После выбора файла появится окно Импорта IOC-файла. Включите автоматическую проверку, укажите важность правила (низкая, средняя или высокая), при необходимости можно изменить имя правила
После этого правило отобразится новой записью в разделе **Пользовательские правила --> IOC**
При нажатии на правило появится меню сведений для данной записи. Здесь можно ознакомиться с содержанием правила и изменить его параметры: включить/выключить автоматическую проверку, изменить имя и важность.
Также для удобства вы можете скачать выбранное правило, а также посмотреть события и алерты связанное с этим IOC-правилом.
При необходимость удалить правило воспользуйтесь соответствующей кнопкой внизу меню сведений IOC-правила
## Настройка автоматической проверки по IOC-правилам
Данная проверка производится ежедневно для всех устройств раздела **"Endpoint Agents"** по IOC-правилам, для которых включён параметр **"Автоматическая проверка"**.
В разделе **Параметры --> Endpoint Agents** в блоке **"Расписание IOC-проверки"** укажите время запуска и максимальную длительность проверки. Нажмите **"Применить"** для сохранения параметров.
В случае, если проверка не будет пройдена за указанный срок, то она будет принудительно завершена
После выполнения проверки в указанное время в разделах **"Поиск угроз"** и **"Алерты"** могут появиться новые записи, в случае обнаружения IOC'ов из заданных правил.
Для удобства поиска можно в разделе алерты задать фильтр для отображения записей связанных только с IOC-проверкой. Для этого в разделе **Алерты** нажмите на название столбца **Технологии**, выберите **IOC** из выпадающего списка и нажмите **Применить**
Для более детального ознакомления с алертом и применения действий нажмите на него (пустое пространство в строке алерта). В данном примере можно изолировать хост, на котором был обнаружен IOC
Также можно выбрать конкретное IOC-правило из списка в разделе **Пользовательские правила --> IOC** и посмотреть связанные с ним алерты или события
## Создание TAA (IOA) правила на основе IOC и поиск по событиям
Для IOC можно создать правило TAA (IOA) для поиска по базе событий раздела **Поиск угроз** и формирования алертов.
> При создании IOC-файла ознакомьтесь со **списком IOC-терминов**, которые можно использовать для поиска событий в разделе **Поиск угроз**
Авторизуйтесь под учётной записью с ролью **Старший сотрудник службы безопасности**. Перейдите в раздел **Поиск угроз** и нажмите **Импортировать**
Поля из IOC будут перенесены в конструктор. При необходимости вы можете внести изменения и добавить новые поля. После чего нажмите Сохранить как правило TAA (IOA).
> Также вы можете сразу выполнить поиск по событиям выбрав необходимый временной период в верхнем правом углу и нажав **Найти**
В появившемся окне добавления TAA (IOA) правила укажите:
* **Состояние**. Переведите переключатель в активное положение для работы правила
* **Имя правила**. (Нельзя использовать пробелы)
* **Описание** при необходимости
* **Важность**. Выберете из выпадающего списка низкая, средняя или высокая
* **Надёжность**. Выставите уровень надёжности в зависимости от вероятности ложных срабатываний
* **Алерты**. Возможность создания алертов из обнаруженных событий
На вкладке **Запрос** вы сможете ознакомиться с содержанием правила.
После внесения необходимых параметров сохраните правило
В разделе **Пользовательские правила --> TAA** нажмите на созданное правило. Здесь можно отредактировать заданные ранее параметры, удалить правило, а также:
* Показать алерты связанные с данным правилом. Для этого нажмите **Алерты TAA** для запуска соответствующей выборки алертов.
* Показать алерты компонента **Sandbox** связанные с данным правилом. Для этого нажмите **Алерты SB** для запуска соответствующей выборки алертов.
* Показать события для данного правила. Для этого нажмите **События**. Запустит выборку в разделе **Поиск угроз** по IOAId (указан в верхнем правом углу правила)
* Выполнить поиск событий по полям правила. Для этого нажмите **Запуск**. Запустит выборку в разделе **Поиск угроз**
# Интеграция KATA c MDR
Приложение Kaspersky **Managed Detection and Response (MDR)** предназначено для обнаружения и предотвращения мошеннических действий в инфраструктуре клиента. MDR обеспечивает непрерывную управляемую защиту и позволяет организациям автоматически выявлять труднообнаружимые угрозы и освобождать сотрудников группы IT-безопасности для решения задач, требующих их участия.
Kaspersky Anti Targeted Attack Platform получает данные и отправляет их в Kaspersky Managed Detection and Response с помощью потока Kaspersky Security Network. Поэтому для настройки интеграции с MDR **обязательно участие в KSN**.
Перед настройкой интеграции Kaspersky Anti Targeted Attack Platform с приложением MDR требуется получить архив с конфигурационным файлом на портале MDR.
### Получение архива с конфигурационным файлом
В веб-консоли MDR необходимо перейти в раздел лицензирования. Для этого в нижнем левом углу нажать на раздел **Решение активировано**
[](http://62.113.113.15/uploads/images/gallery/2025-07/image-1752435080101.png)
Затем нажать **Скачать** для загрузки архива
[](http://62.113.113.15/uploads/images/gallery/2025-07/image-1752435319344.png)
### Подключение KATA к MDR
Перейти в веб-консоль KATA под УЗ администратора и перейти в раздел **Параметры > KSN/KPSN и MDR** и убедиться что активно участие в KSN. Под заголовком **Интеграция с MDR** необходимо нажать **Импортировать** и выбрать архив скачанный на предыдущем шаге (распаковывать архив не нужно)
[](http://62.113.113.15/uploads/images/gallery/2025-07/image-1752436097912.png)
После добавления архива под заголовком **Интеграция с MDR** появится информация об актуальной лицензии. На этом подключение KATA к MDR завершено
[](http://62.113.113.15/uploads/images/gallery/2025-07/image-1752436232401.png)
# Руководство по резервному копированию Central Node и БД телеметрии EDR Агентов
Предупреждение:
- РК БД ТАА вы делаете на свой страх и риск.
- Заказчик принимает на себя риск того, что процедура РК телеметрии EDR может не удастся.
Особенности РК
Версии восстанавливаемой и установленной на сервер приложений должны совпадать. Если версии приложений не совпадают, при запуске восстановления приложения отобразится сообщение об ошибке и процесс восстановления будет прерван.
Особенности РК базы телеметрии EDR КАТА
В КАТА база Elasticsearch располагается по этому пути
/data/storage/volumes/elasticsearch-1/В КАТА 4.Х база Elasticsearch располагается по этому пути
/data/var/lib/kaspersky/storage /swarm/elasticsearch-1/В этом разделе описываются варианты подключения сетевых каталогов к КАТА Central Node
Подключение CIFS хранилища для резервного копирования Central Node
- В KATA «из коробки» доступно монтирование общих ресурсов CIFS (только их). Примонтируйте общий ресурс.
Примечание:mount.cifs <папка на стороннем сервере> <директория монтирования> <-o опции>
* вместо mount.cifs можно написать mount -t cifs.
Пример:
mount.cifs //10.10.10.1/backup /kata-backup
mount -t cifs //10.10.10.1/backup /kata-backup
где //10.10.10.1/backup – расшаренная папка, которую необходимо примонтировать.
Для работы CIFS/SMB необходимы порты:- TCP 445;
- UDP 137;
- UDP 138;
- DP 139
Для разрешения имен NetBios используются порты UDP 137, 138 и TCP 139, без них будет работать только обращение по IP адресу. - После подключения папки, ее можно будет использовать для сохранения резервных копий CN и ТАА
/kata-backup – директория смонтирована в корень.
Для проверки - можете выпонить df -h, и /kata-backup будет отображена в общем списке директорий.
Подключение NFS хранилища для резервного копирования Central Node через DKPG
- Скачайте пакеты для поддержки NFS по ссылке:
Распакуйте и перенесите их в домашнюю директорию пользователя Adminhttps://box.kaspersky.com/f/bde4814949ff493ab876/?dl=1
Пароль от хранилища можно запросить у команды pre-sale инженеров Anti-APT - Установите пакеты вручную через dpkg в следующем порядке, чтобы добавить поддержку NFS:
Команды:
dpkg -i /home/admin/libtirpc-common_1.2.5-1_all.deb
dpkg -i /home/admin/libtirpc3_1.2.5-1_amd64.deb
dpkg -i /home/admin/keyutils_1.6-6ubuntu1_amd64.deb
dpkg -i /home/admin/libnfsidmap2_0.25-5.1ubuntu1_amd64.deb
dpkg -i /home/admin/rpcbind_1.2.5-8_amd64.deb
dpkg -i /home/admin/nfs-common_1.3.4-2.5ubuntu3.5_amd64.deb - Примонтируйте сетевой NFS каталог
Команда:
mount -t nfs 10.10.10.1:/mnt/nfs/backup /kata-backup
где 10.10.10.1 – сервер, на котором подключен каталог /mnt/nfs/backup
/kata-backup – каталог на CN куда монтируется шара. - Опционально: Автоматическое подключение каталога после перезагрузки CN
Открыть файл fstab:
vi /etc/fstab
Добавить строку:
10.10.10.1:/mnt/nfs/backup /kata-backup nfs auto 0 0
где 10.10.10.1— адрес сервера NFS; /kata-backup — каталог, куда будет примонтирована шара.
Подключение дополнительного диска для резервного копирования Central Node в виртуальном исполнении
- На платформе виртуализации добавьте диск.
Перейдите в свойства ВМ, раздел диски. Добавьте диск необходимого объема.
- Проверьте отображение подключенного диска.
Отобразятся все диски и разделы.sudo fdisk -l или lsblk
Наш подклченный диск называется sdb, либо sdc, в зависимости от количества дисков/разделов. - Необходимо создать новый раздел.
Далее необходимо последовательно ввести указанные ключи:fdisk /dev/sdb
где /dev/sdb - имя нового раздела.n - создать новый раздел;
p - создать новый основной раздел;
Выбрать номер раздела, его первый и последний секторы (по умолчанию Enter);
w - сохранить новый раздел на диск.
- Определите файловую систему
Отобразится список дисков и их файловые системы. В нашем случае это ext4df -hT - Отформатируйте подключенный диск
sudo mkfs.ext4 /dev/sdb
- Создайте папки в которые будет монтироваться подключенный диск для РК
Создайте каталог в директории /mnt:
sudo mkdir /mnt/kata-backup
Измените права доступа к каталогу (опционально).
Только root и только чтение и запись:
sudo chmod -R 660 /mnt/kata-backup
Примонтируйте диск:
sudo mount /dev/sdb /mnt/kata-backup
Опционально:
Для монтирования диска автоматически при загрузке системы, необходимо отредактировать файл /etc/fstab.
Откройте любым текстовым редактором, например nano:
sudo nano /etc/fstab
В самый конец файла вставьте строку:
/dev/sdb /mnt/kata-backup ext4 defaults 0 0
Сохраните, выйдите.
Проверьте подключенный диск командой
df -hT
На этом этап подключения диска завершен.
Резервное копирование телеметрии EDR агентов в Central Node
- Остановите сервисы Docker.
Примечание:Выполните команды по очереди:
systemctl stop docker
systemctl disable docker.service
systemctl disable docker.socket
Важно понимать, что процесс архивирования может занять некоторое время, поскольку оно зависит от размера телеметрии.
Перед созданием архива убедитесь, что у вас достаточно места на сетевом ресурсе. Его можно приблизительно определить, проверив текущий размер телеметрии, например:
Основным ресурсоемким каталогом здесь будетdu -hsx /data/var/lib/kaspersky/storage/swarm/elasticsearch-1/*
Пример вывода:
670 МБ /data/var/lib/kaspersky/storage/swarm/elasticsearch-1/data
6,5 МБ /data/var/lib/kaspersky/storage/swarm/elasticsearch-1/logs
/data/var/lib/kaspersky/storage/swarm/elasticsearch-1/ data. - Создайте бекап телеметрии ТАА.
Процесс архивации может занять продолжительное время.Выполните команду:
tar -czf - /data/storage/volumes/elasticsearch-1/ > /mnt/kata-backup/elastic_5_1.tar.gz
Примечание:
Данный архив БД телеметрии ТАА можно использовать как РК долговременного хранения. - Запустите сервисы Docker после РК.
Выполните команды по очереди:
systemctl enable docker.socket
systemctl enable docker.service
systemctl start docker
Затем проверьте работу docker:
systemctl status docker
Восстановление телеметрии EDR агентов в Central Node
- Остановите сервисы Docker
Выполните команды по очереди:
systemctl stop docker
systemctl disable docker.service
systemctl disable docker.socket - Удалите содержимое elasticsearch из CN (или переместите в tmp)
Выполните команду:
rm -rf /data/storage/volumes/elasticsearch-1/*
или
mv /data/storage/volumes/elasticsearch-1/* tmp/bkp/ - Распакуйте архив с РК телеметрии ТАА.
Выполните команду:
tar -xzf /mnt/kata-backup/elastic_5_1.tar.gz -C /data/storage/volumes/elasticsearch-1/ - Запустите сервисы Docker после восстановления РК БД Телеметрии ТАА.
ВАЖНО!Выполните команды по очереди:
systemctl start docker
systemctl enable docker.service
systemctl enable docker.socket
Затем проверьте работу docker:
systemctl status docker
Elasticsearch должен найти и собрать/проиндексировать всю «новую» для него телеметрию. Необходимо подождать 15 минут на каждый 5ГБ БД Телеметрии, но индексация может завершиться быстрее. - Проверка работы запущенных контейнеров.
Здесь вы не должны увидеть никаких контейнеров, кроме тех, у которых в конце имени контейнера есть _configurator.docker service ls | grep '0/1' - Войдите в веб-интерфейс и проверьте через ThreatHunting, события, которые мы восстановили в CN.
Резервное копирование Central Node
Версии восстанавливаемой и установленной на сервер приложений должны совпадать. Если версии приложений не совпадают, при запуске восстановления приложения отобразится сообщение об ошибке и процесс восстановления будет прерван.
Создание резервной копии приложения в режиме Technical Support Mode.
Чтобы создать резервную копию КАТА, выполните следующую команду в режиме Technical Support Mode сервера:
sudo kata-run.sh kata-backup-restore backup -b <path> -c -d <number of stored files> -e -q -a -s -n -l <filepath>| Обязательный параметр | Параметр | Описание |
|---|---|---|
| Да | -b <path> |
Создать файл с резервной копией приложения по указанному пути, где <path> – абсолютный или относительный путь к директории, в которой создается файл с резервной копией приложения. |
| Нет | -c |
Очистить директорию перед сохранением файла с резервной копией приложения. |
| Нет | -d <number of stored files> |
Указать максимальное количество файлов с резервной копией приложения, хранимых в директории, где <number> – количество файлов. |
| Нет | -e |
Сохранить файлы в Хранилище. |
| Нет | -q |
Сохранить файлы на карантине. |
| Нет | -a |
Сохранить файлы, ожидающие повторной проверки (rescan). |
| Нет | -s |
Сохранить артефакты Sandbox. |
| Нет | -n |
Сохранить параметры Central Node или PCN. |
| Нет | -l <filepath> |
Сохранить результат выполнения команды в файл, где <filepath> – имя файла журнала событий, включая абсолютный или относительный путь к файлу. |
Пример:
sudo kata-run.sh kata-backup-restore backup -b <path> -c -d <number of stored files> -e -q -a -s -n -l <filepath>Восстановление из РК Central Node
Чтобы восстановить КАТА из резервной копии, выполните следующую команду в режиме Technical Support Mode сервера:
sudo kata-run.sh kata-backup-restore restore -r <path> -l <filepath>| Обязательный параметр | Параметр | Описание |
|---|---|---|
| Да | -r <path> |
Восстановить данные из файла резервной копии, где <path> – полный путь к файлу резервной копии. |
| Нет | -l <filepath> |
Сохранить результат выполнения команды в файл, где <filepath> – имя файла журнала событий, включая абсолютный или относительный путь к файлу. |
Резервная копия параметров сервера не содержит PCAP-файлы записанного зеркалированного сетевого трафика. Вы можете сохранить и восстановить PCAP-файлы самостоятельно, выполнив копирование из директории /data/volumes/dumps подключенного хранилища. После восстановления данных вам необходимо подключить внешнее хранилище. # Работа с YARA-правилами в KATA Вы можете загружать собственные YARA правила в KATA для проверки файлов и объектов, поступающих на Central Node, и для проверки хостов с компонентом Endpoint Agent. > Только пользователи с ролью **Старший сотрудник службы безопасности** могут импортировать, удалять, скачивать IOC-файлы, включать и отключать поиск по IOC-файлам и настраивать расписание поиска. Пользователи с ролью **Сотрудник службы безопасности** и **Аудитор** могут только просматривать список IOC-файлов и информацию о выбранном файле, а также экспортировать IOC-файлы на компьютер ## Добавление YARA правил Для добавления новых правил YARA необходимо авторизоваться в интерфейсе KATA под УЗ с ролью **Старший сотрудник службы безопасности** и перейти в раздел **Пользовательские правила --> YARA** и нажать **Импортировать** и выбрать необходимое правило для импорта > Максимальный допустимый размер загружаемого файла – 20 МБ.
После выбора необходимого файла появится окно импорта, в котором:
* Можно включить проверку трафика, если вы хотите использовать импортированные правила при потоковой проверке объектов и данных, поступающих на Central Node;
* Добавить описание;
* Количество правил, которые могут быть успешно импортированы;
* Количество правил, которые не будут импортированы (если такие есть).
Для каждого правила, которое не может быть импортировано, указывается его название.
После добавления правило отобразиться в новой записью в разделе **Пользовательские правила --> YARA**
Нажав на правило можно ознакомиться с содержанием правила, включить/выключить проверку, скачать или удалить данное правило
Также можно найти алерты связанные с выбранным правилом и создать задачу проверки по данному YARA-правилу нажав **Запустить YARA-проверку**
## Создание задачи YARA-проверки
> Необходима лицензия, поддерживающая функционал KEDR Expert
При необходимости вы можете проверять хосты из раздела Endpoint Agent с помощью правил YARA. Для этого требуется создать задачу Запустить YARA-проверку. Вы можете создать задачу следующими способами:
* **В разделе Задачи.**
В этом случае при создании задачи вам потребуется выбрать правила YARA, с помощью которых вы хотите проверить хосты;
* **В разделе Пользовательские правила --> YARA**, выбрав необходимое правило и нажав **Запустить YARA-проверку**
В этом случае создается задача для проверки хостов по выбранным правилам YARA.
При использовании любого из способов откроется окно создания задачи.
В данном меню вы можете указать следующие параметры:
* Выбрать необходимые правила YARA для проверки. Можно выбрать сразу несколько;
* Указать область проверки:
* **ОЗУ** - при необходимости проверить процессы, запущенные на момент выполнения задачи. Укажите необходимые короткие имена процессов или маску файлов, которые хотите проверить, а также исключения проверки при необходимости. Можно использовать маски * и ?;
> Если поле **Процессы** не заполнено, приложение проверяет все процессы, запущенные на момент выполнения задачи, кроме процессов с PID ниже 10 и процессов, указанных в поле **Исключения**.
* **Точки автозапуска** - при необходимости проверить точки автозапуска, полученные в результате выполнения задачи **Собрать форензику**
Для данной области задайте тип проверки. **Быстрая** - проверяются все точки автозапуска, кроме COM-объектов. **Полная** - проверяются все точки автозапуска и связанные с ними файлы.
* **Указанные директории** - при необходимости проверить файлы в указанной папке и во всех вложенных папках. Задайте путь вида C:\<имя директории>\\. Можно использовать маски * и ? для указания директории проверки и исключения;
* **Все локальные диски** - при необходимости проверить файлы, хранящиеся во всех папках локальных дисков. Можно использовать маски * и ? для указания директорий исключения.
> Проверка всех локальных дисков может создать повышенную нагрузку на хост.
* Максимальное время проверки. В случае, если проверка не будет пройдена за указанный срок, то она будет принудительно завершена. В отчете о выполнении задачи указываются результаты, актуальные на момент завершения проверки.
* **Описание** – описание задачи. Поле необязательно для заполнения.
* **Задача для** – область применения задачи
* **Всех хостов**, если вы хотите выполнить задачу на всех хостах всех серверов, выберите вариант;
* **Выбранных серверов** - справа от названия параметра Серверы установите флажки рядом с теми именами серверов, на которых вы хотите выполнить задачу.
> Этот вариант доступен только при включенном режиме распределенного решения и мультитенантности.
* **Выбранных хостов**, если вы хотите выполнить задачу на выбранных хостах, перечислите эти хосты в соответствующем поле.
После указания необходимых параметров нажмите **Добавить** для запуска задачи
Нажав на созданную задачу можно ознакомиться с результатом её выполнения
## Просмотр алертов
Просматривать алерты связанные с YARA правилами можно двумя способами:
* Выбрав необходимое правило в разделе **Пользовательские правила --> YARA** и нажав **Найти алерты**
* Перейти в раздел **Алерты** и задать соответствующий фильтр на столбец **Технологии**
При использовании любого из способов будет использоваться раздел **Алерты**.
Нажав на алерт (свободное пространство в строке) можно подробнее ознакомиться с его содержанием и возможными действиями по реагированию
# Настройка KATA Directory Scanner
Компонент KATA Directory Scanner (далее – KDS) расширяет функциональные возможности KATA и предназначен для сканирования общих папок на предмет вредоносного ПО.
Сценарий использования:
- на KATA CN монтируется три общих ресурса: input, output и quarantine;
- на KATA CN устанавливается сервис KDS;
- KDS отслеживает появление новых файлов в директории input и отправляет их по API на анализ в KATA;
- KDS по API получает вердикты от KATA;
- в случае, если признаки вредоносного ПО не обнаружены, файлы перемещаются в директорию output; во всех остальных случаях файлы перемещаются в директорию quarantine.
Особенности и ограничения:
Компонент KDS не является официально поддерживаемым компонентом KATA, предназначен для демонстрации расширения функциональных возможностей KATA с использованием API и предоставляется «как есть».
- Один экземпляр сервиса KDS предназначен для работы с тремя директориями.
- В директории input сканируются и отправляются на анализ только файлы. Вложенные директории не сканируются, их иерархия не восстанавливается в директориях output и quarantine.
- Файлы размером более 100 Мб пропускаются и остаются в директории input без изменений.
- В директорию quarantine перемещаются все файлы с вердиктом отличным от «not detected», в том числе, если произошла ошибка сканирования («error») или превышен таймаут ожидания («timeout»).
- Если файл уже существует в директории input или quarantine, то он заменяется новым.
Необходимые файлы:
Для того чтобы скачать файлы: kata-dir-scanner.service, kata_dir_scanner.py и kata_dir_scanner.conf, обратитесь к команде pre-sale инженеров команды AntiApt.
Настройка на стороне KATA CN
ВАЖНО! Заранее скачайте пакет cifs-utils.deb, загрузите его на CN и установите с помощью команды:
apt install ./cifs-utils.deb- Подключитесь к KATA CN по SSH. Перейдите в раздел Technical Support Mode.
- Создайте структуру директорий input, output и quarantine.
mkdir /mnt/in
mkdir /mnt/out
mkdir /mnt/qrnt - Создайте файл с учетными данными для доступа к общим ресурсам (username и password замените на свои).
ВАЖНО! Пользователь должен иметь доступ к проверяемой директорииvi /root/.kata-secret
username=<username>
password=<password> - Добавьте в конец файла /etc/fstab следующие строки (удаленный хост замените на свои).
\\<IP or FQDN>\in /mnt/in cifs credentials=/root/.kata-secret 0 0
\\<IP or FQDN>\out /mnt/out cifs credentials=/root/.kata-secret 0 0
\\<IP or FQDN>\qrnt /mnt/qrnt cifs credentials=/root/.kata-secret 0 0 - Примонтируйте все ресурсы.
mount -a - Подготовьте ключевую информацию.
openssl req -x509 -newkey rsa:2048 -keyout ./server.key -out ./server.crt -days 365 -nodes
cat server.crt server.key > cert.pem - Инициализируйте подключение сторонней системы к KATA. Для этого необходимо отправить любой файл на проверку с использованием подготовленного сертификата.
Подготавливаем UUID:
python3 -c "import uuid; print(uuid.uuid4())"
curl -k --noproxy '*' --cert ./cert.pem --key ./server.key -F scanId=f2df00bc-c6b0-4bcf-b20b-040e02f08de9 -F objectType=file -F content=@-X
POST https://localhost:443/kata/scanner/v1/sensors//scans - Подтвердите запрос на подключение со стороны KATA CN.
- Создайте директорию.
mkdir /opt/kata-dir-scanner/ - Скопируйте в /opt/kata-dir-scanner/ следующие файлы.
kata_dir_scanner.py
kata_dir_scanner.conf
cert.pem
server.key - Скопируйте в /etc/systemd/system/ следующий файл.
kata-dir-scanner.service - Отредактируйте конфигурационный файл (измените system_id на свой).
vi kata_dir_scanner.conf
{
"in_dir": "/mnt/in/",
"out_dir": "/mnt/out/",
"qrnt_dir": "/mnt/qrnt/",
"cert_pem": "/opt/kata-dir-scanner/cert.pem",
"cert_key": "/opt/kata-dir-scanner/server.key",
"kata_cn_addr": "localhost",
"system_id": ""
} - Запустите сервис KDS.
systemctl daemon-reload
systemctl start kata-dir-scanner.service
systemctl status kata-dir-scanner.service - Добавьте сервис в автозагрузку.
systemctl enable kata-dir-scanner.service - Установка и настройка сервиса KDS завершена. Логи работы KDS можно посмотреть используя следующую команду:
tail -f /var/log/kata-dir-scanner.log - События, связанные с обнаружением вредоносного ПО, доступны в web-консоли KATA.
Настройка и использование списка исключений:
- В директории /opt/kata-dir-scanner/ создайте файл exclude_list.txt. В exclude_list.txt построчно запишите имена файлов и расширения, которые нужно исключить из пересылки на анализ в KATA.
Например:
File1.txt
*.doc
File2.py
*.pdf
Пример работы KDS:
- На проверяемом хосте открываем папку in и сохраните тестовый вирус.
- Перейдите в папку qrnt. Вирусный файл был автоматически отправлен в папку qrnt.
- Перейдите в web-консоль KATA CN, зайдите в раздел обнаружения и видим сработку на тестовый вирус.
- Перейдите в обнаружение. Здесь можно увидеть всю необходимую нам информацию.
- На проверяемом хосте откройте папку in и сохраните обычный текстовый документ.
- Перейдите в папку out, тестовый файл test_KDS не является вирусным и поэтому был автоматически отправлен в папку out.
Настройка аутентификации с помощью доменных учетных записей позволяет пользователям не вводить данные учетной записи Kaspersky Anti Targeted Attack Platform для подключения к веб-интерфейсу программы.
Для включения аутентификации с помощью доменных учетных записей вам требуется:
- Настроить интеграцию с Active Directory.
- Для настройки интеграции с Active Directory требуется создать keytab-файл, содержащий имя субъекта-службы (далее также "SPN") для сервера Central Node, на котором выполняется настройка интеграции.
Настройка интеграции KATA – AD
Важно! Перед выполнением данной интеграции обязательно должны быть выполнены следующие рекомендации:
- Имя развернутого сервера “Central Node” должно быть полным доменным именем.
Пример: kata-cn.home.lab - Запись A и PTR должна быть установлена для центрального узла в DNS.
- FQDN имя устройства и создаваемая для него A-запись/PTR-запись на DNS сервере должны совпадать и обязательно имя устройства и DNS запись должны быть в “нижнем регистре”.
- Должен быть открыт доступ по 88/TCP порту от Central Node до Active Directory.
- Алгоритм шифрования AES256-SHA1 должен быть включен в созданную учетную запись пользователя домена.
- Пароль, используемый при создании keytab-файла, не должен содержать специальных символов.
Пример: cZ8ckcVPysXOOS7m
Примечание: имя устройства можно настроить в веб-интерфейсе “Central Node” уже после установки. Для этого авторизуйтесь в системе из-под уз “Administrator”, перейдите в раздел “Параметры → Сетевые параметры → Имя сервера (FQDN)”
Добавление LDAP=сервера
- Создать пользователя в AD
- Активная опция – Password never expires
- Активная опция – This account supports Kerberos AES 256bit encryption
- Создать keytab-файл
Открыть командную строку от имени администратора и выполнить следующую команду:ktpass.exe -princ HTTP/kata.sales.lab@<DOMAIN–“SALES.LAB”> -mapuser kata-ldap@<DOMAIN–“SALES.LAB”> -crypto AES256-SHA1 -ptype KRB5_NT_PRINCIPAL -pass * +dumpsalt -out C:\kata-ldap.keytab - Открыть страницу настроек Central Node KATA с правами Администратора. Загрузить keytab-файл
Настройка клиентских рабочих станций для использования SSO
- Проверить, что сервер KATA доступен по своему доменному имени
- В cmd.exe выполните команду nslookup
- Далее в интерфейсе команды проверьте доступность узла KATA по своему доменному имени <Доменное имя сервера KATA>@<Имя домена>
- Добавьте узел KATA в список сайтов Local Intranet локально через групповые политики.
Обязательно укажите адрес “Central Node” и выставьте “Значение”.
Имя значения – https://kata-cn-7.sales.lab
Значение – “1”
Нажмите “OK”
Нажмите “Применить”
Win+R → gpedit.msc
Local Computer Policy → Computer Configuration → Administrative Templates → Windows Components → Internet Explorer → Internet Control Panel → Security Page
Конфигурация компьютера → Административные шаблоны → Компоненты Windows → Internet Explorer → Панель управления браузером → Вкладка Безопасность → Список назначений зоны веб-сайтов
- Примените произведённые изменения в групповых политиках.
- Запустите cmd.exe с правами администратора
- В cmd.exe выполните команду gpupdate /force
- Убедитесь, что данные доменного аккаунта созданного в KATA совпадают с данными, введёнными при авторизации на рабочем устройстве.
KATA Domain Account = Windows Domain Account - Войдите на web-интерфейс сервера KATA без ввода учётных данных.
В строке браузера введите https://kata.domain.name:8443
В KATA исключения нужны, чтобы снизить шум (false positive) и “нормализовать” легитимные объекты/активности: файлы и ссылки, IDS/TAA детекты, ICAP-трафик, NDR-сетевые взаимодействия, а также трафик для изолированных хостов.
Важно: исключения — это изменение логики детектирования/регистрации. По возможности сначала делайте точечные исключения (по адресу/подсети/конкретному SID/условию), а не “глобальные” отключения целых классов проверок.
Примечание.
Материал подготовлен для AntiAPT Community и предназначен для практического понимания принципов работы.
Он не заменяет официальную документацию вендора.
Содержание
- 1. Исключения из проверки (Scan) — для файлов/URL из всех интеграций
- 2. IDS-исключения — исключение правил обнаружения вторжений
- 3. TAA (IOA)-исключения — исключение правил поведенческой аналитики
- 4. ICAP-исключения — исключение ICAP-данных из проверки
- 5. Разрешающие правила для событий NDR — “allow list” сетевых взаимодействий
- 6. Исключения из правила сетевой изоляции Endpoint Agent
1) Исключения из проверки (Scan) — для файлов/URL из всех интеграций
Этот список влияет на проверку объектов, поступающих на анализ (файлы/URL/почтовые атрибуты и т. п.) — и, как правило, является самым “универсальным” способом сделать исключение, которое будет работать независимо от источника (интеграции).
Где настраивается: Параметры → Исключения → вкладка “Проверка”.
[](https://antiapt-community.ru/uploads/images/gallery/2025-12/eRdgPxrAekc4Y3DJ-image-1766645246812.png)1.1. Просмотр таблицы исключений из проверки
- Откройте Параметры → Исключения.
- Перейдите на вкладку Проверка.
Отобразится таблица со списком данных, которые KATA будет считать безопасными и не будет создавать для них обнаружения. В таблице обычно используются столбцы Критерий и Значение, а фильтрация делается через заголовки столбцов.
1.2. Добавление правила исключения из проверки
- Откройте Параметры → Исключения → Проверка.
- Нажмите Добавить (обычно в правом верхнем углу).
- В окне Новое правило выберите Критерий.
Доступные критерии:
- MD5 — исключение по MD5-хешу файла.
- Формат — исключение по формату (например, MSOfficeDoc).
- Маска URL — исключение по шаблону URL.
- Адрес получателя / Адрес отправителя — исключения по e-mail.
- IP или подсеть источника / IP или подсеть назначения.
- Агент пользователя — User-Agent HTTP-запросов.
Как заполнять “Значение”:
- Формат: выбирается из списка.
- MD5: указывается хеш.
- Агент пользователя: строка User-Agent.
- IP/подсеть: адрес или подсеть (пример: 255.255.255.0 — как пример маски).
- E-mail: адрес отправителя/получателя.
- Маска URL: поддерживаются спецсимволы:
*— любая последовательность символов (пример:*abc*)?— любой один символ (пример:example_123?.com)- Если
*или?являются частью реального URL, используйте экранирование\, например:virus.dll\?virus_name=
- В полях для URL и e-mail допускаются домены с кириллицей — они будут преобразованы в Punycode.
- Нажмите Добавить.
Правило появится в списке исключений из проверки.
1.3. Изменение правила исключения из проверки
- Параметры → Исключения → Проверка.
- Выберите правило.
- В окне Изменить правило скорректируйте Критерий и/или Значение.
- Нажмите Сохранить.
1.4. Удаление правил из списка исключений
- Параметры → Исключения → Проверка.
- Отметьте флажками правила (или выберите все).
- Нажмите Удалить внизу окна.
- Подтвердите удаление.
1.5. Экспорт списка исключений
- Параметры → Исключения → Проверка.
- Нажмите Экспортировать.
Скачается JSON-файл со списком исключений.
[](https://antiapt-community.ru/uploads/images/gallery/2025-12/GSBwD2Osn3VSKvs9-image-1766645499727.png)1.6. Фильтрация/поиск в таблице исключений
Фильтрация по критерию: используйте фильтры по заголовкам столбцов в таблице, чтобы оставить нужный Критерий.
Поиск по значению: откройте фильтрацию по столбцу Значение, введите часть строки и примените фильтр.
Сброс фильтра: нажмите “крестик/удалить” в заголовке того столбца, для которого задано условие фильтрации, и повторите для остальных условий.
[](https://antiapt-community.ru/uploads/images/gallery/2025-12/PXV4FqZnYuOo6lA4-image-1766645543997.png)2) IDS-исключения — исключение правил обнаружения вторжений
IDS-исключения используются, если вы хотите, чтобы KATA не создавала алерты по определенным IDS-правилам. При этом логика работы IDS/НDR зависит от сценария; в ряде случаев удобнее сделать точечную “разрешающую” логику именно через NDR allow rules (см. раздел 5), если нужно “разрешить” конкретный источник/назначение.
Где настраивается: Параметры → Исключения → вкладка “IDS”.
[](https://antiapt-community.ru/uploads/images/gallery/2025-12/cLPpdqNJR9vRHj8u-image-1766645698078.png)2.1. Добавление IDS-правила в исключения (через алерт)
- Откройте раздел Алерты.
- Отфильтруйте алерты по технологии (IDS) Intrusion Detection System через фильтр в столбце “Технологии”.
- При необходимости дополнительно отфильтруйте по важности.
- Выберите алерт, у которого в поле “Обнаружено” видно нужное IDS-правило.
- В карточке алерта в блоке Рекомендации → Оценка выберите Добавить в исключения.
- В окне добавления укажите Описание и нажмите Добавить.
2.2. Редактирование описания IDS-правила в исключениях
- Параметры → Исключения → IDS.
- Выберите правило — откроется окно с информацией.
- Нажмите Изменить, отредактируйте Описание, сохраните.
2.3. Удаление IDS-правил из исключений
Удалить одно правило:
- Параметры → Исключения → IDS.
- Выберите правило.
- Нажмите Удалить и подтвердите.
Удалить несколько/все правила:
- Параметры → Исключения → IDS.
- Отметьте флажками нужные правила (или все).
- Нажмите Удалить в панели управления (обычно снизу) и подтвердите.
3) TAA (IOA)-исключения — исключение правил поведенческой аналитики
TAA-исключения применяются к правилам TAA (IOA), чтобы не создавать алерты по “нормальному” для вашей инфраструктуры поведению.
Режимы исключения:
- Исключать всегда — KATA не отмечает события как соответствующие правилу и не создает алерты по этому правилу.
- Исключать по условию — исключение действует только на события, подходящие под заданный поисковый запрос/условие; остальные события продолжают детектироваться.
Распределенное решение (PCN/SCN) и типы исключений: исключения могут быть локальными (созданы на SCN и действуют на хосты этого SCN) и глобальными (созданы на PCN и распространяются на PCN и все подключенные SCN). Для каждого TAA-правила можно создать только одно локальное или глобальное исключение; если исключения есть и на SCN, и на PCN — применяются параметры PCN.
Где настраивается: Параметры → Исключения → вкладка “TAA (IOA)”.
[](https://antiapt-community.ru/uploads/images/gallery/2025-12/trgRTZh2ozZdpFRJ-image-1766645895097.png)3.1. Добавление правила TAA (IOA) в исключения
- Откройте раздел Алерты.
- Выберите событие.
- В области Результаты проверки нажмите на название сработки.
- >В области Исключение TAA (IOA) нажмите на Добавить в исключения.
- Выберите режим:
- Исключать всегда, или
- Исключать по условию — задайте поисковый запрос/условие.
- Сохраните исключение.
3.2. Просмотр и удаление TAA-исключения
- Параметры → Исключения → TAA (IOA).
- Выберите правило, чтобы посмотреть параметры исключения.
- Для удаления используйте Удалить (с подтверждением).
4) ICAP-исключения — исключение ICAP-данных из проверки
ICAP-исключения позволяют задать список ICAP-данных, которые KATA не будет проверять.
Какие данные можно исключать (критерии):
- Формат
- Агент пользователя
- MD5
- Маска URL
- IP или подсеть источника
Распределенное решение: ICAP-исключения, созданные на SCN, распространяются на компоненты Sensor, подключенные к этому SCN. ICAP-исключения, созданные на PCN, распространяются на SCN на одном устройстве с PCN и на все Sensor, подключенные к этому SCN.
Где настраивается: Параметры → Исключения → вкладка “ICAP”.
[](https://antiapt-community.ru/uploads/images/gallery/2025-12/ymB4F24WzIRF5srW-image-1766646010023.png)4.1. Добавление правила в ICAP-исключения
- Параметры → Исключения → ICAP.
- Нажмите Добавить.
- Выберите Критерий (формат/UA/MD5/маска URL/IP или подсеть источника).
- Заполните Значение и нажмите Добавить.
4.2. Изменение и выключение правила ICAP-исключений
Изменить правило:
- Параметры → Исключения → ICAP.
- Выберите правило → откроется окно Изменить правило.
- Измените Состояние, Критерий и/или Значение.
- Нажмите Сохранить.
Выключить правило:
- Параметры → Исключения → ICAP.
- В столбце Состояние переведите переключатель нужного правила в Выключено.
- Подтвердите действие.
4.3. Удаление правила ICAP-исключений
- Параметры → Исключения → ICAP.
- Выберите правило.
- Нажмите Удалить и подтвердите.
4.4. Фильтрация и поиск по ICAP-исключениям
В списке ICAP-исключений поддерживаются:
- Фильтрация по критерию
- Фильтрация по значению
- Фильтрация по состоянию (включено/выключено)
- Сброс условий фильтрации
5) Разрешающие правила для событий NDR — allow list сетевых взаимодействий
KATA может отслеживать сетевые взаимодействия устройств. Для определения разрешенных взаимодействий используются разрешающие правила (allow rules). Все взаимодействия, удовлетворяющие действующим разрешающим правилам, считаются разрешенными — KATA не регистрирует события NDR и не создает алерты по таким взаимодействиям.
Где настраивается: Параметры → вкладка “Разрешающие правила”.
[](https://antiapt-community.ru/uploads/images/gallery/2025-12/NGmms3YI3oSXdSTl-image-1766646297427.png)5.1. Создание разрешающего правила (пустое или по шаблону)
- Откройте Параметры → Разрешающие правила.
- Нажмите Добавить правило.
- (Опционально) Нажмите Использовать шаблон, выберите шаблон и примените.
- В поле Протокол выберите нужный протокол в дереве стека протоколов (доступен поиск), подтвердите ОК.
- (Опционально) Заполните Комментарий.
- В блоках Сторона 1 и Сторона 2 укажите адресную информацию (в зависимости от протокола это может быть MAC, IP и/или порт). При наличии адресных пространств можно указывать имена пространств.
- (Опционально) Для авто-заполнения адресов нажмите ссылку Указать адреса устройств, отметьте устройства и подтвердите ОК.
- В поле Тип события выберите тип события (код события, используемый в событиях).
- В поле Точка мониторинга выберите имя точки мониторинга.
- (Опционально) Если нужно не проверять такие соединения по конкретному системному правилу IDS, укажите SID системного правила IDS. Если SID не указан — отключается проверка по всем системным IDS-правилам для подпадающих взаимодействий.
- Нажмите Сохранить.
5.2. Создание разрешающего правила на основе зарегистрированного события
- Откройте раздел События в трафике сети.
- Выберите событие.
- В области деталей нажмите Создать разрешающее правило.
- При необходимости поправьте параметры и нажмите Сохранить.
5.3. Копирование разрешающего правила
- Параметры → Разрешающие правила.
- Выберите правило → контекстное меню (ПКМ) → Копировать правило.
- Отредактируйте параметры и сохраните.
5.4. Изменение параметров разрешающего правила
Изменять можно только включенные правила; для выключенных редактирование недоступно.
- Параметры → Разрешающие правила.
- Выберите правило → нажмите Изменить.
- Скорректируйте поля и нажмите Сохранить.
5.5. Включение и выключение разрешающих правил
- Параметры → Разрешающие правила.
- Выберите одно или несколько правил.
- Нажмите Включить или Выключить.
5.6. Удаление разрешающих правил
- Параметры → Разрешающие правила.
- Выберите правила → нажмите Удалить.
- Подтвердите действие (варианты подтверждения зависят от того, включены правила или нет).
6) Исключения из правила сетевой изоляции Endpoint Agent
Если хост изолирован от сети (сетевой изоляцией через Endpoint Agent), можно точечно разрешить трафик к конкретным IP и портам через исключение в правиле изоляции.
Где настраивается: Активы → Endpoint Agents → карточка хоста.
[](https://antiapt-community.ru/uploads/images/gallery/2025-12/f2SHjZiu1F38gZ8C-image-1766646763371.png)6.1. Добавление исключения в правило сетевой изоляции
- Откройте Активы.
- Перейдите на вкладку Endpoint Agents (таблица хостов).
- Выберите изолированный хост, для которого нужно исключение.
- По ссылке Добавить в исключения раскройте блок параметров исключений.
- Выберите направление трафика:
- Входящее/Исходящее
- Входящее
- Исходящее
- В поле IP укажите IP-адрес, трафик к которому/от которого не должен блокироваться.
- Если выбрано “Входящее” или “Исходящее”, в поле Порты укажите порты подключения.
- Если нужно несколько исключений: нажимайте Добавить для добавления строк и в конце нажмите Сохранить.
# Руководство по интеграции с системой мониторинга Zabbix по протоколу SNMPv2 ## **Руководство по интеграции с системой мониторинга Zabbix по протоколу SNMPv2**
| **В качестве приложения использовалась KATA Central Node версии 6.0.2, а в качестве системы мониторинга использовался Zabbix версии 6.4. Инструкция носит информационный характер и может отличаться от ваших действий.** ** ** **Готовый шаблон Zabbix с элементами данных:** [https://box.kaspersky.com/d/179e900f0d29464eaa27/](https://box.kaspersky.com/d/179e900f0d29464eaa27/) |
| **sudo apt install snmp** |
| **sudo yum install net-snmp** |
| **snmpwalk -v \[версия SNMP\] -c \[строка сообщества\] \[IP-адрес/имя хоста устройства\] \[OID или символьное имя\]** |
| **Основное различие, что SNMPGET извлекает значения для конкретных OID, в то время как SNMPWALK рекурсивно проходит по всему поддереву OID, начиная с указанного корневого OID, и извлекает значения для всех соответствующих объектов.** ** ** **SNMPWALK обычно используется для обнаружения и сбора более широкого набора данных с устройства или для получения общего представления о доступной информации SNMP. SNMPGET же применяется для извлечения конкретных значений OID, когда известно точное расположение требуемых данных.** |
****Информация:**** Приведенная на данной странице информация, является разработкой команды ****pre-sales**** и/или ****AntiAPT Community**** и ****НЕ**** ****является**** официальной рекомендацией вендора.
- ****Версия решения:**** 7.1 - ****Тип инструкции:**** Настройка источников данных SPAN > ****Важно!**** > Интеграция в локальную сеть позволяет получать и анализировать зеркалированный трафик SPAN, ERSPAN и RSPAN. Извлекаются объекты и метаданные HTTP, HTTP2, FTP, SMTP, DNS, SMB и NFS протоколов. Зеркалируемый трафик перенаправляется с одного порта коммутатора на другой (локальное зеркалирование) или на удаленный коммутатор (удалённое зеркалирование). Администратор сети выбирает, какую часть трафика направлять в Kaspersky Anti Targeted Attack Platform. > > Kaspersky Anti Targeted Attack Platform принимает зеркалированный трафик от агрегирующих устройств, таких как брокеры сетевых пакетов и сетевые отводы (Network tap). Фильтрация трафика, поступающего через эти устройства, влияет на аппаратные требования платформы. Для точного определения этих требований рекомендуется провести пилотное тестирование. ---1. Подготовка
#### ****1.1. Обязательные условия**** Перед настройкой приёма SPAN-трафика убедитесь, что: - ✅ Установлена и настроена ****Central Node**** - ✅ Активирована одна из лицензий: ****KATA****, ****NDR**** или ****KATA/NDR**** - ✅ Добавлен ****дополнительный сетевой интерфейс****, на который будет подан SPAN. (кроме Management) - ✅ Интерфейс находится в состоянии ****«Не инициализирован» (при подаче ESRPAN указывается IP адрес)**** \- ✅ Имеется доступ к веб-интерфейсу под учётной записью `****admin****` --- #### ****1.2. Лицензии и функциональность****| ****Лицензия**** | ****Требуется для**** |
| KATA | Анализ периметра сети: сетевая песочница (Network Sandbox), пограничный IDS, анализ SMTP/ICAP-трафика |
| NDR | Защита внутренней сети: NTA-анализ, ретроспективный поиск, выявление горизонтального перемещения, \*\*запись и хранение SPAN-трафика\*\* |
| KATA/NDR | Комбинированный функционал: защита периметра + внутренней сети |
⚠️****ВАЖНО:**** - Без активации соответствующей лицензии функционал ****приёма и обработки SPAN-трафика будет недоступен****. - Для записи и хранения сырого трафика требуется ****лицензия NDR или KATA/NDR****.
💡****Рекомендация:**** - Для оптимальной работы лучше выбрать комбинированную лицензию ****KATA/NDR****. Она позволяет контролировать как периметр, так и внутреннюю сеть.
--- #### ****1.3. Сетевые требования**** Данный пункт описывает процесс настройки Central Node для анализа копии трафика, поданного с внутреннего или внешнего сегмента сети.⚠️****ВАЖНО:**** - Для включения анализа сетевого трафика обязательно должен быть добавлен дополнительный интерфейс.
ℹ️****Примечание:**** - В версию KATA 7.1 добавлена возможность записи, хранения и выгрузки копий сырого сетевого трафика. В данном документе этот функционал описан не будет, только настройка приема SPAN. Детально по данному функционалу можно ознакомиться в [онлайн документации](https://support.kaspersky.com/help/KATA/7.1/ru-RU/228435.htm). Добавить!
--- ##### ****🔹Минимальные и максимальные требования к объёму SPAN-трафика****| Конфигурация | Минимальный объём SPAN-трафика | Максимальный объём SPAN-трафика |
| Физический сервер + выделенный Sensor | 100 Мбит/с | 10 000 Мбит/с |
| Виртуальная платформа + выделенный Sensor | 100 Мбит/с | 4 000 Мбит/с |
| Central Node со встроенным Sensor (Embedded Sensor) | 100 Мбит/с | 1 000 Мбит/с |
ℹ️****Пояснение:**** - Значение ****100 Мбит/с**** указано как ****рекомендуемый порог****, используемый при сайзинге и проектировании. - Это значение ****не является жёстким ограничением****, а служит ориентиром для расчёта ресурсов. - При объёмах ниже 100 Мбит/с ****сайзинг не изменяется**** — аппаратные требования остаются теми же.
--- ##### ****🔹Масштабирование через распределённую архитектуру**** ****Если объём SPAN-трафика превышает возможности одной инсталляции:**** - На виртуальной платформе: максимум ****4000 Мбит/с на одну Central Node с Sensor**** - На физической платформе: максимум ****10 000 Мбит/с на одну Central Node с Sensor********Примечание:**** Количество сенсоров, подключенных к одному центральному узлу, ограничено только общим объемом поступающего на них трафика SPAN.
> ****При необходимости обработать больший объём:**** > 1. Разделите трафик между несколькими независимыми инсталляциями > 2. Используйте физическую платформу > 3. Объедините инсталляции в иерархическую структуру ****(PCN + SCN)****📘****Подробнее:**** [Распределённое решение и мультитенантность](https://support.kaspersky.com/help/KATA/7.1/ru-RU/247445.htm)
--- ##### ****1.4. Проверка настройки функционала обработки SPAN-трафика**** 1\. Перейдите в веб-интерфейс Central Node под учётной записью `****admin****`. 2. Перейдите: ****Конфигурация серверов****. 3\. Проверьте, что в поле «****SPAN-трафик, Мбит/с****» указан ****общий объем**** планируемого к обработке трафика со SPAN-портов.📌****ВАЖНО:**** - В этом поле указывается ****общий объём SPAN-трафика****, который обрабатывается как на ****Central Node****, так и на вынесенных отдельно ****Sensor****.
****Внимание:**** Если вы не собираетесь использовать KATA и/или NDR, все равно рекомендуется указать объем обрабатываемого SPAN-трафика. Минимальный объем — 10. Это обеспечит корректную работу и логическую связность микросервисов в системе.
[](https://antiapt-community.ru/uploads/images/gallery/2025-11/9dpZzIpNRsC0g1DE-image.png) 📸****Скриншот 1:**** Экран "****Конфигурация серверов****" с полями: Количество Endpoint Agents, Почтовый трафик, SPAN-трафик ****Пример заполнения:**** На Central Node подается SPAN на выделенный интерфейс с объемом ****500 Mbps**** и есть выделенный Sensor, который получает SPAN объемом ****1.5 Gbps****. ****Настройка:**** В поле ****«SPAN-трафик, Мбит/с»**** укажите: ****2000**** ✅ Это суммарный объём трафика, обрабатываемый всей системой. 4. Перейдите в раздел “****Параметры**** ****→**** ****Лицензия****”. 5. Убедитесь, что активирована лицензия ****NDR**** или ****KATA/NDR****. [](https://antiapt-community.ru/uploads/images/gallery/2025-11/8Fks9oeSNq1leirg-image.png) 📸****Скриншот 2:**** Экран "“****Параметры**** ****→**** ****Лицензия****”. --- #### ****1.5.** **Настройка объёма обрабатываемого трафика****⚠️****Обязательно выполните эти настройки****, если на узле (CN или Sensor) получен SPAN.
****Через SSH-консоль:**** 1. Подключитесь к Central Node ****или Sensor**** по SSH под учётной записью `****admin****`. (в зависимости от того, куда подан SPAN) 2. Перейдите: ****Program settings → Configure storage****. 4\. Установите значение, соответствующее вашему объёму SPAN-трафика, согласно таблице:| ****Объём SPAN-трафика**** | ****File storage, MB**** | ****Hot ring, MB**** |
| 10000 Мбит/с | 80000 | 10240 |
| 7000 Мбит/с | 64000 | 8192 |
| 4000 Мбит/с | 32000 | 1024 |
| 2000 Мбит/с | 16000 | 1024 |
| 1000 Мбит/с | 8000 | 1024 |
****ВАЖНО!**** Настройки хранилища на ****Central Node**** или ****Sensor**** учитывают только трафик, обрабатываемый ****Central Node**** или ****Sensor****, и выполняется на ****каждом узле**** отдельно. Однако настройки SPAN в конфигураторе сервера в ****веб-интерфейсе**** учитывают весь трафик, обрабатываемый ****Central Node****, и все подключенные ****внешние Sensor****.
> 📌****Примечание:**** > - Если объём данных меньше указанного в таблице — выбирайте минимальное значение. > - Если объём находится между двумя значениями — выбирайте ****максимальное****.💡****ВАЖНО:**** Эти настройки ****обязательны**** для ****Central Node**** и ****выделенного Sensor****, независимо от того, где был подан SPAN-трафик.
--- #### ****1.6. Выбор протоколов для анализа**** ##### 🔍 Цель: настроить получение трафика только по нужным протоколам. ****Через SSH-консоль:**** 1\. Подключитесь к узлу (****Central Node**** или ****Sensor****) по ****SSH****. 2. Перейдите: ****Program settings → Configure traffic capture → Setup capture protocols****. 4\. Выберите протоколы, которые нужно анализировать: - По умолчанию включены все, кроме ****HTTP2****. - Чтобы включить/отключить протокол — нажмите ****Enter**** на строке. 5. Нажмите ****Apply and finish****. ✅ Сетевые протоколы для получения SPAN-трафика будут выбраны.2. Включение функционала обработки SPAN
#### ****2.1. Добавление дополнительного интерфейса на Central Node**** 1\. Войдите в веб-интерфейс Central Node под учётной записью `****admin****`. 2. Перейдите: ****Параметры → Сетевые параметры → Сетевые интерфейсы****. 3. Убедитесь, что добавлен дополнительный интерфейс и он находится в состоянии ****«Не инициализирован»****. [](https://antiapt-community.ru/uploads/images/gallery/2025-11/ZuQ3PwSWzdiHY3WS-image.png) 📸 ****Скриншот 3:**** Экран "****Сетевые интерфейсы****"****Примечание:**** ****ERSPAN****-трафик передаётся исключительно на IP-адрес получателя (не на конкретный интерфейс), при этом тип принимающего интерфейса может быть любым. Важно правильно указать IP-адрес назначения, так как именно он определяет маршрут доставки зеркалированного трафика через GRE-туннель.
#### ****2.2. Добавление дополнительного интерфейса на Sensor**** ****Через SSH-консоль:**** 1. Подключитесь к узлу ****Sensor**** по ****SSH****. 2. Перейдите: ****Network settings → Interface configuration****. [](https://antiapt-community.ru/uploads/images/gallery/2025-11/j7Z2wh3BlpgzLgAH-image.png) [](https://antiapt-community.ru/uploads/images/gallery/2025-11/wfCEZN3ToZRQWhvH-image.png) [](https://antiapt-community.ru/uploads/images/gallery/2025-11/sIDyIxNFJxCuxlNc-image.png) 📸 ****Скриншот 4:**** Экран "****Сетевые интерфейсы****"****Важно!**** Данная настройка относится к компоненту Sensor, используемого для обработки SPAN-трафика.
--- #### ****2.3. Настраиваем объем обрабатываемого SPAN непосредственно на Sensor********Пояснение:**** Данная настройка относится к компоненту Sensor, используемого для обработки SPAN-трафика.
****Через SSH-консоль:**** 1. Подключитесь к узлу ****Sensor**** по ****SSH****. 2. Перейдите: ****Program settings → Configure traffic capture****. 3\. Укажите объем анализируемого сетевого трафика в разделе "****Traffic capture bandwidth (Mbps)****". Объем должен быть указан в мегабитах в секунду. [](https://antiapt-community.ru/uploads/images/gallery/2025-11/GicHA892ZgrcnRgv-image.png) [](https://antiapt-community.ru/uploads/images/gallery/2025-11/q8LZ9w1LBEJt8G00-image.png) [](https://antiapt-community.ru/uploads/images/gallery/2025-11/ihpL22Hxu0JmMcHu-image.png) 📸 ****Скриншот 5:**** Экран "****Сетевые интерфейсы****"****Важно!**** В этом разделе показан общий объем SPAN-трафика, обработанного данным сенсором. ****Например:**** сенсор может получать SPAN-трафик с нескольких источников одновременно через разные интерфейсы, подключенные к нему.
--- #### ****2.4. Создание точки мониторинга**** ##### ****🔍 Цель: создать точку мониторинга для приёма SPAN-трафика.**** 1. Перейдите: ****Серверы Sensor****. 2. Найдите интерфейс в состоянии ****«Не инициализирован»****, предназначенный для приёма SPAN. 3. Нажмите ****«Добавить точку мониторинга»**** на этом интерфейсе. [](https://antiapt-community.ru/uploads/images/gallery/2025-11/qpN9MRtEJjaD1OQN-image.png) [](https://antiapt-community.ru/uploads/images/gallery/2025-11/eTrUU8mPNHuoQNNQ-image.png) 📸 ****Скриншот 6:**** Кнопка "****Добавить точку мониторинга****" 4\. В открывшемся окне укажите: - ****Имя точки мониторинга**** (например, `****SPAN\_Internal****`) 5. Нажмите ****«Добавить точку мониторинга»****. > 📌****Примечание:**** > - Точки мониторинга можно ****включать и выключать**** для временного прекращения наблюдения за сегментом сети.****Внимание:**** Эта настройка одинакова для ****Central Node**** и ****Sensor****.
--- #### ****2.5. Включение обработки трафика**** 1\. После создания точки мониторинга откроется её экран. 2. Убедитесь, что в разделе ****«Режим»**** указано состояние ****«Выключен»****. 3. Нажмите кнопку ****«Включить»****. [](https://antiapt-community.ru/uploads/images/gallery/2025-11/h4QS8tCbPmmqDv9s-image.png) [](https://antiapt-community.ru/uploads/images/gallery/2025-11/sZyFj7v2S0IhqmrU-image.png) 📸****Скриншот 7:**** Окно точки мониторинга с кнопкой "****Включить****" ✅ Режим обработки SPAN-трафика перейдёт в ****активное состояние****. --- #### ****2.6. Проверка поступления трафика**** 1. Перейдите: ****Мониторинг → Обработано****. 2. Выберите источник: ****SPAN****. 3\. Укажите тип отображения: - ****Текущая загрузка**** - ****Выбранный период**** (настраивается в правом верхнем углу) [](https://antiapt-community.ru/uploads/images/gallery/2025-11/CTyZukD1WVVZ39Oz-image.png) [](https://antiapt-community.ru/uploads/images/gallery/2025-11/ix0oSjl5VD3ng985-image.png) 📸****Скриншот 8:**** График нагрузки по SPAN-трафику ✅ Если SPAN-трафик подаётся на интерфейс, вы увидите график по нагрузке.💡 ****Примечание:**** Данные по обнаруженным аномалиям и угрозам будут отображаться в веб-интерфейсе ****только под учётной записью «Офицера безопасности»****.
3. Подключение и настройка внешнего хранилища
#### ****3.1. Настройка внешнего хранилища на Central Node**** ##### 🔍Цель: настроить хранение дампов трафика на внешнем хранилище. 1. На узле с Central Node подключите диск ****≥100 ГБ****. 2\. Подключитесь по SSH и выполните: ```bash sudo -i fdisk -l # убедитесь, что диск виден (например, /dev/sdb) ``` [](https://antiapt-community.ru/uploads/images/gallery/2025-11/gwBg3SYjmjtqKbiD-image.png)📸****Скриншот 9:**** Пример вывода команд ``` mke2fs -t ext4 -L DATA -m 0 /dev/sdb ``` [](https://antiapt-community.ru/uploads/images/gallery/2025-11/hZ8vfDWDy0XVNm8X-image.png) 📸****Скриншот 10:**** Пример вывода команд ``` echo "/dev/sdb /data/volumes/dumps/ ext4 defaults 0 0" >> /etc/fstab ``` [](https://antiapt-community.ru/uploads/images/gallery/2025-11/rpBnNr6khSGSlLBq-image.png) 📸****Скриншот 11:**** Пример вывода команд ``` mount rm -rf /data/volumes/dumps/* chown kluser:klusers /data/volumes/dumps/ ``` [](https://antiapt-community.ru/uploads/images/gallery/2025-11/9SqeTGGGn2CE8mqN-image.png) 📸****Скриншот 12:**** Пример вывода команд 3. Убедитесь, что напротив имени подключенного диска в столбце ****MOUNTPOINTS**** отображается значение ****/data/volumes/dumps****. ``` chown kluser:klusers /data/volumes/dumps/ ls -lah /data/volumes/dumps/ lsblk ``` [](https://antiapt-community.ru/uploads/images/gallery/2025-11/OpAcSFwvPldQj2SS-image.png) [](https://antiapt-community.ru/uploads/images/gallery/2025-11/7RnVFMw2R12DX5gu-image.png) 📸****Скриншот 13:**** Пример вывода команд 4. Перезапустить работу контейнера ****preprocessor\_span****: ``` docker service update kata_product_main_1_preprocessor_span --force docker ps | grep preprocessor_span ``` 5. Убедитесь, что напротив имени подключенного диска в столбце ****MOUNTPOINTS**** отображается значение ****/mnt/kaspersky/nta/dumps****. ``` docker exec -it $(docker ps | grep preprocessor_span | awk '{print $1}') bash lsblk ``` [](https://antiapt-community.ru/uploads/images/gallery/2025-11/oQyZu78yb3ggXxYZ-image.png) 📸****Скриншот 14:**** Пример вывода команд 6\. Войдите в веб-интерфейс приложения под учетной записью '****admin****'. [](https://antiapt-community.ru/uploads/images/gallery/2025-11/hexZM3HEGgBCRfjW-image.png) 📸****Скриншот 15:**** Раздел "****Серверы Sensor****" 7. В веб-интерфейсе: ****Серверы Sensor → Изменить → Внешнее хранилище**** 5. Включите: ****«Подключить внешнее хранилище для файлов дампа трафика»**** [](https://antiapt-community.ru/uploads/images/gallery/2025-11/qItZu3zHXUEbSO8Q-image.png) [](https://antiapt-community.ru/uploads/images/gallery/2025-11/Vma9qtW11wYl5vNn-image.png) 📸****Скриншот 16:**** Раздел "****Серверы Sensor****" 6\. Укажите: - Максимальный объём (в ГБ) - Ограничение времени хранения (в днях) - BPF-фильтр (например: `tcp port 102 or tcp port 502`) 7. Нажмите ****«Сохранить»****. > 📌****Примечание:**** > Сырой трафик записывается в `****/mnt/kaspersky/nta/dumps****`, но ****просматривается и выгружается из `/data/volumes/dumps`****. --- #### ****3.2. Настройка внешнего хранилища на Sensor**** 1. На узле с Sensor подключите диск ****≥100 ГБ****. 2\. Подключитесь по SSH и выполните: ``` sudo -i fdisk -l # убедитесь, что диск виден (например, /dev/sdb) ``` [](https://antiapt-community.ru/uploads/images/gallery/2025-11/eCmcRyvw8MWYCSos-image.png) 📸****Скриншот 17:**** Пример вывода команд ``` mke2fs -t ext4 -L DATA -m 0 /dev/sdb ``` [](https://antiapt-community.ru/uploads/images/gallery/2025-11/A0pzkQmRcpPe5Q7z-image.png) 📸****Скриншот 18:**** Пример вывода команд ``` echo "/dev/sdb /data/volumes/dumps/ ext4 defaults 0 0" >> /etc/fstab ``` [](https://antiapt-community.ru/uploads/images/gallery/2025-11/rpBnNr6khSGSlLBq-image.png) 📸****Скриншот 19:**** Пример вывода команд 3\. Закройте текстовый редактор и выполните команду: ``` rm -r /data/volumes/dumps/* ``` [](https://antiapt-community.ru/uploads/images/gallery/2025-11/b4RHaeRBefce60EU-image.png) 📸****Скриншот 20:**** Пример вывода команд 6\. Войдите в веб-интерфейс приложения под учетной записью '****admin****'. [](https://antiapt-community.ru/uploads/images/gallery/2025-11/CWIY7cL5CAPuR3Ea-image.png) 📸****Скриншот 21:**** Раздел "****Серверы Sensor****" 7. В веб-интерфейсе: ****Серверы Sensor → Изменить → Внешнее хранилище**** [](https://antiapt-community.ru/uploads/images/gallery/2025-11/bSlRGlIYisINqpEW-image.png) 📸****Скриншот 22:**** Раздел "****Серверы Sensor****" 5. Включите: ****«Подключить внешнее хранилище для файлов дампа трафика»**** 6\. Укажите: - Максимальный объём (в ГБ) - Ограничение времени хранения (в днях) - BPF-фильтр (например: `tcp port 102 or tcp port 502`) 7. Нажмите ****«Сохранить»****. > 📌****Примечание:**** > Сырой трафик записывается в `****/mnt/kaspersky/nta/dumps****`, но просматривается и выгружается из ****`/data/volumes/dumps`****.4. Проверка работы выгрузки дампов трафика
#### ****4.1. Выгрузка дампов трафика**** ##### 🔍 Цель: скачать дамп трафика для анализа. 1. Авторизуйтесь под УЗ ****«Офицера безопасности»****. 2. Перейдите: ****Серверы Sensor → Выбрать Sensor → Скачать трафик****. [](https://antiapt-community.ru/uploads/images/gallery/2025-11/JuZqDBwdSOTVp8GH-image.png) 📸****Скриншот 23:**** Раздел "****Серверы Sensor****" 3\. Укажите: - Период - Максимальный размер дампа - Точки мониторинга - BPF-фильтр - Регулярное выражение (например: `^test.+xABxCD`) [](https://antiapt-community.ru/uploads/images/gallery/2025-11/XI5kVOmBxbhdJo5q-image.png) [](https://antiapt-community.ru/uploads/images/gallery/2025-11/sQfcDVwyhgjm1MgD-image.png) 📸****Скриншот 24:**** Раздел "****Серверы Sensor****" 4. Нажмите ****«Скачать»**** → файл в формате ****PCAP**** начнёт загрузку.| Для Astra Linux 1.7.х воспользуйтесь инструкцией по установке Docker [https://wiki.astralinux.ru/pages/viewpage.action?pageId=158601444](https://wiki.astralinux.ru/pages/viewpage.action?pageId=158601444) До момента обращения к хабу контейнеров и загрузке контейнера hello world Для Astra Linux 1.8.х воспользуйтесь инструкцией по установке Docker (т.к. оф.инструкции еще не опубликована на Wiki Astra) [https://pixelfed.nbics.net/books/docker/page/ustanovka-docker-na-astra-linux-se-181](https://pixelfed.nbics.net/books/docker/page/ustanovka-docker-na-astra-linux-se-181) |
| ****Убедитесь, что раздел VAR не менее 200GB. Или раздел HOME не менее 200GB.**** |
****Информация:**** Приведенная на данной странице информация, является разработкой команды ****pre-sales**** и/или ****AntiAPT Community**** и ****НЕ**** ****является**** официальной рекомендацией вендора.
- ****Версия решения:**** 7.1 - ****Тип инструкции:**** Настройка источников данных SMTP > ****Важно!**** > Интеграция через SMTP позволяет ****анализировать вложения из почтовых сообщений**** в реальном времени с использованием трёх ключевых технологий: > - ****Anti-Malware Engine**** — сигнатурный и эвристический анализ > - ****YARA-правила**** — детектирование по шаблонам > - ****Sandbox**** — динамический анализ поведения Администратор настраивает почтовую систему (Microsoft Exchange) на отправку ****скрытой копии (BCC)**** всех сообщений на адрес в ****служебном фиктивном домене**** (например, `****sensor@kata.abc.corp****`). При этом ****Central Node или Sensor**** указывается в DNS как ****почтовый сервер (MX)**** для этого домена. ##### ✅ ****Преимущества SMTP-интеграции:**** - KATA получает письма ****как почтовый сервер****, а не как клиент → ****нет уведомлений о доставке/прочтении**** - Нет задержек, связанных с опросом (в отличие от POP3) - Полный контроль над фильтрацией (внешние/внутренние письма, отправители и т.д.)⚠️ ****Ограничения:**** - Подходит ****только для локальных (on-premises) почтовых систем**** - ****Не поддерживается в облачных службах**** (Microsoft 365, Gmail и др.), где нельзя настроить MX для внутреннего домена и автоматическую пересылку BCC
--- #### ****1.1. Обязательные условия**** Перед настройкой SMTP-интеграции убедитесь, что: - ✅ Установлена и настроена ****Central Node**** или выделенный ****Sensor**** - ✅ Активирована лицензия ****KATA**** или ****KATA/NDR**** - ✅ Добавлен ****дополнительный сетевой интерфейс**** (кроме Management), находящийся в состоянии ****«Не инициализирован»**** - ✅ Настроена сетевая связность между Exchange и KATA по ****TCP-порту 25**** - ✅ Есть доступ к ****Exchange Admin Center (EAC)**** или ****Exchange Management Shell**** с правами администратора ---1. Подготовка
#### ****1.1. Лицензии и функциональность****| ****Лицензия**** | ****Требуется для**** |
| ****KATA**** | Анализ почтового трафика, проверка вложений по ****Anti-Malware****, ****YARA****, ****Sandbox**** |
| ****NDR**** | Не требуется для SMTP-интеграции |
| ****KATA/NDR**** | Полный функционал: периметр + внутренняя сеть |
⚠️****ВАЖНО:**** Без лицензии ****KATA**** функционал анализа ****недоступен****, даже если письма поступают на SMTP-точку.
> 💡****Рекомендация:**** > Используйте служебный домен (`****katasmtp.corp****`) ****только внутри сети**** — не публикуйте его во внешнем DNS. --- #### ****1.2. Сетевые требования**** - Для приёма SMTP-трафика используется management-интерфейс. - Exchange должен иметь возможность ****напрямую подключаться**** к KATA по ****TCP-порту 25****. - Внутренний DNS должен содержать ****MX-запись**** для служебного домена, указывающую на ****IP KATA****.ℹ️****Примечание:**** SMTP-интеграция ****не требует зеркалирования трафика**** — почтовый сервер ****активно отправляет**** копии писем на обработку.
--- #### ****1.3. Настройка DNS сервера**** Чтобы создать дополнительную зону на DNS-сервере, выполните следующие шаги на внутреннем DNS-сервере: 1\. Откройте настройки DNS-сервера. Щелкните правой кнопкой мыши по вашему серверу и выберите «Настроить DNS-сервер», чтобы запустить мастер настройки. [](https://antiapt-community.ru/uploads/images/gallery/2025-11/eb2GCr7yCJw6KsHV-image.png) 📸****Скриншот 1:**** Поле примера вызова 2\. Выберите "****Создать зону прямого просмотра****". [](https://antiapt-community.ru/uploads/images/gallery/2025-11/7cb9KhyR1FgAv7xv-image.png) 📸****Скриншот 2:**** Поле примера вызова 3\. Выберите какой DNS-сервер обслуживает данную зону: [](https://antiapt-community.ru/uploads/images/gallery/2025-11/u4q5aLtSprY2HiDY-image.png) 📸****Скриншот 3:**** Поле примера вызова 4\. Укажите имя новой зоны, например: '****katasmtp.corp****'. [](https://antiapt-community.ru/uploads/images/gallery/2025-11/MxLXehM6cQkMFuVo-image.png) 📸****Скриншот 4:**** Поле примера вызова 5\. Выбираем тип обновления. [](https://antiapt-community.ru/uploads/images/gallery/2025-11/p4B6CTjsbCFwAm2E-image.png) 📸****Скриншот 5:**** Поле примера вызова 6\. Убираем сервер пересылки. [](https://antiapt-community.ru/uploads/images/gallery/2025-11/bJxCy8cEUujTq3X6-image.png) 📸****Скриншот 6:**** Поле примера вызова 7\. Завершаем мастер настройки DNS-сервера. [](https://antiapt-community.ru/uploads/images/gallery/2025-11/XLK0xzjcDHrfY6K1-image.png) 📸****Скриншот 7:**** Поле примера вызова2. Настройка на стороне KATA
#### ****2.1. Включение SMTP-интеграции**** 1\. Войдите в веб-интерфейс Central Node под учётной записью `****admin****`. [](https://antiapt-community.ru/uploads/images/gallery/2025-11/pmFB0iqFOSU6bXJE-image.png) 📸****Скриншот 8:**** Экран входа в KATA 2. Перейдите: ****Серверы Sensor****. [](https://antiapt-community.ru/uploads/images/gallery/2025-11/GphNYaTdgRe59P8p-image.png) [](https://antiapt-community.ru/uploads/images/gallery/2025-11/zr75MrWlh7UloNI9-image.png) 📸****Скриншот 9:**** Список сенсоров (включая «****Embedded Sensor****») 3. Нажмите ****«Изменить»**** напротив нужного Sensor (обычно — ****Embedded Sensor****). 4. Перейдите на вкладку ****«SMTP-интеграция»****. [](https://antiapt-community.ru/uploads/images/gallery/2025-11/b6n22UUQAYPpz5eP-image.png) 📸****Скриншот 10:**** Вкладка «SMTP-интеграция» с переключателем 5. Переведите параметр ****«SMTP-интеграция»**** в состояние ****«Включено»****. [](https://antiapt-community.ru/uploads/images/gallery/2025-11/MLeoiuS7mSxMS5zY-image.png) 📸****Скриншот 11:**** Вкладка «SMTP-интеграция» --- #### ****2.2. Настройка доменов назначения****⚠️****Обязательный шаг!**** Без этого KATA ****не примет письма****.
6. В том же разделе ****«SMTP-интеграция»**** найдите поле: ****«Домены назначения»**** 7\. Укажите служебный домен, например: ****katasmtp.corp****Можно указать несколько доменов — по одному на строку.
8. Нажмите ****«Применить»****. [](https://antiapt-community.ru/uploads/images/gallery/2025-11/2tUsmy87v6lRDj6J-image.png) 📸****Скриншот 12:**** Поле «Домены назначения» с введённым `****kata.abc.corp****` --- ****✅ После этого KATA:**** - - - - Активирует встроенный SMTP-сервер на порту ****25**** - Примет письма ****только на указанные домены**** - Начнёт анализировать вложения по ****Anti-Malware****, ****YARA****, ****Sandbox****3. Настройка на стороне Microsoft Exchange
#### ****3.1. Регистрация A-записи в DNS**** 1. В ранее созданной дополнительной зоне внутреннего DNS-сервера создайте запись типа ****A****. - ****Имя:**** kata - ****Домен****: `kata.katasmtp.corp` - ****Целевой хост****: IP-адрес интерфейса KATA [](https://antiapt-community.ru/uploads/images/gallery/2025-11/NBhO5iYppoKtV6RJ-image.png) 📸****Скриншот 13:**** DNS-запись A --- #### ****3.2. Регистрация MX-записи в DNS**** 1. Внутренний DNS-сервер: создайте запись типа ****MX**** - ****Домен****: `kata.abc.corp` - ****Приоритет****: `10` - ****Целевой хост****: IP-адрес интерфейса KATA [](https://antiapt-community.ru/uploads/images/gallery/2025-11/9XVx8G8FburkrVb2-image.png) [](https://antiapt-community.ru/uploads/images/gallery/2025-11/aVh60biynBc80OSB-image.png) 📸 \*\*****Скриншот 14:**** DNS-запись ****MX**** --- #### ****3.3. Создание правила BCC**** 1. В ****Exchange Admin Center → Mail flow → Rules →+ Create a new rule**** 2\. Укажите: - ****Имя:**** `Send BCC to KATA` - ****Условие:**** `The recipient is located...` → `Outside the organization` - \*(или `Any recipient` — по политике)\* - ****Действие:**** `Blind carbon copy (BCC) the message to...` → `sensor@kata.abc.corp` [](https://antiapt-community.ru/uploads/images/gallery/2025-11/70caLGtmysBTquus-image.png) [](https://antiapt-community.ru/uploads/images/gallery/2025-11/qsMmbVGj0nECGqM2-image.png) [](https://antiapt-community.ru/uploads/images/gallery/2025-11/M6bKLzpECypenQDg-image.png) 📸****Скриншот 15:**** Правило BCC --- #### ****3.3. Настройка исходящего коннектора**** 1. ****Перейдите:**** Mail flow → Send connectors → + Create 2. ****Укажите:**** - ****Имя:**** `KATA SMTP Connector` - ****Тип:**** Custom 3. На шаге ****Address space****: - Нажмите ****+**** - ****Тип:**** `SMTP` - ****Домен:**** `kata.abc.corp` - ****Cost:**** `1` [](https://antiapt-community.ru/uploads/images/gallery/2025-11/ddJ9CiPw8XrMv1je-image.png) [](https://antiapt-community.ru/uploads/images/gallery/2025-11/XBHJareaYusHTasA-image.png)[](https://antiapt-community.ru/uploads/images/gallery/2025-11/K62y4MfihWoWHMsV-image.png) [](https://antiapt-community.ru/uploads/images/gallery/2025-11/Vq3GoQoJiVH1MTPA-image.png) 📸****Скриншот 16:**** Address space 4. На шаге ****Source server**** выберите ваш Exchange Server [](https://antiapt-community.ru/uploads/images/gallery/2025-11/WCEmE6W6r4XXm0ua-image.png) 📸****Скриншот 17:**** Выбор сервера 5. На всех остальных шагах оставьте \*\*настройки по умолчанию\*\* [](https://antiapt-community.ru/uploads/images/gallery/2025-11/p0fJtPts2koeZuT8-image.png) 📸****Скриншот 18:**** Шаг с параметрами по умолчанию4. Проверка работы
#### ****4.1. Проверка поступления писем**** 1. Перейдите: ****Мониторинг → Обработано**** 2. Выберите источник: ****SMTP**** 3\. Укажите тип отображения: - ****Текущая загрузка**** - ****Выбранный период**** (настраивается в правом верхнем углу) [](https://antiapt-community.ru/uploads/images/gallery/2025-11/r4oTMLfiYcuxGteg-image.png) [](https://antiapt-community.ru/uploads/images/gallery/2025-11/t7sKwviF2HRRDYxy-image.png) 📸****Скриншот 19:**** График нагрузки по SMTP-трафику✅Если письма поступают — вы увидите график.
--- #### ****4.2. Просмотр результатов анализа**** 1. Перейдите под учётной записью ****«Офицер безопасности»**** 2. Откройте: ****Угрозы → События**** 3. В колонке ****«Технология детектирования»**** вы увидите: - ****Anti-Malware**** - ****YARA**** - ****Sandbox**** > 💡Объект может быть детектирован ****одной или несколькими**** технологиями.Данные отображаются ****только под ролью «Офицер безопасности»****.
****ВАЖНО:**** В этой инструкции рассмотрим только настройку через KSC Web Console. MMC консоль больше не поддерживается, поэтому рекомендуется использовать веб-консоль.
Начиная с версии Kaspersky Endpoint Security для Windows 12.11 компонент EDR (KATA) переименован в Endpoint Detection and Response Expert (версия 8.0 и выше). В этой версии приложения компонент совместим с Kaspersky Anti Targeted Attack Platform версии 7.1 и ниже и Kaspersky Endpoint Detection and Response Expert (on-premise).
Компоненты EDR Optimum, EDR Expert и EDR (KATA) несовместимы между собой.
---1. Подготовка
### 1.1. Поддерживаемые версии| ****Компонент**** | ****Минимальная версия**** |
|---|---|
| KATA / KEDR | 4.0>7.1 |
| KSC | 13.2+ |
| KES для Windows | 12.1+ |
2. Чистая установка KES 12.1+ с EDR через KSC Web Console
### 2.1. Настройка инсталляционного пакета 1. Откройте ****KSC Web Console → Операции → Хранилища → Инсталляционные пакеты**** 2. Найдите пакет ****KES 12.1+**** 3. Выберите ****режим работы**** Kaspersky Endpoint Security для Windows: ****- Стандартный -**** Это базовый режим, который используется по умолчанию. Он входит в состав EPP-решений от "Лаборатории Касперского", например, в Kaspersky Endpoint Security для бизнеса. Этот режим обеспечивает комплексную защиту рабочих станций и серверов от угроз, сетевых атак и мошенничества. ****- EDR-агент -**** EDR-агент предназначен для интеграции с решениями Detection and Response от "Лаборатории Касперского" и EPP-решениями сторонних поставщиков. Например, он работает с Kaspersky Managed Detection and Response (MDR) и Kaspersky Anti Targeted Attack Platform (KATA). Также поддерживается интеграция с SIEM-решением Kaspersky Unified Monitoring and Analysis Platform (KUMA). В этом режиме отключены стандартные компоненты защиты, такие как защита от файловых и веб-угроз. Основную защиту компьютера обеспечивает стороннее EPP-решение. EDR-агент непрерывно следит за процессами, сетевыми соединениями и изменениями файлов, взаимодействуя с решениями Detection and Response. ****- Легкий агент -**** Этот режим предназначен для защиты виртуальных сред. Легкий агент входит в состав Kaspersky Security для виртуальных и облачных сред. Он защищает виртуальные машины с гостевыми операционными системами, обеспечивая те же компоненты защиты, что и в стандартном режиме. Однако проверку на вирусы и вредоносные программы выполняет специальный компонент на отдельной виртуальной машине – SVM (Secure Virtual Machine). Таким образом, ресурсы виртуальной машины не расходуются на обеспечение безопасности. В зависимости от вашего решения, выберите подходящий режим работы. 4. Перейдите в ****Параметры → Detection and Response**** 5. Включите: ****Endpoint Detection and Response (KATA)**** ****📸 Скриншот 1:**** Выбор компонента EDR до KES 12.8 [](https://antiapt-community.ru/uploads/images/gallery/2026-05/EoM9zMTanRTb3TWn-image.png)📸 ****Скриншот 2****: Выбор компонента EDR для KES 12.8+ 6. (Рекомендуется) Включите: ****Настройки установки → Добавить путь к приложению в переменную окружения %PATH%**** [](https://antiapt-community.ru/uploads/images/gallery/2026-05/ACjqgzPS55jAKNI1-image.png)📸 ****Скриншот 3:**** Добавить путь к приложению в переменную окружения ****%PATH%**** 7. Нажмите ****«Обновить базы» → «Сохранить»**** [](https://antiapt-community.ru/uploads/images/gallery/2026-05/fZ4bcaYqa8Tjcwa2-image.png)📸 ****Скриншот 4: Обновить базы**** --- ### 2.2. Создание задачи удалённой установки 1. Перейдите: ****Устройства → Задачи → Добавить**** 2\. Выберите: 1. ****Приложение****: `Kaspersky Security Center` 2. ****Тип задачи****: `Удалённая установка программы` 3\. Укажите устройства (вручную или из списка) [](https://antiapt-community.ru/uploads/images/gallery/2026-05/dDLTD2jkvpFLTm4K-image.png) 📸 ****Скриншот 5:**** Удаленная установка программы 4\. Выберите: 1. ****Инсталляционный пакет****: `KES 12.1+` 2. ****Агент администрирования****: `KSC Agent` 5. Если агент уже установлен — выберите: ****«Учётная запись не требуется»**** 📸 ****Скриншот 6:**** Учетная запись не требуется (Агент администрирования уже установлен) 6. Нажмите ****«Готово» → «Запустить»**** [](https://antiapt-community.ru/uploads/images/gallery/2026-05/aky7Ry8o68WGcVsS-image.png)📸 ****Скриншот 7:**** После создания она автоматически переходит в состояние ожидания, поэтому её необходимо запустить вручную. --- ### 2.3. Добавление лицензий > ⚠️ ****Важно****: Добавьте ****обе лицензии отдельно****! #### Лицензия KES + EDR: ****1. Устройства → Задачи → Добавить → Добавление ключа**** 2. Выберите ****KES 12.1+****, укажите устройства 📸 ****Скриншот 8:**** Добавление ключа KES 3. Выберите файл ключа → ****снимите галочку** **«Использовать как резервный»**** [](https://antiapt-community.ru/uploads/images/gallery/2026-05/8CxmorOsGgBGxoEQ-image.png)📸 ****Скриншот 9:**** Использовать ключ в качестве резервного #### Лицензия KEDR (KATA): 1. Повторите шаги выше, но выберите ****ключ KEDR**** [](https://antiapt-community.ru/uploads/images/gallery/2026-05/vbLuSJbhdsySswQb-image.png) 📸 ****Скриншот 10:**** Добавление ключа EDR3. Активация EDR на уже установленном KES
### 3.1. Создание задачи ****1. Устройства → Задачи → Добавить → Изменение состава компонентов**** 2\. Выберите KES 12.1+ → укажите устройства [](https://antiapt-community.ru/uploads/images/gallery/2026-05/zcIjkwins7BOkqrJ-image.png)📸 ****Скриншот 11****: выбор на «****Изменение состава компонентов приложения****». 3. В параметрах задачи включите: ****Detection and Response → Endpoint Detection and Response (KATA)**** 📸 ****Скриншот 12:**** «****Параметры**** ****приложения****» и выберите компоненты «****Detection and Response****». Активируйте компонент «****Endpoint Detection and Response (KATA)****» (Выбор компонента EDR до KES 12.8) [](https://antiapt-community.ru/uploads/images/gallery/2026-05/h3YaOoBXfuimYHO0-image.png)📸 ****Скриншот 13****: Выбор компонента EDR для KES 12.8+ 4\. Внесите изменения в задачу «****Изменение состава компонентов приложения****». Добавьте данные «****Имя пользователя****» и «****Пароль****» для её выполнения, чтобы избежать проблем в процессе. [](https://antiapt-community.ru/uploads/images/gallery/2026-05/kd4ScTIKO01jHeu3-image.png)📸 ****Скриншот 14****: выбор на «****Изменение состава компонентов приложения****». 5\. Запустите задачу [](https://antiapt-community.ru/uploads/images/gallery/2026-05/0vN4ob1HENGK2AbU-image.png)📸 ****Скриншот 15:**** Запустите созданную задачу. --- ### 3.3. Добавление лицензии KEDR 1. Создайте задачу ****«Добавление ключа»**** 2. Выберите ****ключ KEDR**** → примените к тем же устройствам [](https://antiapt-community.ru/uploads/images/gallery/2026-05/99ShSWNuEFlPRQjr-image.png) 📸 ****Скриншот 16:**** выбираем ****«Добавление ключа»****.4. Интеграция с Central Node KATA
### 4.1. Скачивание TLS-сертификата из KATA 1. Войдите в ****KATA Web Console (администратор)**** 2. Перейдите: ****Активы → Endpoint Agents**** [](https://antiapt-community.ru/uploads/images/gallery/2026-05/aqJIhz086e7KlXXl-image.png)📸 ****Скриншот 17:**** разделе ****«Сертификат сервера»**** нажимаем ****«Экспортировать».**** 3. Будет экспортирован файл `.crt` --- ### 4.2. Настройка политики ****1. Устройства → Политики → Добавить → KES 12.1+**** 2\. В мастере выберите необходиый ****режим**** 3. Перейдите: ****Параметры приложения → Detection and Response → Endpoint Detection and Response (KATA)**** 4\. Включите компонент 5. Нажмите ****«Настройки подключения к серверу KATA»**** - Загрузите ****TLS-сертификат**** [](https://antiapt-community.ru/uploads/images/gallery/2026-05/BgfJ8SwxVusjgHIe-image.png) 📸 ****Скриншот 18:**** добавляем сертификат сервера TLS выгруженный из Central Node, - Укажите ****адрес Central Node**** и ****порт** **443**** [](https://antiapt-community.ru/uploads/images/gallery/2026-05/8D0RvRL4ngyuQYqH-image.png)📸 ****Скриншот 19:**** указываем адрес сервера KATA и порт 6. Нажмите ****«Сохранить»****5. Проверка интеграции
### 5.1. Непосредственно на Central Node 1. Войдите в ****KATA Web Console (администратор)**** 2. Перейдите: ****Активы**** 📸 ****Скриншот 20:**** разделе ****«Endpoint Agents»**** начнут появляться ****«Агенты»**** со статусом ****«****Нормальная активность****».**** 3\. Войдите в ****KATA Web Console (Под аналитиком)**** 4. Перейдите в раздел «****Поиск угроз****». В конструкторе выберите тип событий ****Host**** вместо ****EventType****, укажите значение ****\***** и нажмите «****Найти****». Это выведет все события от всех устройств, подключенных к системе с EDR. [](https://antiapt-community.ru/uploads/images/gallery/2026-05/WhSfBJFWP89CkGby-image.png)📸 ****Скриншот 21:**** разделе ****«****Поиск угроз****»**** вывод собранной телеметрии с EDR агентов****.**** --- ### 5.2. Со стороны клиента (Агента) 1\. Откройте клиент KES 2. Перейдите в раздел «****Безопасность****». Убедиться, что должен быть добавлен компонент ****Endpoint Detection and Response Expert (on-premise)****. Он должен быть подсвечен зеленым цветом, что подтверждает его активацию и наличие лицензии. 📸 ****Скриншот 22:**** разделе ****«Безопастность»**** присуствует установленный компонент **«****Endpoint Detection and Response Expert (on-premise)****».**** 3. Перейти в раздел ****Мониторинг → Отчеты→**** ****Endpoint Detection and Response Expert (on-premise),**** либо в том же разделе ****Безопасность**** кликнуть по значку троеточия и выпадающем меню выбрать ****Открыть отчет****. 📸 ****Скриншот 23:**** Варинаты проверки статуса подключения комопннета ****«****Endpoint Detection and Response Expert (on-premise)** к ****«Central Node».******ВАЖНО:** В этой инструкции рассмотрим только настройку через KSC Web Console. MMC консоль больше не поддерживается, поэтому рекомендуется использовать веб-консоль.
---1. Подготовка
### 1.1. Поддерживаемые версии ### 1.2. Аппаратные требования (на клиенте) - **ОС**: Windows 10/11, Windows Server 2016–2022 - **RAM**: ≥2 ГБ (x64) - **HDD**: ≥2 ГБ свободного места - **CPU**: ≥1 ГГц, поддержка **SSE2** ### 1.3. Необходимые лицензии - Лицензия **KES** - Лицензия **NDR (KATA)** > 📌 Обе лицензии **должны быть добавлены отдельно** — одна не заменяет другую.2. Чистая установка KES 12.7+ с NDR через KSC Web Console
### 2.1. Настройка инсталляционного пакета 1\. Откройте **KSC Web Console → Операции → Хранилища → Инсталляционные пакеты** 2\. Найдите пакет **KES 12.7+** 3\. Перейдите в **Параметры → Detection and Response** 4\. Включите: **Network Detection and Response (KATA)** [](https://antiapt-community.ru/uploads/images/gallery/2026-05/Qd2ElrZZiJWezHJH-image.png) **📸 Скриншот 1:** Выбор компонента NDR c KES 12.7 5\. (Рекомендуется) Включите: **Настройки установки → Добавить путь к приложению в переменную окружения %PATH%** [](https://antiapt-community.ru/uploads/images/gallery/2026-05/1bMsqRXNJcId30qi-image.png) 📸 **Скриншот 2:** Добавить путь к приложению в переменную окружения **%PATH%** 6\. Нажмите **«Обновить базы» → «Сохранить»** [](https://antiapt-community.ru/uploads/images/gallery/2026-05/KO4vJzhUhSGaSFrd-image.png) 📸 **Скриншот 3: Обновить базы** --- ### 2.2. Создание задачи удалённой установки 1\. Перейдите: **Устройства → Задачи → Добавить** 2\. Выберите: 1. **Приложение**: `Kaspersky Security Center` 2. **Тип задачи**: `Удалённая установка программы` 3\. Укажите устройства (вручную или из списка) [](https://antiapt-community.ru/uploads/images/gallery/2026-05/m0yTgL3dg3uv7nWg-image.png) 📸 **Скриншот 4:** Удаленная установка программы 4\. Выберите: 1. **Инсталляционный пакет**: `KES 12.7+` 2. **Агент администрирования**: `KSC Agent` 5\. Если агент уже установлен — выберите: **«Учётная запись не требуется»** 📸 **Скриншот 5:** Учетная запись не требуется (Агент администрирования уже установлен) 6\. Нажмите **«Готово» → «Запустить»** [](https://antiapt-community.ru/uploads/images/gallery/2026-05/1uQFrTjm6fI8CQvI-image.png) 📸 **Скриншот 6:** После создания она автоматически переходит в состояние ожидания, поэтому её необходимо запустить вручную. --- ### 2.3. Добавление лицензий > ⚠️ **Важно**: Добавьте **обе лицензии отдельно**! #### Лицензия KES + NDR: **1. Устройства → Задачи → Добавить → Добавление ключа** 2\. Выберите **KES 12.7+**, укажите устройства 📸 **Скриншот 7:** Добавление ключа KES 3\. Выберите файл ключа → **снимите галочку «Использовать как резервный»** [](https://antiapt-community.ru/uploads/images/gallery/2026-05/7clZ6G95wjU9jWDh-image.png) 📸 **Скриншот 8:** Использовать ключ в качестве резервного #### Лицензия NDR (KATA): 1\. Повторите шаги выше, но выберите **ключ NDR** [](https://antiapt-community.ru/uploads/images/gallery/2026-05/7SPdAQfWb55nHXvx-image.png) 📸 **Скриншот 9:** Добавление ключа NDR3. Активация NDR на уже установленном KES
### 3.1. Создание задачи **1. Устройства → Задачи → Добавить → Изменение состава компонентов** 2\. Выберите KES 12.7+ → укажите устройства [](https://antiapt-community.ru/uploads/images/gallery/2026-05/8gVxTU7vI30YApfL-image.png) 📸 **Скриншот 11**: выбор на «**Изменение состава компонентов приложения**». 3\. В параметрах задачи включите: **Detection and Response → Network Detection and Response (KATA)** [](https://antiapt-community.ru/uploads/images/gallery/2026-05/bzXYZPssqZElYpho-image.png) 📸 **Скриншот 13:** «**Параметры** **приложения**» и выберите компоненты «**Detection and Response**». Активируйте компонент «**Network Detection and Response (KATA)**» 4\. Внесите изменения в задачу «**Изменение состава компонентов приложения**». Добавьте данные «**Имя пользователя**» и «**Пароль**» для её выполнения, чтобы избежать проблем в процессе. [](https://antiapt-community.ru/uploads/images/gallery/2026-05/SymAYuQnPTUYB3h4-image.png) 📸 **Скриншот 12**: выбор на «**Изменение состава компонентов приложения**». 5\. Запустите задачу [](https://antiapt-community.ru/uploads/images/gallery/2026-05/gVBmK58OJ09qXSDv-image.png) 📸 **Скриншот 14:** Запустите созданную задачу**.** --- ### 3.3. Добавление лицензии NDR 1\. Создайте задачу **«Добавление ключа»** 2\. Выберите **ключ NDR** → примените к тем же устройствам [](https://antiapt-community.ru/uploads/images/gallery/2026-05/FLMefvS0Wfz04785-image.png) [](https://antiapt-community.ru/uploads/images/gallery/2026-05/0cssSZTLNSinCpRr-image.png) 📸 **Скриншот 15:** выбираем **«Добавление ключа»**.4. Интеграция с Central Node KATA
### 4.1. Скачивание TLS-сертификата из KATA 1\. Войдите в **KATA Web Console (администратор)** 2\. Перейдите: **Параметры → Серверы подключений → Серверы интеграции** [](https://antiapt-community.ru/uploads/images/gallery/2026-05/X166v0VU8fpOfCYN-image.png) 📸 **Скриншот 16:** разделе **«Сертификат сервера»** нажимаем **«Экспортировать».** 3\. Нажмите **Добавить сервер интеграции с Endpoint Agent** 4\. Выберите узел для добавления сервера интеграции. Это может быть как встроенный Embeded Sensor, так и внешний узел, установленный с ролью Sensor. [](https://antiapt-community.ru/uploads/images/gallery/2026-05/AxR6cPVzuJpLw01O-image.png) 📸 **Скриншот 17:** включите **«Проверять сертификаты клиентов»** и создайте **новый сертификат.** 5\. Выгрузить файл свертки задав обязательно пароль [](https://antiapt-community.ru/uploads/images/gallery/2026-05/yw75ru2JuhOjUXVZ-image.png)📸 **Скриншот 18:** Будет выгружен архив с сертификатами**.** 6. Включить сервер интеграции. [](https://antiapt-community.ru/uploads/images/gallery/2026-05/6nVOho5Cojp4RaBB-image.png)📸 **Скриншот 19:** сервер включен**.** ### 4.2. Настройка политики **1. Устройства → Политики → Добавить → KES 12.7+** 2\. В мастере выберите **стандартный режим** 3\. Перейдите: **Параметры приложения → Detection and Response → Network Detection and Response (KATA)** 4\. Включите компонент 5\. Нажмите **«Настройки подключения к серверу KATA»** \- Загрузите **TLS-сертификат** [](https://antiapt-community.ru/uploads/images/gallery/2026-05/BgfJ8SwxVusjgHIe-image.png) [](https://antiapt-community.ru/uploads/images/gallery/2026-06/MclnYYgUaq8RN5ci-image.png) 📸 **Скриншот 17:** добавляем сертификат сервера TLS выгруженный из Central Node, \- Укажите **адрес Central Node** и **порт 8085** [](https://antiapt-community.ru/uploads/images/gallery/2026-06/NO3UfjooqDUCl66b-image.png) 📸 **Скриншот 18:** указываем адрес сервера KATA и порт 6\. Нажмите **«Сохранить»**5. Проверка интеграции
### 5.1. Непосредственно на Central Node 1\. Войдите в **KATA Web Console (аналитик)** 2\. Перейдите: [](https://antiapt-community.ru/uploads/images/gallery/2026-06/mGLM4AnJZw2dkULA-image.png) [](https://antiapt-community.ru/uploads/images/gallery/2026-06/iFI8rU6iZSftn5Ea-image.png) 📸 **Скриншот 19:** В разделе «**Активы → Устройства**» начнут появляться активы с установленными «**Агентами**», но для фильтрации и отображения только устройств с установленным агентом необходимо добавить дополнительные поля, перейдя в настройку в правом верхнем углу, нажав на шестеренку. --- ### 5.2. Со стороны клиента (Агента) 1\. Откройте клиент KES 2\. Перейдите в раздел «**Безопасность**». Убедиться, что должен быть добавлен компонент **Network Detection and Response (KATA)**. Он должен быть подсвечен зеленым цветом, что подтверждает его активацию и наличие лицензии. [](https://antiapt-community.ru/uploads/images/gallery/2026-06/o6smakvQ5RA65wzf-image.png) 📸 **Скриншот 20:** разделе **«Безопастность»** присуствует установленный компонент «Network Detection and Response (KATA)».** 3\. Перейти в раздел **Мониторинг → Отчеты→** **Network Detection and Response (KATA),** либо в том же разделе **Безопасность** кликнуть по значку троеточия и выпадающем меню выбрать **Открыть отчет**. [](https://antiapt-community.ru/uploads/images/gallery/2026-06/9gyuXT8wuhqFq1bw-image.png) 📸 **Скриншот 21:** Варинаты проверки статуса подключения комопннета **«Network Detection and Response (KATA) к **«Central Node».******ВАЖНО:**** В этой инструкции рассмотрим только настройку через KSC Web Console. MMC консоль больше не поддерживается, поэтому рекомендуется использовать веб-консоль.
---1. Подготовка
### 1.1. Поддерживаемые версии ### 1.2. Аппаратные требования (на клиенте) - ****ОС****: Windows 10/11, Windows Server 2016–2022 - ****RAM****: ≥2 ГБ (x64) - ****HDD****: ≥2 ГБ свободного места - ****CPU****: ≥1 ГГц, поддержка ****SSE2**** ### 1.3. Необходимые лицензии - Лицензия ****KES**** - Для работы KATA Sandbox должно быть развернуто решение Kaspersky Anti Targeted Attack Platform версии 7.0 или выше.2. Чистая установка KES 12.7+ с Sandbox через KSC Web Console
### 2.1. Настройка инсталляционного пакета 1. Откройте ****KSC Web Console → Операции → Хранилища → Инсталляционные пакеты**** 2. Найдите пакет ****KES 12.7+**** 3. Перейдите в ****Параметры → Detection and Response**** 4. Включите: ****Sandbox**** [](https://antiapt-community.ru/uploads/images/gallery/2026-06/dyp8kvIksU8OFmVl-image.png) ****📸 Скриншот 1:**** Выбор компонента Sandbox c KES 12.7 5. (Рекомендуется) Включите: ****Настройки установки → Добавить путь к приложению в переменную окружения %PATH%**** [](https://antiapt-community.ru/uploads/images/gallery/2026-05/1bMsqRXNJcId30qi-image.png) 📸 ****Скриншот 2:**** Добавить путь к приложению в переменную окружения ****%PATH%**** 6. Нажмите ****«Обновить базы» → «Сохранить»**** [](https://antiapt-community.ru/uploads/images/gallery/2026-05/KO4vJzhUhSGaSFrd-image.png) 📸 ****Скриншот 3: Обновить базы**** --- ### 2.2. Создание задачи удалённой установки 1. Перейдите: ****Устройства → Задачи → Добавить**** 2\. Выберите: 1. ****Приложение****: `Kaspersky Security Center` 2. ****Тип задачи****: `Удалённая установка программы` 3\. Укажите устройства (вручную или из списка) [](https://antiapt-community.ru/uploads/images/gallery/2026-06/mNNmY81dSb4kEWtK-image.png) 📸 ****Скриншот 4:**** Удаленная установка программы 4\. Выберите: 1. ****Инсталляционный пакет****: `KES 12.7+` 2. ****Агент администрирования****: `KSC Agent` 5. Если агент уже установлен — выберите: ****«Учётная запись не требуется»**** 📸 ****Скриншот 5:**** Учетная запись не требуется (Агент администрирования уже установлен) 6. Нажмите ****«Готово» → «Запустить»**** [](https://antiapt-community.ru/uploads/images/gallery/2026-06/T9h1tNBf0foV1b3V-image.png) 📸 ****Скриншот 6:**** После создания она автоматически переходит в состояние ожидания, поэтому её необходимо запустить вручную. --- ### 2.3. Добавление лицензииДля активации KATA Sandbox вам потребуется лицензионный ключ, который включает в себе функциональность KATA или KEDR. Подробнее о доступных функциональностях см. в справке Kaspersky Anti Targeted Attack Platform.
****1. Устройства → Задачи → Добавить → Добавление ключа**** 2. Выберите ****KES 12.7+****, укажите устройства 📸 ****Скриншот 7:**** Добавление ключа KES 3. Выберите файл ключа → ****снимите галочку «Использовать как резервный»**** [](https://antiapt-community.ru/uploads/images/gallery/2026-06/Po2EpExVgPvznfY8-image.png) 📸 ****Скриншот 8:**** Использовать ключ в качестве резервного3. Активация Sandbox на уже установленном KES
### 3.1. Создание задачи ****1. Устройства → Задачи → Добавить → Изменение состава компонентов**** 2\. Выберите KES 12.7+ → укажите устройства [](https://antiapt-community.ru/uploads/images/gallery/2026-06/g4AIlAETk2ME5c27-image.png) 📸 ****Скриншот 9****: выбор на «****Изменение состава компонентов приложения****». 3. В параметрах задачи включите: ****Detection and Response → Sandbox**** [](https://antiapt-community.ru/uploads/images/gallery/2026-06/jbrReOstDV25KLYv-image.png) 📸 ****Скриншот 10:**** «****Параметры**** ****приложения****» и выберите компоненты «****Detection and Response****». Активируйте компонент «****Sandbox****» 4\. Внесите изменения в задачу «****Изменение состава компонентов приложения****». Добавьте данные «****Имя пользователя****» и «****Пароль****» для её выполнения, чтобы избежать проблем в процессе. [](https://antiapt-community.ru/uploads/images/gallery/2026-05/SymAYuQnPTUYB3h4-image.png) 📸 ****Скриншот 11****: выбор на «****Изменение состава компонентов приложения****». 5\. Запустите задачу [](https://antiapt-community.ru/uploads/images/gallery/2026-06/VtOKm0QrDTUx54j1-image.png) 📸 ****Скриншот 12:**** Запустите созданную задачу****.****4. Интеграция с Central Node KATA
### 4.1. Скачивание TLS-сертификата из KATA 1. Войдите в ****KATA Web Console (администратор)**** 2. Перейдите: ****Активы → Endpoint Agents**** [](https://antiapt-community.ru/uploads/images/gallery/2026-05/aqJIhz086e7KlXXl-image.png)📸 ****Скриншот 13:**** разделе ****«Сертификат сервера»**** нажимаем ****«Экспортировать».**** 3. Будет экспортирован файл `kata.crt` --- ### 4.2. Настройка политики ****1. Устройства → Политики → Добавить → KES 12.7+**** 2. В мастере выберите ****стандартный режим**** 3. Перейдите: ****Параметры приложения → Detection and Response → Sandbox**** 4\. Включите компонент 5. Выбираем Режим интеграции: ****KATA Sandbox**** 6. Выберите способ отправки файлов на проверку. Для версий KATA 7.0 и выше доступен только ****ручной режим отправки****.Для работы KATA Sandbox в ****ручном режиме**** должно быть развернуто решение Kaspersky Anti Targeted Attack Platform версии 7.0 или выше. Для работы KATA Sandbox в ****автоматическом режим**** должно быть развернуто решение Kaspersky Anti Targeted Attack Platform версии 8.0 или выше.
7. Нажмите ****«****Подключение к серверам Sandbox****»**** - Загрузите ****TLS-сертификат**** [](https://antiapt-community.ru/uploads/images/gallery/2026-05/BgfJ8SwxVusjgHIe-image.png) [](https://antiapt-community.ru/uploads/images/gallery/2026-06/Ad0hUiraGPZBwiIQ-image.png)📸 ****Скриншот 14:**** добавляем сертификат сервера TLS выгруженный из Central Node - `kata.crt`, - Укажите ****адрес Central Node**** и ****порт** **443**** [](https://antiapt-community.ru/uploads/images/gallery/2026-05/8D0RvRL4ngyuQYqH-image.png)📸 ****Скриншот 15:**** указываем адрес сервера KATA и порт 6. Нажмите ****«Сохранить»**** 7. Рекомендуется ознакомится и дополнительно настроить действий по реагированию на угрозы 📸 ****Скриншот 16:**** указываем адрес сервера KATA и порт 8. Детально описание доступно в [онлайн-документации](https://support.kaspersky.com/help/KESWin/14.0/ru-RU/214721.htm)5. Проверка интеграции
### 5.1. Со стороны клиента (Агента) 1\. Откройте клиент KES 2\. Перейдите в раздел «****Безопасность****». Убедиться, что должен быть добавлен компонент ****Network Detection and Response (KATA)****. Он должен быть подсвечен зеленым цветом, что подтверждает его активацию и наличие лицензии. [](https://antiapt-community.ru/uploads/images/gallery/2026-06/fQy3kNGHTKQMbcxh-image.png) 📸 ****Скриншот 17:**** разделе ****«Безопастность»**** присуствует установленный компонент ****«Sandbox».**** 3. Перейти в раздел ****Мониторинг → Отчеты→**** ****Network Detection and Response (KATA),**** либо в том же разделе ****Безопасность**** кликнуть по значку троеточия и выпадающем меню выбрать ****Открыть отчет****. ### 5.2. Со стороны консоли KSC Web Console 1. В свойствах устройства в Web Console (Активы (Устройства) → Управляемые устройства → ссылка <имя устройства> → Приложения → ссылка <название приложения Kaspersky Endpoint Security> → Общие → Компоненты). 📸 ****Скриншот 18:**** разделе ****«Безопастность»**** присуствует установленный компонент ****«Sandbox».******ВАЖНО:** В этой инструкции рассмотрим только настройку через KSC Web Console. MMC консоль больше не поддерживается, поэтому рекомендуется использовать веб-консоль.
**Примечание:** В отличие от версии KES Windows, KES Linux не требует установки и включения компонента EDR, так как он уже входит в состав установленного решения и для его активации необходимо включить использование его в политике и настроить интеграцию.
Начиная с версии **Kaspersky Endpoint Security 12.4 для Linux** компонент Endpoint Detection and Response (KATA) переименован в Endpoint Detection and Response Expert (on-premise). Теперь этот компонент обеспечивает интеграцию не только с Kaspersky Endpoint Detection and Response (KATA), компонентом Kaspersky Anti Targeted Attack Platform, но и с решением Kaspersky Endpoint Detection and Response Expert (on-premise).
Если приложение Kaspersky Endpoint Security используется в режиме Легкого агента для защиты виртуальных сред (О режимах использования приложения Kaspersky Endpoint Security, Просмотр в командной строке информации об использовании приложения в режиме Легкого агента), активация выполняется на стороне Сервера защиты (компонента решения Kaspersky Security для виртуальных сред Легкий агент) путем добавления лицензионных ключей на SVM.
Для полноценной интеграции приложения Kaspersky Endpoint Security с Kaspersky Anti Targeted Attack Platform требуется включить компонент **Анализ поведения**. Если Анализ поведения выключен, необходимые данные телеметрии не передаются (кроме запросов на синхронизацию и данных об обнаружении угроз от других компонентов защиты).
---1. Подготовка
### 1.1. Поддерживаемые версии ### 1.2. Аппаратные требования (на клиенте) - **CPU**: ≥1 ГГц, поддержка **SSE2** - **RAM**: ≥2 ГБ (x64) - **HDD**: ≥2 ГБ свободного места ### 1.3. Необходимые лицензии - Лицензия **KESL+EDR**2. Чистая установка KESL 11.4+ с EDR через KSC Web Console
### 2.1. Настройка инсталляционного пакета 1\. Откройте **KSC Web Console → Операции → Хранилища → Инсталляционные пакеты** 2\. Найдите пакет **KESL 11.4+** 3.Перейдите в **Параметры и выберите режим использования приложения:** - **Стандартном режим** - Kaspersky Endpoint Security используется как автономное приложение для защиты рабочих станций и серверов под управлением операционных систем Linux. - **Легкий агент** - Kaspersky Security для виртуальных в составе решения. Kaspersky Endpoint Security используется как компонент решения Kaspersky Security для виртуальных сред Легкий агент для защиты виртуальных машин с гостевыми операционными системами Linux. - **EDR-агент** - Endpoint Detection and Response для совместной работы на защищаемых устройствах решений Detection and Response от "Лаборатории Касперского" и антивирусных приложений от сторонних поставщиков (далее также "режим Агента Endpoint Detection and Response"). [](https://antiapt-community.ru/uploads/images/gallery/2026-06/gSUrvirKUDJrhCB5-image.png)**📸 Скриншот 1:** Выбор компонента Режима работы KESL 12.4+ 4\. Выполните дополнительные настройки в Консоли администрирования с детальным описанием можно ознакомиться в [онлайн-документации](https://support.kaspersky.ru/kes-for-linux/12.4.0/298623) --- ### 2.2. Создание задачи удалённой установки 1\. Перейдите: **Устройства → Задачи → Добавить** 2\. Выберите: 1. **Приложение**: `Kaspersky Security Center` 2. **Тип задачи**: `Удалённая установка программы` 3\. Укажите устройства (вручную или из списка) [](https://antiapt-community.ru/uploads/images/gallery/2026-06/IY0ycD6HKdbf5aSx-image.png) 📸 **Скриншот 2:** Удаленная установка программы 4\. Выберите: 1. **Инсталляционный пакет**: `KESL 11.4+` 2. **Агент администрирования**: `KSC Agent` 5\. Если агент уже установлен — выберите: **«Учётная запись не требуется»** 📸 **Скриншот 3:** Учетная запись не требуется (Агент администрирования уже установлен) 6\. Нажмите **«Готово» → «Запустить»** [](https://antiapt-community.ru/uploads/images/gallery/2026-06/j1NiKRHYaMyNS2Bp-image.png) 📸 **Скриншот 4:** После создания она автоматически переходит в состояние ожидания, поэтому её необходимо запустить вручную. --- ### 2.3. Добавление лицензий #### Лицензия KES + EDR: **1. Устройства → Задачи → Добавить → Добавление ключа**Для интеграции с компонентами Kaspersky Anti Targeted Attack Platform вам нужно активировать решение Kaspersky Anti Targeted Attack Platform (см. подробнее в справке решения). Активировать компоненты приложения Kaspersky Endpoint Security, обеспечивающие интеграцию, не требуется, основные лицензии Kaspersky Endpoint Security включают в себя эту функциональность.
2\. Выберите **KESL 11.4+**, укажите устройства [](https://antiapt-community.ru/uploads/images/gallery/2026-06/aBOCYHocWFTxfdn2-image.png) 📸 **Скриншот 5:** Добавление ключа KESL 3\. Выберите файл ключа → **снимите галочку «Использовать как резервный»** [](https://antiapt-community.ru/uploads/images/gallery/2026-05/8CxmorOsGgBGxoEQ-image.png)📸 **Скриншот 6:** Использовать ключ в качестве резервного3. Интеграция с Central Node KATA
### 4.1. Скачивание TLS-сертификата из KATA 1\. Войдите в **KATA Web Console (администратор)** 2\. Перейдите: **Активы → Endpoint Agents** [](https://antiapt-community.ru/uploads/images/gallery/2026-05/aqJIhz086e7KlXXl-image.png)📸 **Скриншот 7:** разделе **«Сертификат сервера»** нажимаем **«Экспортировать».** 3\. Будет экспортирован файл `.crt` --- ### 4.2. Настройка политики **1. Устройства → Политики → Добавить → KESL 11.4+** 2\. В мастере выберите необходимый **режим** 3\. Перейдите: **Параметры приложения → Detection and Response → Endpoint Detection and Response (KATA)****Начиная с версии Kaspersky Endpoint Security 12.4 для Linux компонент Endpoint Detection and Response (KATA) переименован в Endpoint Detection and Response Expert (on-premise). Теперь этот компонент обеспечивает интеграцию не только с Kaspersky Endpoint Detection and Response (KATA), компонентом Kaspersky Anti Targeted Attack Platform, но и с решением Kaspersky Endpoint Detection and Response Expert (on-premise).**
4\. Включите компонент 5\. Включите **Запрет запуска** 6\. Выбираем платформу для интеграции **Endpoint Detection and Response Expert (версия 7.1 и ниже)** 5\. Нажмите **«Настройки подключения»** \- Загрузите **TLS-сертификат** [](https://antiapt-community.ru/uploads/images/gallery/2026-06/A189EmK9teJvRyJv-image.png) 📸 **Скриншот 8:** добавляем сертификат сервера TLS выгруженный из Central Node, \- Укажите **адрес Central Node** и **порт 443** [](https://antiapt-community.ru/uploads/images/gallery/2026-05/8D0RvRL4ngyuQYqH-image.png)📸 **Скриншот 9:** указываем адрес сервера KATA и порт 6\. Нажмите **«Сохранить»**5. Проверка интеграции
### 5.1. Непосредственно на Central Node 1\. Войдите в **KATA Web Console (администратор)** 2\. Перейдите: **Активы** 📸 **Скриншот 10:** разделе **«Endpoint Agents»** начнут появляться **«Агенты»** со статусом **«Нормальная активность».** 3\. Войдите в **KATA Web Console (Под аналитиком)** 4\. Перейдите в раздел «**Поиск угроз**». В конструкторе выберите тип событий **Host** вместо **EventType**, укажите значение **\*** и нажмите «**Найти**». Это выведет все события от всех устройств, подключенных к системе с EDR. [](https://antiapt-community.ru/uploads/images/gallery/2026-05/WhSfBJFWP89CkGby-image.png)📸 **Скриншот 11:** разделе **«Поиск угроз»** вывод собранной телеметрии с EDR агентов**.** --- ### 5.2. Со стороны клиента (Агента) 1\. Откройте клиент и используйте команду **kesl-control --app-info** 📸 **Скриншот 12:** результаты вывода команды **«kesl-control»** со статусом подключения EDR агента**.** 2\. В свойствах устройства в Web Console (Активы (Устройства) → Управляемые устройства → ссылка <имя устройства> → Приложения → ссылка <название приложения Kaspersky Endpoint Security> → Общие → Компоненты).****ВАЖНО:**** В этой инструкции рассмотрим только настройку через KSC Web Console. MMC консоль больше не поддерживается, поэтому рекомендуется использовать веб-консоль.
****Примечание:**** В отличие от версии KES Windows, KES Linux не требует установки и включения компонента NDR, так как он уже входит в состав установленного решения и для его активации необходимо включить использование его в политике и настроить интеграцию.
---1. Подготовка
### 1.1. Поддерживаемые версии ### 1.2. Аппаратные требования (на клиенте) - ****CPU****: ≥1 ГГц, поддержка ****SSE2**** - ****RAM****: ≥2 ГБ (x64) - ****HDD****: ≥2 ГБ свободного места ### 1.3. Необходимые лицензии - Лицензия ****KESL+EDR****2. Чистая установка KESL 12.2+ с EDR через KSC Web Console
### 2.1. Настройка инсталляционного пакета 1. Откройте ****KSC Web Console → Операции → Хранилища → Инсталляционные пакеты**** 2. Найдите пакет ****KESL 12.2+**** 3.Перейдите в ****Параметры**** 4. Выполните дополнительные настройки в Консоли администрирования с детальным описанием можно ознакомиться в [онлайн-документации](https://support.kaspersky.ru/kes-for-linux/12.4.0/298623) --- ### 2.2. Создание задачи удалённой установки 1. Перейдите: ****Устройства → Задачи → Добавить**** 2\. Выберите: 1. ****Приложение****: `Kaspersky Security Center` 2. ****Тип задачи****: `Удалённая установка программы` 3\. Укажите устройства (вручную или из списка) [](https://antiapt-community.ru/uploads/images/gallery/2026-06/IY0ycD6HKdbf5aSx-image.png) 📸 ****Скриншот 1:**** Удаленная установка программы 4\. Выберите: 1. ****Инсталляционный пакет****: `KESL 12.2+` 2. ****Агент администрирования****: `KSC Agent` 5. Если агент уже установлен — выберите: ****«Учётная запись не требуется»**** 📸 ****Скриншот 2:**** Учетная запись не требуется (Агент администрирования уже установлен) 6. Нажмите ****«Готово» → «Запустить»**** [](https://antiapt-community.ru/uploads/images/gallery/2026-06/j1NiKRHYaMyNS2Bp-image.png) 📸 ****Скриншот 3:**** После создания она автоматически переходит в состояние ожидания, поэтому её необходимо запустить вручную. --- ### 2.3. Добавление лицензий #### Лицензия KES: ****1. Устройства → Задачи → Добавить → Добавление ключа****Для интеграции с компонентами Kaspersky Anti Targeted Attack Platform вам нужно активировать решение Kaspersky Anti Targeted Attack Platform (см. подробнее в справке решения). Активировать компоненты приложения Kaspersky Endpoint Security, обеспечивающие интеграцию, не требуется, основные лицензии Kaspersky Endpoint Security включают в себя эту функциональность.
2. Выберите ****KESL 12.2+****, укажите устройства [](https://antiapt-community.ru/uploads/images/gallery/2026-06/oO5kk73Ca1VmPwYu-image.png) 📸 ****Скриншот 4:**** Добавление ключа KESL 3. Выберите файл ключа → ****снимите галочку «Использовать как резервный»**** [](https://antiapt-community.ru/uploads/images/gallery/2026-06/FGunahmmSUvvGdGQ-image.png)📸 ****Скриншот 5:**** Использовать ключ в качестве резервного3. Интеграция с Central Node KATA
### 4.1. Скачивание TLS-сертификата из KATA 1. Войдите в ****KATA Web Console (администратор)**** 2. Перейдите: ****Параметры → Серверы подключений → Серверы интеграции**** [](https://antiapt-community.ru/uploads/images/gallery/2026-05/X166v0VU8fpOfCYN-image.png) 📸 ****Скриншот 6:**** разделе ****«Сертификат сервера»**** нажимаем ****«Экспортировать».**** 3. Нажмите ****Добавить сервер интеграции с Endpoint Agent**** 4\. Выберите узел для добавления сервера интеграции. Это может быть как встроенный Embeded Sensor, так и внешний узел, установленный с ролью Sensor. [](https://antiapt-community.ru/uploads/images/gallery/2026-05/AxR6cPVzuJpLw01O-image.png) 📸 ****Скриншот 7:**** включите ****«Проверять сертификаты клиентов»**** и создайте ****новый сертификат.**** 5\. Выгрузить файл свертки задав обязательно пароль [](https://antiapt-community.ru/uploads/images/gallery/2026-05/yw75ru2JuhOjUXVZ-image.png)📸 ****Скриншот 8:**** Будет выгружен архив с сертификатами****.**** 6. Включить сервер интеграции. [](https://antiapt-community.ru/uploads/images/gallery/2026-05/6nVOho5Cojp4RaBB-image.png)📸 ****Скриншот 9:**** сервер включен****.**** ### 4.2. Настройка политики ****1. Устройства → Политики → Добавить → KESL 12.2+**** 2. В мастере выберите ****стандартный режим**** 3. Перейдите: ****Параметры приложения → Detection and Response → Network Detection and Response (KATA)**** 4\. Включите компонент 5. Нажмите ****«Настройки подключения»**** - Загрузите ****TLS-сертификат**** [](https://antiapt-community.ru/uploads/images/gallery/2026-06/CDNsgfiCeQ5Ks9dW-image.png) [](https://antiapt-community.ru/uploads/images/gallery/2026-06/MclnYYgUaq8RN5ci-image.png) 📸 ****Скриншот 10:**** добавляем сертификат сервера TLS выгруженный из Central Node, - Укажите ****адрес Central Node**** и ****порт** **8085**** [](https://antiapt-community.ru/uploads/images/gallery/2026-06/NO3UfjooqDUCl66b-image.png) 📸 ****Скриншот 11:**** указываем адрес сервера KATA и порт 6. Нажмите ****«Сохранить»****5. Проверка интеграции
### 5.1. Непосредственно на Central Node 1. Войдите в ****KATA Web Console (аналитик)**** 2. Перейдите: [](https://antiapt-community.ru/uploads/images/gallery/2026-06/mGLM4AnJZw2dkULA-image.png) [](https://antiapt-community.ru/uploads/images/gallery/2026-06/iFI8rU6iZSftn5Ea-image.png) 📸 ****Скриншот 12:**** В разделе «****Активы → Устройства****» начнут появляться активы с установленными «****Агентами****», но для фильтрации и отображения только устройств с установленным агентом необходимо добавить дополнительные поля, перейдя в настройку в правом верхнем углу, нажав на шестеренку. --- ### 5.2. Со стороны клиента (Агента) 1. Откройте клиент и используйте команду ****kesl-control --app-info**** 📸 ****Скриншот 13:**** результаты вывода команды ****«kesl-control»**** со статусом подключения EDR агента****.**** 2\. В свойствах устройства в Web Console (Активы (Устройства) → Управляемые устройства → ссылка <имя устройства> → Приложения → ссылка <название приложения Kaspersky Endpoint Security> → Общие → Компоненты).****ВАЖНО:**** В этой инструкции рассмотрим только настройку через KSC Web Console. MMC консоль больше не поддерживается, поэтому рекомендуется использовать веб-консоль.
****Примечание:**** В отличие от версии KES Windows, KES Linux не требует установки и включения компонента Sandbox, так как он уже входит в состав установленного решения и для его активации необходимо включить использование его в политике и настроить интеграцию.
---1. Подготовка
### 1.1. Поддерживаемые версии ### 1.2. Аппаратные требования (на клиенте) - ****CPU****: ≥1 ГГц, поддержка ****SSE2**** - ****RAM****: ≥2 ГБ (x64) - ****HDD****: ≥2 ГБ свободного места ### 1.3. Необходимые лицензии - Лицензия ****KESL+EDR**** - Для работы KATA Sandbox должно быть развернуто решение Kaspersky Anti Targeted Attack Platform версии 7.0 или выше, либо XDR 2.0 + и Sandbox 8.0+.2. Чистая установка KESL 12.2+ с EDR через KSC Web Console
### 2.1. Настройка инсталляционного пакета 1. Откройте ****KSC Web Console → Операции → Хранилища → Инсталляционные пакеты**** 2. Найдите пакет ****KESL 12.2+**** 3.Перейдите в ****Параметры**** 4. Выполните дополнительные настройки в Консоли администрирования с детальным описанием можно ознакомиться в [онлайн-документации](https://support.kaspersky.ru/kes-for-linux/12.4.0/298623) --- ### 2.2. Создание задачи удалённой установки 1. Перейдите: ****Устройства → Задачи → Добавить**** 2\. Выберите: 1. ****Приложение****: `Kaspersky Security Center` 2. ****Тип задачи****: `Удалённая установка программы` 3\. Укажите устройства (вручную или из списка) [](https://antiapt-community.ru/uploads/images/gallery/2026-06/IY0ycD6HKdbf5aSx-image.png) 📸 ****Скриншот 1:**** Удаленная установка программы 4\. Выберите: 1. ****Инсталляционный пакет****: `KESL 12.2+` 2. ****Агент администрирования****: `KSC Agent` 5. Если агент уже установлен — выберите: ****«Учётная запись не требуется»**** 📸 ****Скриншот 2:**** Учетная запись не требуется (Агент администрирования уже установлен) 6. Нажмите ****«Готово» → «Запустить»**** [](https://antiapt-community.ru/uploads/images/gallery/2026-06/j1NiKRHYaMyNS2Bp-image.png) 📸 ****Скриншот 3:**** После создания она автоматически переходит в состояние ожидания, поэтому её необходимо запустить вручную. --- ### 2.3. Добавление лицензий #### Лицензия KES + EDR: ****1. Устройства → Задачи → Добавить → Добавление ключа****Для интеграции с компонентами Kaspersky Anti Targeted Attack Platform вам нужно активировать решение Kaspersky Anti Targeted Attack Platform (см. подробнее в справке решения). Активировать компоненты приложения Kaspersky Endpoint Security, обеспечивающие интеграцию, не требуется, основные лицензии Kaspersky Endpoint Security включают в себя эту функциональность.
2. Выберите ****KESL 12.2+****, укажите устройства 📸 ****Скриншот 4:**** Добавление ключа KESL 3. Выберите файл ключа → ****снимите галочку «Использовать как резервный»**** [](https://antiapt-community.ru/uploads/images/gallery/2026-05/8CxmorOsGgBGxoEQ-image.png)📸 ****Скриншот 5:**** Использовать ключ в качестве резервного3. Интеграция с Central Node KATA
### 4.1. Скачивание TLS-сертификата из KATA 1. Войдите в ****KATA Web Console (администратор)**** 2. Перейдите: ****Активы → Endpoint Agents**** [](https://antiapt-community.ru/uploads/images/gallery/2026-05/aqJIhz086e7KlXXl-image.png)📸 ****Скриншот 6:**** разделе ****«Сертификат сервера»**** нажимаем ****«Экспортировать».**** 3. Будет экспортирован файл `kata.crt` --- ### 4.2. Настройка политики 1\. ****Устройства → Политики → Добавить → KESL 11.4+**** 2. В мастере выберите необходимый ****режим**** 3. Перейдите: ****Параметры приложения → Detection and Response → Sandbox (KATA)**** 4\. Включите компонент 5. Выбираем Режим интеграции: ****KATA Sandbox**** 6. Выберите способ отправки файлов на проверку. Для версий KATA 7.0 и выше доступен только ****ручной режим отправки****.Для работы KATA Sandbox в ****ручном режиме**** должно быть развернуто решение Kaspersky Anti Targeted Attack Platform версии 7.0 или выше. Для работы KATA Sandbox в ****автоматическом режим**** должно быть развернуто решение Kaspersky Anti Targeted Attack Platform версии 8.0 или выше.
7. Нажмите ****«****Настройки подключения****»**** - Загрузите ****TLS-сертификат**** [](https://antiapt-community.ru/uploads/images/gallery/2026-06/A189EmK9teJvRyJv-image.png) 📸 ****Скриншот 7:**** добавляем сертификат сервера TLS выгруженный из Central Node, - Укажите ****адрес Central Node**** и ****порт 443**** [](https://antiapt-community.ru/uploads/images/gallery/2026-05/8D0RvRL4ngyuQYqH-image.png)📸 ****Скриншот 8:**** указываем адрес сервера KATA и порт 6. Нажмите ****«Сохранить»****