạng lớn/đa chi nhánh.
  • Database Backend: Lưu cấu hình, báo cáo, nhật ký (SQL Server/SQL Express/PostgreSQL).
Chức năng cốt lõi

Triển khai & Cập nhật phần mềm

  • Triển khai agent và endpoint AV tự động (push) qua AD, IP range, hoặc thủ công.
  • Phân phối cập nhật chữ ký, engine, module – có thể thiết lập mirror, schedule, hoặc cập nhật theo nhóm.
Chính sách & Profile

  • Tạo policy templates cho từng loại hệ điều hành/nhóm người dùng: bật/tắt module (Web Control, Device Control, EDR), đặt mức quét, password protection.
  • Cấu hình policy inheritance & override (tổ chức theo OU/Group).
  • Hỗ trợ role-based administration: chia quyền giữa các nhóm quản trị (Helpdesk vs Security).
Giám sát & Cảnh báo

  • Real-time dashboard: tình trạng bảo vệ, bản cập nhật, sự kiện phát hiện, máy không tuân thủ.
  • Hệ thống alert & notification: email/SMS/Syslog, tích hợp SIEM (Syslog CEF/LEEF).
  • Event correlation & reporting: xuất báo cáo PDF/CSV, thống kê lịch sử.
Khả năng phản ứng sự cố (Incident Response)

  • Remote task: quét theo yêu cầu, cập nhật, restart agent, isolate/quarantine máy.
  • IOC/forensics (với add-on Kaspersky EDR Optimum/Expert): thu thập artefact, điều tra chuỗi sự kiện.
Quản lý thiết bị & chính sách mở rộng

  • Device Control: chặn/cho phép USB, Bluetooth, Wi-Fi theo nhóm hoặc theo user.
  • Application Control: danh sách trắng/đen ứng dụng, kiểm soát quyền thực thi.
  • Patch Management & Vulnerability Scan (tùy license): quét lỗ hổng, đẩy bản vá hệ điều hành và ứng dụng phổ biến.
 
Sửa lần cuối:
Bài viết liên quan
[Khám phá khái niệm quản lý tập trung] [Tìm hiểu cách quản lý tập trung hoạt động, bao gồm thực thi chính sách, báo cáo và cập nhật] bởi Lê Triệu Phú,
[Hiểu các cơ chế phát hiện] [Tìm hiểu về các phương pháp phát hiện dựa trên chữ ký, heuristic, và hành vi.] bởi Lê Triệu Phú,
Bài viết mới
[Khám phá khái niệm quản lý tập trung] [Tìm hiểu cách quản lý tập trung hoạt động, bao gồm thực thi chính sách, báo cáo và cập nhật] bởi Lê Triệu Phú,
[Hiểu các cơ chế phát hiện] [Tìm hiểu về các phương pháp phát hiện dựa trên chữ ký, heuristic, và hành vi.] bởi Lê Triệu Phú,
Bạn phải đăng nhập hoặc đăng ký để bình luận.
Back
Top