1.1. Варианты установки

Решение поддерживает три архитектуры:

💡 Рекомендация:

Смена архитектуры (например, с Standalone на Cluster или Распределенное решение) возможна только через переустановку.

Для кластера и распределённого решения требуется предварительный сайзинг на основе заполненного опросника и анализа от вендора.

1.2. Требования к оборудованию

🔹 Объём системного диска

1.3. Платформы виртуализации

Решение не поддерживает Microsoft Hyper-V. Поддерживаются:

• VMware ESXi 6.7.0 или 7.0
• KVM
• ПК СВ "Брест" 3.3
• "РЕД Виртуализация" 7.3
• zVirt Node 4.2

📌 Примечание по KVM:

• ОС: Debian GNU/Linux 12
• Эмулятор: QEMU version 8.0.2

Дополнительные требования для платформ виртуализации

VMware ESXi

• Виртуальная машина требует на 10% больше CPU, чем физический сервер
• Тип виртуального диска: Thick Provision

ПК СВ "Брест" / "РЕД Виртуализация"

• При использовании KEDR или KATA+KEDR увеличьте минимальное количество логических ядер на 20%

📌 Примечание:
Если вы хотите устранить уязвимости типа Spectre и Meltdown на уровне гипервизора, необходимо дополнительно увеличить количество логических ядер в 1,5 раза относительно уже увеличенного значения.

1.4. Дисковые подсистемы и RAID

💡 Рекомендации:

• Минимум 2000 ГБ на первой подсистеме
• Минимум 2400 ГБ на второй подсистеме
• Используйте аппаратный RAID-контроллер с кэшем и BBU

1.5. Требования к процессору

Центральный процессор должен поддерживать наборы инструкций:

• BMI2
• AVX
• AVX2

🔍 Проверка поддержки:

grep -E 'avx|avx2|bmi2' /proc/cpuinfo

1.6. Порты и сервера обновлений / KSN

Перед установкой приложения подготовьте IT-инфраструктуру вашей организации к установке компонентов Kaspersky Anti Targeted Attack Platform: Подготовка IT-инфраструктуры к установке компонентов приложения:

1. Убедитесь, что серверы, а также компьютер, предназначенный для работы с веб-интерфейсом приложения, и компьютеры, на которых устанавливается компонент Endpoint Agent, удовлетворяют аппаратным и программным требованиям.
2. Для обеспечения безопасности сети от анализируемых объектов запретите доступ в локальную сеть сервера Sandbox управляющему сетевому интерфейсу и интерфейсу для доступа обрабатываемых объектов.
3. Произведите подготовку IT-инфраструктуры организации, согласно таблице.
4. Открыт доступ до серверов обновления и KSN согласно таблице ниже:

На рисунках ниже показана схема сетевого взаимодействия между компонентами приложения и системами, необходимыми для работы приложения. Стрелки на схеме указывают направление соединения: каждая стрелка проведена от объекта, который инициирует соединение, к объекту, который отвечает на вызов.

🔽 Показать схему архитектуры

Рис. 1 — Схема сетевого взаимодействия между компонентами приложения и системами, которые необходимы для работы приложения. Central Node развернут со встроенным Sensor

Рис. 2 — Схема сетевого взаимодействия между компонентами приложения и системами, которые необходимы для работы приложения. Sensor развернут на отдельном от Central Node сервере

Рис. 3 — Принцип работы приложения в режиме распределенного решения

2.1. Общая последовательность

1. Установите Central Node и Sensor
2. Установите Sandbox
3. Добавьте образы виртуальных машин в Sandbox
4. (Опционально) Установите выделенный Sensor
5. (Опционально) Установите агенты Kaspersky Endpoint Agents

💡 Сценарии:

• Пилот: Central Node + Sensor на одном сервере, Sandbox — на другом
• Промышленный: кластер или распределённая архитектура

2.2. Загрузка и запуск образа

Скачайте образ:

kata-cn-7.1.0.530-inst.x86_64_en-ru-zh.iso

• Физический сервер: запишите на USB/DVD и загрузитесь.
• Виртуальный сервер: подключите ISO к ВМ.

⚠️ Важно:
При установке на виртуальной платформе обязательно выберите UEFI в настройках:
Options → Boot Options → Firmware → UEFI.

📸 Скриншот 1:

2.3. Процесс установки

Шаг 1: Загрузка

Выберите:

Install KATA 7.1.0.530

📸 Скриншот 2:

Шаг 2: Язык

Выберите язык (например, русский) → Enter

📸 Скриншот 3:

Шаг 3: Лицензионное соглашение

• Нажмите Tab, выберите «Я Принимаю»
• Нажмите Enter

📸 Скриншот 4:

Шаг 4: Политика конфиденциальности

• Выберите «Я Принимаю» → Enter

📸 Скриншот 5:

Шаг 5: Выбор роли сервера

⚠️ После установки сменить роль невозможно.

📸 Скриншот 6:

Шаг 6: Выбор диска

• Подтвердите очистку диска → Yes → Enter
• Если используется KEDR, появится предложение выделить второй диск под TAA
• Если вы хотите использовать систему хранения данных SAN, для хранения телеметрии TAA, выполните одно из следующих действий:

  • Если SAN подключена к физическому или виртуальному серверу, на этом шаге установки выберите SAN, отображаемую как локальный диск, в качестве диска для хранения данных.

  • Если SAN доступна через сетевой интерфейс, выполните следующие действия:

    1. На этом шаге установки выберите Do not allocate a separate disk for TAA.
    2. Обратитесь в Техническую поддержку за инструкцией по изменению точки монтирования второй дисковой подсистемы.
    3. Выполните оставшиеся шаги мастера установки компонента Central Node со встроенным Sensor на сервере.
    4. В режиме Technical Support Mode измените точку монтирования в соответствии с полученной инструкцией.

📸 Скриншот 7:

В данном примере диск не соответствует минимальным требованиям

Шаг 7: Настройка сети кластера (если применимо)

❗ Настройка выполняется Только для кластерной установки.

Для не-кластерной установки просто нажмите Enter (оставьте 198.18.0.0/16)

📸 Скриншот 8:

📸 Скриншот 9:

Шаг 8: Выбор сетевого интерфейса

Выберите интерфейс для Management Interface

📸 Скриншот 10:

Шаг 9: Настройка IP-адреса

• DHCP — автоматически
• Static — вручную (IP, Mask, Gateway)

📸 Скриншот 11:

Шаг 10: Учётная запись admin

• Пароль: минимум 12 символов
• Подтвердите пароль → OK

📸 Скриншот 12:

Шаг 11: Язык NDR

Выберите язык (например, русский) → Enter

📸 Скриншот 13:

Шаг 12: DNS-серверы

⚠️ Обязательно! Даже в изолированной сети укажите фиктивный DNS (например, 1.1.1.1)

📸 Скриншот 14:

Шаг 13: NTP-серверы

• Нажмите Add
• Введите адрес (например, pool.ntp.org)
• Нажмите Continue

📸 Скриншот 15:

Шаг 14: Ожидание завершения

Процесс займёт 5–20 минут. Не перезагружайте сервер.

📸 Скриншот 16:

3.1. Доступ к веб-интерфейсу

После завершения установки подождите пару минут — идёт запуск контейнеров и инициализация сервисов.

⚠️ Не пытайтесь входить сразу — возможна ошибка авторизации.

Откройте в браузере:

https://<IP-адрес-сервера>:8443

Войдите под:

• Логин: admin
• Пароль: заданный при установке

📸 Скриншот 17:

3.2. Конфигурация серверов

После входа откроется веб-интерфейс для управления масштабированием. Вам будет доступен раздел «Конфигурация серверов», где необходимо указать параметры, определяющие нагрузку и объём хранилища.

📸 Скриншот 18:

🔹 Количество Endpoint Agents

❗ Указывается не количество хостов, а количество эффективных агентов, по которым рассчитывается нагрузка и выделяется дисковое пространство.

Формула:

K = Σ(Windows) + Σ(Linux × 3) + Σ(Серверы × 20)

Пример:

• 800 Windows
• 100 Linux
• 200 Windows Server
• 100 Linux Server
  → K = 800 + (100×3) + (300×20) = 7100

❌ Если KEDR не используется → укажите 0.

🔹 Почтовый трафик (KATA)

❗ Указывается среднее количество писем в секунду (PPS).

Формула:

PPS = M / (H × 3600)

• M — писем в день
• H — часов в рабочем дне

Пример:
10 000 писем/день, 8 часов → 10000 / 28800 ≈ 0.35

❌ Если KATA не используется → укажите 0.

🔹 SPAN-трафик (NDR)

Укажите суммарный объём трафика (Мбит/с) с CN и всех Sensor.

Пример:

• CN: 500 Mbps
• Sensor: 1.5 Gbps = 1500 Mbps
  → Укажите: 2000

❌ Если NDR не используется → укажите 0.

3.3. Объём диска

⚠️ Если вы установили Central Node не в виде отказоустойчивого кластера, вам необходимо рассчитать объём диска для параметров База событий, ГБ и Хранилище, ГБ по следующей формуле:

A = F - R, ГБ

Где:

• A — объём, используемый для базы событий и хранилища
• F — объём жёсткого диска, на котором будет храниться база событий TAA
• R — зарезервированное количество свободного пространства (ГБ) на второй дисковой подсистеме, соответствующее количеству подключенных хостов с компонентом Endpoint Agent

💡 Примечание:
Если количество подключенных к Central Node хостов находится в диапазоне между значениями, используйте в расчётах большее число.

🔹 Таблица: Зарезервированное количество свободного пространства

🔹 Расчёт объёма дискового пространства для хранения телеметрии

Объём дискового пространства, необходимого для хранения данных телеметрии на сервере Central Node, рассчитывается по следующей формуле:

S = 150 ГБ + (K / 15000) × ((400 + 460 × d) / 0.65)

Где:

• S — объём требуемого дискового пространства (в ГБ)
• K — количество хостов с Kaspersky Endpoint Agent или Kaspersky Endpoint Security для Windows
• d — срок хранения данных в днях
• 150 ГБ — базовый объём, требуемый для хранения

⚠️ Если включена функция проверки цепочек событий (NDR), применяется изменённая формула:

S = 150 ГБ + (K / 15000) × ((600 + 460 × d) / 0.65)

✅ Пример расчёта

Допустим, в инфраструктуре 5000 хостов и срок хранения данных — 30 дней. Рассчитаем объём дискового пространства:

1. Вычисляем сумму в числителе:

   400 + 460 × 30 = 400 + 13 800 = 14 200
   

2. Делим на коэффициент хранения:

   14 200 / 0.65 ≈ 21 846.15 ГБ
   

3. Определяем долю хостов:

   5000 / 15000 = 0.33333
   

4. Умножаем:

   0.33333 × 21 846.15 ≈ 7282.05 ГБ
   

5. Прибавляем базовые 150 ГБ:

   S = 150 + 7282.05 ≈ 7432.05 ГБ ≈ 7.43 ТБ
   

✅ Итог:
Для 5000 хостов с 30-дневным хранением данных требуется ≈7.43 ТБ дискового пространства.

💡 Примечание:
Если включена функция проверки цепочек событий (NDR), объём увеличится до ≈7.53 ТБ.

🔹 Дополнительный объём для хранения телеметрии NDR

Если используется анализ SPAN-трафика, рассчитайте дополнительный объём:

S_NDR = (N_NDR × 0.02 + T_SPAN × 10) × d

Где:

• N_NDR — количество агентов NDR
• T_SPAN — объём SPAN-трафика в Гбит/с
• d — срок хранения (дней)

Пример:

• N_NDR = 2000
• T_SPAN = 2 Гбит/с
• d = 30

S_NDR = (2000 × 0.02 + 2 × 10) × 30 = (40 + 20) × 30 = 1800 ГБ = 1.8 ТБ

🔹 Итоговый требуемый объём дискового пространства

S_total = S + S_NDR

Пример:

S_total = 7.43 ТБ + 1.8 ТБ = 9.23 ТБ

✅ Итого требуется: ≈9.23 ТБ

⚠️ Максимальный объём на одной подсистеме — 15 ТБ.
При превышении рассмотрите кластерную архитектуру.

🔹 Хранилище файлов

Рекомендуется указать до 100 ГБ — для файлов, полученных через задачу «Получить файл».

3.4. Запуск конфигурации

1. Нажмите «Настроить»
2. Нажмите «Запустить»
3. Дождитесь завершения (10–20 минут)

📸 Скриншот 19:

📸 Скриншот 20:

⚠️ ВАЖНО! После успешного завершения система предложит войти заново. После завершения конфигурации подождите 5-20 минут — идёт запуск контейнеров и инициализация сервисов.

3.5. Финальная настройка

После успешной конфигурации:

🔹 Проверка времени

• Параметры → Дата и время
• Убедитесь в правильности часового пояса и NTP

⚠️ Время должно быть одинаковым на всех компонентах: CN, Sensor, Sandbox.

📸 Скриншот 21:

🔹 Имя сервера

• Параметры → Сетевые параметры → Имя сервера
• Укажите имя в нижнем регистре, совпадающее с DNS (если планируется интеграция с AD)

ВАЖНО!

Имя устройства Central Node можно изменить только через веб-интерфейс. Автоматически присвоенное при установке имя менять нельзя.

📸 Скриншот 22:

🔹 Лицензия

• Параметры → Лицензия
• Загрузите файл ключа или введите код активации (KATA, NDR, KEDR)

📸 Скриншот 23:

🔹 KSN

• Параметры → KSN/KPSN и MDR
• Примите соглашение и включите KSN

📸 Скриншот 24:

🔹 Обновление баз

• Параметры → Общие параметры → Обновление баз
• Выберите источник и запустите обновление

✅ Обновление должно завершиться со статусом успешно

📸 Скриншот 25:

🔹 Создание учётной записи Офицера безопасности

• Параметры → Пользователи → Добавить
• Роль: Старший сотрудник службы безопасности
• Укажите имя, пароль (дважды), включите учётную запись

💡 Эта учётная запись будет использоваться для работы с инцидентами.

📸 Скриншот 26:

1.1. Варианты установки

Решение поддерживает три архитектуры:

💡 Рекомендация:

Смена архитектуры (например, с Standalone на Cluster или Распределенное решение) возможна только через переустановку.

Для кластера и распределённого решения требуется предварительный сайзинг на основе заполненного опросника и анализа от вендора.

1.2. Требования к оборудованию

🔹 Объём системного диска

1.3. Платформы виртуализации

Решение не поддерживает Microsoft Hyper-V. Поддерживаются:

• VMware ESXi 6.7.0 или 7.0
• KVM
• ПК СВ "Брест" 3.3
• "РЕД Виртуализация" 7.3
• zVirt Node 4.2

📌 Примечание по KVM:

• ОС: Debian GNU/Linux 12
• Эмулятор: QEMU version 8.0.2

Дополнительные требования для платформ виртуализации

VMware ESXi

• Виртуальная машина требует на 10% больше CPU, чем физический сервер
• Тип виртуального диска: Thick Provision

ПК СВ "Брест" / "РЕД Виртуализация"

• При использовании KATA или KATA+NDR увеличьте минимальное количество логических ядер на 20%

📌 Примечание:
Если вы хотите устранить уязвимости типа Spectre и Meltdown на уровне гипервизора, необходимо дополнительно увеличить количество логических ядер в 1,5 раза относительно уже увеличенного значения.

1.4. Дисковые подсистемы и RAID

💡 Рекомендации:

• Минимум 2000 ГБ на первой подсистеме
• Используйте аппаратный RAID-контроллер с кэшем и BBU

1.5. Требования к процессору

Центральный процессор должен поддерживать наборы инструкций:

• BMI2
• AVX
• AVX2

🔍 Проверка поддержки:

grep -E 'avx|avx2|bmi2' /proc/cpuinfo

1.6. Порты и сервера обновлений / KSN

Перед установкой приложения подготовьте IT-инфраструктуру вашей организации к установке компонентов Kaspersky Anti Targeted Attack Platform: Подготовка IT-инфраструктуры к установке компонентов приложения:

1. Убедитесь, что серверы, а также компьютер, предназначенный для работы с веб-интерфейсом приложения, и компьютеры, на которых устанавливается компонент Endpoint Agent, удовлетворяют аппаратным и программным требованиям.
2. Для обеспечения безопасности сети от анализируемых объектов запретите доступ в локальную сеть сервера Sandbox управляющему сетевому интерфейсу и интерфейсу для доступа обрабатываемых объектов.
3. Произведите подготовку IT-инфраструктуры организации, согласно таблице.
4. Открыт доступ до серверов обновления и KSN согласно таблице ниже:

На рисунках ниже показана схема сетевого взаимодействия между компонентами приложения и системами, необходимыми для работы приложения. Стрелки на схеме указывают направление соединения: каждая стрелка проведена от объекта, который инициирует соединение, к объекту, который отвечает на вызов.

🔽 Показать схему архитектуры

Рис. 1 — Схема сетевого взаимодействия между компонентами приложения и системами, которые необходимы для работы приложения. Central Node развернут со встроенным Sensor

Рис. 2 — Схема сетевого взаимодействия между компонентами приложения и системами, которые необходимы для работы приложения. Sensor развернут на отдельном от Central Node сервере

Рис. 3 — Принцип работы приложения в режиме распределенного решения

2.1. Общая последовательность

1. Установите Central Node и Sensor
2. Установите Sandbox
3. Добавьте образы виртуальных машин в Sandbox
4. (Опционально) Установите выделенный Sensor
5. (Опционально) Установите агенты Kaspersky Endpoint Agents

💡 Сценарии:

• Пилот: Central Node + Sensor на одном сервере, Sandbox — на другом
• Промышленный: кластер или распределённая архитектура

2.2. Загрузка и запуск образа

Скачайте образ:

• Физический сервер: запишите на USB/DVD и загрузитесь.
• Виртуальный сервер: подключите ISO к ВМ.

⚠️ Важно:
При установке на виртуальной платформе обязательно выберите UEFI в настройках:
Options → Boot Options → Firmware → UEFI.

📸 Скриншот 1:

2.3. Процесс установки

Шаг 1: Загрузка

Выберите:

Install KATA 8.0.0.1

📸 Скриншот 2:

Шаг 2: Язык

Выберите язык (например, русский) → Enter

📸 Скриншот 3:

Шаг 3: Лицензионное соглашение

• Нажмите Tab, выберите «Я Принимаю»
• Нажмите Enter

📸 Скриншот 4:

Шаг 4: Политика конфиденциальности

• Выберите «Я Принимаю» → Enter

📸 Скриншот 5:

Шаг 5: Выбор роли сервера

⚠️ После установки сменить роль невозможно.

📸 Скриншот 6:

Шаг 6: Выбор диска

• Подтвердите очистку диска → Yes → Enter

📸 Скриншот 7:

В данном примере диск не соответствует минимальным требованиям

Шаг 7: Настройка сети кластера (если применимо)

❗ Настройка выполняется Только для кластерной установки.

Для не-кластерной установки просто нажмите Enter (оставьте 198.18.0.0/16)

📸 Скриншот 8:

📸 Скриншот 9:

Шаг 8: Выбор сетевого интерфейса

Выберите интерфейс для Management Interface

📸 Скриншот 10:

Шаг 9: Настройка IP-адреса

• DHCP — автоматически
• Static — вручную (IP, Mask, Gateway)

📸 Скриншот 11:

Шаг 10: Учётная запись admin

• Пароль: минимум 12 символов
• Подтвердите пароль → OK

📸 Скриншот 12:

Шаг 11: Язык NDR

Выберите язык (например, русский) → Enter

📸 Скриншот 13:

Шаг 12: DNS-серверы

⚠️ Обязательно! Даже в изолированной сети укажите фиктивный DNS (например, 1.1.1.1)

📸 Скриншот 14:

Шаг 13: NTP-серверы

• Нажмите Add
• Введите адрес (например, pool.ntp.org)
• Нажмите Continue

📸 Скриншот 15:

Шаг 14: Включение режима "Ретроспективный анализ трафика"

Если вы хотите использовать компонент для ретроспективного анализа трафика, на этом шаге вам требуется включить режим ретроспективного анализа трафика. В этом режиме для компонента действует ряд ограничений, вы можете ознакомиться с ними в разделе Ретроспективный анализ трафика.

📸 Скриншот 16:

Шаг 15: Ожидание завершения

Процесс займёт 5–20 минут. Не перезагружайте сервер.

📸 Скриншот 17:

3.1. Доступ к веб-интерфейсу

После завершения установки подождите пару минут — идёт запуск контейнеров и инициализация сервисов.

⚠️ Не пытайтесь входить сразу — возможна ошибка авторизации.

Откройте в браузере:

https://<IP-адрес-сервера>:8443

Войдите под:

• Логин: admin
• Пароль: заданный при установке

📸 Скриншот 18:

3.2. Конфигурация серверов

После входа откроется веб-интерфейс для управления масштабированием. Вам будет доступен раздел «Конфигурация серверов», где необходимо указать параметры, определяющие нагрузку и объём хранилища.

📸 Скриншот 19:

🔹 Почтовый трафик (KATA)

❗ Указывается среднее количество писем в секунду (PPS).

Формула:

PPS = M / (H × 3600)

• M — писем в день
• H — часов в рабочем дне

Пример:
10 000 писем/день, 8 часов → 10000 / 28800 ≈ 0.35

❌ Если KATA не используется → укажите 0.

🔹 SPAN-трафик (NDR)

Укажите суммарный объём трафика (Мбит/с) с CN и всех Sensor.

Пример:

• CN: 500 Mbps
• Sensor: 1.5 Gbps = 1500 Mbps
  → Укажите: 2000

❌ Если NDR не используется → укажите 0.

🔹 Хранилище файлов

Рекомендуется указать до 100 ГБ — для файлов, полученных через задачу «Получить файл».

3.4. Запуск конфигурации

1. Нажмите «Настроить»
2. Нажмите «Запустить»
3. Дождитесь завершения (10–20 минут)

📸 Скриншот 20:

📸 Скриншот 21:

⚠️ ВАЖНО! После успешного завершения система предложит войти заново. После завершения конфигурации подождите 5-20 минут — идёт запуск контейнеров и инициализация сервисов.

3.5. Финальная настройка

После успешной конфигурации:

🔹 Проверка времени

• Параметры → Дата и время
• Убедитесь в правильности часового пояса и NTP

⚠️ Время должно быть одинаковым на всех компонентах: CN, Sensor, Sandbox.

📸 Скриншот 22:

🔹 Имя сервера

• Параметры → Сетевые параметры → Имя сервера
• Укажите имя в нижнем регистре, совпадающее с DNS (если планируется интеграция с AD)

ВАЖНО!

Имя устройства Central Node можно изменить только через веб-интерфейс. Автоматически присвоенное при установке имя менять нельзя.

📸 Скриншот 23:

🔹 Лицензия

• Параметры → Лицензия
• Загрузите файл ключа или введите код активации (KATA, NDR, KEDR)

📸 Скриншот 24:

🔹 KSN

• Параметры → KSN/KPSN и MDR
• Примите соглашение и включите KSN

📸 Скриншот 25:

🔹 Обновление баз

• Параметры → Общие параметры → Обновление баз
• Выберите источник и запустите обновление

✅ Обновление должно завершиться со статусом успешно

📸 Скриншот 26:

🔹 Создание учётной записи Офицера безопасности

• Параметры → Пользователи → Добавить
• Роль: Старший сотрудник службы безопасности
• Укажите имя, пароль (дважды), включите учётную запись

💡 Эта учётная запись будет использоваться для работы с инцидентами.

📸 Скриншот 27:

Sandbox должен быть развёрнут на виртуальной машине с особыми настройками. Ниже — ключевые требования.

1.2. Настройка VMware vSphere

Шаг 1: Включение вложенной виртуализации

Перейдите в настройки виртуальной машины → CPU → включите опцию:

📸 Рис. 1. Expose hardware assisted virtualization to the guest OS

Шаг 2: Резервирование ресурсов

• Память:

В разделе Memory → поставьте галочку:

📸 Рис. 2. Reserve all guest memory (All locked)

• Процессор:

В CPU Reservation укажите значение (см. Рисунок 1) по формуле:

Примечание: Параметр «Reservation» рассчитывается в зависимости от частоты процессора ESXi-хоста, на котором разворачивается Sandbox, по следующей формуле:

15 * <значение частоты в МГц>

🔢 Пример:
Для CPU 2,2 ГГц (2200 МГц) и 1 ядра: 15 × 2200 = 33 000 МГц

Шаг 3: Настройка прошивки UEFI

1. Перейдите в VM Options → Boot Options → Firmware.
2. Выберите UEFI.
3. Обязательно отключите Secure Boot.

📸 Рис. 3. Выбор UEFI и отключение Secure Boot

Шаг 4: Установка высокой чувствительности к задержкам

• Перейдите в VM Options → Latency Sensitivity.
• Установите значение High.

📸 Рис. 4. Настройка Latency Sensitivity в High

✅ На этом этапе подготовка виртуальной машины завершена.

2.1. Запуск установщика

1. Примонтируйте ISO-образ Sandbox к виртуальной машине.
2. Запустите ВМ.
3. В меню загрузки выберите:

📸 Рис. 5. Меню установки — выбор "Installation KATA Sandbox"

2.2. Пошаговая установка

Установка проходит в текстовом интерфейсе. Действуйте по шагам:

1. Язык: Выберите русский или английский → нажмите Enter.
2. Лицензия: Примите условия (нажмите TAB, выберите "Я принимаю").
3. Политика конфиденциальности: Аналогично — примите.
4. Диск: Выберите диск → нажмите Enter.
5. Очистка диска: Подтвердите — выберите Yes.

📸 Рис. 6. Подтверждение очистки диска

2.3. Настройка учётных данных и сети

1. Минимальная длина пароля: По умолчанию — 12 символов (рекомендуется оставить).
2. Пароль admin: Задайте надёжный пароль.
3. Управляющий интерфейс (Management Interface):
   1. • Выберите сетевой адаптер.
      • Назначьте:
      • IP-адрес
      • Маску подсети
      • Шлюз
4. FQDN-имя сервера: Укажите полное доменное имя (например, `sandbox.corp.local`). (Важно: имя должно быть задано в нижнем регистре, так же, как и на DNS-сервере).
5. DNS-серверы:
   • • Добавьте основной и резервный DNS.
6. Шлюз по умолчанию*: Укажите IP-адрес шлюза.

📸 Рис. 7. Настройка IP, маски и шлюза

📸 Рис. 8. Настройка FQDN и DNS-серверов

✅ Установка завершена. Сохраните URL доступа:

Management URL: https://<IP>:8443/

3.1. Вход в веб-интерфейс

1. Откройте браузер.
2. Перейдите по адресу: https://<IP_Sandbox>:8443/
3. Войдите под учётной записью:
   • • Логин: `admin`
     • Пароль: заданный при установке.

📸 Рис. 9. Страница входа в веб-интерфейс Sandbox

3.2. Настройка даты и времени

1. Перейдите в раздел "Дата и время".
2. Установите:
   • Часовой пояс
   • Текущее время
3. Рекомендуется настроить синхронизацию с NTP-сервером.

📸 Рис. 10. Настройка времени и NTP

4.1. Настройка интерфейса

1. Перейдите в "Сетевые интерфейсы".
2. Найдите "Интерфейс для выхода в интернет".
3. Укажите:
   • IP-адрес
   • Маску
   • Шлюз

📸 Рис. 11. Настройка Malware Interface

4.2. Обновление баз

Важно! Перед подключением к Central Node выполните обновление баз.

1. Перейдите в "Обновление баз".
2. Убедитесь, что Malware Interface имеет доступ в интернет.
3. Нажмите "Обновить".
4. Дождитесь статуса: "Успешно".

📸 Рис. 13. Статус успешного обновления баз

5.1. Ограничение количества ВМ

Перед загрузкой шаблонов установите лимит:

• Виртуальный сервер: до 12 ВМ
• Физический сервер: до 48 ВМ (В зависимости от характеристик оборудования, это значение можно увеличить до 72 или 144).

Путь:

`Администрирование → Гостевые виртуальные машины`

📸 Рис. 14. Настройка лимита ВМ

5.2. Загрузка преднастроенных шаблонов

1. Перейдите в "Шаблоны и хранилища" → "Шаблоны".
2. Нажмите "Добавить" → выберите ISO-образ ОС.
3. Дождитесь статуса: "Готова к установке".
4. Перейдите в "Виртуальные машины" → "Создать ВМ".
5. Выберите шаблон → нажмите "Сохранить".
6. Примите лицензионное соглашение.
7. Нажмите "Установить готовые VM"*.
8. Дождитесь статуса: "Включено".

📸 Рис. 15. Создание ВМ из шаблона

📸 Рис. 16. Статус "Включено" после установки

5.3. Создание пользовательских шаблонов

Поддерживаемые ОС:

• Windows XP SP3+
• Windows 7
• Windows 8.1 (64-bit)
• Windows 10 (64-bit, до версии 1909)

Мы настоятельно рекомендуем использовать оригинальные ISO-образы от Microsoft.

Требования к ОС:

• Отключить экранную заставку.
• Схема питания: "Всегда включено".
• Отключить автообновления и брандмауэр Windows.
• Для Windows 7: требуется поддержка хеш-алгоритма SHA-2; Для поддержки этого хеш-алгоритма установите обновление Security Update for Windows 7 for x64-based Systems (KB3033929). Для 32-битных операционных систем Windows 7 также требуется установить обновление KB3033929.
• Для использования Windows 7 необходимо в настройках операционной системы включить использование TLS 1.1 и TLS 1.2. Для этого в Windows 7 в разделе Панель управления → Свойства браузера → Дополнительно установите флажок Использовать TLS 1.1 и Использовать TLS 1.2.
• Не устанавливать KB4474419 (может вызвать сбой во время развертывания виртуальной машины.).
• Для Windows 8.1/10: отключить Fast Boot, включить функцию автоматического входа в систему (авто логин).

Ограничения, действующие при установки программного обеспечения:

• К одному шаблону единовременно можно подключить только один образ. После того как шаблон будет сохранен, вы можете отключить один образ и подключить другой.
• Не поддерживаются версии Microsoft Office выше 2016.
• Для пользовательских образов операционных систем полностью поддерживаются следующие локализации: русский, английский, упрощенный китайский (simplified), арабский, испанский (Mexico).
• Для операционной системы Windows XP поддерживаются только русский и английский языки.
• Лицензионные ключи для активации операционных систем и программного обеспечения не предоставляются.
• Настоятельно не рекомендуется устанавливать программное обеспечение следующих типов:
  • Программное обеспечение, внедряющее свой код в другой запущенный процесс.
  • Драйверы для защиты.
  • Антивирусные приложения, включая Защитник Windows.
• Не гарантируется обнаружение вредоносной активности файлов, которые запускаются с помощью узкоспециального программного обеспечения.

Kaspersky Anti Targeted Attack Platform не уведомляет о проблемах с установленным в операционной системе программным обеспечением.

Процесс создания шаблона

1. Перейдите в "Хранилище" → загрузите ISO-образ ОС.
2. Перейдите в "Шаблоны" → "Создать шаблон".
3. Укажите:
   1. • Имя
      • Описание
      • Образ ОС (из хранилища)
4. Нажмите "Продолжить".
5. На этапе "Настройка шаблона" установите ОС и ПО.
6. При необходимости: нажмите "Подключить ISO" → выберите образ с ПО.

📸 Рис. 17. Создание нового шаблона

📸 Рис. 18. Подключение ISO с ПО

Если для сервера, на котором устанавливается виртуальная машина с пользовательским образом, не настроен доступ в интернет, для корректного завершения установки виртуальной машины вам нужно загрузить отладочные символы Microsoft.
Пример ошибки из журнала установки:

File "/opt/kaspersky/python3-venv/lib/python3.10/site-packages/KL/snapshot/vm_steps.py", line 390, in inner
    raise err_cls(str(err)) from err
[M <:common.exceptions.InstallKmExpErr: Offline kmbuild failed. Probably no symbols

Решение: загрузка отладочных символов

1. В разделе "Шаблоны" нажмите "Скачать манифест".
2. Распакуйте архив.
3. Запустите `sbsymtool.ps1` от имени администратора в PowerShell.
4. Скрипт загрузит символы Microsoft.
5. Вернитесь в Sandbox → "Шаблоны" → "Загрузить символы".
6. Выберите полученный архив → нажмите "Open".
7. Повторите установку ВМ.

📸 Рис. 19. Кнопка "Скачать манифест"

📸 Рис. 20. Загрузка архива с символами

7.1. Добавление Sandbox в Central Node

1. В Central Node перейдите в "Серверы Sandbox" → "Добавить".
2. Укажите IP-адрес Sandbox.
3. Нажмите "Получить отпечаток сертификата".
4. Сравните отпечаток с тем, что указан в Sandbox → "Авторизация KATA".
5. Укажите имя сервера.
6. Поставьте галочку "Включить" → нажмите "Добавить".

📸 Рис. 21. Добавление Sandbox в Central Node

7.2. Подтверждение на стороне Sandbox

1. Откройте веб-интерфейс Sandbox.
2. Перейдите в "Авторизация KATA".
3. Найдите запрос от Central Node → нажмите "Принять".
4. Нажмите "Применить" → подтвердите.
5. Запрос перейдёт в статус "Принят".

📸 Рис. 22. Подтверждение подключения в Sandbox

⏳ Важно: После подключения требуется 5–10 минут на подготовку.
Предупреждение в интерфейсе исчезнет автоматически.

1. В Central Node перейдите в "Параметры" → "Набор ОС".
2. Выберите:
   • Стандартные ОС: Windows 7, Windows 10
   • При необходимости: CentOS, Astra Linux
   • Пользовательские ОС: активируйте нужные
3. Нажмите "Сохранить".
   
   📸 Рис. 23. Настройка набора ОС в Central Node
4. Проверьте статус в разделе "Серверы Sandbox".
   
   📸 Рис. 24. Статус подключённых образов ОС

Sandbox должен быть развёрнут на виртуальной машине с особыми настройками. Ниже — ключевые требования.

1.2. Настройка VMware vSphere

Шаг 1: Включение вложенной виртуализации

Перейдите в настройки виртуальной машины → CPU → включите опцию:

📸 Рис. 1. Expose hardware assisted virtualization to the guest OS

Шаг 2: Резервирование ресурсов

• Память:

В разделе Memory → поставьте галочку:

📸 Рис. 2. Reserve all guest memory (All locked)

• Процессор:

В CPU Reservation укажите значение (см. Рисунок 1) по формуле:

Примечание: Параметр «Reservation» рассчитывается в зависимости от частоты процессора ESXi-хоста, на котором разворачивается Sandbox, по следующей формуле:

15 * <значение частоты в МГц>

🔢 Пример:
Для CPU 2,2 ГГц (2200 МГц) и 1 ядра: 15 × 2200 = 33 000 МГц

Шаг 3: Настройка прошивки UEFI

1. Перейдите в VM Options → Boot Options → Firmware.
2. Выберите UEFI.
3. Обязательно отключите Secure Boot.

📸 Рис. 3. Выбор UEFI и отключение Secure Boot

Шаг 4: Установка высокой чувствительности к задержкам

• Перейдите в VM Options → Latency Sensitivity.
• Установите значение High.

📸 Рис. 4. Настройка Latency Sensitivity в High

✅ На этом этапе подготовка виртуальной машины завершена.

2.1. Запуск установщика

1. Примонтируйте ISO-образ Sandbox к виртуальной машине.
2. Запустите ВМ.
3. В меню загрузки выберите:

📸 Рис. 5. Меню установки — выбор "Installation KATA Sandbox"

2.2. Пошаговая установка

Установка проходит в текстовом интерфейсе. Действуйте по шагам:

1. Язык: Выберите русский или английский → нажмите Enter.
2. Лицензия: Примите условия (нажмите TAB, выберите "Я принимаю").
3. Политика конфиденциальности: Аналогично — примите.
4. Диск: Выберите диск → нажмите Enter.
5. Очистка диска: Подтвердите — выберите Yes.

📸 Рис. 6. Подтверждение очистки диска

2.3. Настройка учётных данных и сети

1. Минимальная длина пароля: По умолчанию — 12 символов (рекомендуется оставить).
2. Пароль admin: Задайте надёжный пароль.
3. Управляющий интерфейс (Management Interface):
   1. • Выберите сетевой адаптер.
      • Назначьте:
      • IP-адрес
      • Маску подсети
      • Шлюз
4. FQDN-имя сервера: Укажите полное доменное имя (например, `sandbox.corp.local`). (Важно: имя должно быть задано в нижнем регистре, так же, как и на DNS-сервере).
5. DNS-серверы:
   • • Добавьте основной и резервный DNS.
6. Шлюз по умолчанию*: Укажите IP-адрес шлюза.

📸 Рис. 7. Настройка IP, маски и шлюза

📸 Рис. 8. Настройка FQDN и DNS-серверов

✅ Установка завершена. Сохраните URL доступа:

Management URL: https://<IP>:8443/

3.1. Вход в веб-интерфейс

1. Откройте браузер.
2. Перейдите по адресу: https://<IP_Sandbox>:8443/
3. Войдите под учётной записью:
   • • Логин: `admin`
     • Пароль: заданный при установке.

📸 Рис. 9. Страница входа в веб-интерфейс Sandbox

3.2. Настройка даты и времени

1. Перейдите в раздел "Дата и время".
2. Установите:
   • Часовой пояс
   • Текущее время
3. Рекомендуется настроить синхронизацию с NTP-сервером.

📸 Рис. 10. Настройка времени и NTP

4.1. Настройка интерфейса

1. Перейдите в "Сетевые интерфейсы".
2. Найдите "Интерфейс для выхода в интернет".
3. Укажите:
   • IP-адрес
   • Маску
   • Шлюз

📸 Рис. 11. Настройка Malware Interface

4.2. Обновление баз

Важно! Перед подключением к Central Node выполните обновление баз.

1. Перейдите в "Обновление баз".
2. Убедитесь, что Malware Interface имеет доступ в интернет.
3. Нажмите "Обновить".
4. Дождитесь статуса: "Успешно".

📸 Рис. 13. Статус успешного обновления баз

5.1. Ограничение количества ВМ

Перед загрузкой шаблонов установите лимит:

• Виртуальный сервер: до 12 ВМ
• Физический сервер: до 48 ВМ (В зависимости от характеристик оборудования, это значение можно увеличить до 72 или 144).

Путь:

`Администрирование → Гостевые виртуальные машины`

📸 Рис. 14. Настройка лимита ВМ

5.2. Загрузка преднастроенных шаблонов

1. Перейдите в "Шаблоны и хранилища" → "Шаблоны".
2. Нажмите "Добавить" → выберите ISO-образ ОС.
3. Дождитесь статуса: "Готова к установке".
4. Перейдите в "Виртуальные машины" → "Создать ВМ".
5. Выберите шаблон → нажмите "Сохранить".
6. Примите лицензионное соглашение.
7. Нажмите "Установить готовые VM"*.
8. Дождитесь статуса: "Включено".

📸 Рис. 15. Создание ВМ из шаблона

📸 Рис. 16. Статус "Включено" после установки

5.3. Создание пользовательских шаблонов

Поддерживаемые ОС:

• Windows XP SP3+
• Windows 7
• Windows 8.1 (64-bit)
• Windows 10 (64-bit, до версии 1909)

Мы настоятельно рекомендуем использовать оригинальные ISO-образы от Microsoft.

Требования к ОС:

• Отключить экранную заставку.
• Схема питания: "Всегда включено".
• Отключить автообновления и брандмауэр Windows.
• Для Windows 7: требуется поддержка хеш-алгоритма SHA-2; Для поддержки этого хеш-алгоритма установите обновление Security Update for Windows 7 for x64-based Systems (KB3033929). Для 32-битных операционных систем Windows 7 также требуется установить обновление KB3033929.
• Для использования Windows 7 необходимо в настройках операционной системы включить использование TLS 1.1 и TLS 1.2. Для этого в Windows 7 в разделе Панель управления → Свойства браузера → Дополнительно установите флажок Использовать TLS 1.1 и Использовать TLS 1.2.
• Не устанавливать KB4474419 (может вызвать сбой во время развертывания виртуальной машины.).
• Для Windows 8.1/10: отключить Fast Boot, включить функцию автоматического входа в систему (авто логин).

Ограничения, действующие при установки программного обеспечения:

• К одному шаблону единовременно можно подключить только один образ. После того как шаблон будет сохранен, вы можете отключить один образ и подключить другой.
• Не поддерживаются версии Microsoft Office выше 2016.
• Для пользовательских образов операционных систем полностью поддерживаются следующие локализации: русский, английский, упрощенный китайский (simplified), арабский, испанский (Mexico).
• Для операционной системы Windows XP поддерживаются только русский и английский языки.
• Лицензионные ключи для активации операционных систем и программного обеспечения не предоставляются.
• Настоятельно не рекомендуется устанавливать программное обеспечение следующих типов:
  • Программное обеспечение, внедряющее свой код в другой запущенный процесс.
  • Драйверы для защиты.
  • Антивирусные приложения, включая Защитник Windows.
• Не гарантируется обнаружение вредоносной активности файлов, которые запускаются с помощью узкоспециального программного обеспечения.

Kaspersky Anti Targeted Attack Platform не уведомляет о проблемах с установленным в операционной системе программным обеспечением.

Процесс создания шаблона

1. Перейдите в "Хранилище" → загрузите ISO-образ ОС.
2. Перейдите в "Шаблоны" → "Создать шаблон".
3. Укажите:
   1. • Имя
      • Описание
      • Образ ОС (из хранилища)
4. Нажмите "Продолжить".
5. На этапе "Настройка шаблона" установите ОС и ПО.
6. При необходимости: нажмите "Подключить ISO" → выберите образ с ПО.

📸 Рис. 17. Создание нового шаблона

📸 Рис. 18. Подключение ISO с ПО

Если для сервера, на котором устанавливается виртуальная машина с пользовательским образом, не настроен доступ в интернет, для корректного завершения установки виртуальной машины вам нужно загрузить отладочные символы Microsoft.
Пример ошибки из журнала установки:

File "/opt/kaspersky/python3-venv/lib/python3.10/site-packages/KL/snapshot/vm_steps.py", line 390, in inner
    raise err_cls(str(err)) from err
[M <:common.exceptions.InstallKmExpErr: Offline kmbuild failed. Probably no symbols

Решение: загрузка отладочных символов

1. В разделе "Шаблоны" нажмите "Скачать манифест".
2. Распакуйте архив.
3. Запустите `sbsymtool.ps1` от имени администратора в PowerShell.
4. Скрипт загрузит символы Microsoft.
5. Вернитесь в Sandbox → "Шаблоны" → "Загрузить символы".
6. Выберите полученный архив → нажмите "Open".
7. Повторите установку ВМ.

📸 Рис. 19. Кнопка "Скачать манифест"

📸 Рис. 20. Загрузка архива с символами

7.1. Добавление Sandbox в Central Node

1. В Central Node перейдите в "Серверы Sandbox" → "Добавить".
2. Укажите IP-адрес Sandbox.
3. Нажмите "Получить отпечаток сертификата".
4. Сравните отпечаток с тем, что указан в Sandbox → "Авторизация KATA".
5. Укажите имя сервера.
6. Поставьте галочку "Включить" → нажмите "Добавить".

📸 Рис. 21. Добавление Sandbox в Central Node

7.2. Подтверждение на стороне Sandbox

1. Откройте веб-интерфейс Sandbox.
2. Перейдите в "Авторизация KATA".
3. Найдите запрос от Central Node → нажмите "Принять".
4. Нажмите "Применить" → подтвердите.
5. Запрос перейдёт в статус "Принят".

📸 Рис. 22. Подтверждение подключения в Sandbox

⏳ Важно: После подключения требуется 5–10 минут на подготовку.
Предупреждение в интерфейсе исчезнет автоматически.

1. В Central Node перейдите в "Параметры" → "Набор ОС".
2. Выберите:
   • Стандартные ОС: Windows 7, Windows 10
   • При необходимости: CentOS, Astra Linux
   • Пользовательские ОС: активируйте нужные
3. Нажмите "Сохранить".
   
   📸 Рис. 23. Настройка набора ОС в Central Node
4. Проверьте статус в разделе "Серверы Sandbox".
   
   📸 Рис. 24. Статус подключённых образов ОС

🔧 Подготовка к установке

Требования к оборудованию:

1.3. Платформы виртуализации

Поддерживаются следующие платформы:

• VMware ESXi 6.7.0 или 7.0
• KVM
• ПК СВ "Брест" 3.3
• "РЕД Виртуализация" 7.3
• zVirt Node 4.2

Решение не поддерживает Microsoft Hyper-V.

📌 Примечание по KVM:

• • ОС: Debian GNU/Linux 12

  cat /proc/cpuinfo | grep flags

Дополнительные требования для платформ виртуализации

💡Примечание:
Если вы хотите устранить уязвимости типа Spectre и Meltdown на уровне гипервизора, необходимо дополнительно увеличить количество логических ядер в 1,5 раза относительно уже увеличенного значения.

1.5. Требования к процессору

Центральный процессор должен поддерживать следующие наборы инструкций:

• BMI2
• AVX
• AVX2

🔍 Проверка поддержки:

• • Выполните в терминале команду: cat /proc/cpuinfo | grep flags
  • Убедитесь, что в выводе присутствуют: avx avx2 bmi2

❗ Если хотя бы один из этих флагов отсутствует, установка компонентов не будет поддерживаться.

⚠ Ограничения Sensor

• Для компонента Sensor действуют следующие ограничения:
• • Для захвата сетевого трафика на максимальной скорости 10 Гбит/с могут использоваться только компоненты Sensor, установленные на отдельных физических серверах. Виртуальные машины не рекомендуются для таких нагрузок.
  • При захвате FTP-трафика на скорости до 10 Гбит/с возможен высокий уровень потерь пакетов из-за особенностей обработки протокола. Рекомендуется мониторинг и тестирование в реальных условиях.
  • Настройка параметров проверки ICAP-трафика в режиме реального времени на серверах с компонентом Sensor возможна только в режиме Technical Support Mode через CLI. Прямой доступ через веб-интерфейс отсутствует.

### Настройка виртуальной машины (если применимо)

Если используется VMware:

1. Откройте настройки ВМ.
2. Перейдите: Options → Boot Options → Firmware.
3. Выберите UEFI.

🖼️ Скриншот: Настройки виртуальной машины с выделенным пунктом UEFI.

Установка запускается автоматически после загрузки с образа.

Шаг 1: Загрузка образа

Скачайте образ:

kata-cn-7.1.0.530-inst.x86_64_en-ru-zh.iso

• Физический сервер: запишите на USB/DVD и загрузитесь.
• Виртуальный сервер: подключите ISO к ВМ.

При запуске системы выберите:

Install KATA 7.1.0.530

📸 Скриншот 1: Экран загрузки с выделенным пунктом `Install KATA 7.1.0.530` в меню GRUB.

Шаг 2: Приветственное окно

Нажмите: Continue

📸 Скриншот 2: Приветственное окно установщика с кнопкой `Continue`.

Шаг 3: Лицензионное соглашение

1. Нажмите TAB, чтобы перейти к опции.
2. Выберите: Я принимаю
3. Нажмите Enter.

📸 Скриншот 3: Окно лицензионного соглашения с активной кнопкой `Я принимаю`.

Шаг 4: Выбор роли сервера

При установке доступны следующие роли сервера:

Для установки выделенного Sensor выберите sensor и нажмите Enter.

📸 Скриншот 4: Меню выбора роли сервера с выделенным пунктом `sensor`.

Шаг 5: Подтверждение очистки диска

Система предупреждает об очистке дискового пространства.

Выберите: Yes и нажмите Enter.

📸 Скриншот 5: Окно предупреждения о необходимости очистки диска с кнопкой `Yes`.

Шаг 6: Настройка кластерной подсети

Выбор маски сети для адресации серверов кластера.

В данном пункте настройка производиться только при установке кластера “KATA”, если установка выполняется не для кластера, то выбираем пункт “1”.

• Для выбора значения по умолчанию: 198.18.0.0/16 нажмите на клавишу Enter.
• Если вы хотите указать другую маску сети, введите значение и нажмите на клавишу Enter.
• Маска должна соответствовать шаблону x.x.0.0/16.

📸 Скриншот 6: Экран настройки кластерной подсети.

Шаг 7: Выбор сетевого интерфейса (Management Interface)

Выберите один из доступных интерфейсов (например, `eth0`) и нажмите Enter.

📸 Скриншот 7: Список сетевых интерфейсов с подсказкой `Выберите один из доступных сетевых интерфейсов`.

Шаг 8: Настройка IP-адреса

Выберите способ назначения IP:

• DHCP — автоматическое получение.
• Static — ручной ввод.

После настройки нажмите: Save

📸 Скриншот 8: Меню настройки IP-адреса с опциями `DHCP` и `Static`, кнопка `Save`.

Шаг 9: Настройка учётной записи admin

1. Убедитесь, что длина пароля — минимум 12 символов.
2. Введите пароль.
3. Нажмите OK.

📸 Скриншот 9: Окно настройки пароля администратора с подсказкой о минимальной длине — 12 символов.

Шаг 10: Настройка DNS-серверов

⚠ ВАЖНО: Указание DNS сервера обязательно, даже если платформа будет установлена в изолированной сети без доступа к внутреннему или внешнему DNS серверу. В такой конфигурации можно указать просто адрес, необязательно к существующему узлу, так как данный пункт конфигурации заложен в логику работы системы. Не указав адрес в данном пункте, может привести к ошибке в работе платформы и загрузке ЦП на 100%. Можно указать любой IP (например, `1.1.1.1`), чтобы избежать 100% загрузки CPU.

Введите:

• Основной DNS (IPv4)
• Дополнительный DNS (IPv4)

После ввода дважды нажмите Enter.

📸 Скриншот 10: Поле ввода DNS-серверов с подсказкой: `ВАЖНО: Указание DNS обязательно...`.

Шаг 11: Настройка NTP-сервера

Введите IP или доменное имя NTP-сервера (например, `ntp.kaspersky.com` или `10.10.0.100`).

При необходимости добавьте резервный сервер.

Завершите ввод дважды нажав Enter.

📸 Скриншот 11: Окно настройки NTP-сервера с подсказкой: `Введите IP-адрес или имя NTP-сервера`.

Шаг 12: Завершение установки

Подождите завершения настройки. После окончания:

• Появится приглашение к вводу логина и пароля.
• Sensor не имеет веб-интерфейса — вся дальнейшая настройка через SSH.

📸 Скриншот 12: Терминал с сообщением: `На данном этапе процесс установки завершен...`.

🌐 Получение IP-адреса (если использовался DHCP)

Если IP получен по DHCP, выполните:

1. Подключитесь по SSH как `admin`.
2. Перейдите в Technical Support Mode → подтвердите переход в CLI.
3. Выполните команду:

ip address show eth0

(замените `eth0` на интерфейс, выбранный при установке)

📸 Скриншот 13: Терминал с выводом команды `ip address show`, где виден назначенный IP-адрес.

✅ Рекомендуемый способ. Требует доступа к Central Node и Sensor.

Шаг 1: Откройте веб-интерфейс Central Node

Перейдите по адресу: https://<IP_Central_Node>:8443 и авторизуйтесь под учётной записью `admin`.

📸 Скриншот 14: Страница входа в веб-интерфейс Central Node с полем ввода логина и пароля.

Шаг 2: Добавление нового Sensor

1. Перейдите в раздел: Серверы Sensor.
2. Нажмите: Добавить сенсор.
3. Выберите вкладку: Автоматически по сети.

📸 Скриншот 15: Окно "Добавление нового сенсора" с активной вкладкой "Автоматически по сети".

Шаг 3: Заполнение формы

Заполните поля:

📸 Скриншот 16: Форма с заполненными полями: имя, адрес сервера, IP-адрес сенсора.

Шаг 4: Создание SSH-туннеля

На ПК с доступом к Sensor выполните команду:

ssh -4 -L 9444:localhost:9444 admin@<IP_Sensor>

⚠ Если ошибка `Corrupted MAC on input`, используйте:

ssh -4 -L 9444:localhost:9444 admin@<IP_Sensor> -o "MACs hmac-sha2-256"

В браузере на этом же компьютере, на котором разрешен доступ к серверу Sensor, в адресной строке браузера введите: https//localhost:9444. (именно localhost)
В окне браузера откроется страница веб-интерфейса компонента Sensor. На странице веб-интерфейса отобразится сообщение, содержащее информацию об отпечатке запроса сертификата, который был отправлен компоненту Central Node.

Шаг 5: Проверка отпечатка сертификата

1. Откройте в браузере: https://localhost:9444
2. На странице отобразится отпечаток сертификата (fingerprint).

📸 Скриншот 17: Страница https://localhost:9444 с отпечатком сертификата

Шаг 6: Подтверждение подключения

1. Сравните отпечаток на странице Sensor и в интерфейсе Central Node.
2. Если совпадают — нажмите ОК.

📸 Скриншот 18: Интерфейс Central Node с запросом подтверждения отпечатка и кнопкой `ОК`.

Шаг 7: Проверка подключения

После подтверждения:

• Sensor появится в списке.
• Статус: Подключён.
• Начнётся синхронизация.

📸 Скриншот 20: Список Sensor в веб-интерфейсе Central Node с новым подключённым узлом. Рекомендуемый способ. Требует доступа к Central Node и Sensor.

🔧 Подготовка к установке

Требования к оборудованию:

1.3. Платформы виртуализации

Поддерживаются следующие платформы:

• VMware ESXi 6.7.0 или 7.0
• KVM
• ПК СВ "Брест" 3.3
• "РЕД Виртуализация" 7.3
• zVirt Node 4.2

Решение не поддерживает Microsoft Hyper-V.

📌 Примечание по KVM:

• • ОС: Debian GNU/Linux 12

  cat /proc/cpuinfo | grep flags

Дополнительные требования для платформ виртуализации

💡Примечание:
Если вы хотите устранить уязвимости типа Spectre и Meltdown на уровне гипервизора, необходимо дополнительно увеличить количество логических ядер в 1,5 раза относительно уже увеличенного значения.

1.5. Требования к процессору

Центральный процессор должен поддерживать следующие наборы инструкций:

• BMI2
• AVX
• AVX2

🔍 Проверка поддержки:

• • Выполните в терминале команду: cat /proc/cpuinfo | grep flags
  • Убедитесь, что в выводе присутствуют: avx avx2 bmi2
  • Либо выполните следующую команду:
    

  grep -E 'avx|avx2|bmi2' /proc/cpuinfo

❗ Если хотя бы один из этих флагов отсутствует, установка компонентов не будет поддерживаться.

⚠ Ограничения Sensor

• Для компонента Sensor действуют следующие ограничения:
• • Для захвата сетевого трафика на максимальной скорости 10 Гбит/с могут использоваться только компоненты Sensor, установленные на отдельных физических серверах. Виртуальные машины не рекомендуются для таких нагрузок.
  • При захвате FTP-трафика на скорости до 10 Гбит/с возможен высокий уровень потерь пакетов из-за особенностей обработки протокола. Рекомендуется мониторинг и тестирование в реальных условиях.
  • Настройка параметров проверки ICAP-трафика в режиме реального времени на серверах с компонентом Sensor возможна только в режиме Technical Support Mode через CLI. Прямой доступ через веб-интерфейс отсутствует.

### Настройка виртуальной машины (если применимо)

Если используется VMware:

1. Откройте настройки ВМ.
2. Перейдите: Options → Boot Options → Firmware.
3. Выберите UEFI.

🖼️ Скриншот: Настройки виртуальной машины с выделенным пунктом UEFI.

Установка запускается автоматически после загрузки с образа.

Шаг 1: Загрузка образа

Скачайте образ

• Физический сервер: запишите на USB/DVD и загрузитесь.
• Виртуальный сервер: подключите ISO к ВМ.

При запуске системы выберите:

Install KATA 8.0.0.1

📸 Скриншот 1: Экран загрузки с выделенным пунктом `Install KATA 8.0.0.1` в меню GRUB.

Шаг 2: Приветственное окно

Нажмите: Continue

📸 Скриншот 2: Приветственное окно установщика с кнопкой `Continue`.

Шаг 3: Лицензионное соглашение

1. Нажмите TAB, чтобы перейти к опции.
2. Выберите: Я принимаю
3. Нажмите Enter.

📸 Скриншот 3: Окно лицензионного соглашения с активной кнопкой `Я принимаю`.

Шаг 4: Выбор роли сервера

При установке доступны следующие роли сервера:

Для установки выделенного Sensor выберите sensor и нажмите Enter.

📸 Скриншот 4: Меню выбора роли сервера с выделенным пунктом `sensor`.

Шаг 5: Подтверждение очистки диска

Система предупреждает об очистке дискового пространства.

Выберите: Yes и нажмите Enter.

📸 Скриншот 5: Окно предупреждения о необходимости очистки диска с кнопкой `Yes`.

Шаг 6: Настройка кластерной подсети

Выбор маски сети для адресации серверов кластера.

В данном пункте настройка производиться только при установке кластера “KATA”, если установка выполняется не для кластера, то выбираем пункт “1”.

• Для выбора значения по умолчанию: 198.18.0.0/16 нажмите на клавишу Enter.
• Если вы хотите указать другую маску сети, введите значение и нажмите на клавишу Enter.
• Маска должна соответствовать шаблону x.x.0.0/16.

📸 Скриншот 6: Экран настройки кластерной подсети.

Шаг 7: Выбор сетевого интерфейса (Management Interface)

Выберите один из доступных интерфейсов (например, `eth0`) и нажмите Enter.

📸 Скриншот 7: Список сетевых интерфейсов с подсказкой `Выберите один из доступных сетевых интерфейсов`.

Шаг 8: Настройка IP-адреса

Выберите способ назначения IP:

• DHCP — автоматическое получение.
• Static — ручной ввод.

После настройки нажмите: Save

📸 Скриншот 8: Меню настройки IP-адреса с опциями `DHCP` и `Static`, кнопка `Save`.

Шаг 9: Настройка учётной записи admin

1. Убедитесь, что длина пароля — минимум 12 символов.
2. Введите пароль.
3. Нажмите OK.

📸 Скриншот 9: Окно настройки пароля администратора с подсказкой о минимальной длине — 12 символов.

Шаг 10: Настройка DNS-серверов

⚠ ВАЖНО: Указание DNS сервера обязательно, даже если платформа будет установлена в изолированной сети без доступа к внутреннему или внешнему DNS серверу. В такой конфигурации можно указать просто адрес, необязательно к существующему узлу, так как данный пункт конфигурации заложен в логику работы системы. Не указав адрес в данном пункте, может привести к ошибке в работе платформы и загрузке ЦП на 100%. Можно указать любой IP (например, `1.1.1.1`), чтобы избежать 100% загрузки CPU.

Введите:

• Основной DNS (IPv4)
• Дополнительный DNS (IPv4)

После ввода дважды нажмите Enter.

📸 Скриншот 10: Поле ввода DNS-серверов с подсказкой: `ВАЖНО: Указание DNS обязательно...`.

Шаг 11: Настройка NTP-сервера

Введите IP или доменное имя NTP-сервера (например, `ntp.kaspersky.com` или `10.10.0.100`).

При необходимости добавьте резервный сервер.

Завершите ввод дважды нажав Enter.

📸 Скриншот 11: Окно настройки NTP-сервера с подсказкой: `Введите IP-адрес или имя NTP-сервера`.

Шаг 12: Завершение установки

Подождите завершения настройки. После окончания:

• Появится приглашение к вводу логина и пароля.
• Sensor не имеет веб-интерфейса — вся дальнейшая настройка через SSH.

📸 Скриншот 12: Терминал с сообщением: `На данном этапе процесс установки завершен...`.

🌐 Получение IP-адреса (если использовался DHCP)

Если IP получен по DHCP, выполните:

1. Подключитесь по SSH как `admin`.
2. Перейдите в Technical Support Mode → подтвердите переход в CLI.
3. Выполните команду:

ip address show eth0

(замените `eth0` на интерфейс, выбранный при установке)

📸 Скриншот 13: Терминал с выводом команды `ip address show`, где виден назначенный IP-адрес.

✅ Рекомендуемый способ. Требует доступа к Central Node и Sensor.

Шаг 1: Откройте веб-интерфейс Central Node

Перейдите по адресу: https://<IP_Central_Node>:8443 и авторизуйтесь под учётной записью `admin`.

📸 Скриншот 14: Страница входа в веб-интерфейс Central Node с полем ввода логина и пароля.

Шаг 2: Добавление нового Sensor

1. Перейдите в раздел: Серверы Sensor.
2. Нажмите: Добавить сенсор.
3. Выберите вкладку: Автоматически по сети.

📸 Скриншот 15: Окно "Добавление нового сенсора" с активной вкладкой "Автоматически по сети".

Шаг 3: Заполнение формы

Заполните поля:

📸 Скриншот 16: Форма с заполненными полями: имя, адрес сервера, IP-адрес сенсора.

Шаг 4: Наследование технологий Сервера

Если вы хотите, чтобы компонент Sensor или точка мониторинга автоматически получали параметры использования технологий, настроенные для родительского объекта, вы можете включить наследование технологий. При этом компонент Sensor получает параметры использования технологий, заданные для компонента Central Node, а точка мониторинга получает параметры, заданные для того компонента, на котором точка мониторинга была добавлена (Central Node или Sensor).

При необходимости вы можете выключить наследование технологий для компонента Sensor или точки мониторинга. Это позволит настроить на этом объекте специфические параметры использования технологий.

📸 Скриншот 17: Форма с заполненными полями: имя, адрес сервера, IP-адрес сенсора.

Шаг 5: Создание SSH-туннеля

На ПК с доступом к Sensor выполните команду:

ssh -4 -L 9444:localhost:9444 admin@<IP_Sensor>

⚠ Если ошибка `Corrupted MAC on input`, используйте:

ssh -4 -L 9444:localhost:9444 admin@<IP_Sensor> -o "MACs hmac-sha2-256"

В браузере на этом же компьютере, на котором разрешен доступ к серверу Sensor, в адресной строке браузера введите: https//localhost:9444. (именно localhost)
В окне браузера откроется страница веб-интерфейса компонента Sensor. На странице веб-интерфейса отобразится сообщение, содержащее информацию об отпечатке запроса сертификата, который был отправлен компоненту Central Node.

Шаг 6: Проверка отпечатка сертификата

1. Откройте в браузере: https://localhost:9444
2. На странице отобразится отпечаток сертификата (fingerprint).

📸 Скриншот 18: Страница https://localhost:9444 с отпечатком сертификата

Шаг 7: Подтверждение подключения

1. Сравните отпечаток на странице Sensor и в интерфейсе Central Node.
2. Если совпадают — нажмите ОК.

📸 Скриншот 19: Интерфейс Central Node с запросом подтверждения отпечатка и кнопкой `ОК`.

Шаг 8: Проверка подключения

После подтверждения:

• Sensor появится в списке.
• Статус: Подключён.
• Начнётся синхронизация.

📸 Скриншот 20: Список Sensor в веб-интерфейсе Central Node с новым подключённым узлом. Рекомендуемый способ. Требует доступа к Central Node и Sensor.

1.1. Варианты установки

Решение поддерживает три архитектуры:

1.2. Требования к оборудованию

🔹 Объём системного диска

1.3. Платформы виртуализации

Решение не поддерживает Microsoft Hyper-V. Поддерживаются:

• VMware ESXi 6.7.0 или 7.0
• KVM
• ПК СВ "Брест" 3.3
• "РЕД Виртуализация" 7.3
• zVirt Node 4.2

Решение не поддерживает Microsoft Hyper-V.

📌 Примечание по KVM:

• ОС: Debian GNU/Linux 12
• Эмулятор: QEMU version 8.0.2

Дополнительные требования для платформ виртуализации

📌 Примечание:
Если вы хотите устранить уязвимости типа Spectre и Meltdown на уровне гипервизора, необходимо дополнительно увеличить количество логических ядер в 1,5 раза относительно уже увеличенного значения.

1.4. Дисковые подсистемы и RAID

💡 Рекомендации:

• Минимум 2000 ГБ на первой подсистеме
  
• Используйте аппаратный RAID-контроллер с кэшем и BBU

1.5. Требования к процессору

Центральный процессор должен поддерживать наборы инструкций:

• BMI2
• AVX
• AVX2

🔍 Проверка поддержки:

• Выполните в терминале команду: cat /proc/cpuinfo | grep flags
• Убедитесь, что в выводе присутствуют: avx avx2 bmi2
• Либо выполните следующую команду:

grep -E 'avx|avx2|bmi2' /proc/cpuinfo

1.6. Порты и сервера обновлений / KSN

Перед установкой приложения подготовьте IT-инфраструктуру вашей организации к установке компонентов Kaspersky Anti Targeted Attack Platform: Подготовка IT-инфраструктуры к установке компонентов приложения:

1. Для обеспечения безопасности сети от анализируемых объектов запретите доступ в локальную сеть сервера Sandbox управляющему сетевому интерфейсу и интерфейсу для доступа обрабатываемых объектов.
2. Произведите подготовку IT-инфраструктуры организации, согласно таблице.
3. Открыт доступ до серверов обновления и KSN согласно таблице ниже:

2.1. Общая последовательность

1. Установите Central Node в режиме "Ретроспективный анализ трафика"
2. Установите Sandbox
3. Добавьте образы виртуальных машин в Sandbox

💡 Сценарии:

• Пилот: Central Node + Sensor на одном сервере, Sandbox — на другом

2.2. Загрузка и запуск образа

Скачайте образ:

• Физический сервер: запишите на USB/DVD и загрузитесь.
• Виртуальный сервер: подключите ISO к ВМ.

⚠️ Важно:
При установке на виртуальной платформе обязательно выберите UEFI в настройках:
Options → Boot Options → Firmware → UEFI.

📸 Скриншот 1:

2.3. Процесс установки

Шаг 1: Загрузка

Выберите:

📸 Скриншот 2:

Шаг 2: Язык

Выберите язык (например, русский) → Enter

📸 Скриншот 3:

Шаг 3: Лицензионное соглашение

• Нажмите Tab, выберите «Я Принимаю»
• Нажмите Enter

📸 Скриншот 4:

Шаг 4: Политика конфиденциальности

• Выберите «Я Принимаю» → Enter

📸 Скриншот 5:

Шаг 5: Выбор роли сервера

⚠️ После установки сменить роль невозможно.

📸 Скриншот 6:

Шаг 6: Выбор диска

• Подтвердите очистку диска → Yes → Enter

📸 Скриншот 7:

  

В данном примере диск не соответствует минимальным требованиям

Шаг 7: Настройка сети кластера (если применимо)

❗ Настройка выполняется Только для кластерной установки.

Для не-кластерной установки просто нажмите Enter (оставьте 198.18.0.0/16)

📸 Скриншот 8:

📸 Скриншот 9:

Шаг 8: Выбор сетевого интерфейса

Выберите интерфейс для Management Interface

📸 Скриншот 10:

Шаг 9: Настройка IP-адреса

• DHCP — автоматически
• Static — вручную (IP, Mask, Gateway)

📸 Скриншот 11:

Шаг 10: Учётная запись admin

• Пароль: минимум 12 символов
• Подтвердите пароль → OK

📸 Скриншот 12:

Шаг 11: Язык NDR

Выберите язык (например, русский) → Enter

📸 Скриншот 13:

Шаг 12: DNS-серверы

⚠️ Обязательно! Даже в изолированной сети укажите фиктивный DNS (например, 1.1.1.1)

📸 Скриншот 14:

Шаг 13: NTP-серверы

• Нажмите Add
• Введите адрес (например, pool.ntp.org)
• Нажмите Continue

📸 Скриншот 15:

Шаг 14: Включение режима ретроспективного анализа трафика

Для ретроспективного анализа трафика, на этом шаге требуется включить режим ретроспективного анализа трафика. В этом режиме для компонента действует ряд ограничений, вы можете ознакомиться с ними в разделе Ретроспективный анализ трафика.

 📸 Скриншот 16:

Шаг 15: Ожидание завершения

Процесс займёт 5–20 минут. Не перезагружайте сервер.

📸 Скриншот 17:

3.1. Доступ к веб-интерфейсу

После завершения установки подождите пару минут — идёт запуск контейнеров и инициализация сервисов.

⚠️ Не пытайтесь входить сразу — возможна ошибка авторизации.

Откройте в браузере:

Войдите под:

• Логин: admin
• Пароль: заданный при установке

📸 Скриншот 17:

3.2. Конфигурация серверов

После входа откроется веб-интерфейс для управления масштабированием. Вам будет доступен раздел «Конфигурация серверов», где необходимо указать параметры, определяющие нагрузку и объём хранилища.

📸 Скриншот 18:

🔹 Почтовый трафик (KATA)

❗ВАЖНО: В поле Почтовый трафик, сообщений в секунду ничего не указываем.

🔹 SPAN-трафик (NDR)

• Укажите объём трафика (Мбит/с) поданного на CN.
• В поле SPAN-трафик, Мбит/с укажите планируемое количество трафика со SPAN-портов.
• В этом поле указывается общий объем SPAN-трафика, который обрабатывается на Central Node/RAM.

3.3. Объём диска

В поле «Хранилище» нужно указать объем дискового пространства, выделяемого для хранения файлов, загруженных через веб интерфейс для анализа компонентом Cental Node и Sandbox. Рекомендуется выделять не больше 100 Гб.

3.4. Запуск конфигурации

1. Нажмите «Настроить»
2. Нажмите «Запустить»
3. Дождитесь завершения (10–20 минут)

📸 Скриншот 19:

📸 Скриншот 20:

⚠️ ВАЖНО! После успешного завершения система предложит войти заново. После завершения конфигурации подождите 5-20 минут — идёт запуск контейнеров и инициализация сервисов.

3.5. Финальная настройка

После успешной конфигурации:

🔹 Проверка времени

• Параметры → Дата и время
• Убедитесь в правильности часового пояса и NTP

⚠️ Время должно быть одинаковым на всех компонентах: CN, Sensor, Sandbox.

📸 Скриншот 21:

🔹 Имя сервера

• Параметры → Сетевые параметры → Имя сервера
• Укажите имя в нижнем регистре, совпадающее с DNS (если планируется интеграция с AD)

ВАЖНО!

Имя устройства Central Node можно изменить только через веб-интерфейс. Автоматически присвоенное при установке имя менять нельзя.

📸 Скриншот 22:

🔹 Лицензия

• Параметры → Лицензия
• Загрузите файл ключа или введите код активации (KATA, NDR, KEDR)

📸 Скриншот 23:

🔹 KSN

• Параметры → KSN/KPSN и MDR
• Примите соглашение и включите KSN

📸 Скриншот 24:

🔹 Обновление баз

• Параметры → Общие параметры → Обновление баз
• Выберите источник и запустите обновление

✅ Обновление должно завершиться со статусом успешно

📸 Скриншот 25:

🔹 Создание учётной записи Офицера безопасности

• Параметры → Пользователи → Добавить
• Роль: Старший сотрудник службы безопасности
• Укажите имя, пароль (дважды), включите учётную запись

💡 Эта учётная запись будет использоваться для работы с инцидентами.

📸 Скриншот 26:

ВАЖНО: Перед тем как приступить к данным настройкам, лицензии KATA или KATA/NDR должны быть обязательно добавлены в зависимости от тестируемого функционала.

Примечание:
o   Лицензия KATA отвечает за защиту периметра IT-инфраструктуры предприятия обработку сетевых источников.
o   NDR обеспечивающий защиту внутренней сети предприятия, построения карты сети и ретроспективного анализа.

Процесс первоначальной установки и настройки на данном этапе завершен.

1. API

Платформа KATA поддерживает интеграцию со сторонними решения по средством REST API.

Перед подключением источников, обязательно выполните следующие действия:

В данной инструкции этот процесс описан не будет, так как есть полноценная инструкция по работе с данным функционалом. Данную инструкцию можно запросить либо скачать по данной ссылке - Руководство по настройке API KATA, KEDR, NDR до 7.1.3

Детальнее с данным функционалом можно ознакомиться в онлайн документации KATA API и NDR API.

Рекомендуется увеличить значение  максимальное значение обрабатываемых задач получаемых от одного клиента по API

Подключиться по “SSH” к “Central Node”, перейти в “Technical Support Mode” и выполнить следующие команды:

• Переход в root – “sudo su”.
• Увеличение максимального значения “API-запросов”

sudo su
console-settings-updater set --merge /kata/configuration/product/kata_scanner '{"ksmg": {"max_tasks_per_client": 500}}'

Прейдите в веб-интерфейс “Central Node” и авторизуйтесь под уз “admin”.

📸 Скриншот 27:

 Перейдите в раздел “Внешние системы” и переведите пункт “Максимальный приоритет проверки” в состояние “Включено”.

📸 Скриншот 28:

2. SPAN

Данный пункт описывает процесс настройки Central Node для анализа копии трафика, поданного с внутреннего или внешнего сегмента сети.

ВАЖНО: для включения анализа сетевого трафика обязательно должен быть добавлен дополнительный интерфейс.
Для Central Node работающей в режиме Retrospective analysis mode,  точка мониторинга должна быть только одна.

Примечание: В версию KATA 6.0 добавлена возможность записи, хранения и выгрузки копий сырого сетевого трафика. В данном документе этот функционал описан не будет, только настройка приема SPAN. Детально по данному функционалу можно ознакомиться в онлайн документации.

Процесс настройки и подключения SPAN в данной инструкции этот процесс описан не будет, так как есть полноценная инструкция по работе с данным функционалом. Данную инструкцию можно запросить либо скачать по данной ссылке - Настройка приёма SPAN-трафика на Central Node и Sensor

3. SIEM

Kaspersky Anti Targeted Attack Platform может публиковать информацию о действиях пользователей в веб-интерфейсе приложения и обнаружениях в SIEM-систему, которая уже используется в вашей организации, по протоколу Syslog.

Процесс настройки и подключения SPAN в данной инструкции этот процесс описан не будет, так как есть полноценная инструкция по работе с данным функционалом. Данную инструкцию можно запросить либо скачать по данной ссылке - Cheat Sheet по интеграциям KATA c KUMA

Детальнее по настройке данного функционала можно ознакомиться в онлайн документации.

С выходом нового модуля Network Detection and Response (NDR), который является частью платформы Kaspersky Anti Targeted Attack Platform (KATA), передача данных о событиях, связанных с этим функционалом, осуществляется через настройку коннекторов.

Детальнее по настройке данного функционала можно ознакомиться в онлайн документации

4. Загрузка PCAP-файла вручную

1. В окне веб-интерфейса из под уз "Офицера безопасности" приложения выберите раздел "Ретроспективный анализ трафика".

   Откроется таблица PCAP-файлов.

2. Нажмите на кнопку "Загрузить PCAP-файл".

   Откроется окно выбора файлов.

3. Выберите PCAP-файл, который вы хотите загрузить, и нажмите на кнопку "Open".

   Вы можете выбрать несколько файлов.

4. В таблице выберите файл с трафиком, который вы хотите воспроизвести.
   Откроется окно с информацией о PCAP-файле.

5. Нажмите на кнопку Воспроизвести .
   Воспроизведение трафика будет запущено.

📸 Скриншот 29:

После проигрывания PCAP-файла, результаты будут доступны в разделе "Алерты"

📸 Скриншот 29:

 ВАЖНО: если включен автоматический анализ трафика, загрузка PCAP-файлов в Kaspersky Anti Targeted Attack Platform вручную недоступна.

5. Коннектора типа Generic для загрузки PCAP-файлов из внешней системы в Kaspersky Anti Targeted Attack Platform.

Добавление коннектора типа Generic для загрузки PCAP-файлов из внешней системы в Kaspersky Anti Targeted Attack Platform.

Этот коннектор используется для соединения с внешней системой, из которой передаются PCAP-файлы.

6. Включение и отключение автоматического анализа трафика

Если автоматический анализ трафика включен, Kaspersky Anti Targeted Attack Platform загружает и воспроизводит PCAP-файлы автоматически по мере их поступления. Вам требуется убедиться, что PCAP-файлы поступают в Kaspersky Anti Targeted Attack Platform в порядке записи и с учетом сегментов сети, иначе возможно искажение результатов анализа.

При включенном автоматическом анализе трафика загрузка PCAP-файлов в Kaspersky Anti Targeted Attack Platform и запуск воспроизведения трафика вручную недоступны.

ℹ️ Информация: Если вы хотите воспроизвести несколько PCAP-файлов подряд без очистки результатов, вам требуется загружать PCAP-файлы в порядке их записи с учетом сегментов сети, чтобы избежать искажения результатов анализа.