KATA Platform Установка и обновление Руководство по установке и настройке компонента Сentral Node в КАТА/KEDR/NDR 7.0-7.1 ℹ️ Информация: Приведенная на данной странице информация, является разработкой команды pre-sales и/или AntiAPT Community и НЕ является официальной рекомендацией вендора.. Официальная документация по данному разделу приведена в Онлайн-справке на продукт. Далее по разделам: Аппаратные и программные требования Архитектура приложения Распределенное решение и мультитенантность Руководство по масштабированию Установка и первоначальная настройка приложения 📦 Установка Central Node с компонентом Sensor и первоначальная настройка Версия решения: 7.1 Тип установки: Central Node + Sensor (на одном сервере) Важно: правильный сайзинг ⚠️ Очень важно: Точный и надёжный расчёт аппаратных ресурсов (сайзинг) возможен только после заполнения официального опросника от Kaspersky. Данные, предоставленные без опросника, являются предварительными и могут привести к нестабильной работе системы. Окончательные рекомендации по ресурсам (CPU, ОЗУ, дисковое пространство) должны быть предоставлены официальным партнёром или вендором Kaspersky . 💡 Важно: Подробнее о принципе работы решения Kaspersky Anti Targeted Attack Platform описано в онлайн-документации . ## 1. Подготовка 1.1. Варианты установки Решение поддерживает три архитектуры: Вариант Описание Standalone Central Node + Sensor на одном сервере. Подходит для пилотных внедрений, тестовых сред и организаций с небольшой ИТ-инфраструктурой. Кластер Распределённая отказоустойчивая система. Минимум 4 сервера: 2 storage + 2 processing. Распределенное решение и мультитенантность Primary CN (PCN) + Secondary CN (SCN) в филиалах. Централизованное управление. 💡 Рекомендация: Смена архитектуры (например, с Standalone на Cluster или Распределенное решение) возможна только через переустановку. Для кластера и распределённого решения требуется предварительный сайзинг на основе заполненного опросника и анализа от вендора. 1.2. Требования к оборудованию Компонент Требование Режим загрузки Обязательно UEFI Процессор Минимум 10+ потоков (логических ядер), поддержка BMI2, AVX, AVX2 ОЗУ Минимум 64 ГБ Диски 1 диск — для ОС и компонентов 2 диска — обязательно при использовании KEDR (второй — для TAA) Жёсткие диски Только SAS HDD 10K rpm и выше RAID Только аппаратный RAID . Программный RAID не поддерживается 🔹 Объём системного диска Сценарий Минимальный объём KATA и/или NDR 2–2,4 ТБ Только KEDR 1 ТБ 1.3. Платформы виртуализации Решение не поддерживает Microsoft Hyper-V . Поддерживаются: VMware ESXi 6.7.0 или 7.0 KVM ПК СВ "Брест" 3.3 "РЕД Виртуализация" 7.3 zVirt Node 4.2 📌 Примечание по KVM: ОС: Debian GNU/Linux 12 Эмулятор: QEMU version 8.0.2 Дополнительные требования для платформ виртуализации VMware ESXi Виртуальная машина требует на 10% больше CPU, чем физический сервер Тип виртуального диска: Thick Provision ПК СВ "Брест" / "РЕД Виртуализация" При использовании KEDR или KATA+KEDR увеличьте минимальное количество логических ядер на 20% 📌 Примечание: Если вы хотите устранить уязвимости типа Spectre и Meltdown на уровне гипервизора, необходимо дополнительно увеличить количество логических ядер в 1,5 раза относительно уже увеличенного значения. 1.4. Дисковые подсистемы и RAID Подсистема Назначение Рекомендуемый RAID Первая ОС, контейнеры, базы (кроме TAA) RAID 1 или RAID 10 Вторая База TAA и журналы RAID 10 💡 Рекомендации: Минимум 2000 ГБ на первой подсистеме Минимум 2400 ГБ на второй подсистеме Используйте аппаратный RAID-контроллер с кэшем и BBU 1.5. Требования к процессору Центральный процессор должен поддерживать наборы инструкций : BMI2 AVX AVX2 🔍 Проверка поддержки: grep -E 'avx|avx2|bmi2' /proc/cpuinfo 1.6. Порты и сервера обновлений / KSN Перед установкой приложения подготовьте IT-инфраструктуру вашей организации к установке компонентов Kaspersky Anti Targeted Attack Platform: Подготовка IT-инфраструктуры к установке компонентов приложения: Убедитесь, что серверы, а также компьютер, предназначенный для работы с веб-интерфейсом приложения, и компьютеры, на которых устанавливается компонент Endpoint Agent, удовлетворяют аппаратным и программным требованиям . Для обеспечения безопасности сети от анализируемых объектов запретите доступ в локальную сеть сервера Sandbox управляющему сетевому интерфейсу и интерфейсу для доступа обрабатываемых объектов. Произведите подготовку IT-инфраструктуры организации, согласно таблице . Открыт доступ до серверов обновления и KSN согласно таблице ниже: Server URL Updates antiapt.kaspersky-labs.com antiapt.k.kaspersky-labs.com antiapt.s.kaspersky-labs.com activation-v2.kaspersky.com KSN https://ksn-crypto-file-geo.kaspersky-labs.com https://ksn-crypto-stat-geo.kaspersky-labs.com https://ksn-crypto-url-geo.kaspersky-labs.com https://ksn-crypto-verdict-geo.kaspersky-labs.com https://ksn-crypto-kas-geo.kaspersky-labs.com https://ksn-crypto-a-stat-geo.kaspersky-labs.com https://ksn-crypto-hash-geo.kaspersky-labs.com https://ksn-his-geo.kaspersky-labs.com https://ksn-file-geo.kaspersky-labs.com https://ksn-verdict-geo.kaspersky-labs.com https://ksn-url-geo.kaspersky-labs.com https://ksn-kas-geo.kaspersky-labs.com https://ksn-a-stat-geo.kaspersky-labs.com https://ksn-info-geo.kaspersky-labs.com https://ksn-cinfo-geo.kaspersky-labs.com https://dc1.ksn.kaspersky-labs.com https://dc1-file.ksn.kaspersky-labs.com https://dc1-kas.ksn.kaspersky-labs.com https://dc1-st.ksn.kaspersky-labs.com На рисунках ниже показана схема сетевого взаимодействия между компонентами приложения и системами, необходимыми для работы приложения. Стрелки на схеме указывают направление соединения: каждая стрелка проведена от объекта, который инициирует соединение, к объекту, который отвечает на вызов. 🔽 Показать схему архитектуры Рис. 1 — Схема сетевого взаимодействия между компонентами приложения и системами, которые необходимы для работы приложения. Central Node развернут со встроенным Sensor Рис. 2 — Схема сетевого взаимодействия между компонентами приложения и системами, которые необходимы для работы приложения. Sensor развернут на отдельном от Central Node сервере Рис. 3 — Принцип работы приложения в режиме распределенного решения ## 2. Установка 2.1. Общая последовательность Установите Central Node и Sensor Установите Sandbox Добавьте образы виртуальных машин в Sandbox (Опционально) Установите выделенный Sensor (Опционально) Установите агенты Kaspersky Endpoint Agents 💡 Сценарии: Пилот: Central Node + Sensor на одном сервере, Sandbox — на другом Промышленный: кластер или распределённая архитектура 2.2. Загрузка и запуск образа Скачайте образ: kata-cn-7.1.0.530-inst.x86_64_en-ru-zh.iso Физический сервер: запишите на USB/DVD и загрузитесь. Виртуальный сервер: подключите ISO к ВМ. ⚠️ Важно: При установке на виртуальной платформе обязательно выберите UEFI в настройках: Options → Boot Options → Firmware → UEFI . 📸 Скриншот 1: 2.3. Процесс установки Шаг 1: Загрузка Выберите: Install KATA 7.1.0.530 📸 Скриншот 2: Шаг 2: Язык Выберите язык (например, русский ) → Enter 📸 Скриншот 3: Шаг 3: Лицензионное соглашение Нажмите Tab , выберите «Я Принимаю» Нажмите Enter 📸 Скриншот 4: Шаг 4: Политика конфиденциальности Выберите «Я Принимаю» → Enter 📸 Скриншот 5: Шаг 5: Выбор роли сервера Роль Описание single Central Node + Sensor на одном сервере sensor Только Sensor (выделенный) storage Сервер хранения для кластера processing Обрабатывающий сервер (включает Sensor) ⚠️ После установки сменить роль невозможно . 📸 Скриншот 6: Шаг 6: Выбор диска Подтвердите очистку диска → Yes → Enter Если используется KEDR , появится предложение выделить второй диск под TAA Если вы хотите использовать систему хранения данных SAN, для хранения телеметрии TAA , выполните одно из следующих действий: Если SAN подключена к физическому или виртуальному серверу, на этом шаге установки выберите SAN, отображаемую как локальный диск, в качестве диска для хранения данных. Если SAN доступна через сетевой интерфейс, выполните следующие действия: На этом шаге установки выберите Do not allocate a separate disk for TAA . Обратитесь в Техническую поддержку за инструкцией по изменению точки монтирования второй дисковой подсистемы. Выполните оставшиеся шаги мастера установки компонента Central Node со встроенным Sensor на сервере. В режиме Technical Support Mode измените точку монтирования в соответствии с полученной инструкцией. 📸 Скриншот 7: В данном примере диск не соответствует минимальным требованиям Шаг 7: Настройка сети кластера (если применимо) ❗ Настройка выполняется Только для кластерной установки. Для не-кластерной установки просто нажмите Enter (оставьте 198.18.0.0/16 ) 📸 Скриншот 8: 📸 Скриншот 9: Шаг 8: Выбор сетевого интерфейса Выберите интерфейс для Management Interface 📸 Скриншот 10: Шаг 9: Настройка IP-адреса DHCP — автоматически Static — вручную (IP, Mask, Gateway) 📸 Скриншот 11: Шаг 10: Учётная запись admin Пароль: минимум 12 символов Подтвердите пароль → OK 📸 Скриншот 12: Шаг 11: Язык NDR Выберите язык (например, русский ) → Enter 📸 Скриншот 13: Шаг 12: DNS-серверы ⚠️ Обязательно! Даже в изолированной сети укажите фиктивный DNS (например, 1.1.1.1 ) 📸 Скриншот 14: Шаг 13: NTP-серверы Нажмите Add Введите адрес (например, pool.ntp.org ) Нажмите Continue 📸 Скриншот 15: Шаг 14: Ожидание завершения Процесс займёт 5–20 минут . Не перезагружайте сервер. 📸 Скриншот 16: ## 3. Настройка 3.1. Доступ к веб-интерфейсу После завершения установки подождите пару минут — идёт запуск контейнеров и инициализация сервисов. ⚠️ Не пытайтесь входить сразу — возможна ошибка авторизации. Откройте в браузере: https://:8443 Войдите под: Логин: admin Пароль: заданный при установке 📸 Скриншот 17: 3.2. Конфигурация серверов После входа откроется веб-интерфейс для управления масштабированием . Вам будет доступен раздел «Конфигурация серверов» , где необходимо указать параметры, определяющие нагрузку и объём хранилища. 📸 Скриншот 18: 🔹 Количество Endpoint Agents ❗ Указывается не количество хостов , а количество эффективных агентов , по которым рассчитывается нагрузка и выделяется дисковое пространство. Тип хоста Коэффициент Windows-хост ×1 Linux/Mac-хост ×3 Сервер (Windows/Linux) ×20 Формула: K = Σ(Windows) + Σ(Linux × 3) + Σ(Серверы × 20) Пример: 800 Windows 100 Linux 200 Windows Server 100 Linux Server → K = 800 + (100×3) + (300×20) = 7100 ❌ Если KEDR не используется → укажите 0 . 🔹 Почтовый трафик (KATA) ❗ Указывается среднее количество писем в секунду (PPS) . Формула: PPS = M / (H × 3600) M — писем в день H — часов в рабочем дне Пример: 10 000 писем/день, 8 часов → 10000 / 28800 ≈ 0.35 ❌ Если KATA не используется → укажите 0 . 🔹 SPAN-трафик (NDR) Укажите суммарный объём трафика (Мбит/с) с CN и всех Sensor. Пример: CN: 500 Mbps Sensor: 1.5 Gbps = 1500 Mbps → Укажите: 2000 ❌ Если NDR не используется → укажите 0 . 3.3. Объём диска ⚠️ Если вы установили Central Node не в виде отказоустойчивого кластера , вам необходимо рассчитать объём диска для параметров База событий, ГБ и Хранилище, ГБ по следующей формуле: A = F - R, ГБ Где: A — объём, используемый для базы событий и хранилища F — объём жёсткого диска, на котором будет храниться база событий TAA R — зарезервированное количество свободного пространства (ГБ) на второй дисковой подсистеме, соответствующее количеству подключенных хостов с компонентом Endpoint Agent 💡 Примечание: Если количество подключенных к Central Node хостов находится в диапазоне между значениями, используйте в расчётах большее число . 🔹 Таблица: Зарезервированное количество свободного пространства Количество хостов с Endpoint Agent Зарезервированное пространство (ГБ) 1000 1000 3000 1200 5000 1400 10 000 1900 15 000 2400 🔹 Расчёт объёма дискового пространства для хранения телеметрии Объём дискового пространства, необходимого для хранения данных телеметрии на сервере Central Node, рассчитывается по следующей формуле: S = 150 ГБ + (K / 15000) × ((400 + 460 × d) / 0.65) Где: S — объём требуемого дискового пространства (в ГБ) K — количество хостов с Kaspersky Endpoint Agent или Kaspersky Endpoint Security для Windows d — срок хранения данных в днях 150 ГБ — базовый объём, требуемый для хранения ⚠️ Если включена функция проверки цепочек событий (NDR), применяется изменённая формула: S = 150 ГБ + (K / 15000) × ((600 + 460 × d) / 0.65) ✅ Пример расчёта Допустим, в инфраструктуре 5000 хостов и срок хранения данных — 30 дней . Рассчитаем объём дискового пространства: Вычисляем сумму в числителе: 400 + 460 × 30 = 400 + 13 800 = 14 200 Делим на коэффициент хранения: 14 200 / 0.65 ≈ 21 846.15 ГБ Определяем долю хостов: 5000 / 15000 = 0.33333 Умножаем: 0.33333 × 21 846.15 ≈ 7282.05 ГБ Прибавляем базовые 150 ГБ: S = 150 + 7282.05 ≈ 7432.05 ГБ ≈ 7.43 ТБ ✅ Итог: Для 5000 хостов с 30-дневным хранением данных требуется ≈7.43 ТБ дискового пространства. 💡 Примечание: Если включена функция проверки цепочек событий (NDR) , объём увеличится до ≈7.53 ТБ . 🔹 Дополнительный объём для хранения телеметрии NDR Если используется анализ SPAN-трафика, рассчитайте дополнительный объём: S_NDR = (N_NDR × 0.02 + T_SPAN × 10) × d Где: N_NDR — количество агентов NDR T_SPAN — объём SPAN-трафика в Гбит/с d — срок хранения (дней) Пример: N_NDR = 2000 T_SPAN = 2 Гбит/с d = 30 S_NDR = (2000 × 0.02 + 2 × 10) × 30 = (40 + 20) × 30 = 1800 ГБ = 1.8 ТБ 🔹 Итоговый требуемый объём дискового пространства S_total = S + S_NDR Пример: S_total = 7.43 ТБ + 1.8 ТБ = 9.23 ТБ ✅ Итого требуется: ≈9.23 ТБ ⚠️ Максимальный объём на одной подсистеме — 15 ТБ. При превышении рассмотрите кластерную архитектуру. 🔹 Хранилище файлов Рекомендуется указать до 100 ГБ — для файлов, полученных через задачу «Получить файл». 3.4. Запуск конфигурации Нажмите «Настроить» Нажмите «Запустить» Дождитесь завершения (10–20 минут) 📸 Скриншот 19: 📸 Скриншот 20: ⚠️ ВАЖНО! После успешного завершения система предложит войти заново. После завершения конфигурации подождите 5-20 минут — идёт запуск контейнеров и инициализация сервисов. 3.5. Финальная настройка После успешной конфигурации: 🔹 Проверка времени Параметры → Дата и время Убедитесь в правильности часового пояса и NTP ⚠️ Время должно быть одинаковым на всех компонентах: CN, Sensor, Sandbox. 📸 Скриншот 21: 🔹 Имя сервера Параметры → Сетевые параметры → Имя сервера Укажите имя в нижнем регистре , совпадающее с DNS (если планируется интеграция с AD) ВАЖНО! Имя устройства Central Node можно изменить только через веб-интерфейс. Автоматически присвоенное при установке имя менять нельзя. 📸 Скриншот 22: 🔹 Лицензия Параметры → Лицензия Загрузите файл ключа или введите код активации (KATA, NDR, KEDR) 📸 Скриншот 23: 🔹 KSN Параметры → KSN/KPSN и MDR Примите соглашение и включите KSN 📸 Скриншот 24: 🔹 Обновление баз Параметры → Общие параметры → Обновление баз Выберите источник и запустите обновление ✅ Обновление должно завершиться со статусом успешно 📸 Скриншот 25: 🔹 Создание учётной записи Офицера безопасности Параметры → Пользователи → Добавить Роль: Старший сотрудник службы безопасности Укажите имя, пароль (дважды), включите учётную запись 💡 Эта учётная запись будет использоваться для работы с инцидентами. 📸 Скриншот 26: 📌 Полезные ссылки Официальная документация Kaspersky Инструкция по интеграции с Active Directory Kaspersky на YouTube Kaspersky на Rutube ✅ Установка и настройка Central Node завершены! Теперь можно приступать к установке Sandbox , выделенного Sensor и настройки/подключению Endpoint Agents . Руководство по установке и настройке компонента Сentral Node в КАТА/NDR 8.0 ℹ️ Информация: Приведенная на данной странице информация, является разработкой команды pre-sales и/или AntiAPT Community и НЕ является официальной рекомендацией вендора.. Официальная документация по данному разделу приведена в Онлайн-справке на продукт. Далее по разделам: Аппаратные и программные требования Архитектура приложения Распределенное решение и мультитенантность Руководство по масштабированию Установка и первоначальная настройка приложения 📦 Установка Central Node с компонентом Sensor и первоначальная настройка Версия решения: 8.0 Тип установки: Central Node + Sensor (на одном сервере) Важно: правильный сайзинг ⚠️ Очень важно: Точный и надёжный расчёт аппаратных ресурсов (сайзинг) возможен только после заполнения официального опросника от Kaspersky. Данные, предоставленные без опросника, являются предварительными и могут привести к нестабильной работе системы. Окончательные рекомендации по ресурсам (CPU, ОЗУ, дисковое пространство) должны быть предоставлены официальным партнёром или вендором Kaspersky . 💡 Важно: Подробнее о принципе работы решения Kaspersky Anti Targeted Attack Platform описано в онлайн-документации . ## 1. Подготовка 1.1. Варианты установки Решение поддерживает три архитектуры: Вариант Описание Standalone Central Node + Sensor на одном сервере. Подходит для пилотных внедрений, тестовых сред и организаций с небольшой ИТ-инфраструктурой. Кластер Распределённая отказоустойчивая система. Минимум 4 сервера: 2 storage + 2 processing. Распределенное решение и мультитенантность Primary CN (PCN) + Secondary CN (SCN) в филиалах. Централизованное управление. 💡 Рекомендация: Смена архитектуры (например, с Standalone на Cluster или Распределенное решение) возможна только через переустановку. Для кластера и распределённого решения требуется предварительный сайзинг на основе заполненного опросника и анализа от вендора. 1.2. Требования к оборудованию Компонент Требование Режим загрузки Обязательно UEFI Процессор Минимум 10+ потоков (логических ядер), поддержка BMI2, AVX, AVX2 ОЗУ Минимум 64 ГБ Диски 1 диск — для ОС и компонентов Жёсткие диски Только SAS HDD 10K rpm и выше RAID Только аппаратный RAID . Программный RAID не поддерживается 🔹 Объём системного диска Сценарий Минимальный объём KATA и/или NDR 2–2,4 ТБ 1.3. Платформы виртуализации Решение не поддерживает Microsoft Hyper-V . Поддерживаются: VMware ESXi 6.7.0 или 7.0 KVM ПК СВ "Брест" 3.3 "РЕД Виртуализация" 7.3 zVirt Node 4.2 📌 Примечание по KVM: ОС: Debian GNU/Linux 12 Эмулятор: QEMU version 8.0.2 Дополнительные требования для платформ виртуализации VMware ESXi Виртуальная машина требует на 10% больше CPU, чем физический сервер Тип виртуального диска: Thick Provision ПК СВ "Брест" / "РЕД Виртуализация" При использовании KATA или KATA+NDR увеличьте минимальное количество логических ядер на 20% 📌 Примечание: Если вы хотите устранить уязвимости типа Spectre и Meltdown на уровне гипервизора, необходимо дополнительно увеличить количество логических ядер в 1,5 раза относительно уже увеличенного значения. 1.4. Дисковые подсистемы и RAID Подсистема Назначение Рекомендуемый RAID Первая ОС, контейнеры, базы (кроме TAA) RAID 1 или RAID 10 💡 Рекомендации: Минимум 2000 ГБ на первой подсистеме Используйте аппаратный RAID-контроллер с кэшем и BBU 1.5. Требования к процессору Центральный процессор должен поддерживать наборы инструкций : BMI2 AVX AVX2 🔍 Проверка поддержки: grep -E 'avx|avx2|bmi2' /proc/cpuinfo 1.6. Порты и сервера обновлений / KSN Перед установкой приложения подготовьте IT-инфраструктуру вашей организации к установке компонентов Kaspersky Anti Targeted Attack Platform: Подготовка IT-инфраструктуры к установке компонентов приложения: Убедитесь, что серверы, а также компьютер, предназначенный для работы с веб-интерфейсом приложения, и компьютеры, на которых устанавливается компонент Endpoint Agent, удовлетворяют аппаратным и программным требованиям . Для обеспечения безопасности сети от анализируемых объектов запретите доступ в локальную сеть сервера Sandbox управляющему сетевому интерфейсу и интерфейсу для доступа обрабатываемых объектов. Произведите подготовку IT-инфраструктуры организации, согласно таблице . Открыт доступ до серверов обновления и KSN согласно таблице ниже: Server URL Updates antiapt.kaspersky-labs.com antiapt.k.kaspersky-labs.com antiapt.s.kaspersky-labs.com activation-v2.kaspersky.com KSN https://ksn-crypto-file-geo.kaspersky-labs.com https://ksn-crypto-stat-geo.kaspersky-labs.com https://ksn-crypto-url-geo.kaspersky-labs.com https://ksn-crypto-verdict-geo.kaspersky-labs.com https://ksn-crypto-kas-geo.kaspersky-labs.com https://ksn-crypto-a-stat-geo.kaspersky-labs.com https://ksn-crypto-hash-geo.kaspersky-labs.com https://ksn-his-geo.kaspersky-labs.com https://ksn-file-geo.kaspersky-labs.com https://ksn-verdict-geo.kaspersky-labs.com https://ksn-url-geo.kaspersky-labs.com https://ksn-kas-geo.kaspersky-labs.com https://ksn-a-stat-geo.kaspersky-labs.com https://ksn-info-geo.kaspersky-labs.com https://ksn-cinfo-geo.kaspersky-labs.com https://dc1.ksn.kaspersky-labs.com https://dc1-file.ksn.kaspersky-labs.com https://dc1-kas.ksn.kaspersky-labs.com https://dc1-st.ksn.kaspersky-labs.com На рисунках ниже показана схема сетевого взаимодействия между компонентами приложения и системами, необходимыми для работы приложения. Стрелки на схеме указывают направление соединения: каждая стрелка проведена от объекта, который инициирует соединение, к объекту, который отвечает на вызов. 🔽 Показать схему архитектуры Рис. 1 — Схема сетевого взаимодействия между компонентами приложения и системами, которые необходимы для работы приложения. Central Node развернут со встроенным Sensor Рис. 2 — Схема сетевого взаимодействия между компонентами приложения и системами, которые необходимы для работы приложения. Sensor развернут на отдельном от Central Node сервере Рис. 3 — Принцип работы приложения в режиме распределенного решения ## 2. Установка 2.1. Общая последовательность Установите Central Node и Sensor Установите Sandbox Добавьте образы виртуальных машин в Sandbox (Опционально) Установите выделенный Sensor (Опционально) Установите агенты Kaspersky Endpoint Agents 💡 Сценарии: Пилот: Central Node + Sensor на одном сервере, Sandbox — на другом Промышленный: кластер или распределённая архитектура 2.2. Загрузка и запуск образа Скачайте образ: Физический сервер: запишите на USB/DVD и загрузитесь. Виртуальный сервер: подключите ISO к ВМ. ⚠️ Важно: При установке на виртуальной платформе обязательно выберите UEFI в настройках: Options → Boot Options → Firmware → UEFI . 📸 Скриншот 1: 2.3. Процесс установки Шаг 1: Загрузка Выберите: Install KATA 8.0.0.1 📸 Скриншот 2: Шаг 2: Язык Выберите язык (например, русский ) → Enter 📸 Скриншот 3: Шаг 3: Лицензионное соглашение Нажмите Tab , выберите «Я Принимаю» Нажмите Enter 📸 Скриншот 4: Шаг 4: Политика конфиденциальности Выберите «Я Принимаю» → Enter 📸 Скриншот 5: Шаг 5: Выбор роли сервера Роль Описание single Central Node + Sensor на одном сервере sensor Только Sensor (выделенный) storage Сервер хранения для кластера processing Обрабатывающий сервер (включает Sensor) ⚠️ После установки сменить роль невозможно . 📸 Скриншот 6: Шаг 6: Выбор диска Подтвердите очистку диска → Yes → Enter 📸 Скриншот 7: В данном примере диск не соответствует минимальным требованиям Шаг 7: Настройка сети кластера (если применимо) ❗ Настройка выполняется Только для кластерной установки. Для не-кластерной установки просто нажмите Enter (оставьте 198.18.0.0/16 ) 📸 Скриншот 8: 📸 Скриншот 9: Шаг 8: Выбор сетевого интерфейса Выберите интерфейс для Management Interface 📸 Скриншот 10: Шаг 9: Настройка IP-адреса DHCP — автоматически Static — вручную (IP, Mask, Gateway) 📸 Скриншот 11: Шаг 10: Учётная запись admin Пароль: минимум 12 символов Подтвердите пароль → OK 📸 Скриншот 12: Шаг 11: Язык NDR Выберите язык (например, русский ) → Enter 📸 Скриншот 13: Шаг 12: DNS-серверы ⚠️ Обязательно! Даже в изолированной сети укажите фиктивный DNS (например, 1.1.1.1 ) 📸 Скриншот 14: Шаг 13: NTP-серверы Нажмите Add Введите адрес (например, pool.ntp.org ) Нажмите Continue 📸 Скриншот 15: Шаг 14: Включение режима "Ретроспективный анализ трафика" Если вы хотите использовать компонент для ретроспективного анализа трафика, на этом шаге вам требуется включить режим ретроспективного анализа трафика. В этом режиме для компонента действует ряд ограничений, вы можете ознакомиться с ними в разделе Ретроспективный анализ трафика . 📸 Скриншот 16: Шаг 15: Ожидание завершения Процесс займёт 5–20 минут . Не перезагружайте сервер. 📸 Скриншот 17: ## 3. Настройка 3.1. Доступ к веб-интерфейсу После завершения установки подождите пару минут — идёт запуск контейнеров и инициализация сервисов. ⚠️ Не пытайтесь входить сразу — возможна ошибка авторизации. Откройте в браузере: https://:8443 Войдите под: Логин: admin Пароль: заданный при установке 📸 Скриншот 18: 3.2. Конфигурация серверов После входа откроется веб-интерфейс для управления масштабированием . Вам будет доступен раздел «Конфигурация серверов» , где необходимо указать параметры, определяющие нагрузку и объём хранилища. 📸 Скриншот 19: 🔹 Почтовый трафик (KATA) ❗ Указывается среднее количество писем в секунду (PPS) . Формула: PPS = M / (H × 3600) M — писем в день H — часов в рабочем дне Пример: 10 000 писем/день, 8 часов → 10000 / 28800 ≈ 0.35 ❌ Если KATA не используется → укажите 0 . 🔹 SPAN-трафик (NDR) Укажите суммарный объём трафика (Мбит/с) с CN и всех Sensor. Пример: CN: 500 Mbps Sensor: 1.5 Gbps = 1500 Mbps → Укажите: 2000 ❌ Если NDR не используется → укажите 0 . 🔹 Хранилище файлов Рекомендуется указать до 100 ГБ — для файлов, полученных через задачу «Получить файл». 3.4. Запуск конфигурации Нажмите «Настроить» Нажмите «Запустить» Дождитесь завершения (10–20 минут) 📸 Скриншот 20: 📸 Скриншот 21: ⚠️ ВАЖНО! После успешного завершения система предложит войти заново. После завершения конфигурации подождите 5-20 минут — идёт запуск контейнеров и инициализация сервисов. 3.5. Финальная настройка После успешной конфигурации: 🔹 Проверка времени Параметры → Дата и время Убедитесь в правильности часового пояса и NTP ⚠️ Время должно быть одинаковым на всех компонентах: CN, Sensor, Sandbox. 📸 Скриншот 22: 🔹 Имя сервера Параметры → Сетевые параметры → Имя сервера Укажите имя в нижнем регистре , совпадающее с DNS (если планируется интеграция с AD) ВАЖНО! Имя устройства Central Node можно изменить только через веб-интерфейс. Автоматически присвоенное при установке имя менять нельзя. 📸 Скриншот 23: 🔹 Лицензия Параметры → Лицензия Загрузите файл ключа или введите код активации (KATA, NDR, KEDR) 📸 Скриншот 24: 🔹 KSN Параметры → KSN/KPSN и MDR Примите соглашение и включите KSN 📸 Скриншот 25: 🔹 Обновление баз Параметры → Общие параметры → Обновление баз Выберите источник и запустите обновление ✅ Обновление должно завершиться со статусом успешно 📸 Скриншот 26: 🔹 Создание учётной записи Офицера безопасности Параметры → Пользователи → Добавить Роль: Старший сотрудник службы безопасности Укажите имя, пароль (дважды), включите учётную запись 💡 Эта учётная запись будет использоваться для работы с инцидентами. 📸 Скриншот 27: 📌 Полезные ссылки Официальная документация Kaspersky Инструкция по интеграции с Active Directory Kaspersky на YouTube Kaspersky на Rutube ✅ Установка и настройка Central Node завершены! Теперь можно приступать к установке Sandbox , выделенного Sensor и настройки/подключению Endpoint Agents . Развёртывание Kaspersky Endpoint Security для Linux (12.2) в качестве агента EDR (7.1) Введение Приложение Kaspersky Endpoint Security for Linux совместимо с решением Kaspersky Anti Targeted Attack Platform, которое предназначено для защиты IT-инфраструктуры организации и своевременного обнаружения таких угроз, как атаки нулевого дня, целевые атаки и сложные целевые атаки. Приложение Kaspersky Endpoint Security может интегрироваться со следующими компонентами, входящими в состав решения Kaspersky Anti Targeted Attack Platform Kaspersky Endpoint Detection and Response (KATA) обеспечивает защиту устройств в локальной сети организации. При взаимодействии с Kaspersky Endpoint Detection and Response (KATA) приложение Kaspersky Endpoint Security может выполнять следующие функции Отправлять данные о событиях на устройствах (телеметрию) на сервер Kaspersky Anti Targeted Attack Platform с компонентом Central Node (далее также сервер KATA). Приложение Kaspersky Endpoint Security передает на сервер KATA данные наблюдения за процессами, открытыми сетевыми соединениями и изменяемыми файлами, а также данные об угрозах, обнаруженных приложением, и данные о результатах обработки этих угроз. Выполнять ответные действия, направленные на обеспечение функций безопасности, по командам, полученным от Kaspersky Anti Targeted Attack Platform. Аппаратные требования Kaspersky Endpoint Security Linux 12.2 Минимальные аппаратные требования процессор Core 2 Duo 1.86 ГГц или выше; раздел подкачки не менее 1 ГБ; 1 ГБ оперативной памяти для 32-битных операционных систем, 2 ГБ оперативной памяти для 64-битных операционных систем; 4 ГБ свободного места на жестком диске для установки приложения и хранения временных файлов и файлов журналов; при использовании графического пользовательского интерфейса монитор должен обеспечивать отображение окон шириной 1000 пикселей и высотой 600 пикселей (если применяется масштабирование экрана, то эти размеры также масштабируются); если приложение Kaspersky Endpoint Security используется в режиме Легкого агента для защиты виртуальных сред, виртуализированный сетевой интерфейс с полосой пропускания 100 Мбит/сек. Минимальные аппаратные требования для архитектуры Arm процессор Armv8.2-A Kunpeng 920 или Armv8-A Baikal-M (BE-M1000) или платформа m-TrusT Терминал; раздел подкачки не менее 1 ГБ; 2 ГБ оперативной памяти; 3 ГБ свободного места на жестком диске для установки приложения и хранения временных файлов и файлов журналов; при использовании графического пользовательского интерфейса монитор должен обеспечивать отображение окон шириной 1000 пикселей и высотой 600 пикселей (если применяется масштабирование экрана, то эти размеры также масштабируются). Программные требования Kaspersky Endpoint Security Linux 12.2 Для установки Kaspersky Endpoint Security на устройстве должна быть установлена одна из следующих операционных систем 32-битные операционные системы Debian GNULinux 11.0 и выше. Debian GNULinux 12.0 и выше. Альт 8 СП Рабочая Станция (8.4). Альт 8 СП Сервер (8.4). 64-битные операционные системы AlmaLinux OS 8.0 и выше. AlmaLinux OS 9.0 и выше. AlterOS 7.5. Amazon Linux 2. Astra Linux Common Edition 2.12. Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.5). Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.6). Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.7). Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.8). Astra Linux Special Edition РУСБ.10015-03 (очередное обновление 7.6). Astra Linux Special Edition РУСБ.10015-16 (исполнение 1) (очередное обновление 1.6). Astra Linux Special Edition РУСБ.10015-17 (очередное обновление 1.7.3). Astra Linux Special Edition РУСБ.10015-37 (очередное обновление 7.7). CentOS 7.2 и выше. CentOS Stream 8. CentOS Stream 9. Debian GNULinux 11.0 и выше. Debian GNULinux 12.0 и выше. EMIAS 1.0 и выше. EulerOS 2.0 SP10. Fedora Linux 41. Kylin 10. Linux Mint 21.1 и выше. Linux Mint 22.0 и выше. Mostech 12. openSUSE Leap 15.0 и выше. Oracle Linux 7.3 и выше. Oracle Linux 8.0 и выше. Oracle Linux 9.0 и выше. Red Hat Enterprise Linux 7.2 и выше. Red Hat Enterprise Linux 8.0 и выше. Red Hat Enterprise Linux 9.0 и выше. Rocky Linux 8.5 и выше. Rocky Linux 9.0 и выше. SberLinux 9.0.1. SberOS 3.3.3. SUSE Linux Enterprise Server 12.5 и выше. SUSE Linux Enterprise Server 15 и выше. Ubuntu 22.04 LTS. Ubuntu 24.04 LTS. Альт 8 СП Рабочая станция (8.4). Альт 8 СП Сервер (8.4). Альт Образование 10.1. Альт СП Рабочая Станция релиз 10. Альт СП Рабочая Станция релиз 10.1. Альт СП Сервер релиз 10. Альт СП Сервер релиз 10.1. Атлант, сборка Alcyone, версия 2022.02. Гослинукс 7.17. Гослинукс 7.2. М ОС 12 Cервер. МОС ОС 15.4 Арбат. МСВСФЕРА АРМ 9.2 и выше. МСВСФЕРА СЕРВЕР 9.2 и выше. ОС МЭШ 12 Для всех пользователей (без телеметрии и без поддержки ДИТ). ОС МЭШ 12 Для московских школ для интерактивных панелей (с телеметрией и поддержкой ДИТ). ОС МЭШ 12 Для московских школ для компьютеров и ноутбуков (с телеметрией и поддержкой ДИТ). ОСнова 2.9 и выше. РЕД ОС 7.3. РЕД ОС 8.0. РОСА Кобальт 7.9. РОСА Хром 12. СинтезМ-Клиент 8.6. СинтезМ-Сервер 8.6. 64-битные операционные системы для архитектуры Arm Astra Linux Special Edition РУСБ.10152-02 (очередное обновление 4.7). CentOS Stream 9. EulerOS 2.0 SP10. SUSE Linux Enterprise Server 15. Ubuntu 22.04 LTS. Альт СП Рабочая Станция релиз 10. Альт СП Сервер релиз 10. РЕД ОС 7.3. РЕД ОС 8.0. Создание инсталляционных пакетов В веб-консоли KSC перейти в раздел Операции Хранилища Инсталляционные пакеты и нажать Добавить Выбираем «Создать инсталляционный пакет для приложения Лаборатории Касперского». При необходимости можно добавить инсталляционный пакет из файла, который был заранее скачан с сайта Лаборатории Касперского , для этого необходимо выбрать «Создать инсталляционный пакет из файла» После этого отобразится окно со всеми доступными инсталляционными пакетами для скачивания, где для удобства поиска в верхнем правом углу можно настроить фильтры. В данном случае можно выставить фильтр на язык и операционные системы, затем нажать Применить Выбираем инсталляционный пакет агента администрирования в соответствии с типом ОС Linux (в данном примере устанавливается DEB based версия) и нажимаем на него, затем выбираем Загрузить и создать инсталляционный пакет Далее в этом же списке находим Kaspersky Endpoint Security для Linux. Аналогично нажать на него и выбирать Загрузить и создать инсталляционный пакет После этого вернуться в раздел Инсталляционные пакеты . Для загружаемых инсталляционных пакетов необходимо принять лицензионное соглашение Необходимо нажать на название каждого инсталляционного пакета, ознакомиться и затем принять лицензионное соглашение, как на скриншоте ниже После этого, спустя некоторое время, инсталляционные пакеты будут полностью установлены и готовы к установке Перемещение в Управляемые устройства Перед тем как начать установку необходимо перенести обнаруженные Сервером администрирования устройства в раздел управляемые устройства. Для этого необходимо перейти в раздел Обнаружение устройств и развертывание / Нераспределенные устройства и выбрать необходимые для перемещения устройства, которые были обнаружены KSC , нажать Переместить в группу и выбрать необходимую группу для перемещения (по умолчанию создана корневая группа Управляемые устройства, в которую можно добавлять вложенные группы , формируя иерархию групп администрирования). Установка агента администрирования Первым делом на устройство необходимо установить агент администрирования, инсталляционный пакет которого был загружен ранее. Перед началом установки проверьте готовность устройства с операционной системой Linux В разделе Активы (Устройства) / Задачи выбрать Добавить Выбрать задачу Удаленная установка приложения и задать ей удобное название. Выбрать группу администрирования на которую будет распространяться действие данной задачи Затем указать из выпадающего списка инсталляционный пакет агента администрирования и выбрать установку Средствами операционной системы с помощью Сервера администрирования . Остальные параметры можно оставить по умолчанию Далее выбрать действие, которое следует предпринять, если в ходе установки приложения потребуется перезагрузка операционной системы (можно оставить по умолчанию) На следующем шаге необходимо выбрать Учетная запись требуется (Агент администрирования не используется) , нажать Добавить и указать учётную запись пользователя или SSH сертификат Открывать окно свойств задачи после ее создания в данном случае не нужно, поэтому можно убрать эту галочку и сохранить задачу нажав Готово Затем выбрать созданную задачу и нажать Запустить . После этого необходимо дождаться, когда статус задачи изменится на Завершена успешно После установки Агента администрирования в разделе Активы (Устройства) / Управляемые устройства в столбце Агент администрирования запущен появится зеленая галочка. Статус останется критическим, т.к. еще не установлено приложение безопасности После успешной установки агента администрирования можно переходить к установке Kaspersky Endpoint Security for Linux (KESL) Установка Kaspersky Endpoint Security for Linux Удаленная установка KESL также производится через задачу удаленной установки. В разделе Активы (Устройства) / Задачи выбрать Добавить Выбрать задачу Удаленная установка приложения и задать ей удобное название. Выбрать группу администрирования на которую будет распространяться действие данной задачи Затем указать из выпадающего списка инсталляционный пакет KESL и выбрать установку C помощью Агента администрирования . Поле Выбор Агента администрирования оставить пустым, т.к. он уже был установлен на предыдущем шаге. Остальные параметры можно оставить по умолчанию Далее выбрать действие, которое следует предпринять, если в ходе установки приложения потребуется перезагрузка операционной системы (можно оставить по умолчанию) Затем выбрать Учетная запись не требуется , т.к. Агент администрирования уже установлен и установка KESL, будет производиться от его имени Открывать окно свойств задачи после ее создания в данном случае не нужно, поэтому можно убрать эту галочку и сохранить задачу нажав Готово Затем выбрать созданную задачу и нажать Запустить . После этого необходимо дождаться, когда статус задачи изменится на Завершена успешно Добавление лицензии в KSC Для удобства и возможности постоянного доступа к лицензии, рекомендуется добавлять их в хранилище лицензий KSC. Необходимо перейти в раздел Операции / Лицензии Лаборатории Касперского и выбрать Добавить В появившемся разделе выбрать Ввести код активации и вписать активационный код и нажать Отправить (подходит, когда KSC и агенты имеют доступ в интернет). Если у KSC или агентов нет доступа в интернет (серверам активации ЛК), то необходимо выбрать Добавить файл ключа и подгрузить соответствующий файл и нажать Отправить . Затем нажать Сохранить . Конвертировать активационный код в файл ключа можно на специализированном портале Лаборатории Касперского. После добавления лицензия будет отображаться в разделе Операции / Лицензии Лаборатории Касперского Активация KESL После успешной установки KESL, необходимо его необходимо активировать лицензией. Для активации в разделе Активы (Устройства) / Задачи выбрать Добавить Указать задачу для Добавления ключа для приложения KESL и задать ей удобное название Выбрать группу администрирования на которую будет распространяться действие данной задачи Затем выбрать доступную лицензию и убедиться, что она активирует функциональность KESL. Использовать ключ в качестве резервного НЕ нужно Открывать окно свойств задачи после ее создания в данном случае не нужно, поэтому можно убрать эту галочку и сохранить задачу нажав Готово Затем выбрать созданную задачу и нажать Запустить . После этого необходимо дождаться, когда статус задачи изменится на Завершена успешно После этого KESL готов к настройке работы в качестве EDR-агента. Экспорт сертификата KATA (KEDR) Для подключения KESL в режим EDR-агента используется сертификат платформы KATA. Необходимо зайти в веб-консоль платформы KATA под УЗ администратора В разделе Параметры / Сертификаты сгенерировать сертификат сервера (не нужно, если выполнялось ранее) и затем нажать экспортировать . Будет скачан сертификат сервера KATA Создание политики KESL Данный шаг необходим, если у вас ещё нет политики KESL для Linux-устройств, которые планируется подключать в качестве EDR-агентов. Для централизованного управления приложением Kaspersky Endpoint Security for Linux, в том числе и подключение к KEDR, используются политики. Для создания новой политики перейдите в раздел Активы (Устройства) / Политики и профили политик и нажмите Добавить Выберите необходимую версию Kaspersky Endpoint Security for Linux, которая установлена на Linux-устройстве Укажите стандартный режим работы приложения Затем рекомендуется принять условия положения о KSN для его автоматического включения в политике Далее, если нет в этом необходимости, деактивировать переключатель Наследовать параметры родительской политики и сохранить политику. Она будет отображаться в разделе Активы (Устройства) / Политики и профили политик и сохранить политику Подключение KESL в качестве EDR-агента В разделе Активы (Устройства) / Политики и профили политик перейти в политику KESL В политике перейти в раздел Параметры приложения 🡪 Detection and Response 🡪 Endpoint Detection and Response (KATA) Перевести переключатель работы компонента в активный режим, затем в блоке Параметры подключения к серверам нажать Настроить . В появившемся разделе выбрать добавить и указать ранее скачанный сертификат KATA и нажать Ок В блоке Серверы КАТА нажать Добавить и указать адрес подключения к центральному узлу KATA, затем нажать Ок. Адрес по умолчанию (127.0.0.1) удалить. Сохранить политику Спустя некоторое время подключенные устройства отобразятся в веб-консоли KATA Platform. Необходимо зайти под учётной записью сотрудника безопасности и перейти в раздел Активы / Endpoint Agents На этом подключение KESL в качестве агента EDR окончено Руководство по установке и настройке компонента Sandbox в КАТА/KEDR/NDR 7.0-7.1 Информация:  Приведенная на данной странице информация, является разработкой команды pre-sales и/или AntiAPT Community и НЕ является официальной рекомендацией вендора. Версия платформы: КАТА / KEDR / NDR 7.0 - 7.1 Источник: Установка компонента Sandbox Официальная документация: Справка Kaspersky Anti Targeted Attack Platform 7.1 Введение Компонент Sandbox в платформе Kaspersky Anti Targeted Attack (КАТA) предназначен для глубокого анализа поведения подозрительных файлов и URL в изолированной среде. Он позволяет выявлять целевые атаки, вредоносные программы и скрытые угрозы, которые не обнаруживаются традиционными средствами защиты. Установка Sandbox — ответственный процесс, требующий точного соблюдения системных требований и последовательной настройки. В данной статье подробно описаны все этапы: от подготовки виртуальной машины до подключения к **Central Node** и настройки пользовательских шаблонов. ⚠ Перед началом обязательно ознакомьтесь с официальными требованиями . 1. Подготовка виртуальной машины Подготовка Sandbox должен быть развёрнут на виртуальной машине с особыми настройками. Ниже — ключевые требования. ПАРМЕТРЫ ТРЕБОВАНИЕ Процессор Только Intel с поддержкой Hyper-Threading Вложенная виртуализация Обязательно включена (Для платформ виртуализации) Latency Sensitivity Установлено в High (Для платформ виртуализации) Оперативная память Полностью зарезервирована Процессор Частота полностью зарезервирована Прошивка UEFI (с отключённым Secure Boot ) 1.2. Настройка VMware vSphere Шаг 1: Включение вложенной виртуализации Перейдите в настройки виртуальной машины → CPU → включите опцию: 📸 Рис. 1. Expose hardware assisted virtualization to the guest OS Шаг 2: Резервирование ресурсов Память: В разделе Memory → поставьте галочку: 📸 Рис. 2. Reserve all guest memory (All locked) Процессор: В CPU Reservation укажите значение ( см. Рисунок 1 ) по формуле: Примечание: Параметр « Reservation » рассчитывается в зависимости от частоты процессора ESXi-хоста, на котором разворачивается Sandbox, по следующей формуле: 15 * <значение частоты в МГц> 🔢 Пример: Для CPU 2,2 ГГц (2200 МГц) и 1 ядра: 15 × 2200 = 33 000 МГц Шаг 3: Настройка прошивки UEFI Перейдите в VM Options → Boot Options → Firmware . Выберите UEFI . Обязательно отключите Secure Boot . 📸 Рис. 3. Выбор UEFI и отключение Secure Boot Шаг 4: Установка высокой чувствительности к задержкам Перейдите в VM Options → Latency Sensitivity . Установите значение High . 📸 Рис. 4. Настройка Latency Sensitivity в High ✅ На этом этапе подготовка виртуальной машины завершена. 2. Установка компонента Sandbox Установка 2.1. Запуск установщика Примонтируйте ISO-образ Sandbox к виртуальной машине. Запустите ВМ. В меню загрузки выберите: 📸 Рис. 5. Меню установки — выбор " Installation KATA Sandbox " 2.2. Пошаговая установка Установка проходит в текстовом интерфейсе. Действуйте по шагам: Язык: Выберите русский или английский → нажмите Enter . Лицензия: Примите условия (нажмите TAB , выберите " Я принимаю "). Политика конфиденциальности: Аналогично — примите. Диск: Выберите диск → нажмите Enter . Очистка диска: Подтвердите — выберите Yes . 📸 Рис. 6. Подтверждение очистки диска 2.3. Настройка учётных данных и сети Минимальная длина пароля: По умолчанию — 12 символов (рекомендуется оставить). Пароль admin : Задайте надёжный пароль. Управляющий интерфейс (Management Interface): Выберите сетевой адаптер. Назначьте: IP-адрес Маску подсети Шлюз FQDN-имя сервера: Укажите полное доменное имя (например, `sandbox.corp.local`) . ( Важно: имя должно быть задано в нижнем регистре, так же, как и на DNS-сервере). DNS-серверы: Добавьте основной и резервный DNS. Шлюз по умолчанию*: Укажите IP-адрес шлюза. 📸 Рис. 7. Настройка IP, маски и шлюза 📸 Рис. 8. Настройка FQDN и DNS-серверов ✅ Установка завершена. Сохраните URL доступа: Management URL: https://:8443/ 3. Первый вход и базовая настройка Базовая настройка 3.1. Вход в веб-интерфейс Откройте браузер. Перейдите по адресу: https://:8443/ Войдите под учётной записью: Логин: ` admin ` Пароль: заданный при установке . 📸 Рис. 9. Страница входа в веб-интерфейс Sandbox 3.2. Настройка даты и времени Перейдите в раздел " Дата и время ". Установите: Часовой пояс Текущее время Рекомендуется настроить синхронизацию с NTP-сервером. 📸 Рис. 10. Настройка времени и NTP 4. Настройка Malware Interface 4.1. Настройка интерфейса Перейдите в " Сетевые интерфейсы ". Найдите " Интерфейс для выхода в интернет ". Укажите: IP-адрес Маску Шлюз 📸 Рис. 11. Настройка Malware Interface 4.2. Обновление баз Важно! Перед подключением к Central Node выполните обновление баз. Перейдите в " Обновление баз ". Убедитесь, что Malware Interface имеет доступ в интернет. Нажмите " Обновить ". Дождитесь статуса: " Успешно ". 📸 Рис. 13. Статус успешного обновления баз 5. Загрузка и настройка шаблонов ОС 5.1. Ограничение количества ВМ Перед загрузкой шаблонов установите лимит: Виртуальный сервер : до 12 ВМ Физический сервер : до 48 ВМ (В зависимости от характеристик оборудования, это значение можно увеличить до 72 или 144). Путь : `Администрирование → Гостевые виртуальные машины` 📸 Рис. 14. Настройка лимита ВМ 5.2. Загрузка преднастроенных шаблонов Перейдите в " Шаблоны и хранилища " → " Шаблоны ". Нажмите " Добавить " → выберите ISO-образ ОС. Дождитесь статуса: " Готова к установке ". Перейдите в " Виртуальные машины " → " Создать ВМ ". Выберите шаблон → нажмите " Сохранить ". Примите лицензионное соглашение. Нажмите " Установить готовые VM "*. Дождитесь статуса: " Включено ". 📸 Рис. 15. Создание ВМ из шаблона 📸 Рис. 16. Статус "Включено" после установки 5.3. Создание пользовательских шаблонов Поддерживаемые ОС: Windows XP SP3+ Windows 7 Windows 8.1 (64-bit) Windows 10 (64-bit, до версии 1909) Мы настоятельно рекомендуем использовать оригинальные ISO-образы от Microsoft. Требования к ОС: Отключить экранную заставку. Схема питания: " Всегда включено ". Отключить автообновления и брандмауэр Windows . Для Windows 7: требуется поддержка хеш-алгоритма SHA-2 ; Для поддержки этого хеш-алгоритма установите обновление Security Update for Windows 7 for x64-based Systems (KB3033929) . Для 32-битных операционных систем Windows 7 также требуется установить обновление KB3033929 . Для использования Windows 7 необходимо в настройках операционной системы включить использование TLS 1.1 и TLS 1.2. Для этого в Windows 7 в разделе   Панель управления   →   Свойства браузера   →   Дополнительно   установите флажок   Использовать TLS 1.1   и   Использовать TLS 1.2. Не устанавливать KB4474419 (может вызвать сбой во время развертывания виртуальной машины. ). Для Windows 8.1/10: отключить Fast Boot , включить функцию автоматического входа в систему ( авто логин ) . Ограничения, действующие при установки программного обеспечения: К одному шаблону единовременно можно подключить только один образ. После того как шаблон будет сохранен, вы можете отключить один образ и подключить другой. Не поддерживаются версии Microsoft Office выше 2016. Для пользовательских образов операционных систем полностью поддерживаются следующие локализации: русский, английский, упрощенный китайский (simplified), арабский, испанский (Mexico). Для операционной системы Windows XP поддерживаются только русский и английский языки. Лицензионные ключи для активации операционных систем и программного обеспечения не предоставляются. Настоятельно не рекомендуется устанавливать программное обеспечение следующих типов: Программное обеспечение, внедряющее свой код в другой запущенный процесс. Драйверы для защиты. Антивирусные приложения, включая Защитник Windows. Не гарантируется обнаружение вредоносной активности файлов, которые запускаются с помощью узкоспециального программного обеспечения. Kaspersky Anti Targeted Attack Platform не уведомляет о проблемах с установленным в операционной системе программным обеспечением. Процесс создания шаблона Перейдите в " Хранилище " → загрузите ISO-образ ОС. Перейдите в " Шаблоны " → "Создать шаблон". Укажите: Имя Описание Образ ОС (из хранилища) Нажмите " Продолжить ". На этапе " Настройка шаблона " установите ОС и ПО. При необходимости: нажмите " Подключить ISO " → выберите образ с ПО. 📸 Рис. 17. Создание нового шаблона 📸 Рис. 18. Подключение ISO с ПО 6. Решение проблемы с отсутствием интернета Если для сервера , на котором устанавливается виртуальная машина с пользовательским образом, не настроен доступ в интернет , для корректного завершения установки виртуальной машины вам нужно загрузить отладочные символы Microsoft . Пример ошибки из журнала установки: File "/opt/kaspersky/python3-venv/lib/python3.10/site-packages/KL/snapshot/vm_steps.py", line 390, in inner raise err_cls(str(err)) from err [M <:common.exceptions.InstallKmExpErr: Offline kmbuild failed. Probably no symbols Решение: загрузка отладочных символов В разделе " Шаблоны " нажмите " Скачать манифест ". Распакуйте архив. Запустите ` sbsymtool.ps1 ` от имени администратора в PowerShell . Скрипт загрузит символы Microsoft. Вернитесь в Sandbox → " Шаблоны " → " Загрузить символы ". Выберите полученный архив → нажмите " Open ". Повторите установку ВМ. 📸 Рис. 19. Кнопка " Скачать манифест " 📸 Рис. 20. Загрузка архива с символами 7. Подключение к Central Node 7.1. Добавление Sandbox в Central Node В Central Node перейдите в " Серверы Sandbox " → " Добавить ". Укажите IP-адрес Sandbox. Нажмите " Получить отпечаток сертификата ". Сравните отпечаток с тем, что указан в Sandbox → " Авторизация KATA ". Укажите имя сервера. Поставьте галочку " Включить " → нажмите " Добавить ". 📸 Рис. 21. Добавление Sandbox в Central Node 7.2. Подтверждение на стороне Sandbox Откройте веб-интерфейс Sandbox. Перейдите в " Авторизация KATA ". Найдите запрос от Central Node → нажмите " Принять ". Нажмите " Применить " → подтвердите. Запрос перейдёт в статус " Принят ". 📸 Рис. 22. Подтверждение подключения в Sandbox ⏳ Важно: После подключения требуется 5–10 минут на подготовку. Предупреждение в интерфейсе исчезнет автоматически. 8. Настройка набора ОС В Central Node перейдите в " Параметры " → " Набор ОС ". Выберите: Стандартные ОС : Windows 7, Windows 10 При необходимости : CentOS, Astra Linux Пользовательские ОС : активируйте нужные Нажмите " Сохранить ". 📸 Рис. 23. Настройка набора ОС в Central Node Проверьте статус в разделе " Серверы Sandbox ". 📸 Рис. 24. Статус подключённых образов ОС Заключение Установка и настройка компонента Sandbox завершена. Компонент готов к анализу подозрительных объектов. Теперь можно: Настроить политики проверки файлов и ссылок . (Применимо только для пользовательских образов) Мониторить поведение угроз в изолированной среде. Полезные ссылки Работа с шаблонами виртуальных машин Создание виртуальной машины Официальная документация КАТА 7.1 Развёртывание Kaspersky Endpoint Security для Linux (12.2) в качестве агента NDR (7.1) Введение Приложение Kaspersky Endpoint Security for Linux совместимо с решением Kaspersky Anti Targeted Attack Platform, которое предназначено для защиты IT-инфраструктуры организации и своевременного обнаружения таких угроз, как атаки нулевого дня, целевые атаки и сложные целевые атаки. Приложение Kaspersky Endpoint Security может интегрироваться со следующими компонентами, входящими в состав решения Kaspersky Anti Targeted Attack Platform Kaspersky Endpoint Detection and Response (KATA) обеспечивает защиту устройств в локальной сети организации. При взаимодействии с Kaspersky Endpoint Detection and Response (KATA) приложение Kaspersky Endpoint Security может выполнять следующие функции Отправлять данные о событиях на устройствах (телеметрию) на сервер Kaspersky Anti Targeted Attack Platform с компонентом Central Node (далее также сервер KATA). Приложение Kaspersky Endpoint Security передает на сервер KATA данные наблюдения за процессами, открытыми сетевыми соединениями и изменяемыми файлами, а также данные об угрозах, обнаруженных приложением, и данные о результатах обработки этих угроз. Выполнять ответные действия, направленные на обеспечение функций безопасности, по командам, полученным от Kaspersky Anti Targeted Attack Platform. Аппаратные требования Kaspersky Endpoint Security Linux 12.2 Минимальные аппаратные требования процессор Core 2 Duo 1.86 ГГц или выше; раздел подкачки не менее 1 ГБ; 1 ГБ оперативной памяти для 32-битных операционных систем, 2 ГБ оперативной памяти для 64-битных операционных систем; 4 ГБ свободного места на жестком диске для установки приложения и хранения временных файлов и файлов журналов; при использовании графического пользовательского интерфейса монитор должен обеспечивать отображение окон шириной 1000 пикселей и высотой 600 пикселей (если применяется масштабирование экрана, то эти размеры также масштабируются); если приложение Kaspersky Endpoint Security используется в режиме Легкого агента для защиты виртуальных сред, виртуализированный сетевой интерфейс с полосой пропускания 100 Мбит/сек. Минимальные аппаратные требования для архитектуры Arm процессор Armv8.2-A Kunpeng 920 или Armv8-A Baikal-M (BE-M1000) или платформа m-TrusT Терминал; раздел подкачки не менее 1 ГБ; 2 ГБ оперативной памяти; 3 ГБ свободного места на жестком диске для установки приложения и хранения временных файлов и файлов журналов; при использовании графического пользовательского интерфейса монитор должен обеспечивать отображение окон шириной 1000 пикселей и высотой 600 пикселей (если применяется масштабирование экрана, то эти размеры также масштабируются). Программные требования Kaspersky Endpoint Security Linux 12.2 Для установки Kaspersky Endpoint Security на устройстве должна быть установлена одна из следующих операционных систем 32-битные операционные системы Debian GNULinux 11.0 и выше. Debian GNULinux 12.0 и выше. Альт 8 СП Рабочая Станция (8.4). Альт 8 СП Сервер (8.4). 64-битные операционные системы AlmaLinux OS 8.0 и выше. AlmaLinux OS 9.0 и выше. AlterOS 7.5. Amazon Linux 2. Astra Linux Common Edition 2.12. Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.5). Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.6). Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.7). Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.8). Astra Linux Special Edition РУСБ.10015-03 (очередное обновление 7.6). Astra Linux Special Edition РУСБ.10015-16 (исполнение 1) (очередное обновление 1.6). Astra Linux Special Edition РУСБ.10015-17 (очередное обновление 1.7.3). Astra Linux Special Edition РУСБ.10015-37 (очередное обновление 7.7). CentOS 7.2 и выше. CentOS Stream 8. CentOS Stream 9. Debian GNULinux 11.0 и выше. Debian GNULinux 12.0 и выше. EMIAS 1.0 и выше. EulerOS 2.0 SP10. Fedora Linux 41. Kylin 10. Linux Mint 21.1 и выше. Linux Mint 22.0 и выше. Mostech 12. openSUSE Leap 15.0 и выше. Oracle Linux 7.3 и выше. Oracle Linux 8.0 и выше. Oracle Linux 9.0 и выше. Red Hat Enterprise Linux 7.2 и выше. Red Hat Enterprise Linux 8.0 и выше. Red Hat Enterprise Linux 9.0 и выше. Rocky Linux 8.5 и выше. Rocky Linux 9.0 и выше. SberLinux 9.0.1. SberOS 3.3.3. SUSE Linux Enterprise Server 12.5 и выше. SUSE Linux Enterprise Server 15 и выше. Ubuntu 22.04 LTS. Ubuntu 24.04 LTS. Альт 8 СП Рабочая станция (8.4). Альт 8 СП Сервер (8.4). Альт Образование 10.1. Альт СП Рабочая Станция релиз 10. Альт СП Рабочая Станция релиз 10.1. Альт СП Сервер релиз 10. Альт СП Сервер релиз 10.1. Атлант, сборка Alcyone, версия 2022.02. Гослинукс 7.17. Гослинукс 7.2. М ОС 12 Cервер. МОС ОС 15.4 Арбат. МСВСФЕРА АРМ 9.2 и выше. МСВСФЕРА СЕРВЕР 9.2 и выше. ОС МЭШ 12 Для всех пользователей (без телеметрии и без поддержки ДИТ). ОС МЭШ 12 Для московских школ для интерактивных панелей (с телеметрией и поддержкой ДИТ). ОС МЭШ 12 Для московских школ для компьютеров и ноутбуков (с телеметрией и поддержкой ДИТ). ОСнова 2.9 и выше. РЕД ОС 7.3. РЕД ОС 8.0. РОСА Кобальт 7.9. РОСА Хром 12. СинтезМ-Клиент 8.6. СинтезМ-Сервер 8.6. 64-битные операционные системы для архитектуры Arm Astra Linux Special Edition РУСБ.10152-02 (очередное обновление 4.7). CentOS Stream 9. EulerOS 2.0 SP10. SUSE Linux Enterprise Server 15. Ubuntu 22.04 LTS. Альт СП Рабочая Станция релиз 10. Альт СП Сервер релиз 10. РЕД ОС 7.3. РЕД ОС 8.0. Создание инсталляционных пакетов В веб-консоли KSC перейти в раздел Операции Хранилища Инсталляционные пакеты и нажать Добавить Выбираем «Создать инсталляционный пакет для приложения Лаборатории Касперского». При необходимости можно добавить инсталляционный пакет из файла, который был заранее скачан с сайта Лаборатории Касперского , для этого необходимо выбрать «Создать инсталляционный пакет из файла» После этого отобразится окно со всеми доступными инсталляционными пакетами для скачивания, где для удобства поиска в верхнем правом углу можно настроить фильтры. В данном случае можно выставить фильтр на язык и операционные системы, затем нажать Применить Выбираем инсталляционный пакет агента администрирования в соответствии с типом ОС Linux (в данном примере устанавливается DEB based версия) и нажимаем на него, затем выбираем Загрузить и создать инсталляционный пакет Далее в этом же списке находим Kaspersky Endpoint Security для Linux. Аналогично нажать на него и выбирать Загрузить и создать инсталляционный пакет После этого вернуться в раздел Инсталляционные пакеты . Для загружаемых инсталляционных пакетов необходимо принять лицензионное соглашение Необходимо нажать на название каждого инсталляционного пакета, ознакомиться и затем принять лицензионное соглашение, как на скриншоте ниже После этого, спустя некоторое время, инсталляционные пакеты будут полностью установлены и готовы к установке Перемещение в Управляемые устройства Перед тем как начать установку необходимо перенести обнаруженные Сервером администрирования устройства в раздел управляемые устройства. Для этого необходимо перейти в раздел Обнаружение устройств и развертывание / Нераспределенные устройства и выбрать необходимые для перемещения устройства, которые были обнаружены KSC, нажать Переместить в группу и выбрать необходимую группу для перемещения (по умолчанию создана корневая группа Управляемые устройства, в которую можно добавлять вложенные группы, формируя иерархию групп администрирования) Установка агента администрирования Первым делом на устройство необходимо установить агент администрирования, инсталляционный пакет которого был загружен ранее. Перед началом установки проверьте готовность устройства с операционной системой Linux В разделе Активы (Устройства) / Задачи выбрать Добавить Выбрать задачу Удаленная установка приложения и задать ей удобное название Выбрать группу администрирования на которую будет распространяться действие данной задачи Затем указать из выпадающего списка инсталляционный пакет агента администрирования и выбрать установку Средствами операционной системы с помощью Сервера администрирования . Остальные параметры можно оставить по умолчанию Далее выбрать действие, которое следует предпринять, если в ходе установки приложения потребуется перезагрузка операционной системы (можно оставить по умолчанию На следующем шаге необходимо выбрать Учетная запись требуется (Агент администрирования не используется) , нажать Добавить и указать учётную запись пользователя или SSH сертификат Открывать окно свойств задачи после ее создания в данном случае не нужно, поэтому можно убрать эту галочку и сохранить задачу нажав Готово Затем выбрать созданную задачу и нажать Запустить . После этого необходимо дождаться, когда статус задачи изменится на Завершена успешно После установки Агента администрирования в разделе Активы (Устройства) / Управляемые устройства в столбце Агент администрирования запущен появится зеленая галочка. Статус останется критическим, т.к. еще не установлено приложение безопасности После успешной установки агента администрирования можно переходить к установке Kaspersky Endpoint Security for Linux (KESL) Установка Kaspersky Endpoint Security for Linux Удаленная установка KESL также производится через задачу удаленной установки. В разделе Активы (Устройства) / Задачи выбрать Добавить Выбрать задачу Удаленная установка приложения и задать ей удобное название Выбрать группу администрирования на которую будет распространяться действие данной задачи Затем указать из выпадающего списка инсталляционный пакет KESL и выбрать установку C помощью Агента администрирования . Поле Выбор Агента администрирования оставить пустым, т.к. он уже был установлен на предыдущем шаге. Остальные параметры можно оставить по умолчанию Далее выбрать действие, которое следует предпринять, если в ходе установки приложения потребуется перезагрузка операционной системы (можно оставить по умолчанию) Затем выбрать Учетная запись не требуется , т.к. Агент администрирования уже установлен и установка KESL, будет производиться от его имени Открывать окно свойств задачи после ее создания в данном случае не нужно, поэтому можно убрать эту галочку и сохранить задачу нажав Готово Затем выбрать созданную задачу и нажать Запустить . После этого необходимо дождаться, когда статус задачи изменится на Завершена успешно Добавление лицензии в KSC Для удобства и возможности постоянного доступа к лицензии, рекомендуется добавлять их в хранилище лицензий KSC. Необходимо перейти в раздел Операции / Лицензии Лаборатории Касперского и выбрать Добавить В появившемся разделе выбрать Ввести код активации и вписать активационный код и нажать Отправить (подходит, когда KSC и агенты имеют доступ в интернет). Если у KSC или агентов нет доступа в интернет (серверам активации ЛК), то необходимо выбрать Добавить файл ключа и подгрузить соответствующий файл и нажать Отправить . Затем нажать Сохранить . Конвертировать активационный код в файл ключа можно на специализированном портале Лаборатории Касперского. После добавления лицензия будет отображаться в разделе Операции / Лицензии Лаборатории Касперского Активация KESL После успешной установки KESL, необходимо его необходимо активировать лицензией. Для активации в разделе Активы (Устройства) / Задачи выбрать Добавить Указать задачу для Добавления ключа для приложения KESL и задать ей удобное название Выбрать группу администрирования на которую будет распространяться действие данной задачи Затем выбрать доступную лицензию и убедиться, что она активирует функциональность KESL. Использовать ключ в качестве резервного НЕ нужно Открывать окно свойств задачи после ее создания в данном случае не нужно, поэтому можно убрать эту галочку и сохранить задачу нажав Готово Затем выбрать созданную задачу и нажать Запустить . После этого необходимо дождаться, когда статус задачи изменится на Завершена успешно После этого KESL готов к настройке работы в качестве EDR-агента. Экспорт сертификата KATA (NDR) Для подключения KESL в режим EDR-агента используется сертификат платформы KATA. Необходимо зайти в веб-консоль платформы KATA под УЗ администратора В разделе Параметры / Сертификаты сгенерировать сертификат сервера (не нужно, если выполнялось ранее) и затем нажать экспортировать . Будет скачан сертификат сервера KATA. Создание политики KESL Данный шаг необходим, если у вас ещё нет политики KESL для Linux-устройств, которые планируется подключать в качестве EDR-агентов. Для централизованного управления приложением Kaspersky Endpoint Security for Linux, в том числе и подключение к KEDR, используются политики. Для создания новой политики перейдите в раздел Активы (Устройства) / Политики и профили политик и нажмите Добавить. Выберите необходимую версию Kaspersky Endpoint Security for Linux, которая установлена на Linux-устройстве. Укажите стандартный режим работы приложение. Затем рекомендуется принять условия положения о KSN для его автоматического включения в политику. Далее, если нет в этом необходимости, деактивировать переключатель Наследовать параметры родительской политики и сохранить политику. Она будет отображаться в разделе Активы (Устройства) / Политики и профили политик и сохранить политику. Подключение KESL в качестве NDR-агента В разделе Активы (Устройства) / Политики и профили политик перейти в политику KESL. В политике перейти в раздел Параметры приложения 🡪 Detection and Response 🡪 Network Detection and Response (KATA). Перевести переключатель работы компонента в активный режим, затем в блоке Параметры подключения к серверам нажать Настроить . В появившемся разделе выбрать добавить и указать ранее скачанный сертификат KATA и нажать Ок. В блоке Серверы КАТА нажать Добавить и указать адрес подключения к центральному узлу KATA, затем нажать Ок. Адрес по умолчанию (127.0.0.1) удалить. Сохранить политику. Спустя некоторое время подключенные устройства отобразятся в веб-консоли KATA Platform. Необходимо зайти под учётной записью сотрудника безопасности и перейти в раздел Активы / Endpoint Agent. На этом подключение KESL в качестве агента EDR окончено. Руководство по установке и настройке компонента Sandbox в КАТА/NDR 8.0 Информация:  Приведенная на данной странице информация, является разработкой команды pre-sales и/или AntiAPT Community и НЕ является официальной рекомендацией вендора. Версия платформы: КАТА / NDR 8.0 Источник: Установка компонента Sandbox Официальная документация: Справка Kaspersky Anti Targeted Attack Platform 8.0 Введение Компонент Sandbox в платформе Kaspersky Anti Targeted Attack (КАТA) предназначен для глубокого анализа поведения подозрительных файлов и URL в изолированной среде. Он позволяет выявлять целевые атаки, вредоносные программы и скрытые угрозы, которые не обнаруживаются традиционными средствами защиты. Установка Sandbox — ответственный процесс, требующий точного соблюдения системных требований и последовательной настройки. В данной статье подробно описаны все этапы: от подготовки виртуальной машины до подключения к **Central Node** и настройки пользовательских шаблонов. ⚠ Перед началом обязательно ознакомьтесь с официальными требованиями . 1. Подготовка виртуальной машины Подготовка Sandbox должен быть развёрнут на виртуальной машине с особыми настройками. Ниже — ключевые требования. ПАРМЕТРЫ ТРЕБОВАНИЕ Процессор Только Intel с поддержкой Hyper-Threading Вложенная виртуализация Обязательно включена (Для платформ виртуализации) Latency Sensitivity Установлено в High (Для платформ виртуализации) Оперативная память Полностью зарезервирована Процессор Частота полностью зарезервирована Прошивка UEFI (с отключённым Secure Boot ) 1.2. Настройка VMware vSphere Шаг 1: Включение вложенной виртуализации Перейдите в настройки виртуальной машины → CPU → включите опцию: 📸 Рис. 1. Expose hardware assisted virtualization to the guest OS Шаг 2: Резервирование ресурсов Память: В разделе Memory → поставьте галочку: 📸 Рис. 2. Reserve all guest memory (All locked) Процессор: В CPU Reservation укажите значение ( см. Рисунок 1 ) по формуле: Примечание: Параметр « Reservation » рассчитывается в зависимости от частоты процессора ESXi-хоста, на котором разворачивается Sandbox, по следующей формуле: 15 * <значение частоты в МГц> 🔢 Пример: Для CPU 2,2 ГГц (2200 МГц) и 1 ядра: 15 × 2200 = 33 000 МГц Шаг 3: Настройка прошивки UEFI Перейдите в VM Options → Boot Options → Firmware . Выберите UEFI . Обязательно отключите Secure Boot . 📸 Рис. 3. Выбор UEFI и отключение Secure Boot Шаг 4: Установка высокой чувствительности к задержкам Перейдите в VM Options → Latency Sensitivity . Установите значение High . 📸 Рис. 4. Настройка Latency Sensitivity в High ✅ На этом этапе подготовка виртуальной машины завершена. 2. Установка компонента Sandbox Установка 2.1. Запуск установщика Примонтируйте ISO-образ Sandbox к виртуальной машине. Запустите ВМ. В меню загрузки выберите: 📸 Рис. 5. Меню установки — выбор " Installation KATA Sandbox " 2.2. Пошаговая установка Установка проходит в текстовом интерфейсе. Действуйте по шагам: Язык: Выберите русский или английский → нажмите Enter . Лицензия: Примите условия (нажмите TAB , выберите " Я принимаю "). Политика конфиденциальности: Аналогично — примите. Диск: Выберите диск → нажмите Enter . Очистка диска: Подтвердите — выберите Yes . 📸 Рис. 6. Подтверждение очистки диска 2.3. Настройка учётных данных и сети Минимальная длина пароля: По умолчанию — 12 символов (рекомендуется оставить). Пароль admin : Задайте надёжный пароль. Управляющий интерфейс (Management Interface): Выберите сетевой адаптер. Назначьте: IP-адрес Маску подсети Шлюз FQDN-имя сервера: Укажите полное доменное имя (например, `sandbox.corp.local`) . ( Важно: имя должно быть задано в нижнем регистре, так же, как и на DNS-сервере). DNS-серверы: Добавьте основной и резервный DNS. Шлюз по умолчанию*: Укажите IP-адрес шлюза. 📸 Рис. 7. Настройка IP, маски и шлюза 📸 Рис. 8. Настройка FQDN и DNS-серверов ✅ Установка завершена. Сохраните URL доступа: Management URL: https://:8443/ 3. Первый вход и базовая настройка Базовая настройка 3.1. Вход в веб-интерфейс Откройте браузер. Перейдите по адресу: https://:8443/ Войдите под учётной записью: Логин: ` admin ` Пароль: заданный при установке . 📸 Рис. 9. Страница входа в веб-интерфейс Sandbox 3.2. Настройка даты и времени Перейдите в раздел " Дата и время ". Установите: Часовой пояс Текущее время Рекомендуется настроить синхронизацию с NTP-сервером. 📸 Рис. 10. Настройка времени и NTP 4. Настройка Malware Interface 4.1. Настройка интерфейса Перейдите в " Сетевые интерфейсы ". Найдите " Интерфейс для выхода в интернет ". Укажите: IP-адрес Маску Шлюз 📸 Рис. 11. Настройка Malware Interface 4.2. Обновление баз Важно! Перед подключением к Central Node выполните обновление баз. Перейдите в " Обновление баз ". Убедитесь, что Malware Interface имеет доступ в интернет. Нажмите " Обновить ". Дождитесь статуса: " Успешно ". 📸 Рис. 13. Статус успешного обновления баз 5. Загрузка и настройка шаблонов ОС 5.1. Ограничение количества ВМ Перед загрузкой шаблонов установите лимит: Виртуальный сервер : до 12 ВМ Физический сервер : до 48 ВМ (В зависимости от характеристик оборудования, это значение можно увеличить до 72 или 144). Путь : `Администрирование → Гостевые виртуальные машины` 📸 Рис. 14. Настройка лимита ВМ 5.2. Загрузка преднастроенных шаблонов Перейдите в " Шаблоны и хранилища " → " Шаблоны ". Нажмите " Добавить " → выберите ISO-образ ОС. Дождитесь статуса: " Готова к установке ". Перейдите в " Виртуальные машины " → " Создать ВМ ". Выберите шаблон → нажмите " Сохранить ". Примите лицензионное соглашение. Нажмите " Установить готовые VM "*. Дождитесь статуса: " Включено ". 📸 Рис. 15. Создание ВМ из шаблона 📸 Рис. 16. Статус "Включено" после установки 5.3. Создание пользовательских шаблонов Поддерживаемые ОС: Windows XP SP3+ Windows 7 Windows 8.1 (64-bit) Windows 10 (64-bit, до версии 1909) Мы настоятельно рекомендуем использовать оригинальные ISO-образы от Microsoft. Требования к ОС: Отключить экранную заставку. Схема питания: " Всегда включено ". Отключить автообновления и брандмауэр Windows . Для Windows 7: требуется поддержка хеш-алгоритма SHA-2 ; Для поддержки этого хеш-алгоритма установите обновление Security Update for Windows 7 for x64-based Systems (KB3033929) . Для 32-битных операционных систем Windows 7 также требуется установить обновление KB3033929 . Для использования Windows 7 необходимо в настройках операционной системы включить использование TLS 1.1 и TLS 1.2. Для этого в Windows 7 в разделе   Панель управления   →   Свойства браузера   →   Дополнительно   установите флажок   Использовать TLS 1.1   и   Использовать TLS 1.2. Не устанавливать KB4474419 (может вызвать сбой во время развертывания виртуальной машины. ). Для Windows 8.1/10: отключить Fast Boot , включить функцию автоматического входа в систему ( авто логин ) . Ограничения, действующие при установки программного обеспечения: К одному шаблону единовременно можно подключить только один образ. После того как шаблон будет сохранен, вы можете отключить один образ и подключить другой. Не поддерживаются версии Microsoft Office выше 2016. Для пользовательских образов операционных систем полностью поддерживаются следующие локализации: русский, английский, упрощенный китайский (simplified), арабский, испанский (Mexico). Для операционной системы Windows XP поддерживаются только русский и английский языки. Лицензионные ключи для активации операционных систем и программного обеспечения не предоставляются. Настоятельно не рекомендуется устанавливать программное обеспечение следующих типов: Программное обеспечение, внедряющее свой код в другой запущенный процесс. Драйверы для защиты. Антивирусные приложения, включая Защитник Windows. Не гарантируется обнаружение вредоносной активности файлов, которые запускаются с помощью узкоспециального программного обеспечения. Kaspersky Anti Targeted Attack Platform не уведомляет о проблемах с установленным в операционной системе программным обеспечением. Процесс создания шаблона Перейдите в " Хранилище " → загрузите ISO-образ ОС. Перейдите в " Шаблоны " → "Создать шаблон". Укажите: Имя Описание Образ ОС (из хранилища) Нажмите " Продолжить ". На этапе " Настройка шаблона " установите ОС и ПО. При необходимости: нажмите " Подключить ISO " → выберите образ с ПО. 📸 Рис. 17. Создание нового шаблона 📸 Рис. 18. Подключение ISO с ПО 6. Решение проблемы с отсутствием интернета Если для сервера , на котором устанавливается виртуальная машина с пользовательским образом, не настроен доступ в интернет , для корректного завершения установки виртуальной машины вам нужно загрузить отладочные символы Microsoft . Пример ошибки из журнала установки: File "/opt/kaspersky/python3-venv/lib/python3.10/site-packages/KL/snapshot/vm_steps.py", line 390, in inner raise err_cls(str(err)) from err [M <:common.exceptions.InstallKmExpErr: Offline kmbuild failed. Probably no symbols Решение: загрузка отладочных символов В разделе " Шаблоны " нажмите " Скачать манифест ". Распакуйте архив. Запустите ` sbsymtool.ps1 ` от имени администратора в PowerShell . Скрипт загрузит символы Microsoft. Вернитесь в Sandbox → " Шаблоны " → " Загрузить символы ". Выберите полученный архив → нажмите " Open ". Повторите установку ВМ. 📸 Рис. 19. Кнопка " Скачать манифест " 📸 Рис. 20. Загрузка архива с символами 7. Подключение к Central Node 7.1. Добавление Sandbox в Central Node В Central Node перейдите в " Серверы Sandbox " → " Добавить ". Укажите IP-адрес Sandbox. Нажмите " Получить отпечаток сертификата ". Сравните отпечаток с тем, что указан в Sandbox → " Авторизация KATA ". Укажите имя сервера. Поставьте галочку " Включить " → нажмите " Добавить ". 📸 Рис. 21. Добавление Sandbox в Central Node 7.2. Подтверждение на стороне Sandbox Откройте веб-интерфейс Sandbox. Перейдите в " Авторизация KATA ". Найдите запрос от Central Node → нажмите " Принять ". Нажмите " Применить " → подтвердите. Запрос перейдёт в статус " Принят ". 📸 Рис. 22. Подтверждение подключения в Sandbox ⏳ Важно: После подключения требуется 5–10 минут на подготовку. Предупреждение в интерфейсе исчезнет автоматически. 8. Настройка набора ОС В Central Node перейдите в " Параметры " → " Набор ОС ". Выберите: Стандартные ОС : Windows 7, Windows 10 При необходимости : CentOS, Astra Linux Пользовательские ОС : активируйте нужные Нажмите " Сохранить ". 📸 Рис. 23. Настройка набора ОС в Central Node Проверьте статус в разделе " Серверы Sandbox ". 📸 Рис. 24. Статус подключённых образов ОС Заключение Установка и настройка компонента Sandbox завершена. Компонент готов к анализу подозрительных объектов. Теперь можно: Настроить политики проверки файлов и ссылок . (Применимо только для пользовательских образов) Мониторить поведение угроз в изолированной среде. Полезные ссылки Работа с шаблонами виртуальных машин Создание виртуальной машины Официальная документация КАТА 8.0 Руководство по установке и настройке компонента Sensor в КАТА/KEDR/NDR 7.0-7.1 Информация:  Приведенная на данной странице информация, является разработкой команды pre-sales и/или AntiAPT Community и НЕ является официальной рекомендацией вендора. Версия платформы: КАТА / KEDR / NDR 7.0 - 7.1 Источник: Установка компонента Sensor Официальная документация: Справка Kaspersky Anti Targeted Attack Platform 7.1 📌 Введение Компонент Sensor в платформе Kaspersky Anti Targeted Attack (КАТА)/KEDR/NDR 7.1 предназначен для сбора, фильтрации и анализа сетевого трафика в распределённых и высоконагруженных инфраструктурах. Он выступает в роли выделенного сервера, обеспечивающего эффективное обнаружение целевых атак, скрытых угроз и подозрительной активности в сети. Установка Sensor требуется в следующих сценариях: Обработка SPAN-трафика объёмом **свыше 1 Гбит/с**, когда центральный узел (Central Node) не справляется с нагрузкой. Подключение **удалённых филиалов или изолированных сегментов сети**, где важно локально анализировать трафик и минимизировать нагрузку на каналы связи. Использование в качестве **прокси-сервера** для Endpoint Agent, что позволяет централизованно управлять соединениями и обеспечивать безопасность. 📌 Назначение компонента Sensor Компонент Sensor выполняет ключевую функцию по анализу сетевых потоков и передаче данных на Central Node для дальнейшего корреляционного анализа и формирования инцидентов. Он не имеет веб-интерфейса — вся настройка осуществляется через SSH в псевдо-веб интерфейсе. Основные режимы работы: Мониторинг SPAN/TAP-трафика — позволяет анализировать копии сетевого трафика в реальном времени. Локальный анализ в филиалах — снижает объём передаваемых данных и повышает скорость реагирования. Прокси для Endpoint Agent — обеспечивает безопасное и контролируемое подключение агентов к платформе. Установка и подключение компонента Sensor в КАТА/KEDR/NDR 7.1 В данной статье подробно описаны все этапы установки и подключения компонента Sensor — от подготовки виртуальной машины до интеграции с Central Node . 🔗 Подробнее о работе компонента Sensor ⚠ Перед началом обязательно ознакомьтесь с официальными требованиями к оборудованию, сетевой конфигурации и режиму загрузки (UEFI). 🔧 Подготовка к установке 🔧 Подготовка к установке Требования к оборудованию: Компонент Требование Режим загрузки Обязательно UEFI Процессор Поддержка BMI2, AVX, AVX2 Жёсткие диски Только SAS HDD 10K rpm и выше RAID Только аппаратный RAID . Программный RAID не поддерживается 1.3. Платформы виртуализации Поддерживаются следующие платформы: VMware ESXi 6.7.0 или 7.0 KVM ПК СВ "Брест" 3.3 "РЕД Виртуализация" 7.3 zVirt Node 4.2 Решение не поддерживает Microsoft Hyper-V . 📌 Примечание по KVM: ОС: Debian GNU/Linux 12 cat /proc/cpuinfo | grep flags Дополнительные требования для платформ виртуализации Платформа Особенности VMware ESXi Виртуальная машина требует на **10% больше CPU**, чем физический сервер. Тип виртуального диска: **Thick Provision** ПК СВ "Брест" / "РЕД Виртуализация " При использовании **KEDR** или **KATA+KEDR** увеличьте минимальное количество логических ядер на **20%** 💡 Примечание: Если вы хотите устранить уязвимости типа Spectre и Meltdown на уровне гипервизора, необходимо дополнительно увеличить количество логических ядер в 1,5 раза относительно уже увеличенного значения. 1.5. Требования к процессору Центральный процессор должен поддерживать следующие наборы инструкций: BMI2 AVX AVX2 🔍 Проверка поддержки: Выполните в терминале команду: cat /proc/cpuinfo | grep flags Убедитесь, что в выводе присутствуют: avx avx2 bmi2 ❗ Если хотя бы один из этих флагов отсутствует, установка компонентов не будет поддерживаться . ⚠ Ограничения Sensor Для компонента Sensor действуют следующие ограничения: Для захвата сетевого трафика на максимальной скорости 10 Гбит/с могут использоваться только компоненты Sensor, установленные на отдельных физических серверах . Виртуальные машины не рекомендуются для таких нагрузок. При захвате FTP-трафика на скорости до 10 Гбит/с возможен высокий уровень потерь пакетов из-за особенностей обработки протокола. Рекомендуется мониторинг и тестирование в реальных условиях. Настройка параметров проверки ICAP-трафика в режиме реального времени на серверах с компонентом Sensor возможна только в режиме Technical Support Mode через CLI. Прямой доступ через веб-интерфейс отсутствует. ### Настройка виртуальной машины (если применимо) Если используется VMware: Откройте настройки ВМ. Перейдите: Options → Boot Options → Firmware . Выберите UEFI . 🖼️ Скриншот: Настройки виртуальной машины с выделенным пунктом UEFI. ⚙️ Установка компонента Sensor (пошагово) Установка запускается автоматически после загрузки с образа. Шаг 1: Загрузка образа Скачайте образ: kata-cn-7.1.0.530-inst.x86_64_en-ru-zh.iso Физический сервер:  запишите на USB/DVD и загрузитесь. Виртуальный сервер:  подключите ISO к ВМ. При запуске системы выберите: Install KATA 7.1.0.530 📸 Скриншот 1: Экран загрузки с выделенным пунктом `Install KATA 7.1.0.530` в меню GRUB. Шаг 2: Приветственное окно Нажмите: Continue 📸 Скриншот 2: Приветственное окно установщика с кнопкой `Continue`. Шаг 3: Лицензионное соглашение Нажмите TAB , чтобы перейти к опции. Выберите: Я принимаю Нажмите Enter . 📸 Скриншот 3: Окно лицензионного соглашения с активной кнопкой `Я принимаю`. Шаг 4: Выбор роли сервера При установке доступны следующие роли сервера: Роль Описание single Central Node + Sensor на одном сервере (подходит для тестовых и малых сред) sensor Только Sensor (выделенный сервер для обработки трафика) storage Сервер хранения данных в кластерной конфигурации processing Обрабатывающий сервер (включает функциональность Sensor) Для установки выделенного Sensor выберите sensor и нажмите Enter . 📸 Скриншот 4: Меню выбора роли сервера с выделенным пунктом `sensor`. Шаг 5: Подтверждение очистки диска Система предупреждает об очистке дискового пространства. Выберите: Yes и нажмите Enter . 📸 Скриншот 5: Окно предупреждения о необходимости очистки диска с кнопкой ` Yes `. Шаг 6: Настройка кластерной подсети Выбор маски сети для адресации серверов кластера. В данном пункте настройка производиться только при установке кластера “ KATA ”, если установка выполняется не для кластера, то выбираем пункт “ 1 ”. Для выбора значения по умолчанию: 198.18.0.0/16 нажмите на клавишу Enter . Если вы хотите указать другую маску сети, введите значение и нажмите на клавишу Enter . Маска должна соответствовать шаблону x.x.0.0/16. 📸 Скриншот 6: Экран настройки кластерной подсети. Шаг 7: Выбор сетевого интерфейса (Management Interface) Выберите один из доступных интерфейсов (например, `eth0`) и нажмите Enter . 📸 Скриншот 7: Список сетевых интерфейсов с подсказкой ` Выберите один из доступных сетевых интерфейсов `. Шаг 8: Настройка IP-адреса Выберите способ назначения IP: DHCP — автоматическое получение. Static — ручной ввод. После настройки нажмите: Save 📸 Скриншот 8: Меню настройки IP-адреса с опциями ` DHCP ` и ` Static `, кнопка ` Save `. Шаг 9: Настройка учётной записи admin Убедитесь, что длина пароля — минимум 12 символов . Введите пароль. Нажмите OK . 📸 Скриншот 9: Окно настройки пароля администратора с подсказкой о минимальной длине — 12 символов. Шаг 10: Настройка DNS-серверов ⚠ ВАЖНО: Указание DNS сервера обязательно, даже если платформа будет установлена в изолированной сети без доступа к внутреннему или внешнему DNS серверу. В такой конфигурации можно указать просто адрес, необязательно к существующему узлу, так как данный пункт конфигурации заложен в логику работы системы. Не указав адрес в данном пункте, может привести к ошибке в работе платформы и загрузке ЦП на 100% . Можно указать любой IP (например, `1.1.1.1`), чтобы избежать 100% загрузки CPU. Введите: Основной DNS (IPv4) Дополнительный DNS (IPv4) После ввода дважды нажмите Enter . 📸 Скриншот 10: Поле ввода DNS-серверов с подсказкой: ` ВАЖНО: Указание DNS обязательно... `. Шаг 11: Настройка NTP-сервера Введите IP или доменное имя NTP-сервера (например, `ntp.kaspersky.com` или `10.10.0.100`). При необходимости добавьте резервный сервер. Завершите ввод дважды нажав Enter . 📸 Скриншот 11: Окно настройки NTP-сервера с подсказкой: `Введите IP-адрес или имя NTP-сервера`. Шаг 12: Завершение установки Подождите завершения настройки. После окончания: Появится приглашение к вводу логина и пароля. Sensor не имеет веб-интерфейса — вся дальнейшая настройка через SSH. 📸 Скриншот 12: Терминал с сообщением: `На данном этапе процесс установки завершен...`. 🌐 Получение IP-адреса (если использовался DHCP) Если IP получен по DHCP, выполните: Подключитесь по SSH как ` admin `. Перейдите в Technical Support Mode → подтвердите переход в CLI . Выполните команду: ip address show eth0 (замените `eth0` на интерфейс, выбранный при установке) 📸 Скриншот 13: Терминал с выводом команды `ip address show`, где виден назначенный IP-адрес. 🔗 Подключение Sensor к Central Node (метод: "Автоматически по сети") ✅ Рекомендуемый способ. Требует доступа к Central Node и Sensor. Шаг 1: Откройте веб-интерфейс Central Node Перейдите по адресу: https://:8443 и авторизуйтесь под учётной записью ` admin `. 📸 Скриншот 14: Страница входа в веб-интерфейс Central Node с полем ввода логина и пароля. Шаг 2: Добавление нового Sensor Перейдите в раздел: Серверы Sensor . Нажмите: Добавить сенсор . Выберите вкладку: Автоматически по сети . 📸 Скриншот 15: Окно "Добавление нового сенсора" с активной вкладкой "Автоматически по сети". Шаг 3: Заполнение формы Заполните поля: Поле Пример значения Имя сенсора `Sensor-Moscow` Адрес сервера `192.168.10.10` (IP Central Node) IP-адрес сенсора `192.168.20.15` (IP установленного Sensor) 📸 Скриншот 16: Форма с заполненными полями: имя, адрес сервера, IP-адрес сенсора. Шаг 4: Создание SSH-туннеля На ПК с доступом к Sensor выполните команду: ssh -4 -L 9444:localhost:9444 admin@ ⚠ Если ошибка ` Corrupted MAC on input `, используйте: ssh -4 -L 9444:localhost:9444 admin@ -o "MACs hmac-sha2-256" В браузере на этом же компьютере, на котором разрешен доступ к серверу Sensor , в адресной строке браузера введите: https//localhost:9444 . (именно localhost ) В окне браузера откроется страница веб-интерфейса компонента Sensor . На странице веб-интерфейса отобразится сообщение, содержащее информацию об отпечатке запроса сертификата, который был отправлен компоненту Central Node . Шаг 5: Проверка отпечатка сертификата Откройте в браузере: https://localhost:9444 На странице отобразится отпечаток сертификата (fingerprint) . 📸 Скриншот 17: Страница https://localhost:9444 с отпечатком сертификата Шаг 6: Подтверждение подключения 1. Сравните отпечаток на странице Sensor и в интерфейсе Central Node. 2. Если совпадают — нажмите ОК . 📸 Скриншот 18: Интерфейс Central Node с запросом подтверждения отпечатка и кнопкой `ОК`. Шаг 7: Проверка подключения После подтверждения: Sensor появится в списке. Статус: Подключён . Начнётся синхронизация. 📸 Скриншот 20: Список Sensor в веб-интерфейсе Central Node с новым подключённым узлом. Рекомендуемый способ. Требует доступа к Central Node и Sensor. ⛔ Важно: Оптимизация настроек сетевых интерфейсов для компонента Sensor Следуйте инструкции, если в процессе работы приложения наблюдаются потери сетевых пакетов или проблемы с производительностью при обработке сетевого трафика. Описание в онлайн-документации . ✅ Заключение Установка и подключение компонента Sensor завершены. Теперь он готов к: Приёму SPAN/TAP-трафика. Мониторингу сетевой активности. Работе в качестве прокси для Endpoint Agent. 🔜 Следующий этап: Настройка источников трафика — см. раздел Интеграции в руководстве . 📌 Полезные ссылки Официальная документация Kaspersky Anti Targeted Attack Platform Kaspersky на YouTube Kaspersky на Rutube Руководство по установке и настройке компонента Sensor в КАТА/NDR 8.0 Информация:  Приведенная на данной странице информация, является разработкой команды pre-sales и/или AntiAPT Community и НЕ является официальной рекомендацией вендора. Версия платформы: КАТА / NDR 8.0 Источник: Установка компонента Sensor Официальная документация: Справка Kaspersky Anti Targeted Attack Platform 8.0 📌 Введение Компонент Sensor в платформе Kaspersky Anti Targeted Attack (КАТА)/NDR 8.0 предназначен для сбора, фильтрации и анализа сетевого трафика в распределённых и высоконагруженных инфраструктурах. Он выступает в роли выделенного сервера, обеспечивающего эффективное обнаружение целевых атак, скрытых угроз и подозрительной активности в сети. Установка Sensor требуется в следующих сценариях: Обработка SPAN-трафика объёмом **свыше 1 Гбит/с**, когда центральный узел (Central Node) не справляется с нагрузкой. Подключение **удалённых филиалов или изолированных сегментов сети**, где важно локально анализировать трафик и минимизировать нагрузку на каналы связи. Использование в качестве **прокси-сервера** для Endpoint Agent, что позволяет централизованно управлять соединениями и обеспечивать безопасность. 📌 Назначение компонента Sensor Компонент Sensor выполняет ключевую функцию по анализу сетевых потоков и передаче данных на Central Node для дальнейшего корреляционного анализа и формирования инцидентов. Он не имеет веб-интерфейса — вся настройка осуществляется через SSH в псевдо-веб интерфейсе. Основные режимы работы: Мониторинг SPAN/TAP-трафика — позволяет анализировать копии сетевого трафика в реальном времени. Локальный анализ в филиалах — снижает объём передаваемых данных и повышает скорость реагирования. Прокси для Endpoint Agent — обеспечивает безопасное и контролируемое подключение агентов к платформе. Установка и подключение компонента Sensor в КАТА/NDR 8.0 В данной статье подробно описаны все этапы установки и подключения компонента Sensor — от подготовки виртуальной машины до интеграции с Central Node . 🔗 Подробнее о работе компонента Sensor ⚠ Перед началом обязательно ознакомьтесь с официальными требованиями к оборудованию, сетевой конфигурации и режиму загрузки (UEFI). 🔧 Подготовка к установке 🔧 Подготовка к установке Требования к оборудованию: Компонент Требование Режим загрузки Обязательно UEFI Процессор Поддержка BMI2, AVX, AVX2 Жёсткие диски Только SAS HDD 10K rpm и выше RAID Только аппаратный RAID . Программный RAID не поддерживается 1.3. Платформы виртуализации Поддерживаются следующие платформы: VMware ESXi 6.7.0 или 7.0 KVM ПК СВ "Брест" 3.3 "РЕД Виртуализация" 7.3 zVirt Node 4.2 Решение не поддерживает Microsoft Hyper-V . 📌 Примечание по KVM: ОС: Debian GNU/Linux 12 cat /proc/cpuinfo | grep flags Дополнительные требования для платформ виртуализации Платформа Особенности VMware ESXi Виртуальная машина требует на **10% больше CPU**, чем физический сервер. Тип виртуального диска: **Thick Provision** ПК СВ "Брест" / "РЕД Виртуализация " При использовании **KEDR** или **KATA+KEDR** увеличьте минимальное количество логических ядер на **20%** 💡 Примечание: Если вы хотите устранить уязвимости типа Spectre и Meltdown на уровне гипервизора, необходимо дополнительно увеличить количество логических ядер в 1,5 раза относительно уже увеличенного значения. 1.5. Требования к процессору Центральный процессор должен поддерживать следующие наборы инструкций: BMI2 AVX AVX2 🔍 Проверка поддержки: Выполните в терминале команду: cat /proc/cpuinfo | grep flags Убедитесь, что в выводе присутствуют: avx avx2 bmi2 Либо выполните следующую команду: grep -E 'avx|avx2|bmi2' /proc/cpuinfo ❗ Если хотя бы один из этих флагов отсутствует, установка компонентов не будет поддерживаться . ⚠ Ограничения Sensor Для компонента Sensor действуют следующие ограничения: Для захвата сетевого трафика на максимальной скорости 10 Гбит/с могут использоваться только компоненты Sensor, установленные на отдельных физических серверах . Виртуальные машины не рекомендуются для таких нагрузок. При захвате FTP-трафика на скорости до 10 Гбит/с возможен высокий уровень потерь пакетов из-за особенностей обработки протокола. Рекомендуется мониторинг и тестирование в реальных условиях. Настройка параметров проверки ICAP-трафика в режиме реального времени на серверах с компонентом Sensor возможна только в режиме Technical Support Mode через CLI. Прямой доступ через веб-интерфейс отсутствует. ### Настройка виртуальной машины (если применимо) Если используется VMware: Откройте настройки ВМ. Перейдите: Options → Boot Options → Firmware . Выберите UEFI . 🖼️ Скриншот: Настройки виртуальной машины с выделенным пунктом UEFI. ⚙️ Установка компонента Sensor (пошагово) Установка запускается автоматически после загрузки с образа. Шаг 1: Загрузка образа Скачайте образ Физический сервер:  запишите на USB/DVD и загрузитесь. Виртуальный сервер:  подключите ISO к ВМ. При запуске системы выберите: Install KATA 8.0.0.1 📸 Скриншот 1: Экран загрузки с выделенным пунктом `Install KATA 8.0.0.1` в меню GRUB. Шаг 2: Приветственное окно Нажмите: Continue 📸 Скриншот 2: Приветственное окно установщика с кнопкой `Continue`. Шаг 3: Лицензионное соглашение Нажмите TAB , чтобы перейти к опции. Выберите: Я принимаю Нажмите Enter . 📸 Скриншот 3: Окно лицензионного соглашения с активной кнопкой `Я принимаю`. Шаг 4: Выбор роли сервера При установке доступны следующие роли сервера: Роль Описание single Central Node + Sensor на одном сервере (подходит для тестовых и малых сред) sensor Только Sensor (выделенный сервер для обработки трафика) storage Сервер хранения данных в кластерной конфигурации processing Обрабатывающий сервер (включает функциональность Sensor) Для установки выделенного Sensor выберите sensor и нажмите Enter . 📸 Скриншот 4: Меню выбора роли сервера с выделенным пунктом `sensor`. Шаг 5: Подтверждение очистки диска Система предупреждает об очистке дискового пространства. Выберите: Yes и нажмите Enter . 📸 Скриншот 5: Окно предупреждения о необходимости очистки диска с кнопкой ` Yes `. Шаг 6: Настройка кластерной подсети Выбор маски сети для адресации серверов кластера. В данном пункте настройка производиться только при установке кластера “ KATA ”, если установка выполняется не для кластера, то выбираем пункт “ 1 ”. Для выбора значения по умолчанию: 198.18.0.0/16 нажмите на клавишу Enter . Если вы хотите указать другую маску сети, введите значение и нажмите на клавишу Enter . Маска должна соответствовать шаблону x.x.0.0/16. 📸 Скриншот 6: Экран настройки кластерной подсети. Шаг 7: Выбор сетевого интерфейса (Management Interface) Выберите один из доступных интерфейсов (например, `eth0`) и нажмите Enter . 📸 Скриншот 7: Список сетевых интерфейсов с подсказкой ` Выберите один из доступных сетевых интерфейсов `. Шаг 8: Настройка IP-адреса Выберите способ назначения IP: DHCP — автоматическое получение. Static — ручной ввод. После настройки нажмите: Save 📸 Скриншот 8: Меню настройки IP-адреса с опциями ` DHCP ` и ` Static `, кнопка ` Save `. Шаг 9: Настройка учётной записи admin Убедитесь, что длина пароля — минимум 12 символов . Введите пароль. Нажмите OK . 📸 Скриншот 9: Окно настройки пароля администратора с подсказкой о минимальной длине — 12 символов. Шаг 10: Настройка DNS-серверов ⚠ ВАЖНО: Указание DNS сервера обязательно, даже если платформа будет установлена в изолированной сети без доступа к внутреннему или внешнему DNS серверу. В такой конфигурации можно указать просто адрес, необязательно к существующему узлу, так как данный пункт конфигурации заложен в логику работы системы. Не указав адрес в данном пункте, может привести к ошибке в работе платформы и загрузке ЦП на 100% . Можно указать любой IP (например, `1.1.1.1`), чтобы избежать 100% загрузки CPU. Введите: Основной DNS (IPv4) Дополнительный DNS (IPv4) После ввода дважды нажмите Enter . 📸 Скриншот 10: Поле ввода DNS-серверов с подсказкой: ` ВАЖНО: Указание DNS обязательно... `. Шаг 11: Настройка NTP-сервера Введите IP или доменное имя NTP-сервера (например, `ntp.kaspersky.com` или `10.10.0.100`). При необходимости добавьте резервный сервер. Завершите ввод дважды нажав Enter . 📸 Скриншот 11: Окно настройки NTP-сервера с подсказкой: `Введите IP-адрес или имя NTP-сервера`. Шаг 12: Завершение установки Подождите завершения настройки. После окончания: Появится приглашение к вводу логина и пароля. Sensor не имеет веб-интерфейса — вся дальнейшая настройка через SSH. 📸 Скриншот 12: Терминал с сообщением: `На данном этапе процесс установки завершен...`. 🌐 Получение IP-адреса (если использовался DHCP) Если IP получен по DHCP, выполните: Подключитесь по SSH как ` admin `. Перейдите в Technical Support Mode → подтвердите переход в CLI . Выполните команду: ip address show eth0 (замените `eth0` на интерфейс, выбранный при установке) 📸 Скриншот 13: Терминал с выводом команды `ip address show`, где виден назначенный IP-адрес. 🔗 Подключение Sensor к Central Node (метод: "Автоматически по сети") ✅ Рекомендуемый способ. Требует доступа к Central Node и Sensor. Шаг 1: Откройте веб-интерфейс Central Node Перейдите по адресу: https://:8443 и авторизуйтесь под учётной записью ` admin `. 📸 Скриншот 14: Страница входа в веб-интерфейс Central Node с полем ввода логина и пароля. Шаг 2: Добавление нового Sensor Перейдите в раздел: Серверы Sensor . Нажмите: Добавить сенсор . Выберите вкладку: Автоматически по сети . 📸 Скриншот 15: Окно "Добавление нового сенсора" с активной вкладкой "Автоматически по сети". Шаг 3: Заполнение формы Заполните поля: Поле Пример значения Имя сенсора `Sensor-Moscow` Адрес сервера `192.168.10.10` (IP Central Node) IP-адрес сенсора `192.168.20.15` (IP установленного Sensor) 📸 Скриншот 16: Форма с заполненными полями: имя, адрес сервера, IP-адрес сенсора. Шаг 4: Наследование технологий Сервера Если вы хотите, чтобы компонент Sensor или точка мониторинга автоматически получали параметры использования технологий, настроенные для родительского объекта, вы можете включить наследование технологий. При этом компонент Sensor получает параметры использования технологий, заданные для компонента Central Node, а точка мониторинга получает параметры, заданные для того компонента, на котором точка мониторинга была добавлена (Central Node или Sensor). При необходимости вы можете выключить наследование технологий для компонента Sensor или точки мониторинга. Это позволит настроить на этом объекте специфические параметры использования технологий. 📸 Скриншот 17: Форма с заполненными полями: имя, адрес сервера, IP-адрес сенсора. Шаг 5: Создание SSH-туннеля На ПК с доступом к Sensor выполните команду: ssh -4 -L 9444:localhost:9444 admin@ ⚠ Если ошибка ` Corrupted MAC on input `, используйте: ssh -4 -L 9444:localhost:9444 admin@ -o "MACs hmac-sha2-256" В браузере на этом же компьютере, на котором разрешен доступ к серверу Sensor , в адресной строке браузера введите: https//localhost:9444 . (именно localhost ) В окне браузера откроется страница веб-интерфейса компонента Sensor . На странице веб-интерфейса отобразится сообщение, содержащее информацию об отпечатке запроса сертификата, который был отправлен компоненту Central Node . Шаг 6: Проверка отпечатка сертификата Откройте в браузере: https://localhost:9444 На странице отобразится отпечаток сертификата (fingerprint) . 📸 Скриншот 18: Страница https://localhost:9444 с отпечатком сертификата Шаг 7: Подтверждение подключения 1. Сравните отпечаток на странице Sensor и в интерфейсе Central Node. 2. Если совпадают — нажмите ОК . 📸 Скриншот 19: Интерфейс Central Node с запросом подтверждения отпечатка и кнопкой `ОК`. Шаг 8: Проверка подключения После подтверждения: Sensor появится в списке. Статус: Подключён . Начнётся синхронизация. 📸 Скриншот 20: Список Sensor в веб-интерфейсе Central Node с новым подключённым узлом. Рекомендуемый способ. Требует доступа к Central Node и Sensor. ⛔ Важно: Оптимизация настроек сетевых интерфейсов для компонента Sensor Следуйте инструкции, если в процессе работы приложения наблюдаются потери сетевых пакетов или проблемы с производительностью при обработке сетевого трафика. Описание в онлайн-документации . ✅ Заключение Установка и подключение компонента Sensor завершены. Теперь он готов к: Приёму SPAN/TAP-трафика. Мониторингу сетевой активности. Работе в качестве прокси для Endpoint Agent. 🔜 Следующий этап: Настройка источников трафика — см. раздел Интеграции в руководстве . 📌 Полезные ссылки Официальная документация Kaspersky Anti Targeted Attack Platform Kaspersky на YouTube Kaspersky на Rutube Инструкция по установке патча на 6.x.x Примечание: данная статья является примером реализации установки пакета обновлении для версии 6 Примечание: перед установкой пакета обновления рекомендуется предварительно создать резервную копию текущего состояния программы и загрузить ее на жесткий диск вашего компьютера из меню администратора программы или из режима Technical Support Mode. В случае сбоя при обновлении программы или необходимости переустановить Kaspersky Anti Targeted Attack Platform вы сможете воспользоваться сохраненной копией программы. Для выполнения резервной копии вам может потребоваться до 1 Тб места на сетевом хранилище, или подключаемом диске/папке. Описание доступно по ссылке: https://support.kaspersky.ru/kata/6.0/247797 1. Подготовка к обновлению 1. Перед установкой пакета обновления на виртуальной среде VMware рекомендуется сделать snapshot виртуальной машины в выключенном состоянии. В случае сбоя при установки пакета обновления или необходимости переустановить Kaspersky Anti Targeted Attack Platform вы сможете откатиться к актуальному snapshot’у. 2. Если вы используете приложение в виде отказоустойчивого кластера, вам необходимо установить пакет обновления на сервер кластера с ролью manager в Docker swarm. Для просмотра роли используйте команду $ docker node ls 3 . Если вы используете режим распределенного решения и мультитенатности, вам необходимо установить пакет обновления на каждый сервер Central Node и Sensor, установленных на отдельных серверах. Вам не требуется отключать серверы SCN от PCN для установки пакета обновления. 4. Если вы используете Sensor, установленный на отдельном сервере, для установки пакета обновлений вам необходимо подключиться к каждому Sensor по протоколу SSH или через терминал и войти в консоль управления. Вам не требуется отключать Sensor от Central Node для установки пакета обновления. 5. В остальных случаях для установки пакета обновления вам необходимо подключиться по протоколу SSH или через терминал и войти в консоль управления сервера Central Node. 6. Дополнительные особенности по установке пакета исправлений доступны по ссылке: https://support.kaspersky.com/KATA/6.0/ru-RU/270171.htm Дистрибутив предоставляется по запросу в Лабораторию Касперского 2. Установка пакета обновления приложения 2.1. Поместите пакет с обновлением приложения на сервер с компонентом Central Node в директорию /data Скаченный архив с помощью WinSCP или другим удобным способом загрузите в домашний каталог пользователя admin ( /home/admin ). Далее подключитесь по SSH к Central Node, зайдите в Technical Support Mode и переключитесь на пользователя root командой sudo su . Переместите архив в директорию /data командой: mv upgrade.tar.gz /data/ 2.2. Убедитесь, что размер свободного дискового пространства в файловой системе /dev/sda2 составляет более 100 ГБ. Для определения свободного дискового пространства в файловой системе /dev/sda2 воспользуйтесь командой: df -h /dev/sda2 3.2 Распакуйте архив с обновлением. Для распаковки архива воспользуйтесь командой: tar xvf /data/upgrade.tar.gz -C /data/ 3.3 Установите пакет с обновлением: Перейдите в каталог /data/upgrade, выполнив команду: cd /data/upgrade Назначьте скрипту права на исполнение, выполнив команду: chmod +x ./install_kata_upgrade.sh Запустите скрипт командой: /install_kata_upgrade.sh 3.4 Установите обновление: Запустите процесс обновления, выполнив команду: kata-upgrade --data-dir /data/upgrade/ --password <пароль пользователя admin> По завершению обновления вам будет предложено выйти из сессии и повторить вход в терминал 3.5 Перед первым использованием, убедитесь, что контейнеры не находятся в состоянии Starting, для этого воспользуйтесь командой: docker ps | grep start Если вывод оказался не пустым, то подождите 10-15 минут и повторно проверьте. Когда вывод будет пустым, то можете продолжить работу в веб-интерфейсе.  На этом процесс обновления Central Node завершен. Инструкция по обновлению KATA 7.0.3 - 7.1 Предупреждение: Проверьте, нет ли ошибок в веб-консоли. Исправьте их, если они есть, или отправьте инцидент в службу поддержки, отметив, что это подготовка к обновлению. Проверьте, что на всех узлах установлено правильное время в BIOS/IPMI или гипервизоре. В противном случае при загрузке с ISO время будет неверным независимо от времени в ОС до обновления. Обновление не удастся, если расхождение во времени будет значительным. Перед обновлением программы с версии 7.0.3 до версии 7.1 рекомендуется предварительно создать резервную копию текущего состояния программы и загрузить ее на жесткий диск вашего компьютера из меню администратора программы или из режима Technical Support Mode. В случае сбоя при обновлении программы или необходимости переустановить Kaspersky Anti Targeted Attack Platform вы сможете воспользоваться сохраненной копией программы. Для выполнения резервной копии вам может потребоваться до 1 Тб места на сетевом хранилище, или подключаемом диске/папке. Статья "Резервное копирование Central Node" Рекомендуется также ознакомиться с ограничениями для той версии, до которой вы обновляете приложение. Перед обновлением программы с версии 7.0.3 до версии 7.1 на виртуальной среде VMware или любой другой виртуализации. Snapshots не поддерживаются! Однако если вы сделаете снимок в выключенном состоянии VM (выключение только командой меню TUI консоли ssh и только после создания резервной копии!), то это не повредит. Обратите внимание, что восстановление снимка, сделанного более 24 часов назад, скорее всего, не удастся из-за истечения срока действия сертификата Docker. Если вы сделаете выключение и создадите снимок, то после включения снова проверьте пункты 1-2. Задокументируйте где-нибудь сетевую и другую конфигурацию (например, SPAN, ICAP и т. д.) для всех узлов. Эта информация понадобится для узлов, которые будут переустановлены (датчики, sandboxes). Она также может понадобиться в случае, если вам нужно переустановить CN, но восстановление из резервной копии по какой-то причине не удается. Задокументируйте где-нибудь конфигурацию внешних систем (SMTP, POP, ICAP, API, KSMG). Например, коннекторы на серверах Exchange и настройки ICAP на прокси-серверах. Запланируйте временное отключение блокирующих интеграций во внешних системах (SMTP, POP, ICAP, API, KSMG). Например, коннекторы сервера Exchange, интеграция ICAP на прокси-сервере. Запланируйте их обратное включение (чтобы не забыть об этом). В противном случае внешние системы, интегрированные с KATA, такие как внутренние почтовые серверы, прокси-серверы и т. д., могут получить чрезмерные очереди, получить сбой во время обновления KATA. Если вы используете режим распределенного решения и мультитенантности, вам нужно обновить каждый Central Node в соответствии с описанной ниже процедурой, не отключая при этом SCN от PCN. Отключение SCN от PCN необратимо, повторное подключение SCN к какому-либо серверу PCN не предусмотрено. Обновление должно начинаться с PCN. Не отключайте SCN от PCN. Отключение SCN не допускается, это приведет к технической проблеме, для которой в настоящее время нет WA. Не путайте SCN с сенсорными узлами. Песочницы и сенсорные узлы должны быть отключены, но SCN — нет!. Обновление поставляется в виде пакета обновлений. Пакет входит в комплект поставки приложения . Обновление компонента до версии 7.1 возможно только с версии 7.0.3. Если вы используете более раннюю версию, требуется последовательно обновить версии компонента до версии 7.1. ВАЖНО: Перед началом процесса установки необходимо удалить интеграцию компонента Central Node и Sensor, Central Node и Sandbox. Удалите коннекторы и серверы интеграции , если они были добавлены. Агенты EDR/NDR будут выдавать ошибки подключения, поэтому сообщите тому, кто отслеживает события в KSC, о планируемых работах по техническому обслуживанию. ВАЖНО: Независимо от лицензирования на CN в настройках размера проверьте трафик SPAN: https://support.kaspersky.com/help/KATA/7.0/en-US/247192.htm Если он равен нулю, измените его как минимум на 100 Мбит/с. Выполните следующие команды: sudo -i kata-enable-span Даже если вы не используете обработку зеркалированного трафика со SPAN-портов (в том числе в приложении, работающем с лицензионным ключом KEDR). Просьба учитывать известные ограничения, связанные с версией 7.1 - https://support.kaspersky.com/help/KATA/7.1/ru-RU/247274.htm Важно: обновление компонентов Sensor и Sandbox не предусмотрено. Для данных компонентов только чистая установка. Дополнительные особенности по обновлению доступны по ссылке: https://support.kaspersky.com/help/KATA/7.1/ru-RU/246850.htm KATA 7.1 CN и upgrade files Дистрибутивы предоставляется сотрудниками Лаборатории Касперского по запросу. KATA 7.1 CN Astra Edition и upgrade files Данная инструкция подходит и для обновления решения Kaspersky Anti Targeted Attack Platform на базе ОС «Астра». Для сборки образа ПО KATA на базе ОС Astra Linux предоставляется необходимый пакет приложений для самостоятельной сборки образа, который необходимо запросить у сотрудника «Лаборатории Касперского» по запросу. При обновлении Central Node на сервере с операционной системой Astra Linux может потребоваться больший объем дискового пространства. Если дискового пространства оказывается недостаточно, процесс обновления прерывается, отображается сообщение о недостаточности дискового пространства. Чтобы возобновить обновление при нехватке дискового пространства: Создайте резервную копию Central Node и загрузите ее на жесткий диск из меню администратора приложения . Выполните очистку диска с помощью утилиты . После очистки диска вы можете возобновить обновление. ВАЖНО Если в процессе обновления возникли ошибки, не пытайтесь повторить установку самостоятельно. Лучше сразу обратиться в техническую поддержку, чтобы специалисты выяснили причину проблемы. Особенности обновления с версии 7.0.3 до версии 7.1 После обновления Kaspersky Anti Targeted Attack Platform до версии 7.1 вам нужно будет заново добавить лицензионные ключи приложения. Допускается кратковременный перерыв в работе приложения, в том числе для отказоустойчивой версии приложения. Если в роли компонента Sensor используется решение Kaspersky Secure Mail Gateway, параметры интеграции с ним сохраняются. Совместимость сервера Central Node 7.1 с компонентами Sensor и Sandbox более ранней версии не поддерживается. Данные компонента Sandbox/Sensor не сохраняются. В приложении не предусмотрена стандартная процедура обновления. Вам требуется установить компонент версии 7.1. Обновление Central Node с версии 7.0.3 до версии 7.1 Поместите пакет с обновлением приложения на сервер с компонентом Central Node в директорию /data . Скаченный архив с помощью WinSCP или другим удобным способом загрузите в домашний каталог пользователя admin (/home/admin) . Далее подключитесь по SSH к Central Node, зайдите в Technical Support Mode и переключитесь на пользователя root командой sudo su . Переместите архив в директорию /data командой: mv kata-upgrade-7.1.0.530-x86_64_en-ru-zh.tar.gz /data/ Убедитесь, что размер свободного дискового пространства в файловой системе /dev/sda2 составляет более 100 ГБ. Для определения свободного дискового пространства в файловой системе /dev/sda2 воспользуйтесь командой: df -h /dev/sda2 Если вы не используете обработку зеркалированного трафика со SPAN-портов (в том числе в приложении, работающем с лицензионным ключом KEDR). Выполните команду: kata-enable-span Если обработка зеркалированного трафика со SPAN-портов выключена, обновление завершается ошибкой. Распакуйте архив с обновлением Для распаковки архива воспользуйтесь командой: tar xvf /data/kata-upgrade-7.1.0.530-x86_64_en-ru-zh.tar.gz -C /data/ Выполните последовательность команд: mkdir -p /data/install_data cp /etc/kaspersky/swarm/*_image_versions.json /data/install_data Установите пакет с обновлением Перейдите в каталог выполнив команду: cd /data/upgrade Запустите скрипт командой: ./run_kata_upgrade.py --clear-venv Отобразится окно ввода имени пользователя и пароля. Отобразится окно ввода пути к архиву с обновлением. Значение по умолчанию: /data/upgrade. Выберите кнопку OK и нажмите на клавишу Enter. Отобразится окно выбора языка локализации функционала NDR. Через некоторое время в консоли отобразится сообщение о необходимости выключения сервера. После отображения сообщения о необходимости выключения сервера выключите сервер. Смонтируйте iso-образ с Kaspersky Anti Targeted Attack Platform версии 7.1 и перезагрузите сервер. В параметрах BIOS включите загрузку с CD/DVD-ROM. Если вы производите обновление на платформе VMware, то в процессе загрузки ОС нажмите ESC для выбора источника загрузки, в нашем случае CD/DVD-ROM. В меню загрузчика GRUB выберите пункт Upgrade KATA 7.0.3 В консоли отобразится загрузка ОС. Нажмите “Continue” . Выберите язык лицензионного соглашения и политики конфиденциальности. Ознакомьтесь с лицензионным соглашением. Для принятия, с помощью TAB переместите курсор на значение «Я ПРИНИМАЮ» Ознакомьтесь с политикой конфиденциальности. Для принятия, с помощью TAB переместите курсор на значение «Я ПРИНИМАЮ» Выберите диск для установки компонента ( обязательно sda ). Согласитесь с продолжением обновления системы. Дождитесь окончания процесса обновления. В процессе обновления система может перезагрузиться и продолжить процесс с жесткого диска. По завершению вам будет предложено ввести учетную запись admin и пароль, чтобы воспользоваться псевдографическим интерфейсом. Перед первым использованием убедитесь, что контейнеры не находятся в состоянии Starting, для этого воспользуйтесь командой: docker ps | grep start Если вывод оказался не пустым, то подождите 10-15 минут и повторно проверьте. Когда вывод будет пустым, то можете продолжить знакомиться с новыми функциями системы. Не забудьте повторно добавить лицензии и произвести интеграцию с новыми версиями Sandbox и Sensor. На этом процесс обновления Central Node завершен. По факту завершения обновления рекомендуем удалить загруженный архив с обновлением для высвобождения пространства, выполнив следующую команду. rm -rf /data/kata-upgrade-7.1.0.530-x86_64_en-ru-zh.tar.gz Предупреждение: После обновления компонента Central Node, который использовался в режиме распределенного решения или мультитенантности, до версии 7.1 может отсутствовать встроенный Sensor (Embedded Sensor). Чтобы устранить данную проблему выполните следующие действия: Войдите в консоль управления того сервера Central Node, на котором требуется восстановить встроенный Sensor, по протоколу SSH или через терминал. В меню администратора приложения выберите режим Technical Support Mode . Нажмите на клавишу ENTER . Отобразится окно подтверждения входа в режим Technical Support Mode . Подтвердите, что хотите выполнять действия с приложением в режиме Technical Support Mode . Для этого выберите Yes и нажмите на клавишу ENTER . Перейдите в режим root и выполните следующую команду: docker service update --cap-add=CAP_DAC_OVERRIDE --cap-add=CAP_IPC_LOCK --cap-add=CAP_SYS_PTRACE kata_product_main_1_preprocessor_span Встроенный Sensor будет восстановлен. Руководство по установке и настройке компонента Сentral Node в режиме "Ретроспективный анализ трафика" КАТА/NDR 8.0 ℹ️ Информация:  Приведенная на данной странице информация, является разработкой команды pre-sales и/или AntiAPT Community и НЕ является официальной рекомендацией вендора.. Официальная документация по данному разделу приведена в  Онлайн-справке  на продукт. Далее по разделам: Аппаратные и программные требования Архитектура приложения Распределенное решение и мультитенантность Руководство по масштабированию Установка и первоначальная настройка приложения 📦 Установка Central Node в режиме " Ретроспективный анализ трафика " Версия решения: 8.0 Тип установки: Central Node (на одном сервере) ℹ️ Информация: в данном разделе описывается процесс установки компонента Central Node выступающего в роли выделенного сервера выполняющего роль узла для Ретроспективный анализ трафика. Ретроспективный анализ трафика позволяет анализировать собранные ранее сетевые данные с учетом новых сигнатур, индикаторов и правил. Этот компонент используется только для ретроспективного анализа трафика. Изменить роль сервера после установки невозможно. Вы можете подключить к этому компоненту Sandbox . ℹ️ Информация: Детальнее ознакомиться с работой данного компонента можно в онлайн документации . ВАЖНО: Функция доступна при наличии действующего лицензионного ключа KATA+NDR. После истечения срока действия лицензионного ключа результаты анализа трафика остаются доступными для просмотра. Воспроизведение трафика не запускается. Активация возможна только с помощью файла ключа. 1. Подготовка 1.1. Варианты установки Решение поддерживает три архитектуры: Вариант Описание Standalone Central Node + Sensor на одном сервере. Подходит для пилотных внедрений, тестовых сред и организаций с небольшой ИТ-инфраструктурой. 1.2. Требования к оборудованию Компонент Требование Режим загрузки Обязательно  UEFI Процессор Минимум 24+ потоков (логических ядер), поддержка  BMI2, AVX, AVX2 ОЗУ Минимум  64 ГБ Диски 1 диск — для ОС и компонентов Жёсткие диски Только  SAS HDD 10K rpm и выше (рекомендуется использовать SSD) RAID Только  аппаратный RAID . Программный RAID  не поддерживается 🔹 Объём системного диска Сценарий Минимальный объём KATA и/или NDR 2–2,4 ТБ 1.3. Платформы виртуализации Решение  не поддерживает Microsoft Hyper-V . Поддерживаются: VMware ESXi 6.7.0 или 7.0 KVM ПК СВ "Брест" 3.3 "РЕД Виртуализация" 7.3 zVirt Node 4.2 Решение не поддерживает Microsoft Hyper-V. 📌  Примечание по KVM: ОС:  Debian GNU/Linux 12 Эмулятор:  QEMU version 8.0.2 Дополнительные требования для платформ виртуализации Платформа Особенности VMware ESXi Виртуальная машина требует на **10% больше CPU**, чем физический сервер. Тип виртуального диска: **Thick Provision** ПК СВ "Брест" / "РЕД Виртуализация " При использовании **KATA+NDR** увеличьте минимальное количество логических ядер на **20%** 📌 Примечание: Если вы хотите устранить уязвимости типа  Spectre и Meltdown  на уровне гипервизора, необходимо дополнительно увеличить количество логических ядер  в 1,5 раза  относительно уже увеличенного значения. 1.4. Дисковые подсистемы и RAID Подсистема Назначение Рекомендуемый RAID Первая ОС, контейнеры, базы (кроме TAA) RAID 1 или RAID 10 Вторая База TAA и журналы RAID 10 💡  Рекомендации: Минимум  2000 ГБ  на первой подсистеме Используйте  аппаратный RAID-контроллер  с кэшем и BBU 1.5. Требования к процессору Центральный процессор  должен поддерживать наборы инструкций : BMI2 AVX AVX2 🔍  Проверка поддержки: Выполните в терминале команду: cat /proc/cpuinfo | grep flags Убедитесь, что в выводе присутствуют: avx avx2 bmi2 Либо выполните следующую команду: grep -E  'avx|avx2|bmi2' /proc/cpuinfo 1.6. Порты и сервера обновлений / KSN Перед установкой приложения подготовьте IT-инфраструктуру вашей организации к установке компонентов Kaspersky Anti Targeted Attack Platform: Подготовка IT-инфраструктуры к установке компонентов приложения: Для обеспечения безопасности сети от анализируемых объектов запретите доступ в локальную сеть сервера Sandbox управляющему сетевому интерфейсу и интерфейсу для доступа обрабатываемых объектов. Произведите подготовку IT-инфраструктуры организации,  согласно таблице . Открыт доступ до серверов обновления и KSN согласно таблице ниже: Server URL Updates antiapt.kaspersky-labs.com antiapt.k.kaspersky-labs.com antiapt.s.kaspersky-labs.com activation-v2.kaspersky.com KSN https://ksn-crypto-file-geo.kaspersky-labs.com https://ksn-crypto-stat-geo.kaspersky-labs.com https://ksn-crypto-url-geo.kaspersky-labs.com https://ksn-crypto-verdict-geo.kaspersky-labs.com https://ksn-crypto-kas-geo.kaspersky-labs.com https://ksn-crypto-a-stat-geo.kaspersky-labs.com https://ksn-crypto-hash-geo.kaspersky-labs.com https://ksn-his-geo.kaspersky-labs.com https://ksn-file-geo.kaspersky-labs.com https://ksn-verdict-geo.kaspersky-labs.com https://ksn-url-geo.kaspersky-labs.com https://ksn-kas-geo.kaspersky-labs.com https://ksn-a-stat-geo.kaspersky-labs.com https://ksn-info-geo.kaspersky-labs.com https://ksn-cinfo-geo.kaspersky-labs.com https://dc1.ksn.kaspersky-labs.com https://dc1-file.ksn.kaspersky-labs.com https://dc1-kas.ksn.kaspersky-labs.com https://dc1-st.ksn.kaspersky-labs.com   2. Установка 2.1. Общая последовательность Установите  Central Node в режиме "Ретроспективный анализ трафика" Установите  Sandbox Добавьте  образы виртуальных машин  в Sandbox 💡  Сценарии: Пилот:  Central Node + Sensor на одном сервере, Sandbox — на другом 2.2. Загрузка и запуск образа Скачайте образ: Физический сервер:  запишите на USB/DVD и загрузитесь. Виртуальный сервер:  подключите ISO к ВМ. ⚠️  Важно: При установке на виртуальной платформе  обязательно выберите UEFI  в настройках: Options → Boot Options → Firmware → UEFI . 📸  Скриншот 1: 2.3. Процесс установки Шаг 1: Загрузка Выберите: Install KATA 8.0.0.1 📸  Скриншот 2: Шаг 2: Язык Выберите язык (например,  русский ) →  Enter 📸  Скриншот 3: Шаг 3: Лицензионное соглашение Нажмите  Tab , выберите  «Я Принимаю» Нажмите  Enter 📸  Скриншот 4: Шаг 4: Политика конфиденциальности Выберите  «Я Принимаю»  →  Enter 📸  Скриншот 5: Шаг 5: Выбор роли сервера Роль Описание single Central Node + Sensor на одном сервере sensor Только Sensor (выделенный) storage Сервер хранения для кластера processing Обрабатывающий сервер (включает Sensor) ⚠️ После установки сменить роль  невозможно . 📸  Скриншот 6: Шаг 6: Выбор диска Подтвердите очистку диска →  Yes  →  Enter 📸  Скриншот 7:     В данном примере диск не соответствует минимальным требованиям Шаг 7: Настройка сети кластера (если применимо) ❗ Настройка выполняется  Только для кластерной установки. Для  не-кластерной установки  просто нажмите  Enter  (оставьте  198.18.0.0/16 ) 📸  Скриншот 8: 📸  Скриншот 9: Шаг 8: Выбор сетевого интерфейса Выберите интерфейс для  Management Interface 📸  Скриншот 10: Шаг 9: Настройка IP-адреса DHCP  — автоматически Static  — вручную (IP, Mask, Gateway) 📸  Скриншот 11: Шаг 10: Учётная запись   admin Пароль:  минимум 12 символов Подтвердите пароль → OK 📸  Скриншот 12: Шаг 11: Язык NDR Выберите язык (например,  русский ) → Enter 📸  Скриншот 13: Шаг 12: DNS-серверы ⚠️  Обязательно!  Даже в изолированной сети укажите фиктивный DNS (например,  1.1.1.1 ) 📸  Скриншот 14: Шаг 13: NTP-серверы Нажмите  Add Введите адрес (например,  pool.ntp.org ) Нажмите  Continue 📸  Скриншот 15: Шаг 14: Включение режима ретроспективного анализа трафика Для ретроспективного анализа трафика, на этом шаге требуется включить режим ретроспективного анализа трафика. В этом режиме для компонента действует ряд ограничений, вы можете ознакомиться с ними в разделе  Ретроспективный анализ трафика .  📸 Скриншот 16: Шаг 15: Ожидание завершения Процесс займёт  5–20 минут . Не перезагружайте сервер. 📸  Скриншот 17: 3. Настройка 3.1. Доступ к веб-интерфейсу После завершения установки подождите  пару минут  — идёт запуск контейнеров и инициализация сервисов. ⚠️ Не пытайтесь входить сразу — возможна ошибка авторизации. Откройте в браузере: https://:8443 Войдите под: Логин:   admin Пароль:  заданный при установке 📸  Скриншот 17: 3.2. Конфигурация серверов После входа откроется  веб-интерфейс для управления масштабированием . Вам будет доступен раздел  «Конфигурация серверов» , где необходимо указать параметры, определяющие нагрузку и объём хранилища. 📸  Скриншот 18: 🔹 Почтовый трафик (KATA) ❗ВАЖНО: В поле Почтовый трафик , сообщений в секунду ничего не указываем. 🔹 SPAN-трафик (NDR) Укажите объём трафика (Мбит/с) поданного на CN. В поле  SPAN-трафик , Мбит/с укажите планируемое количество трафика со SPAN-портов. В этом поле указывается общий объем  SPAN-трафика , который обрабатывается на Central Node/ RAM . 3.3. Объём диска В поле « Хранилище » нужно указать объем дискового пространства, выделяемого для хранения файлов, загруженных через веб интерфейс для анализа компонентом Cental Node и Sandbox . Рекомендуется выделять не больше 100 Гб. 3.4. Запуск конфигурации Нажмите  «Настроить» Нажмите  «Запустить» Дождитесь завершения (10–20 минут) 📸  Скриншот 19: 📸  Скриншот 20: ⚠️  ВАЖНО!  После успешного завершения система предложит войти заново. После завершения конфигурации подождите  5-20 минут  — идёт запуск контейнеров и инициализация сервисов. 3.5. Финальная настройка После успешной конфигурации: 🔹 Проверка времени Параметры → Дата и время Убедитесь в правильности часового пояса и NTP ⚠️ Время должно быть одинаковым на всех компонентах: CN, Sensor, Sandbox. 📸  Скриншот 21: 🔹 Имя сервера Параметры → Сетевые параметры → Имя сервера Укажите имя в  нижнем регистре , совпадающее с DNS (если планируется интеграция с AD) ВАЖНО! Имя устройства Central Node можно изменить только через веб-интерфейс. Автоматически присвоенное при установке имя менять нельзя. 📸  Скриншот 22: 🔹 Лицензия Параметры → Лицензия Загрузите файл ключа или введите код активации (KATA, NDR, KEDR) 📸  Скриншот 23: 🔹 KSN Параметры → KSN/KPSN и MDR Примите соглашение и включите KSN 📸  Скриншот 24: 🔹 Обновление баз Параметры → Общие параметры → Обновление баз Выберите источник и запустите обновление ✅ Обновление должно завершиться со статусом  успешно 📸  Скриншот 25: 🔹 Создание учётной записи Офицера безопасности Параметры → Пользователи → Добавить Роль:  Старший сотрудник службы безопасности Укажите имя, пароль (дважды), включите учётную запись 💡 Эта учётная запись будет использоваться для работы с инцидентами. 📸  Скриншот 26: ВАЖНО: Перед тем как приступить к данным настройкам, лицензии KATA или KATA / NDR должны быть обязательно добавлены в зависимости от тестируемого функционала. Примечание: o Лицензия KATA отвечает за защиту периметра IT-инфраструктуры предприятия обработку сетевых источников. o NDR обеспечивающий защиту внутренней сети предприятия, построения карты сети и ретроспективного анализа. Процесс первоначальной установки и настройки на данном этапе завершен. 4. Настройка подключения источников 1. API Платформа KATA поддерживает интеграцию со сторонними решения по средством REST API. Перед подключением источников, обязательно выполните следующие действия: В данной инструкции этот процесс описан не будет, так как есть полноценная инструкция по работе с данным функционалом. Данную инструкцию можно запросить либо скачать по данной ссылке -  Руководство по настройке API KATA, KEDR, NDR до 7.1.3 Детальнее с данным функционалом можно ознакомиться в онлайн документации   KATA API и NDR API . Рекомендуется увеличить значение  максимальное значение обрабатываемых задач получаемых от одного клиента по API Подключиться по “ SSH ” к “ Central Node ”, перейти в “ Technical Support Mode ” и выполнить следующие команды: Переход в root – “ sudo su ”. Увеличение максимального значения “API-запросов” sudo su console-settings-updater set --merge /kata/configuration/product/kata_scanner '{"ksmg": {"max_tasks_per_client": 500}}' Прейдите в веб-интерфейс “ Central Node ” и авторизуйтесь под уз “ admin ”. 📸  Скриншот 27:   Перейдите в раздел “ Внешние системы ” и переведите пункт “ Максимальный приоритет проверки ” в состояние “ Включено ”. 📸  Скриншот 28: 2. SPAN Д анный пункт описывает процесс настройки Central Node для анализа копии трафика, поданного с внутреннего или внешнего сегмента сети. ВАЖНО:  для включения анализа сетевого трафика обязательно должен быть добавлен дополнительный интерфейс. Для Central Node работающей в режиме Retrospective analysis mode,  точка мониторинга должна быть только одна. Примечание:  В версию KATA 6.0 добавлена возможность записи, хранения и выгрузки копий сырого сетевого трафика. В данном документе этот функционал описан не будет, только настройка приема SPAN. Детально по данному функционалу можно ознакомиться в онлайн документации . Процесс настройки и подключения SPAN в данной инструкции этот процесс описан не будет, так как есть полноценная инструкция по работе с данным функционалом. Данную инструкцию можно запросить либо скачать по данной ссылке - Настройка приёма SPAN-трафика на Central Node и Sensor 3. SIEM Kaspersky Anti Targeted Attack Platform может публиковать информацию о действиях пользователей в веб-интерфейсе приложения и обнаружениях в SIEM-систему , которая уже используется в вашей организации, по протоколу Syslog . Процесс настройки и подключения SPAN в данной инструкции этот процесс описан не будет, так как есть полноценная инструкция по работе с данным функционалом. Данную инструкцию можно запросить либо скачать по данной ссылке - Cheat Sheet по интеграциям KATA c KUMA Детальнее по настройке данного функционала можно ознакомиться в  онлайн документации . С выходом нового модуля Network Detection and Response ( NDR ), который является частью платформы Kaspersky Anti Targeted Attack Platform ( KATA ), передача данных о событиях, связанных с этим функционалом, осуществляется через настройку коннекторов . Детальнее по настройке данного функционала можно ознакомиться в онлайн документации 4. Загрузка PCAP-файла вручную В окне веб-интерфейса из под уз " Офицера безопасности " приложения выберите раздел " Ретроспективный анализ трафика " . Откроется таблица PCAP-файлов. Нажмите на кнопку " Загрузить PCAP-файл " . Откроется окно выбора файлов. Выберите PCAP-файл, который вы хотите загрузить, и нажмите на кнопку " Open " . Вы можете выбрать несколько файлов. В таблице выберите файл с трафиком, который вы хотите воспроизвести. Откроется окно с информацией о PCAP-файле. Нажмите на кнопку  Воспроизвести   . Воспроизведение трафика будет запущено. 📸  Скриншот 29: После проигрывания PCAP-файла, результаты будут доступны в разделе " Алерты " 📸  Скриншот 29:   ВАЖНО: если включен автоматический анализ трафика, загрузка PCAP-файлов в Kaspersky Anti Targeted Attack Platform вручную недоступна. 5. Коннектора типа Generic для загрузки PCAP-файлов из внешней системы в Kaspersky Anti Targeted Attack Platform. Добавление  коннектора  типа Generic  для загрузки PCAP-файлов из внешней системы в Kaspersky Anti Targeted Attack Platform. Этот коннектор используется для соединения с внешней системой, из которой передаются PCAP-файлы. 6. Включение и отключение автоматического анализа трафика Если автоматический анализ трафика включен, Kaspersky Anti Targeted Attack Platform загружает и воспроизводит PCAP-файлы автоматически по мере их поступления. Вам требуется убедиться, что PCAP-файлы поступают в Kaspersky Anti Targeted Attack Platform в порядке записи и с учетом сегментов сети, иначе возможно искажение результатов анализа. При включенном автоматическом анализе трафика  загрузка PCAP-файлов в Kaspersky Anti Targeted Attack Platform и запуск воспроизведения трафика вручную недоступны. ℹ️  Информация: Если вы хотите воспроизвести несколько PCAP-файлов подряд без очистки результатов, вам требуется загружать PCAP-файлы в порядке их записи с учетом сегментов сети, чтобы избежать искажения результатов анализа. 📌 Полезные ссылки Официальная документация Kaspersky Инструкция по интеграции с Active Directory Kaspersky на YouTube Kaspersky на Rutube ✅  Установка и настройка Central Node завершены! Теперь можно приступать к установке  Sandbox . Диагностика и решение проблем Проблемы ICAP интеграции Troubleshooting ICAP интеграции KATA с внешними системами. Если после настройки нет срабатываний или активности в графиках, выполните следующие действия: Проверка сетевой взаимосвязанности Проверьте соединение между CN/Sensor и Proxy по порту 1344 с помощью tcpdump : tcpdump -i port 1344 -nn Описание функциональных возможностей команды tcpdump Повторно сгенерируйте трафик (например, загрузите файл через прокси). Убедитесь, что tcpdump фиксирует пакеты при обмене между Proxy и Sensor. Проверка со тсороны Сentral Node Проверка со стороны Proxy Сбор tcpdump для анализа трафика Для проверки соединения по порту 1344 между CN/Sensor и ProxyServer выполните на каждой из сторон: tcpdump -i port 1344 -nn -w capture_filename.pcap Эти файлы в формате PCAP удобно анализировать в инструментах типа Wireshark. Для выгрузки файлов используйте SCP/WinSCP, например: Подключитесь к CN/Sensor или ProxyServer. Перейдите в каталог, где сохранен tcpdump (например, /home/admin/ ). Скачайте файл на локальный компьютер. Примечание: Ссылка на описание функциональных возможностей команды tcpdump . Проверка логов системы Подключитесь к CN/Sensor через SSH и перейдите в Technical Support Mode. Для выгрузки логов выполните: sudo su kata-collect-siem-logs log-history --output-dir /tmp --no-compress kata-collect-siem-logs log-detects --output-dir /tmp --no-compress В данный журнал пишутся файлы создавшие сработку в решении KATA В log-history.log содержатся записи обо всех проверенных файлах. В log-detects.log — информация об объектах, вызвавших срабатывания. Скачайте журналы с помощью SCP/WinSCP из каталога /tmp . В файлах логов найдите записи по ключевому слову ICAP , чтобы убедиться в получении и анализе трафика от ICAP-клиента. Просмотр логов сработки Для просмотра логов работы ICAP на стороне CN/Sensor подключитесь через SSH и выполните: sudo su cat /var/log/kaspersky/services/preprocessor_icap/preprocessor_icap.log Для удобства анализа можно использовать фильтрацию по режимам сканирования: стандартный режим: grep --color 'blocking_simple mode' /var/log/kaspersky/services/preprocessor_icap/preprocessor_icap.log | grep 'verdict' расширенный режим: grep --color 'blocking_advanced mode' /var/log/kaspersky/services/preprocessor_icap/preprocessor_icap.log | grep 'verdict' Советы по созданию заявки в службу технической поддержки Чтобы ускорить решение возможных проблем и сократить время обработки заявки, рекомендуется: Соберите как можно больше информации об установке KATA и KEDR: модель и характеристики оборудования, уровень трафика, типы интеграции, версии программного обеспечения, даты возникновения проблемы. Обязательно приложите актуальные логи: журнал системы, tcpdump с обеих сторон (ICAP-клиент и ICAP-сервер), Пример: tcpdump -i ens192 port 1344 -nn -w capture_filename collect log с CN/Sensor. Четко опишите суть проблемы, при каких условиях она возникает, и шаги для воспроизведения. Техническое ПМИ KATA 7.* - проверка всех технологий, что они работают IDS‑обнаружения (SPAN) Для проверки IDS‑обнаружений (SPAN) можно использовать утилиту tcpreplay на сервере, сконфигурированном для получения трафика SPAN. Пакет tcpreplay не устанавливается по умолчанию, поэтому его нужно установить вручную. Следуйте инструкции ниже: Скачайте пакет tcpreplay_4.3.2‑1build1_amd64.deb по ссылке . Скопируйте загруженный файл на узел KATA, например с помощью scp : [user@host]$ scp /tcpreplay_4.3.2-1build1_amd64.deb admin@:/tmp Установите пакет на узле KATA командой: [admin@katahost]$ sudo dpkg -i /tmp/tcpreplay_4.3.2-1build1_amd64.deb После установки вы сможете использовать tcpreplay на KATA. Проверка трафика EICAR Загрузите пример EICAR-Test-File_TCP.pcap на сервер с SPAN‑интерфейсом, затем выполните команду от имени root : tcpreplay -i ens34 EICAR-Test-File_TCP.pcap # ens34 в этом примере — SPAN‑интерфейс Проверка трафика Nmap Сценарий такой же, как для Eicar, только используется другой файл .pcap ( HackTool.Nmap.HTTP.C&C.pcap ). После тестирования детектов по SPAN рекомендуем отключить tx‑capture обратно тем же способом, что и при включении. AM Engine Для проверки антивирусного (AM) движка используйте тестовый файл EICAR ( www.eicar.com ). Почта: отправьте файл EICAR по SMTP на порт 25 узла KATA ( обработка SMTP должна быть включена ). Для простоты можно воспользоваться локальным клиентом swaks на узле Central Node, чтобы не настраивать почтовую систему. Пример использования swaks : swaks --server 127.0.0.1 --port 25 --from antony@test.org --to cleopatra@test.org --attach eicar.com swaks --server 127.0.0.1 --port 25 --from antony@test.org --to cleopatra@test.org --body "link_to_EICAR_here" Конечная точка: поместите файл EICAR на рабочую станцию и отправьте его в очередь на проверку при помощи задания GetFile. Обнаружения YARA По умолчанию в продукте нет правил YARA. Для тестирования можно использовать тестовое правило из документации YARA ( writingrules ): rule ExampleRule { strings: $my_text_string = "text here" $my_hex_string = { E2 34 A1 C8 23 FB } condition: $my_text_string or $my_hex_string } Это правило отметит любой анализируемый объект, содержащий строки $my_text_string или $my_hex_string . Обнаружения TAA (IoA) Проверка детектов IoA возможна только при наличии лицензии KEDR. Скопируйте файл .bat из прикреплённого архива Test_IOA.rar (пароль not_infected) в любую папку на хосте с установленным EDR и запустите его. Через несколько минут (KATA требуется время на передачу и обработку телеметрии) проверьте оповещения в KATA. В алерте должен быть тип ioa_test_detect . Если тестировать IoA на этом хосте повторно, файл .bat необходимо размещать в разные папки. На хосте с установленным KEA выполните в cmd.exe команду: wmic.exe "sfdgcall uninstallkasperskyblabla" Команда завершится ошибкой, но это не важно. Через несколько минут в веб‑интерфейсе KATA появится новое IoA‑срабатывание. Обнаружения TAA по цепочке событий Чтобы проверить TAA‑срабатывания по цепочке событий, сначала убедитесь, что эта функция включена в веб‑интерфейсе KATA (и что ресурсы заказчика позволяют её включить). Затем на одной из подключённых машин EDR распакуйте архивы и запустите сценарии .bat : short_term_user_creation_complex.7z multiple_login_attempts_with_the_same_account_complex.7z Обнаружения IoC Для тестирования можно использовать собственное правило: архив Ioctest.zip (пароль infected123 ) срабатывает на запуск c:\windows\system32\calc.exe . Автоматическая песочница в EDR Для проверки автоматической песочницы: Распакуйте архив с образцом и используйте пароль для образцов по умолчанию: autosbtest.zip . Важно: не меняйте MD5‑хэш образца. Запустите образец на защищённом EDR хосте и дождитесь автоматического срабатывания песочницы (verdict Suspicious Activity ). Для KESL: используйте файлы из архива, чтобы вызвать срабатывание песочницы и KESL: Распакуйте архив test_ioa_sb_linux.7z (пароль «infected») и скопируйте скрипт test_ioa_sb_linux.sh вместе с файлом kl_kata_demo_starter на хост с KESL (например, через WinSCP). Проверьте разрешения на файлы: если они не исполняемые, выполните команду: sudo chmod 777 <файл> Запустите скрипт командой ./test_ioa_sb_linux.sh и дождитесь появления алерта в KATA. Проверка песочницы (Sandbox detect) Для проверки песочницы можно использовать файл SA_sleep.exe из архива no_am_detection sample.rar . Пароль хранится в текстовом документе внутри архива. Перейдите в веб‑интерфейс старшего офицера безопасности KATA. Выберите меню Хранилище → Загрузить и загрузите файл SA_sleep.exe из архива для проверки KATA. KATA поместит его в песочницу, и чуть позже SB должен вынести вердикт Подозрительная активность . Если для SA_sleep.exe выдается вердикт «Not detected», используйте сценарий test_sb.bat из архива test_sb.zip . Проверка репутации URL Сначала убедитесь, что K(P)SN настроен и работает корректно. В этом примере хэш MD5 должен возвращать статус UnTrusted . Для проверки используйте команды: Для KATA 4.+ и 5.0: docker exec -it $(docker ps | grep ksn_proxy | awk '{print $1}') /opt/kaspersky/apt-ksn_proxy/sbin/ksn_client --ip 127.0.0.1 --hash 9C642C5B111EE85A6BCCFFC7AF896A51 Для KATA 5.1: docker exec -it $(docker ps | grep ksn_proxy | awk '{print $1}') /opt/kaspersky/apt-ksn-proxy/sbin/ksn_client --ip 127.0.0.1 --hash 9C642C5B111EE85A6BCCFFC7AF896A51 Затем: Трафик: перейдите по адресу http://bug.qainfo.ru/TesT/Aphish_w/index . Почта ( SMTP‑обработка должна быть включена ): отправьте ссылку из примера по электронной почте. Быстрый тест можно сделать с помощью команды swaks : swaks --server 127.0.0.1 --port 25 --from fisherman@test.org --to cleopatra@test.org --body "http://bug.qainfo.ru/TesT/Aphish_w/index" Базовая диагностика и устранение сбоев продукта KATAP Просмотр информации о файлах, поступавших на проверку в Kaspersky Anti Targeted Attack Platform При необходимости просмотра, приходил ли файл проверку в KATAP и с каким результатом завершилась проверка Вам необходимо получить данные о работе приложения с помощью скрипта kata-collect . Подробная инструкция по использованию скрипта kata-collect описана здесь - ссылка Как собрать первичную диагностическую информацию о компьютере при помощи скрипта collect.sh При обработке вашего запроса технической поддержке «Лаборатории Касперского» может понадобиться отчет, созданный с помощью скрипта collect.sh. В нем будут собраны все основные диагностические данные устройства под управлением Unix-подобной операционной системы, а также данные о работе установленных на устройстве приложений «Лаборатории Касперского». Всегда используйте последнюю версию скрипта. Данные, собранные с помощью устаревшей версии скрипта, могут быть неполными. Подробная инструкция по использованию скрипта collect.sh описана здесь - ссылка Как собрать консольные и HAR-логи браузеров Для решения проблем при использовании браузера технической поддержке «Лаборатории Касперского» могут понадобиться консольные и HAR-логи, в которые записываются взаимодействия браузера с сайтом. Инструкции по сбору консольных и HAR-логов для популярных браузеров описаны здесь - ссылка Прикладные сценарии продукта Описание прикладных сценариев продукта Обновление продукта: nginx_gateway, updater (ретрансляция продуктовых баз, обновление баз) AV-проверка объектов: edr_synchronizer, kata_scanner, preprocessor (повторное сканирование доменов, AV-проверка, извлечение объектов) Взаимодействие с KSN: ksn_proxy (отправка статистики, проверка URL репутации) Обработка сетевого трафика: preprocessor, kata_scanner, postgresql_server, kafka, agent_proxy (сохранение трафика, обработка трафика, извлечение объектов, проверка объектов, репликация данных, проксирование агентов) Уведомления: postfix Взаимодействие с Sandbox: kata_scanner, ksb_agent_server (передача артефактов на анализ в sandbox из трафика, агентов, внешних систем) Веб-консоль: web_backend Взаимодействие с агентами: agent_server (обработка данных, передача задач и настроек) Авторизация: web_backend, authorization_service, kata_scanner (авторизация в продукте и в интеграционных сценариях) API: events_api, response_api (предоставление телеметрии и\или управление задачами) Хранение настроек продукта: etcd Лицензирование: updater Разметка IOA: hunts_events_processor (разметка событий от агентов правилами IOA) NDR: nta_core, nta_syncer, nta_database (взаимодействие с сенсорной частью, предоставление UI, синхронизация алертов, предоставление БД) Конфигурация МТ: ksqldb_configurator, ksqldb_server, multitenancy_management_api Использование console-settings-updater Посмотреть доступные конфиги в ETCD: console-settings-updater all | cut -d '=' -f 1 Посмотреть конкретный конфиг: console-settings-updater get /kata/configuration/product/kata_scanner | python3 -m json.tool Выгрузить конфиг: console-settings-updater get /kata/configuration/product/kata_scanner | python3 -m json.tool > /path/to/kata_scanner.etcd Загрузить обратно: console-settings-updater set /kata/configuration/product/kata_scanner @/path/to/kata_scanner.etcd Применить точечное изменение: console-settings-updater set --merge /kata/configuration/product/kata_scanner '{"ksmg": {"max_tasks_per_client": 500}}' Debug for preprocessor_icap: console-settings-updater set --merge /kata/configuration/product/preprocessor_icap '{"logging": {"level": {"root": "DEBUG"}}}’ Debug for kata_scanner: console-settings-updater set --merge /kata/configuration/product/kata_scanner '{"logging": {"level": {"root": "DEBUG"}}}’ Back to default: console-settings-updater set --merge /kata/configuration/product/preprocessor_icap '{"logging": {"level": {"root": "INFO"}}}’ console-settings-updater set --merge /kata/configuration/product/kata_scanner '{"logging": {"level": {"root": "ERROR"}}}' Устранение сбоев Проблема при установке образов операционных систем для работы компонента Sandbox в Kaspersky Anti Targeted Attack Platform на VMware 6.7 Что делать, если при использовании Kaspersky Endpoint Security для Windows снижается производительность устройства Как решить проблемы с активацией Kaspersky Endpoint Security для Windows Ошибка «Невозможно добавить резервный ключ, если срок действия соответствующей лицензии истекает раньше по сравнению с действующей лицензией» Как решить проблемы с активацией компонентов Kaspersky Endpoint Security для Windows Устранение уязвимости CVE-2024-6387 в Kaspersky Anti Targeted Attack Platform Что делать, если на устройстве с Kaspersky Endpoint Security не выполняются задачи или не применяются политики Как диагностировать и устранить проблемы на EPP-агентах Kaspersky Managed Detection and Response Что делать, если Kaspersky Security для виртуальных сред Легкий агент не получил лицензию после активации «Ошибка обработки TAA правил. Попробуйте отключить часть пользовательских правил» в Kaspersky Anti Targeted Attack Platform Решение проблем в работе функциональности NDR в Kaspersky Anti Targeted Attack Platform Решение проблем при установке и обновлении версии Kaspersky Anti Targeted Attack Platform Решение проблем с загрузкой обновлений и репутационных баз в Kaspersky Anti Targeted Attack Platform Решение известных проблем при установке и обновлении версии Kaspersky Anti Targeted Attack Platform Устранение ошибок подключения компонента Endpoint Detection and Response Kaspersky Anti Targeted Attack Platform к Central Node Особенности работы с правилами обнаружений в Kaspersky Anti Targeted Attack Platform Как проверить работу сетевого интерфейса для доступа в интернет на узле Sandbox в Kaspersky Anti Targeted Platform Что делать, если самодиагностика Sandbox в Kaspersky Anti Targeted Attack Platform давно не запускалась или при ее запуске возникли ошибки Проблемы при получении событий и алертов в Kaspersky Anti Targeted Attack Platform 7.0 .custom-article a { color: rgb(0, 168, 142); font-weight: bold; text-decoration: none; } .custom-article a:hover { color: rgb(0, 120, 100); text-decoration: none; } Инструкция по устранению ошибок приоритизации в Sandbox (KATA Platform v7) Описание проблемы В среде KATA Platform версии 7 на компоненте Sandbox наблюдается: Рост времени обработки объектов; Ошибки самодиагностики компонента; Задержки доставки писем от интеграции с KSMG . Симптомы 1. В логах Sandbox ( /var/log/kaspersky/sandbox/checker/checker.log ) присутствуют записи вида: [2025.07.01 08:53:47] [ERROR ] - root - Job 41909 timed out [2025.07.01 09:01:54] [ERROR ] - root - Job 42151 timed out [2025.07.01 09:07:02] [ERROR ] - root - Job 42411 timed out [2025.07.01 09:15:09] [ERROR ] - root - Job 42744 timed out 2. В логах Central Node ( /var/log/kaspersky/services/web_backend/web_backend.log ) фиксируются события самодиагностики: 2025-07-01 02:25:27,615.615 [kata_notifications.system_health_notifier] DEBUG engines: status changed `sandbox` 2025-07-01 02:25:27,615.615 [kata_notifications.system_health_notifier] DEBUG meta received {'host': '0.0.0.0', 'status': 'error', 'lastCheck': '2025-07-01T02:23:17.600974', 'message': {'debug': 'Win7_x64-1750946849,CentOS7_x64-1750947724', 'id': 'sandbox_error'}, 'type': 'sandbox'} 2025-07-01 02:25:27,616.616 [Audit] CRITICAL Component Sandbox IP 0.0.0.0 Type sandbox Status error Решение Выполните следующую команду на всех узлах Sandbox : sudo -u postgres psql kitchen -c 'UPDATE submitters SET default_priority=0 WHERE id=2;' Примечание: Если проблема сохраняется после выполнения указанных действий, рекомендуется обратиться в техническую поддержку Kaspersky с полным архивом логов Sandbox и Central Node. Как исправить ошибки маршрутизации в KATA Sandbox Важно: Маршруты в веб-консоли Sandbox применяются только к management-интерфейсу . Неправильная настройка маршрутов может привести к ошибкам вида: Incorrect response from server with HTTP code 500: /api/units/sandbox/network/central_node Для диагностики и проверки конфигурации malware-интерфейса воспользуйтесь статьей: How to fix malware interface route misconfiguration issues Если проблема актуальна - воспользуйтесь одним из двух решений ниже: Вариант 1: Ручное исправление через Technical Support Mode 1. Перейдите в Technical Support Mode (через консоль или SSH). 2. Проверьте текущие маршруты: ip route show 3. Удалите некорректные маршруты, связанные с malware-интерфейсом (имя интерфейса может отличаться - например, ens224, eth1, enp3s0 и т.д.): sudo ip route del <некорректный маршрут> 4. Удалите скрипт автозагрузки маршрута, если он был создан вручную.     Расположение скрипта зависит от ОС: Ubuntu: /etc/network/if-up.d/route-<имя_интерфейса> Astra Linux: может использоваться /etc/network/interfaces.d/ или systemd-networkd (/etc/systemd/network/)    Пример для Ubuntu: sudo rm /etc/network/if-up.d/route-ens224 5. Перезапустите интерфейс (замените ens224 на актуальное имя): sudo ifdown ens224 --force sudo ifup ens224 --force На некоторых системах (особенно Astra Linux) вместо  ifup/ifdown может использоваться ip link set down/up или nmcli . 6. Вернитесь в веб-интерфейс Sandbox, корректно настройте malware-интерфейс и примените изменения. Вариант 2: Использование встроенной утилиты sbnetworking 1. Сохраните текущую конфигурацию сети: /opt/kaspersky/sandbox/bin/sbnetworking all show > settings.json 2. Отредактируйте файл settings.json , оставив только содержимое внутри поля "params". Пример корректного содержимого (IP-адреса замаскированы): { "hostname": { "fqdn": "sandbox-node" }, "slots": { "count": 48 }, "dns": { "servers": ["192.168.x.x", "192.168.x.x"] }, "management": { "ipv4": { "addr": "192.168.x.x", "mask": "255.255.255.0", "hw_addr": "xx:xx:xx:xx:xx:xx", "ip_used": "192.168.x.x" }, "name": "mgmt0" }, "malware_ifaces": { "mal0": { "ipv4": { "addr": "192.168.x.x", "mask": "255.255.255.0", "hw_addr": "xx:xx:xx:xx:xx:xx", "ip_used": "192.168.x.x" } } }, "malware_channels": { "1": { "auto": true, "desc": "Primary", "ifname": "mal0", "gateway": "192.168.x.x", "monitor": false, "name": "Primary" } }, "routes": { "mgmt0": [ { "dest": { "addr": "0.0.0.0", "mask": "0.0.0.0" }, "gw": "192.168.x.x" } ] } } 3.  Примените исправленную конфигурацию: /opt/kaspersky/sandbox/bin/sbnetworking all apply --file settings.json 4. Обязательно перезагрузите систему: reboot После выполнения этих шагов ошибка HTTP 500 должна исчезнуть, и Sandbox будет корректно работать. Примечание: Если проблема сохраняется после выполнения указанных действий, рекомендуется обратиться в техническую поддержку Kaspersky с полным архивом логов Sandbox. Инструкции по настройке Инструкция по ICAP-интеграции KATA Введение Данное руководство содержит информацию об интеграции платформы KATA со сторонними решениями по протоколу ICAP, такими как Proxy server или NGFW. Также поддерживается возможность интеграции с другими решениями, поддерживающими передачу данных по ICAP. Описывает процесс настройки и проверки интеграции, встречающиеся проблемы в PoC, эксплуатации и шаги по их устранению. Краткое описание решения Kaspersky Anti Targeted Attack Platform — решение для защиты IT-инфраструктуры организации и своевременного обнаружения атак «нулевого дня», целевых атак и APT. Решение разработано для корпоративных пользователей. Решение может получать и обрабатывать данные через подключение к прокси-серверу по ICAP, включая HTTP-, FTP- и HTTPS-трафик (с SSL-подменой на прокси). Подключаться к прокси-серверу по протоколу ICAP, получать и обрабатывать данные HTTP- и FTP-трафика, а также HTTPS-трафика, если администратор настроил подмену SSL-сертификата на прокси-сервере. В роли ICAP-сервера может выступать Central Node с функцией Sensor или отдельный компонент Sensor . Важно: KATA не обеспечивает шифрование ICAP-трафика и аутентификацию клиентов по умолчанию. Необходимо самостоятельно настроить защищенное соединение между прокси-сервером и KATA. ICAP-клиентом обычно является прокси, который отправляет данные на ICAP-сервер. Решение о пересылке данных и режим работы принимается на клиенте. Добавлена ICAP-интеграция с обратной связью в двух режимах: Стандартная проверка — объект доступен Sandbox, при обнаружении угрозы блокируется. Усиленная проверка — объект недоступен Sandbox, при угрозе блокируется. Примечание: При включении приема ICAP-трафика в режиме «Отключено» работает режим respmod : вердикт не возвращается, но результат доступен в интерфейсе KATA для роли «Офицер безопасности» . Для оптимизации нагрузки приложение может временно переключиться из режима усиленной проверки ICAP-трафика в режим стандартной проверки. В этом случае файлы, полученные из ICAP-трафика и отправленные на проверку в Sandbox, остаются доступными для скачивания. При обнаружении угрозы в проверенных файлах приложение создает алерт. Проверка файлов модулями Anti-Malware Engine и YARA продолжает работать в штатном режиме. Если вы используете режим распределенного решения и мультитенантности, выполняйте действия включения приема ICAP трафика в веб-интерфейсе того сервера PCN или SCN, параметры которого вы хотите настроить. На многих прокси серверах или системах поддерживающих передачу данных по ICAP, достаточно будет активировать функциональность ICAP-клиент и указать адрес ICAP-сервер. Детальнее по настройке и работе решения можно ознакомится в онлайн документации . Включение функционала Включение приема ICAP на Central Node Перейдите в веб-интерфейс CN по адресу: https://:8443 Введите учетные данные учетной записи с ролью Администратор (по умолчанию это учетная запись admin автоматически созданная при установки системы). Далее переходим в раздел “Серверы Sensor” . В данном разделе встроенный Sensor в компонент Central Node называется «Embedded Sensor» . Нажимаем «Изменить» . В открывшемся меню перейдите в раздел “ICAP-интеграция” . В данном разделе переведите в состояние “включено” для включения функционала обработки “ICAP-трафика”. Далее в зависимости от типа проверки и принципа работы данной интеграции, выставьте режим “проверки в реальном времени”(описан выше) в зависимости от требований и типов проверки, которыми, хотели бы проверять передаваемые данные от “ICAP-клиента” (PROXY/NGFW) . Скопируйте ICAP-адреса: icap://:1344/av/respmod icap://:1344/av/reqmod Важно - Для настройки на ICAP-клиенте используйте указанные адреса из поля Host. Настройка параметров ICAP В разделе Параметры → Проверка трафика ICAP можно: В разделе “Уведомления” настроить собственные шаблоны страниц блокировки при разных типах срабатывания; В пункте “Порог блокировки” выставить при каком уровне угрозы блокировать проверяемый файл; В пункте “Время ожидания проверки” выставить время ожидания ответа по проверке. Детальнее по настройке и работе решения можно ознакомится в онлайн документации . Включение ICAP на Sensor Настрйока ICAP на Sensor выполняется точно также как и для встроенного Embedded Sensor/Central Node . Детальнее по настройке и работе решения можно ознакомится в онлайн документации . Проверка работоспособности интеграции После завершения настроек на стороне KATA и ICAP-клиента (прокси) проверьте корректность работы следующим образом: Убедитесь, что тестовый ПК настроен на использование вашего прокси. Выполните запрос на загрузку тестового файла EICAR через HTTPS. В интерфейсе Central Node: Перейдите в раздел Dashboards . В панели Processed выберите источник (ICAP) — IP-адрес вашего прокси и период (например, Last hour). Убедитесь, что на графике есть активность (число обработанных URLs и Files больше нуля). Авторизуйтесь в CN под учетной записью с ролью Офицера безопасности , чтобы проверить срабатывание по загруженному файлу: Откройте раздел Alerts . Отфильтруйте события по полю File name , указав EICAR . Проверьте список событий — убедитесь, что отображается нужный файл. Откройте событие и проверьте карточку с подробностями: Data Source должно содержать ICAP Sensor — значит, трафик шел через настроенный ICAP. В разделе Object information отобразится информация о проверенном файле (например, eicar.zip ). Проверьте источник запроса, адреса Proxy и Web-сервера, убедитесь, что обращение было по HTTPS. Работа с ICAP-исключениями Пользователи с ролью Старший сотрудник службы безопасности могут создавать список ICAP-исключений — перечень данных, которые Kaspersky Anti Targeted Attack Platform не будет проверять. Можно создать правила ICAP-исключений для следующих данных: Формат Агент пользователя MD5 Маска URL IP или подсеть источника Пользователи с ролями Аудитор и Сотрудник службы безопасности могут просматривать список правил ICAP-исключений. Особенности в распределенном решении В режиме распределенного решения: ICAP-исключения, созданные на SCN , распространяются на все компоненты Sensor, подключенные к этой SCN. ICAP-исключения, созданные на PCN , распространяются на SCN, установленную на одном устройстве с PCN, и все подключенные к этой SCN компоненты Sensor. Детальнее по настройке и работе решения можно ознакомится в онлайн документации . Примечания по интеграции с решениями SQUID Конфигурация SQUID для настройки интеграции прописываемая в squid.conf : icap_enable on adaptation_send_username on icap_client_username_header X-Client-Username adaptation_send_client_ip on adaptation_meta X-Client-Port "%>p" icap_service_failure_limit -1 icap_service_revival_delay 30 icap_preview_enable off icap_206_enable off icap_service is_kata_req reqmod_precache 0 icap://[ICAP_SERVER_IP]:1344/av/reqmod icap_service is_kata_resp respmod_precache 0 icap://[ICAP_SERVER_IP]:1344/av/respmod adaptation_access is_kata_req allow all adaptation_access is_kata_resp allow all icap_io_timeout 60 seconds UserGate В UserGate необходимо создать ICAP-сервер и указать адреса, полученные на CN: При необходимости активируйте опции: «Посылать имя пользователя» «Посылать IP-адрес» Потом создаете ICAP правило, где выбираете ранее созданный ICAP server. Проверяем связь между системами Работа с IOC в KATA Для работы с IOC необходима лицензия, поддерживающая функционал KEDR Expert Индикатор IOC – это набор данных о вредоносном объекте или действии. Kaspersky Anti Targeted Attack Platform использует IOC-файлы открытого стандарта описания индикаторов компрометации OpenIOC. IOC-файлы содержат набор индикаторов, при совпадении с которыми программа считает событие обнаружением. Вероятность обнаружения может повыситься, если в результате проверки были найдены точные совпадения данных об объекте с несколькими IOC-файлами. При создании правил IOC рекомендуется: Использовать OpenIOC Editor для создания пользовательских правил; Использовать поддерживаемые термины стандарта OpenIOC версии 1.1; Ознакомиться с требованиями и ограничениями применения IOC. Требования и ограничения IOC-файл должен содержать поддерживаемые термины, список которых представлен ниже: Для KES Windows Область поиска IOC в реестре (при добавлении типа данных RegistryItem) Для KES Linux Только пользователи с ролью Старший сотрудник службы безопасности могут импортировать, удалять, скачивать IOC-файлы, включать и отключать поиск по IOC-файлам и настраивать расписание поиска. Пользователи с ролью Сотрудник службы безопасности и Аудитор могут только просматривать список IOC-файлов и информацию о выбранном файле, а также экспортировать IOC-файлы на компьютер Один IOC-файл может содержать только одно правило. Правило может быть любой сложности, строиться на условиях ОR и AND Добавление IOC-правил Для добавления нового IOC-правила необходимо авторизоваться в интерфейсе KATA под УЗ с ролью Старший сотрудник службы безопасности и перейти в раздел Пользовательские правила --> IOC и нажать Импортировать и выбрать необходимое правило для импорта После выбора файла появится окно Импорта IOC-файла. Включите автоматическую проверку, укажите важность правила (низкая, средняя или высокая), при необходимости можно изменить имя правила После этого правило отобразится новой записью в разделе Пользовательские правила --> IOC При нажатии на правило появится меню сведений для данной записи. Здесь можно ознакомиться с содержанием правила и изменить его параметры: включить/выключить автоматическую проверку, изменить имя и важность. Также для удобства вы можете скачать выбранное правило, а также посмотреть события и алерты связанное с этим IOC-правилом. При необходимость удалить правило воспользуйтесь соответствующей кнопкой внизу меню сведений IOC-правила Настройка автоматической проверки по IOC-правилам Данная проверка производится ежедневно для всех устройств раздела "Endpoint Agents" по IOC-правилам, для которых включён параметр "Автоматическая проверка" . В разделе Параметры --> Endpoint Agents в блоке "Расписание IOC-проверки" укажите время запуска и максимальную длительность проверки. Нажмите "Применить" для сохранения параметров. В случае, если проверка не будет пройдена за указанный срок, то она будет принудительно завершена После выполнения проверки в указанное время в разделах "Поиск угроз" и "Алерты" могут появиться новые записи, в случае обнаружения IOC'ов из заданных правил. Для удобства поиска можно в разделе алерты задать фильтр для отображения записей связанных только с IOC-проверкой. Для этого в разделе Алерты нажмите на название столбца Технологии , выберите IOC из выпадающего списка и нажмите Применить Для более детального ознакомления с алертом и применения действий нажмите на него (пустое пространство в строке алерта). В данном примере можно изолировать хост, на котором был обнаружен IOC Также можно выбрать конкретное IOC-правило из списка в разделе Пользовательские правила --> IOC и посмотреть связанные с ним алерты или события Создание TAA (IOA) правила на основе IOC и поиск по событиям Для IOC можно создать правило TAA (IOA) для поиска по базе событий раздела Поиск угроз и формирования алертов. При создании IOC-файла ознакомьтесь со списком IOC-терминов , которые можно использовать для поиска событий в разделе Поиск угроз Авторизуйтесь под учётной записью с ролью Старший сотрудник службы безопасности . Перейдите в раздел Поиск угроз и нажмите Импортировать Поля из IOC будут перенесены в конструктор. При необходимости вы можете внести изменения и добавить новые поля. После чего нажмите Сохранить как правило TAA (IOA). Также вы можете сразу выполнить поиск по событиям выбрав необходимый временной период в верхнем правом углу и нажав Найти В появившемся окне добавления TAA (IOA) правила укажите: Состояние . Переведите переключатель в активное положение для работы правила Имя правила . (Нельзя использовать пробелы) Описание при необходимости Важность . Выберете из выпадающего списка низкая, средняя или высокая Надёжность . Выставите уровень надёжности в зависимости от вероятности ложных срабатываний Алерты . Возможность создания алертов из обнаруженных событий На вкладке Запрос вы сможете ознакомиться с содержанием правила. После внесения необходимых параметров сохраните правило В разделе Пользовательские правила --> TAA нажмите на созданное правило. Здесь можно отредактировать заданные ранее параметры, удалить правило, а также: Показать алерты связанные с данным правилом. Для этого нажмите Алерты TAA для запуска соответствующей выборки алертов. Показать алерты компонента Sandbox связанные с данным правилом. Для этого нажмите Алерты SB для запуска соответствующей выборки алертов. Показать события для данного правила. Для этого нажмите События . Запустит выборку в разделе Поиск угроз по IOAId (указан в верхнем правом углу правила) Выполнить поиск событий по полям правила. Для этого нажмите Запуск . Запустит выборку в разделе Поиск угроз Интеграция KATA c MDR Приложение Kaspersky Managed Detection and Response (MDR) предназначено для обнаружения и предотвращения мошеннических действий в инфраструктуре клиента. MDR обеспечивает непрерывную управляемую защиту и позволяет организациям автоматически выявлять труднообнаружимые угрозы и освобождать сотрудников группы IT-безопасности для решения задач, требующих их участия. Kaspersky Anti Targeted Attack Platform получает данные и отправляет их в Kaspersky Managed Detection and Response с помощью потока Kaspersky Security Network. Поэтому для настройки интеграции с MDR обязательно участие в KSN . Перед настройкой интеграции Kaspersky Anti Targeted Attack Platform с приложением MDR требуется получить архив с конфигурационным файлом на портале MDR. Получение архива с конфигурационным файлом В веб-консоли MDR необходимо перейти в раздел лицензирования. Для этого в нижнем левом углу нажать на раздел Решение активировано Затем нажать Скачать для загрузки архива Подключение KATA к MDR Перейти в веб-консоль KATA под УЗ администратора и перейти в раздел Параметры > KSN/KPSN и MDR и убедиться что активно участие в KSN. Под заголовком Интеграция с MDR необходимо нажать Импортировать и выбрать архив скачанный на предыдущем шаге (распаковывать архив не нужно) После добавления архива под заголовком Интеграция с MDR появится информация об актуальной лицензии. На этом подключение KATA к MDR завершено Руководство по резервному копированию Central Node и БД телеметрии EDR Агентов Предупреждение: РК БД ТАА вы делаете на свой страх и риск. Заказчик принимает на себя риск того, что процедура РК телеметрии EDR может не удастся. Особенности РК Версии восстанавливаемой и установленной на сервер приложений должны совпадать. Если версии приложений не совпадают, при запуске восстановления приложения отобразится сообщение об ошибке и процесс восстановления будет прерван. Особенности РК базы телеметрии EDR КАТА В КАТА база Elasticsearch располагается по этому пути /data/storage/volumes/elasticsearch-1/ В КАТА 4.Х база Elasticsearch располагается по этому пути /data/var/lib/kaspersky/storage /swarm/elasticsearch-1/ В этом разделе описываются варианты подключения сетевых каталогов к КАТА Central Node Подключение CIFS хранилища для резервного копирования Central Node В KATA «из коробки» доступно монтирование общих ресурсов CIFS (только их). Примонтируйте общий ресурс. mount.cifs <папка на стороннем сервере> <директория монтирования> <-o опции> * вместо mount.cifs можно написать mount -t cifs. Пример: mount.cifs //10.10.10.1/backup /kata-backup mount -t cifs //10.10.10.1/backup /kata-backup где //10.10.10.1/backup – расшаренная папка, которую необходимо примонтировать. Примечание: Для работы CIFS/SMB необходимы порты: TCP 445; UDP 137; UDP 138; DP 139 Для предоставления удалённого доступа используется TCP 445. Для разрешения имен NetBios используются порты UDP 137, 138 и TCP 139, без них будет работать только обращение по IP адресу. После подключения папки, ее можно будет использовать для сохранения резервных копий CN и ТАА /kata-backup – директория смонтирована в корень. Для проверки - можете выпонить df -h, и /kata-backup будет отображена в общем списке директорий. Подключение NFS хранилища для резервного копирования Central Node через DKPG Скачайте пакеты для поддержки NFS по ссылке: https://box.kaspersky.com/f/bde4814949ff493ab876/?dl=1 Пароль от хранилища можно запросить у команды pre-sale инженеров Anti-APT Распакуйте и перенесите их в домашнюю директорию пользователя Admin Установите пакеты вручную через dpkg в следующем порядке, чтобы добавить поддержку NFS: Команды: dpkg -i /home/admin/libtirpc-common_1.2.5-1_all.deb dpkg -i /home/admin/libtirpc3_1.2.5-1_amd64.deb dpkg -i /home/admin/keyutils_1.6-6ubuntu1_amd64.deb dpkg -i /home/admin/libnfsidmap2_0.25-5.1ubuntu1_amd64.deb dpkg -i /home/admin/rpcbind_1.2.5-8_amd64.deb dpkg -i /home/admin/nfs-common_1.3.4-2.5ubuntu3.5_amd64.deb Примонтируйте сетевой NFS каталог Команда: mount -t nfs 10.10.10.1:/mnt/nfs/backup /kata-backup где 10.10.10.1 – сервер, на котором подключен каталог /mnt/nfs/backup /kata-backup – каталог на CN куда монтируется шара. Опционально: Автоматическое подключение каталога после перезагрузки CN Открыть файл fstab: vi /etc/fstab Добавить строку: 10.10.10.1:/mnt/nfs/backup /kata-backup nfs auto 0 0 где 10.10.10.1— адрес сервера NFS; /kata-backup — каталог, куда будет примонтирована шара. Подключение дополнительного диска для резервного копирования Central Node в виртуальном исполнении На платформе виртуализации добавьте диск. Перейдите в свойства ВМ, раздел диски. Добавьте диск необходимого объема. Проверьте отображение подключенного диска. sudo fdisk -l или lsblk Отобразятся все диски и разделы. Наш подклченный диск называется sdb, либо sdc, в зависимости от количества дисков/разделов. Необходимо создать новый раздел. fdisk /dev/sdb где /dev/sdb - имя нового раздела. Далее необходимо последовательно ввести указанные ключи: n - создать новый раздел; p - создать новый основной раздел; Выбрать номер раздела, его первый и последний секторы (по умолчанию Enter); w - сохранить новый раздел на диск. Определите файловую систему df -hT Отобразится список дисков и их файловые системы. В нашем случае это ext4 Отформатируйте подключенный диск sudo mkfs.ext4 /dev/sdb Создайте папки в которые будет монтироваться подключенный диск для РК Создайте каталог в директории /mnt: sudo mkdir /mnt/kata-backup Измените права доступа к каталогу (опционально). Только root и только чтение и запись: sudo chmod -R 660 /mnt/kata-backup Примонтируйте диск: sudo mount /dev/sdb /mnt/kata-backup Опционально: Для монтирования диска автоматически при загрузке системы, необходимо отредактировать файл /etc/fstab. Откройте любым текстовым редактором, например nano: sudo nano /etc/fstab В самый конец файла вставьте строку: /dev/sdb /mnt/kata-backup ext4 defaults 0 0 Сохраните, выйдите. Проверьте подключенный диск командой df -hT На этом этап подключения диска завершен. Резервное копирование телеметрии EDR агентов в Central Node Остановите сервисы Docker. Выполните команды по очереди: systemctl stop docker systemctl disable docker.service systemctl disable docker.socket Примечание: Важно понимать, что процесс архивирования может занять некоторое время, поскольку оно зависит от размера телеметрии. Перед созданием архива убедитесь, что у вас достаточно места на сетевом ресурсе. Его можно приблизительно определить, проверив текущий размер телеметрии, например: du -hsx /data/var/lib/kaspersky/storage/swarm/elasticsearch-1/* Пример вывода: 670 МБ /data/var/lib/kaspersky/storage/swarm/elasticsearch-1/data 6,5 МБ /data/var/lib/kaspersky/storage/swarm/elasticsearch-1/logs Основным ресурсоемким каталогом здесь будет /data/var/lib/kaspersky/storage/swarm/elasticsearch-1/ data. Создайте бекап телеметрии ТАА. Выполните команду: tar -czf - /data/storage/volumes/elasticsearch-1/ > /mnt/kata-backup/elastic_5_1.tar.gz Процесс архивации может занять продолжительное время. Примечание: Данный архив БД телеметрии ТАА можно использовать как РК долговременного хранения. Запустите сервисы Docker после РК. Выполните команды по очереди: systemctl enable docker.socket systemctl enable docker.service systemctl start docker Затем проверьте работу docker: systemctl status docker Восстановление телеметрии EDR агентов в Central Node Остановите сервисы Docker Выполните команды по очереди: systemctl stop docker systemctl disable docker.service systemctl disable docker.socket Удалите содержимое elasticsearch из CN (или переместите в tmp) Выполните команду: rm -rf /data/storage/volumes/elasticsearch-1/* или mv /data/storage/volumes/elasticsearch-1/* tmp/bkp/ Распакуйте архив с РК телеметрии ТАА. Выполните команду: tar -xzf /mnt/kata-backup/elastic_5_1.tar.gz -C /data/storage/volumes/elasticsearch-1/ Запустите сервисы Docker после восстановления РК БД Телеметрии ТАА. Выполните команды по очереди: systemctl start docker systemctl enable docker.service systemctl enable docker.socket Затем проверьте работу docker: systemctl status docker ВАЖНО! Elasticsearch должен найти и собрать/проиндексировать всю «новую» для него телеметрию. Необходимо подождать 15 минут на каждый 5ГБ БД Телеметрии, но индексация может завершиться быстрее. Проверка работы запущенных контейнеров. docker service ls | grep '0/1' Здесь вы не должны увидеть никаких контейнеров, кроме тех, у которых в конце имени контейнера есть _configurator. Войдите в веб-интерфейс и проверьте через ThreatHunting, события, которые мы восстановили в CN. Резервное копирование Central Node Версии восстанавливаемой и установленной на сервер приложений должны совпадать. Если версии приложений не совпадают, при запуске восстановления приложения отобразится сообщение об ошибке и процесс восстановления будет прерван. Создание резервной копии приложения в режиме Technical Support Mode. Чтобы создать резервную копию КАТА, выполните следующую команду в режиме Technical Support Mode сервера: sudo kata-run.sh kata-backup-restore backup -b -c -d -e -q -a -s -n -l Где Обязательный параметр Параметр Описание Да -b Создать файл с резервной копией приложения по указанному пути, где – абсолютный или относительный путь к директории, в которой создается файл с резервной копией приложения. Нет -c Очистить директорию перед сохранением файла с резервной копией приложения. Нет -d Указать максимальное количество файлов с резервной копией приложения, хранимых в директории, где – количество файлов. Нет -e Сохранить файлы в Хранилище. Нет -q Сохранить файлы на карантине. Нет -a Сохранить файлы, ожидающие повторной проверки (rescan). Нет -s Сохранить артефакты Sandbox. Нет -n Сохранить параметры Central Node или PCN. Нет -l Сохранить результат выполнения команды в файл, где – имя файла журнала событий, включая абсолютный или относительный путь к файлу. Пример: sudo kata-run.sh kata-backup-restore backup -b -c -d -e -q -a -s -n -l Восстановление из РК Central Node Чтобы восстановить КАТА из резервной копии, выполните следующую команду в режиме Technical Support Mode сервера: sudo kata-run.sh kata-backup-restore restore -r -l Где Обязательный параметр Параметр Описание Да -r Восстановить данные из файла резервной копии, где – полный путь к файлу резервной копии. Нет -l Сохранить результат выполнения команды в файл, где – имя файла журнала событий, включая абсолютный или относительный путь к файлу. Резервная копия параметров сервера не содержит PCAP-файлы записанного зеркалированного сетевого трафика. Вы можете сохранить и восстановить PCAP-файлы самостоятельно, выполнив копирование из директории /data/volumes/dumps подключенного хранилища. После восстановления данных вам необходимо подключить внешнее хранилище. Работа с YARA-правилами в KATA Вы можете загружать собственные YARA правила в KATA для проверки файлов и объектов, поступающих на Central Node, и для проверки хостов с компонентом Endpoint Agent. Только пользователи с ролью Старший сотрудник службы безопасности могут импортировать, удалять, скачивать IOC-файлы, включать и отключать поиск по IOC-файлам и настраивать расписание поиска. Пользователи с ролью Сотрудник службы безопасности и Аудитор могут только просматривать список IOC-файлов и информацию о выбранном файле, а также экспортировать IOC-файлы на компьютер Добавление YARA правил Для добавления новых правил YARA необходимо авторизоваться в интерфейсе KATA под УЗ с ролью Старший сотрудник службы безопасности и перейти в раздел Пользовательские правила --> YARA и нажать Импортировать и выбрать необходимое правило для импорта Максимальный допустимый размер загружаемого файла – 20 МБ. После выбора необходимого файла появится окно импорта, в котором: Можно включить проверку трафика, если вы хотите использовать импортированные правила при потоковой проверке объектов и данных, поступающих на Central Node; Добавить описание; Количество правил, которые могут быть успешно импортированы; Количество правил, которые не будут импортированы (если такие есть). Для каждого правила, которое не может быть импортировано, указывается его название. После добавления правило отобразиться в новой записью в разделе Пользовательские правила --> YARA Нажав на правило можно ознакомиться с содержанием правила, включить/выключить проверку, скачать или удалить данное правило Также можно найти алерты связанные с выбранным правилом и создать задачу проверки по данному YARA-правилу нажав Запустить YARA-проверку Создание задачи YARA-проверки Необходима лицензия, поддерживающая функционал KEDR Expert При необходимости вы можете проверять хосты из раздела Endpoint Agent с помощью правил YARA. Для этого требуется создать задачу Запустить YARA-проверку. Вы можете создать задачу следующими способами: В разделе Задачи. В этом случае при создании задачи вам потребуется выбрать правила YARA, с помощью которых вы хотите проверить хосты; В разделе Пользовательские правила --> YARA , выбрав необходимое правило и нажав Запустить YARA-проверку В этом случае создается задача для проверки хостов по выбранным правилам YARA. При использовании любого из способов откроется окно создания задачи. В данном меню вы можете указать следующие параметры: Выбрать необходимые правила YARA для проверки. Можно выбрать сразу несколько; Указать область проверки: ОЗУ - при необходимости проверить процессы, запущенные на момент выполнения задачи. Укажите необходимые короткие имена процессов или маску файлов, которые хотите проверить, а также исключения проверки при необходимости. Можно использовать маски * и ?; Если поле Процессы не заполнено, приложение проверяет все процессы, запущенные на момент выполнения задачи, кроме процессов с PID ниже 10 и процессов, указанных в поле Исключения . Точки автозапуска - при необходимости проверить точки автозапуска, полученные в результате выполнения задачи Собрать форензику Для данной области задайте тип проверки. Быстрая - проверяются все точки автозапуска, кроме COM-объектов. Полная - проверяются все точки автозапуска и связанные с ними файлы. Указанные директории - при необходимости проверить файлы в указанной папке и во всех вложенных папках. Задайте путь вида C:<имя директории>\. Можно использовать маски * и ? для указания директории проверки и исключения; Все локальные диски - при необходимости проверить файлы, хранящиеся во всех папках локальных дисков. Можно использовать маски * и ? для указания директорий исключения. Проверка всех локальных дисков может создать повышенную нагрузку на хост. Максимальное время проверки. В случае, если проверка не будет пройдена за указанный срок, то она будет принудительно завершена. В отчете о выполнении задачи указываются результаты, актуальные на момент завершения проверки. Описание – описание задачи. Поле необязательно для заполнения. Задача для – область применения задачи Всех хостов , если вы хотите выполнить задачу на всех хостах всех серверов, выберите вариант; Выбранных серверов - справа от названия параметра Серверы установите флажки рядом с теми именами серверов, на которых вы хотите выполнить задачу. Этот вариант доступен только при включенном режиме распределенного решения и мультитенантности. Выбранных хостов , если вы хотите выполнить задачу на выбранных хостах, перечислите эти хосты в соответствующем поле. После указания необходимых параметров нажмите Добавить для запуска задачи Нажав на созданную задачу можно ознакомиться с результатом её выполнения Просмотр алертов Просматривать алерты связанные с YARA правилами можно двумя способами: Выбрав необходимое правило в разделе Пользовательские правила --> YARA и нажав Найти алерты Перейти в раздел Алерты и задать соответствующий фильтр на столбец Технологии При использовании любого из способов будет использоваться раздел Алерты . Нажав на алерт (свободное пространство в строке) можно подробнее ознакомиться с его содержанием и возможными действиями по реагированию Настройка KATA Directory Scanner Компонент KATA Directory Scanner (далее – KDS) расширяет функциональные возможности KATA и предназначен для сканирования общих папок на предмет вредоносного ПО. Сценарий использования: на KATA CN монтируется три общих ресурса: input, output и quarantine; на KATA CN устанавливается сервис KDS; KDS отслеживает появление новых файлов в директории input и отправляет их по API на анализ в KATA; KDS по API получает вердикты от KATA; в случае, если признаки вредоносного ПО не обнаружены, файлы перемещаются в директорию output; во всех остальных случаях файлы перемещаются в директорию quarantine. Особенности и ограничения: Компонент KDS не является официально поддерживаемым компонентом KATA, предназначен для демонстрации расширения функциональных возможностей KATA с использованием API и предоставляется «как есть». Один экземпляр сервиса KDS предназначен для работы с тремя директориями. В директории input сканируются и отправляются на анализ только файлы. Вложенные директории не сканируются, их иерархия не восстанавливается в директориях output и quarantine. Файлы размером более 100 Мб пропускаются и остаются в директории input без изменений. В директорию quarantine перемещаются все файлы с вердиктом отличным от «not detected», в том числе, если произошла ошибка сканирования («error») или превышен таймаут ожидания («timeout»). Если файл уже существует в директории input или quarantine, то он заменяется новым. Необходимые файлы: Для того чтобы скачать файлы: kata-dir-scanner.service, kata_dir_scanner.py и kata_dir_scanner.conf , обратитесь к команде pre-sale инженеров команды AntiApt. Настройка на стороне KATA CN ВАЖНО! Заранее скачайте пакет cifs-utils.deb , загрузите его на CN и установите с помощью команды: apt install ./cifs-utils.deb Подключитесь к KATA CN по SSH. Перейдите в раздел Technical Support Mode. Создайте структуру директорий input, output и quarantine. mkdir /mnt/in mkdir /mnt/out mkdir /mnt/qrnt Создайте файл с учетными данными для доступа к общим ресурсам (username и password замените на свои). vi /root/.kata-secret username= password= ВАЖНО! Пользователь должен иметь доступ к проверяемой директории Добавьте в конец файла /etc/fstab следующие строки (удаленный хост замените на свои). \\\in /mnt/in cifs credentials=/root/.kata-secret 0 0 \\\out /mnt/out cifs credentials=/root/.kata-secret 0 0 \\\qrnt /mnt/qrnt cifs credentials=/root/.kata-secret 0 0 Примонтируйте все ресурсы. mount -a Подготовьте ключевую информацию. openssl req -x509 -newkey rsa:2048 -keyout ./server.key -out ./server.crt -days 365 -nodes cat server.crt server.key > cert.pem Инициализируйте подключение сторонней системы к KATA. Для этого необходимо отправить любой файл на проверку с использованием подготовленного сертификата. Подготавливаем UUID: python3 -c "import uuid; print(uuid.uuid4())" curl -k --noproxy '*' --cert ./cert.pem --key ./server.key -F scanId=f2df00bc-c6b0-4bcf-b20b-040e02f08de9 -F objectType=file -F content=@ -X POST https://localhost:443/kata/scanner/v1/sensors/ /scans Подтвердите запрос на подключение со стороны KATA CN. Создайте директорию. mkdir /opt/kata-dir-scanner/ Скопируйте в /opt/kata-dir-scanner/ следующие файлы. kata_dir_scanner.py kata_dir_scanner.conf cert.pem server.key Скопируйте в /etc/systemd/system/ следующий файл. kata-dir-scanner.service Отредактируйте конфигурационный файл (измените system_id на свой). vi kata_dir_scanner.conf { "in_dir": "/mnt/in/", "out_dir": "/mnt/out/", "qrnt_dir": "/mnt/qrnt/", "cert_pem": "/opt/kata-dir-scanner/cert.pem", "cert_key": "/opt/kata-dir-scanner/server.key", "kata_cn_addr": "localhost", "system_id": " " } Запустите сервис KDS. systemctl daemon-reload systemctl start kata-dir-scanner.service systemctl status kata-dir-scanner.service Добавьте сервис в автозагрузку. systemctl enable kata-dir-scanner.service Установка и настройка сервиса KDS завершена. Логи работы KDS можно посмотреть используя следующую команду: tail -f /var/log/kata-dir-scanner.log События, связанные с обнаружением вредоносного ПО, доступны в web-консоли KATA. Настройка и использование списка исключений: В директории /opt/kata-dir-scanner/ создайте файл exclude_list.txt . В exclude_list.txt построчно запишите имена файлов и расширения, которые нужно исключить из пересылки на анализ в KATA. Например: File1.txt *.doc File2.py *.pdf Пример работы KDS: На проверяемом хосте открываем папку in и сохраните тестовый вирус. Перейдите в папку qrnt. Вирусный файл был автоматически отправлен в папку qrnt. Перейдите в web-консоль KATA CN, зайдите в раздел обнаружения и видим сработку на тестовый вирус. Перейдите в обнаружение. Здесь можно увидеть всю необходимую нам информацию. На проверяемом хосте откройте папку in и сохраните обычный текстовый документ. Перейдите в папку out, тестовый файл test_KDS не является вирусным и поэтому был автоматически отправлен в папку out. Процесс подключения KATA по LDAP SSO Настройка аутентификации с помощью доменных учетных записей позволяет пользователям не вводить данные учетной записи Kaspersky Anti Targeted Attack Platform для подключения к веб-интерфейсу программы. Для включения аутентификации с помощью доменных учетных записей вам требуется: Настроить интеграцию с Active Directory . Для настройки интеграции с Active Directory требуется создать keytab-файл , содержащий имя субъекта-службы (далее также "SPN" ) для сервера Central Node , на котором выполняется настройка интеграции. Инструкции по созданию keytab-файла , а также включения интеграции с Active Directory в wеb-интерфейсе программы приведены по следующим ссылкам: Создание keytab-файла Настройка интеграции с Active Directory Ключевым моментом правильной работы интеграции с Active Directory является настройка клиентских рабочих станций, процесс которой описан далее. Настройка интеграции KATA – AD Важно! Перед выполнением данной интеграции обязательно должны быть выполнены следующие рекомендации: Имя развернутого сервера “Central Node” должно быть полным доменным именем. Пример: kata-cn.home.lab Запись A и PTR должна быть установлена ​​для центрального узла в DNS. FQDN имя устройства и создаваемая для него A-запись/PTR-запись на DNS сервере должны совпадать и обязательно имя устройства и DNS запись должны быть в “ нижнем регистре”. Примечание: имя устройства можно настроить в веб-интерфейсе “ Central Node ” уже после установки. Для этого авторизуйтесь в системе из-под уз “Administrator”, перейдите в раздел “Параметры → Сетевые параметры → Имя сервера (FQDN)” Должен быть открыт доступ по 88/TCP порту от Central Node до Active Directory . Алгоритм шифрования AES256-SHA1 должен быть включен в созданную учетную запись пользователя домена. Пароль, используемый при создании keytab-файла , не должен содержать специальных символов. Пример: cZ8ckcVPysXOOS7m Перед выполнением инструкции убедитесь, что имя хоста задано верно и корректно отображается как в web-интерфейсе, так и на DNS. Добавление LDAP=сервера Создать пользователя в AD Активная опция – Password never expires Активная опция – This account supports Kerberos AES 256bit encryption Создать keytab-файл Открыть командную строку от имени администратора и выполнить следующую команду: ktpass.exe -princ HTTP/ kata.sales.lab @ -mapuser kata-ldap @ -crypto AES256-SHA1 -ptype KRB5_NT_PRINCIPAL -pass * +dumpsalt -out C:\ kata-ldap .keytab Открыть страницу настроек Central Node KATA с правами Администратора. Загрузить keytab-файл Настройка клиентских рабочих станций для использования SSO Проверить, что сервер KATA доступен по своему доменному имени В cmd.exe выполните команду nslookup Далее в интерфейсе команды проверьте доступность узла KATA по своему доменному имени <Доменное имя сервера KATA>@<Имя домена> Добавьте узел KATA в список сайтов Local Intranet локально через групповые политики. Обязательно укажите адрес “Central Node” и выставьте “Значение” . Имя значения – https://kata-cn-7.sales.lab Значение – “1” Нажмите “OK” Нажмите “Применить” Win+R → gpedit.msc Local Computer Policy → Computer Configuration → Administrative Templates → Windows Components → Internet Explorer → Internet Control Panel → Security Page Конфигурация компьютера → Административные шаблоны → Компоненты Windows → Internet Explorer → Панель управления браузером → Вкладка Безопасность → Список назначений зоны веб-сайтов Примените произведённые изменения в групповых политиках. Запустите cmd.exe с правами администратора В cmd.exe выполните команду gpupdate /force Убедитесь, что данные доменного аккаунта созданного в KATA совпадают с данными, введёнными при авторизации на рабочем устройстве. KATA Domain Account = Windows Domain Account Войдите на web-интерфейс сервера KATA без ввода учётных данных. В строке браузера введите https://kata.domain.name:8443 Как настраивать исключения в Kaspersky Anti Targeted Attack Platform (KATA) для всех интеграций В KATA исключения нужны, чтобы снизить шум (false positive) и “нормализовать” легитимные объекты/активности: файлы и ссылки, IDS/TAA детекты, ICAP-трафик, NDR-сетевые взаимодействия, а также трафик для изолированных хостов. Важно: исключения — это изменение логики детектирования/регистрации. По возможности сначала делайте точечные исключения (по адресу/подсети/конкретному SID/условию), а не “глобальные” отключения целых классов проверок. Примечание. Материал подготовлен для AntiAPT Community и предназначен для практического понимания принципов работы. Он не заменяет официальную документацию вендора. Содержание 1. Исключения из проверки (Scan) — для файлов/URL из всех интеграций 2. IDS-исключения — исключение правил обнаружения вторжений 3. TAA (IOA)-исключения — исключение правил поведенческой аналитики 4. ICAP-исключения — исключение ICAP-данных из проверки 5. Разрешающие правила для событий NDR — “allow list” сетевых взаимодействий 6. Исключения из правила сетевой изоляции Endpoint Agent 1) Исключения из проверки (Scan) — для файлов/URL из всех интеграций Этот список влияет на проверку объектов, поступающих на анализ (файлы/URL/почтовые атрибуты и т. п.) — и, как правило, является самым “универсальным” способом сделать исключение, которое будет работать независимо от источника (интеграции). Где настраивается: Параметры → Исключения → вкладка “Проверка” . 1.1. Просмотр таблицы исключений из проверки Откройте Параметры → Исключения . Перейдите на вкладку Проверка . Отобразится таблица со списком данных, которые KATA будет считать безопасными и не будет создавать для них обнаружения. В таблице обычно используются столбцы Критерий и Значение , а фильтрация делается через заголовки столбцов. 1.2. Добавление правила исключения из проверки Откройте Параметры → Исключения → Проверка . Нажмите Добавить (обычно в правом верхнем углу). В окне Новое правило выберите Критерий . Доступные критерии: MD5 — исключение по MD5-хешу файла. Формат — исключение по формату (например, MSOfficeDoc). Маска URL — исключение по шаблону URL. Адрес получателя / Адрес отправителя — исключения по e-mail. IP или подсеть источника / IP или подсеть назначения . Агент пользователя — User-Agent HTTP-запросов. Как заполнять “Значение”: Формат: выбирается из списка. MD5: указывается хеш. Агент пользователя: строка User-Agent. IP/подсеть: адрес или подсеть (пример: 255.255.255.0 — как пример маски). E-mail: адрес отправителя/получателя. Маска URL: поддерживаются спецсимволы: * — любая последовательность символов (пример: *abc* ) ? — любой один символ (пример: example_123?.com ) Если * или ? являются частью реального URL, используйте экранирование \ , например: virus.dll\?virus_name= В полях для URL и e-mail допускаются домены с кириллицей — они будут преобразованы в Punycode. Нажмите Добавить . Правило появится в списке исключений из проверки. 1.3. Изменение правила исключения из проверки Параметры → Исключения → Проверка . Выберите правило. В окне Изменить правило скорректируйте Критерий и/или Значение . Нажмите Сохранить . 1.4. Удаление правил из списка исключений Параметры → Исключения → Проверка . Отметьте флажками правила (или выберите все). Нажмите Удалить внизу окна. Подтвердите удаление. 1.5. Экспорт списка исключений Параметры → Исключения → Проверка . Нажмите Экспортировать . Скачается JSON-файл со списком исключений. 1.6. Фильтрация/поиск в таблице исключений Фильтрация по критерию: используйте фильтры по заголовкам столбцов в таблице, чтобы оставить нужный Критерий . Поиск по значению: откройте фильтрацию по столбцу Значение , введите часть строки и примените фильтр. Сброс фильтра: нажмите “крестик/удалить” в заголовке того столбца, для которого задано условие фильтрации, и повторите для остальных условий. 2) IDS-исключения — исключение правил обнаружения вторжений IDS-исключения используются, если вы хотите, чтобы KATA не создавала алерты по определенным IDS-правилам. При этом логика работы IDS/НDR зависит от сценария; в ряде случаев удобнее сделать точечную “разрешающую” логику именно через NDR allow rules (см. раздел 5), если нужно “разрешить” конкретный источник/назначение. Где настраивается: Параметры → Исключения → вкладка “IDS” . 2.1. Добавление IDS-правила в исключения (через алерт) Откройте раздел Алерты . Отфильтруйте алерты по технологии (IDS) Intrusion Detection System через фильтр в столбце “Технологии”. При необходимости дополнительно отфильтруйте по важности. Выберите алерт, у которого в поле “Обнаружено” видно нужное IDS-правило. В карточке алерта в блоке Рекомендации → Оценка выберите Добавить в исключения . В окне добавления укажите Описание и нажмите Добавить . 2.2. Редактирование описания IDS-правила в исключениях Параметры → Исключения → IDS . Выберите правило — откроется окно с информацией. Нажмите Изменить , отредактируйте Описание , сохраните. 2.3. Удаление IDS-правил из исключений Удалить одно правило: Параметры → Исключения → IDS . Выберите правило. Нажмите Удалить и подтвердите. Удалить несколько/все правила: Параметры → Исключения → IDS . Отметьте флажками нужные правила (или все). Нажмите Удалить в панели управления (обычно снизу) и подтвердите. 3) TAA (IOA)-исключения — исключение правил поведенческой аналитики TAA-исключения применяются к правилам TAA (IOA), чтобы не создавать алерты по “нормальному” для вашей инфраструктуры поведению. Режимы исключения: Исключать всегда — KATA не отмечает события как соответствующие правилу и не создает алерты по этому правилу. Исключать по условию — исключение действует только на события, подходящие под заданный поисковый запрос/условие; остальные события продолжают детектироваться. Распределенное решение (PCN/SCN) и типы исключений: исключения могут быть локальными (созданы на SCN и действуют на хосты этого SCN) и глобальными (созданы на PCN и распространяются на PCN и все подключенные SCN). Для каждого TAA-правила можно создать только одно локальное или глобальное исключение; если исключения есть и на SCN, и на PCN — применяются параметры PCN. Где настраивается: Параметры → Исключения → вкладка “TAA (IOA)” . 3.1. Добавление правила TAA (IOA) в исключения Откройте раздел Алерты . Выберите событие. В области Результаты проверки нажмите на название сработки. >В области Исключение TAA (IOA) нажмите на Добавить в исключения . Выберите режим: Исключать всегда , или Исключать по условию — задайте поисковый запрос/условие. Сохраните исключение. 3.2. Просмотр и удаление TAA-исключения Параметры → Исключения → TAA (IOA) . Выберите правило, чтобы посмотреть параметры исключения. Для удаления используйте Удалить (с подтверждением). 4) ICAP-исключения — исключение ICAP-данных из проверки ICAP-исключения позволяют задать список ICAP-данных, которые KATA не будет проверять . Какие данные можно исключать (критерии): Формат Агент пользователя MD5 Маска URL IP или подсеть источника Распределенное решение: ICAP-исключения, созданные на SCN, распространяются на компоненты Sensor, подключенные к этому SCN. ICAP-исключения, созданные на PCN, распространяются на SCN на одном устройстве с PCN и на все Sensor, подключенные к этому SCN. Где настраивается: Параметры → Исключения → вкладка “ICAP” . 4.1. Добавление правила в ICAP-исключения Параметры → Исключения → ICAP . Нажмите Добавить . Выберите Критерий (формат/UA/MD5/маска URL/IP или подсеть источника). Заполните Значение и нажмите Добавить . 4.2. Изменение и выключение правила ICAP-исключений Изменить правило: Параметры → Исключения → ICAP . Выберите правило → откроется окно Изменить правило . Измените Состояние , Критерий и/или Значение . Нажмите Сохранить . Выключить правило: Параметры → Исключения → ICAP . В столбце Состояние переведите переключатель нужного правила в Выключено . Подтвердите действие. 4.3. Удаление правила ICAP-исключений Параметры → Исключения → ICAP . Выберите правило. Нажмите Удалить и подтвердите. 4.4. Фильтрация и поиск по ICAP-исключениям В списке ICAP-исключений поддерживаются: Фильтрация по критерию Фильтрация по значению Фильтрация по состоянию (включено/выключено) Сброс условий фильтрации 5) Разрешающие правила для событий NDR — allow list сетевых взаимодействий KATA может отслеживать сетевые взаимодействия устройств. Для определения разрешенных взаимодействий используются разрешающие правила (allow rules). Все взаимодействия, удовлетворяющие действующим разрешающим правилам, считаются разрешенными — KATA не регистрирует события NDR и не создает алерты по таким взаимодействиям. Где настраивается: Параметры → вкладка “Разрешающие правила” . 5.1. Создание разрешающего правила (пустое или по шаблону) Откройте Параметры → Разрешающие правила . Нажмите Добавить правило . (Опционально) Нажмите Использовать шаблон , выберите шаблон и примените. В поле Протокол выберите нужный протокол в дереве стека протоколов (доступен поиск), подтвердите ОК . (Опционально) Заполните Комментарий . В блоках Сторона 1 и Сторона 2 укажите адресную информацию (в зависимости от протокола это может быть MAC, IP и/или порт). При наличии адресных пространств можно указывать имена пространств. (Опционально) Для авто-заполнения адресов нажмите ссылку Указать адреса устройств , отметьте устройства и подтвердите ОК . В поле Тип события выберите тип события (код события, используемый в событиях). В поле Точка мониторинга выберите имя точки мониторинга. (Опционально) Если нужно не проверять такие соединения по конкретному системному правилу IDS, укажите SID системного правила IDS . Если SID не указан — отключается проверка по всем системным IDS-правилам для подпадающих взаимодействий. Нажмите Сохранить . 5.2. Создание разрешающего правила на основе зарегистрированного события Откройте раздел События в трафике сети . Выберите событие. В области деталей нажмите Создать разрешающее правило . При необходимости поправьте параметры и нажмите Сохранить . 5.3. Копирование разрешающего правила Параметры → Разрешающие правила . Выберите правило → контекстное меню (ПКМ) → Копировать правило . Отредактируйте параметры и сохраните. 5.4. Изменение параметров разрешающего правила Изменять можно только включенные правила; для выключенных редактирование недоступно. Параметры → Разрешающие правила . Выберите правило → нажмите Изменить . Скорректируйте поля и нажмите Сохранить . 5.5. Включение и выключение разрешающих правил Параметры → Разрешающие правила . Выберите одно или несколько правил. Нажмите Включить или Выключить . 5.6. Удаление разрешающих правил Параметры → Разрешающие правила . Выберите правила → нажмите Удалить . Подтвердите действие (варианты подтверждения зависят от того, включены правила или нет). 6) Исключения из правила сетевой изоляции Endpoint Agent Если хост изолирован от сети (сетевой изоляцией через Endpoint Agent), можно точечно разрешить трафик к конкретным IP и портам через исключение в правиле изоляции. Где настраивается: Активы → Endpoint Agents → карточка хоста . 6.1. Добавление исключения в правило сетевой изоляции Откройте Активы . Перейдите на вкладку Endpoint Agents (таблица хостов). Выберите изолированный хост, для которого нужно исключение. По ссылке Добавить в исключения раскройте блок параметров исключений. Выберите направление трафика : Входящее/Исходящее Входящее Исходящее В поле IP укажите IP-адрес, трафик к которому/от которого не должен блокироваться. Если выбрано “Входящее” или “Исходящее”, в поле Порты укажите порты подключения. Если нужно несколько исключений: нажимайте Добавить для добавления строк и в конце нажмите Сохранить . Руководство по интеграции с системой мониторинга Zabbix по протоколу SNMPv2 Руководство по интеграции с системой мониторинга Zabbix по протоколу SNMPv 2 В качестве приложения использовалась KATA Central Node версии 6.0.2, а в качестве системы мониторинга использовался Zabbix версии 6.4. Инструкция носит информационный характер и может отличаться от ваших действий.   Готовый шаблон Zabbix с элементами данных: https://box.kaspersky.com/d/179e900f0d29464eaa27/ Настройка со стороны Central Node Вы можете отправлять данные о загрузке центрального процессора и оперативной памяти серверов Central Node и Sensor во внешние системы, поддерживающие протокол SNMP . Для этого вам требуется настроить параметры соединения с протоколом. Если компонент Central Node развернут в виде кластера, во внешние системы отправляются данные о загрузке центрального процессора и оперативной памяти каждого сервера кластера. Чтобы настроить параметры соединения с протоколом SNMP на сервере Central Node: 1. В окне веб-интерфейса приложения выберите раздел Параметры , подраздел Общие параметры . 2. В блоке параметров SNMP установите флажок Использовать SNMP . 3. В поле Версия протокола выберите версию протокола: v2c. 4. В поле Строка сообщества укажите пароль, который будет использоваться для подключения к Kaspersky Anti Targeted Attack Platform. Параметры соединения с протоколом на сервере Central Node будут настроены. Подробнее: https://support.kaspersky.ru/kata/6.0/247539   Настройка со стороны Zabbix Установите пакет SNMP . На Debian подобных системах: sudo apt install snmp На  RHEL подобных системах: sudo yum install net-snmp   Запустите команду snmpwalk , чтобы проверить, что все работает. Синтаксис утилиты: snmpwalk -v [версия SNMP] -c [строка сообщества] [IP-адрес/имя хоста устройства] [OID или символьное имя]   OID ’ы и символьные имена описаны по ссылке: https://support.kaspersky.ru/kata/6.0/233730 Например, рассмотрим OID 1.3.6.1.4.1.2021.9.1.6, где: · 1.3.6.1.4.1.2021.9.1.6 – это часть OID, определяющая тип объекта (в данном случае, это OID для свойства «dskTotal», которое указывает на размер диска или тома в КБ). · В конце OID ’а должен указываться “ instance identifier ” или экземпляр данного объекта (в данном случае, это .1 или .2, которые соответствуют дискам / dev / sda 2 или / dev / sda 3). Таким образом, для объектов, имеющих несколько экземпляров, этот идентификатор позволяет получать данные для каждого отдельного элемента. OID’ ы имеющие единственный элемент будут иметь экземпляр .0. На скриншоте выше приведен ещё один пример, где предоставлены OID ’ы и значения средней загрузки системы ( load average ) в течении 1, 5 и 15 минут. Также использовался ключ - On , чтобы вывести цифровые идентификаторы, а не символьные имена.   Для дальнейшей настройки нас интересуют конкретные OID ’ы, так как Zabbix использует в своей работе утилиту snmpget . Основное различие, что SNMPGET извлекает значения для конкретных OID, в то время как SNMPWALK рекурсивно проходит по всему поддереву OID, начиная с указанного корневого OID, и извлекает значения для всех соответствующих объектов.   SNMPWALK обычно используется для обнаружения и сбора более широкого набора данных с устройства или для получения общего представления о доступной информации SNMP. SNMPGET же применяется для извлечения конкретных значений OID, когда известно точное расположение требуемых данных.   Далее в веб-консоли Zabbix необходимо добавить Узел сети: 1. Перейдите в раздел Сбор данных , подраздел Узлы сети . 2. Нажмите на кнопку Создать узел сети , укажите произвольное имя и группу узла сети. В разделе Интерфейсы нажмите кнопку Добавить и выберите SNMP . Далее укажите IP адрес узла сети (в данном случае, адрес Central Node ) и SNMP community (строка сообщества), если меняли его в Central Node . 3. После добавления узла, переходите в Элементы данных 4. Нажмите на кнопку Создать элемент данных , укажите произвольное имя, выберите тип SNMP агент , укажите ключ (уникальное значение в рамках одного хоста), определите тип информации и укажите SNMP OID . 5. Далее можете нажать кнопку Тест , чтобы проверить корректность введенных данных. По завершению нажмите кнопку Добавить . С этого момента Zabbix начнет запрашивать данные, согласно указанному интервалу обновления. 6. Добавьте по аналогии нужные элементы данных. Руководство по выгрузке базы событий KATA || EDR Примечение: данная статья является примером реализации сбора дампа событии Примечание: все действия выполняются в Technical Support Mode под учетной записью root 1. Подключаемся по SSH к серверу KATA CN. Далее выбираем пункт Technical Support Mode 2. В открывшейся командной строке необходимо выполнить следующие команды. Сделайте его исполняемым: sudo –i Необходимо будет снова ввести пароль . 3. Далее формируем дамп базы. Последовательно выполняем следующие команды. docker exec $(docker ps -qf name=postgresql_server) /bin/bash -c "su - postgres -c \"pg_dump -Fc antiapt > /tmp/<имя файла>.bak\"" docker cp $(docker ps -qf name=postgresql_server):/tmp/<имя файла>.bak /tmp/ logout 4. Далее необходимо подключиться к серверу KATA, используя SFTP-клиент (например, WinSCP) и забрать файл из директории /tmp Настройка приёма SPAN-трафика на Central Node и Sensor Руководство по настройке KATA/NDR 7.1 Информация:  Приведенная на данной странице информация, является разработкой команды pre-sales и/или AntiAPT Community и НЕ является официальной рекомендацией вендора. Версия решения: 7.1 Тип инструкции: Настройка источников данных SPAN Важно! Интеграция в локальную сеть позволяет получать и анализировать зеркалированный трафик SPAN, ERSPAN и RSPAN. Извлекаются объекты и метаданные HTTP, HTTP2, FTP, SMTP, DNS, SMB и NFS протоколов. Зеркалируемый трафик перенаправляется с одного порта коммутатора на другой (локальное зеркалирование) или на удаленный коммутатор (удалённое зеркалирование). Администратор сети выбирает, какую часть трафика направлять в Kaspersky Anti Targeted Attack Platform. Kaspersky Anti Targeted Attack Platform принимает зеркалированный трафик от агрегирующих устройств, таких как брокеры сетевых пакетов и сетевые отводы (Network tap). Фильтрация трафика, поступающего через эти устройства, влияет на аппаратные требования платформы. Для точного определения этих требований рекомендуется провести пилотное тестирование. 1. Подготовка 1.1. Обязательные условия Перед настройкой приёма SPAN-трафика убедитесь, что: - ✅ Установлена и настроена Central Node - ✅ Активирована одна из лицензий: KATA , NDR или KATA/NDR - ✅ Добавлен дополнительный сетевой интерфейс , на который будет подан SPAN. (кроме Management) - ✅ Интерфейс находится в состоянии «Не инициализирован» (при подаче ESRPAN указывается IP адрес) - ✅ Имеется доступ к веб-интерфейсу под учётной записью ` admin ` 1.2. Лицензии и функциональность Лицензия Требуется для KATA Анализ периметра сети: сетевая песочница (Network Sandbox), пограничный IDS, анализ SMTP/ICAP-трафика NDR Защита внутренней сети: NTA-анализ, ретроспективный поиск, выявление горизонтального перемещения, **запись и хранение SPAN-трафика** KATA/NDR Комбинированный функционал: защита периметра + внутренней сети 🔎 Подробное описание функционала 🔹KATA - Обеспечивает защиту периметра IT-инфраструктуры - Включает сетевую песочницу (Network Sandbox) — автоматическую проверку подозрительных объектов - Реализует функции пограничного IDS - Поддерживает анализ трафика от почтовых шлюзов (SMTP), прокси и NGFW (ICAP) - Позволяет анализировать трафик на границе сети 🔹NDR (Network Detection and Response) - Предназначен для обнаружения сложных атак во внутренней сети - Выполняет глубокий анализ сетевого трафика (NTA) : - Построение карты сетевой активности - Выявление скрытых C2-каналов - Обнаружение горизонтального перемещения злоумышленника - Ретроспективный анализ событий за весь период хранения данных - Записывает и хранит обрабатываемый SPAN-трафик - Использует правила IDS для детектирования аномалий во внутреннем трафике - Интегрируется с EDR-агентами для корреляции событий 🔹KATA/NDR - Объединяет возможности KATA и NDR - Позволяет одновременно защищать периметр и внутреннюю сеть - Центральный узел может принимать данные как от периметровых источников, так и от Sensor, анализирующих внутренний трафик - Поддерживает единый интерфейс управления, корреляцию событий между периметром и внутренней сетью ⚠️ ВАЖНО: - Без активации соответствующей лицензии функционал приёма и обработки SPAN-трафика будет недоступен . - Для записи и хранения сырого трафика требуется лицензия NDR или KATA/NDR . 💡 Рекомендация: - Для оптимальной работы лучше выбрать комбинированную лицензию KATA/NDR . Она позволяет контролировать как периметр, так и внутреннюю сеть. 1.3. Сетевые требования Данный пункт описывает процесс настройки Central Node для анализа копии трафика, поданного с внутреннего или внешнего сегмента сети. ⚠️ ВАЖНО: - Для включения анализа сетевого трафика обязательно должен быть добавлен дополнительный интерфейс. ℹ️ Примечание: - В версию KATA 7.1 добавлена возможность записи, хранения и выгрузки копий сырого сетевого трафика. В данном документе этот функционал описан не будет, только настройка приема SPAN. Детально по данному функционалу можно ознакомиться в онлайн документации . Добавить! 🔹Минимальные и максимальные требования к объёму SPAN-трафика Конфигурация Минимальный объём SPAN-трафика Максимальный объём SPAN-трафика Физический сервер + выделенный Sensor 100 Мбит/с 10 000 Мбит/с Виртуальная платформа + выделенный Sensor 100 Мбит/с 4 000 Мбит/с Central Node со встроенным Sensor (Embedded Sensor) 100 Мбит/с 1 000 Мбит/с ℹ️ Пояснение: - Значение 100 Мбит/с указано как рекомендуемый порог , используемый при сайзинге и проектировании. - Это значение не является жёстким ограничением , а служит ориентиром для расчёта ресурсов. - При объёмах ниже 100 Мбит/с сайзинг не изменяется — аппаратные требования остаются теми же. 🔹Масштабирование через распределённую архитектуру Если объём SPAN-трафика превышает возможности одной инсталляции: - На виртуальной платформе: максимум 4000 Мбит/с на одну Central Node с Sensor - На физической платформе: максимум 10 000 Мбит/с на одну Central Node с Sensor Примечание: Количество сенсоров, подключенных к одному центральному узлу, ограничено только общим объемом поступающего на них трафика SPAN.  При необходимости обработать больший объём: 1. Разделите трафик между несколькими независимыми инсталляциями 2. Используйте физическую платформу 3. Объедините инсталляции в иерархическую структуру (PCN + SCN) 📘 Подробнее: Распределённое решение и мультитенантность 1.4. Проверка настройки функционала обработки SPAN-трафика 1. Перейдите в веб-интерфейс Central Node под учётной записью ` admin `. 2. Перейдите: Конфигурация серверов . 3. Проверьте, что в поле « SPAN-трафик, Мбит/с » указан общий объем планируемого к обработке трафика со SPAN-портов. 📌 ВАЖНО: - В этом поле указывается общий объём SPAN-трафика , который обрабатывается как на Central Node , так и на вынесенных отдельно Sensor . Внимание: Если вы не собираетесь использовать KATA и/или NDR, все равно рекомендуется указать объем обрабатываемого SPAN-трафика. Минимальный объем — 10. Это обеспечит корректную работу и логическую связность микросервисов в системе. 📸 Скриншот 1: Экран " Конфигурация серверов " с полями: Количество Endpoint Agents, Почтовый трафик, SPAN-трафик Пример заполнения: На Central Node подается SPAN на выделенный интерфейс с объемом 500 Mbps и есть выделенный Sensor, который получает SPAN объемом 1.5 Gbps . Настройка: В поле «SPAN-трафик, Мбит/с» укажите: 2000 ✅ Это суммарный объём трафика, обрабатываемый всей системой. 4. Перейдите в раздел “ Параметры → Лицензия ”. 5. Убедитесь, что активирована лицензия NDR или KATA/NDR . 📸 Скриншот 2: Экран " “ Параметры → Лицензия ”. 1.5. Настройка объёма обрабатываемого трафика ⚠️ Обязательно выполните эти настройки , если на узле (CN или Sensor) получен SPAN. Через SSH-консоль: 1. Подключитесь к Central Node или Sensor по SSH под учётной записью ` admin `. (в зависимости от того, куда подан SPAN) 2. Перейдите: Program settings → Configure storage . 4. Установите значение, соответствующее вашему объёму SPAN-трафика, согласно таблице: Объём SPAN-трафика File storage, MB Hot ring, MB 10000 Мбит/с 80000 10240 7000 Мбит/с 64000 8192 4000 Мбит/с 32000 1024 2000 Мбит/с 16000 1024 1000 Мбит/с 8000 1024 Примечание: это размер разделов tmpfs , где обрабатывается и хранится трафик. ВАЖНО! Настройки хранилища на Central Node или Sensor учитывают только трафик, обрабатываемый Central Node или Sensor , и выполняется на каждом узле отдельно. Однако настройки SPAN в конфигураторе сервера в веб-интерфейсе учитывают весь трафик, обрабатываемый Central Node , и все подключенные внешние Sensor . 📌 Примечание: - Если объём данных меньше указанного в таблице — выбирайте минимальное значение. - Если объём находится между двумя значениями — выбирайте максимальное . 💡 ВАЖНО: Эти настройки обязательны для Central Node и выделенного Sensor , независимо от того, где был подан SPAN-трафик. 1.6. Выбор протоколов для анализа 🔍 Цель: настроить получение трафика только по нужным протоколам. Через SSH-консоль: 1. Подключитесь к узлу ( Central Node или Sensor ) по SSH . 2. Перейдите: Program settings → Configure traffic capture → Setup capture protocols . 4. Выберите протоколы, которые нужно анализировать: - По умолчанию включены все, кроме HTTP2 . - Чтобы включить/отключить протокол — нажмите Enter на строке. 5. Нажмите Apply and finish . ✅ Сетевые протоколы для получения SPAN-трафика будут выбраны. 2. Включение функционала обработки SPAN 2.1. Добавление дополнительного интерфейса на Central Node 1. Войдите в веб-интерфейс Central Node под учётной записью ` admin `. 2. Перейдите: Параметры → Сетевые параметры → Сетевые интерфейсы . 3. Убедитесь, что добавлен дополнительный интерфейс и он находится в состоянии «Не инициализирован» . 📸 Скриншот 3: Экран " Сетевые интерфейсы " Примечание: ERSPAN -трафик передаётся исключительно на IP-адрес получателя (не на конкретный интерфейс), при этом тип принимающего интерфейса может быть любым. Важно правильно указать IP-адрес назначения, так как именно он определяет маршрут доставки зеркалированного трафика через GRE-туннель. 2.2. Добавление дополнительного интерфейса на Sensor Через SSH-консоль: 1. Подключитесь к узлу Sensor по SSH . 2. Перейдите: Network settings → Interface configuration . 📸 Скриншот 4: Экран " Сетевые интерфейсы " Важно! Данная настройка относится к компоненту Sensor, используемого для обработки SPAN-трафика. 2.3. Настраиваем объем обрабатываемого SPAN непосредственно на Sensor Пояснение: Данная настройка относится к компоненту Sensor, используемого для обработки SPAN-трафика. Через SSH-консоль: 1. Подключитесь к узлу Sensor по SSH . 2. Перейдите: Program settings → Configure traffic capture . 3. Укажите объем анализируемого сетевого трафика в разделе " Traffic capture bandwidth (Mbps) ". Объем должен быть указан в мегабитах в секунду. 📸 Скриншот 5: Экран " Сетевые интерфейсы " Важно! В этом разделе показан общий объем SPAN-трафика, обработанного данным сенсором. Например: сенсор может получать SPAN-трафик с нескольких источников одновременно через разные интерфейсы, подключенные к нему. 2.4. Создание точки мониторинга 🔍 Цель: создать точку мониторинга для приёма SPAN-трафика. 1. Перейдите: Серверы Sensor . 2. Найдите интерфейс в состоянии «Не инициализирован» , предназначенный для приёма SPAN. 3. Нажмите «Добавить точку мониторинга» на этом интерфейсе. 📸 Скриншот 6: Кнопка " Добавить точку мониторинга " 4. В открывшемся окне укажите: - Имя точки мониторинга (например, ` SPAN_Internal `) 5. Нажмите «Добавить точку мониторинга» . 📌 Примечание: - Точки мониторинга можно включать и выключать для временного прекращения наблюдения за сегментом сети. Внимание: Эта настройка одинакова для Central Node и Sensor . 2.5. Включение обработки трафика 1. После создания точки мониторинга откроется её экран. 2. Убедитесь, что в разделе «Режим» указано состояние «Выключен» . 3. Нажмите кнопку «Включить» . 📸 Скриншот 7: Окно точки мониторинга с кнопкой " Включить " ✅ Режим обработки SPAN-трафика перейдёт в активное состояние . 2.6. Проверка поступления трафика 1. Перейдите: Мониторинг → Обработано . 2. Выберите источник: SPAN . 3. Укажите тип отображения: - Текущая загрузка - Выбранный период (настраивается в правом верхнем углу) 📸 Скриншот 8: График нагрузки по SPAN-трафику ✅ Если SPAN-трафик подаётся на интерфейс, вы увидите график по нагрузке. 💡 Примечание: Данные по обнаруженным аномалиям и угрозам будут отображаться в веб-интерфейсе только под учётной записью «Офицера безопасности» . 3. Подключение и настройка внешнего хранилища 3.1. Настройка внешнего хранилища на Central Node 🔍Цель: настроить хранение дампов трафика на внешнем хранилище. 1. На узле с Central Node подключите диск ≥100 ГБ . 2. Подключитесь по SSH и выполните: sudo -i fdisk -l # убедитесь, что диск виден (например, /dev/sdb) 📸 Скриншот 9: Пример вывода команд mke2fs -t ext4 -L DATA -m 0 /dev/sdb 📸 Скриншот 10: Пример вывода команд echo "/dev/sdb /data/volumes/dumps/ ext4 defaults 0 0" >> /etc/fstab 📸 Скриншот 11: Пример вывода команд mount rm -rf /data/volumes/dumps/* chown kluser:klusers /data/volumes/dumps/ 📸 Скриншот 12: Пример вывода команд 3. Убедитесь, что напротив имени подключенного диска в столбце MOUNTPOINTS отображается значение /data/volumes/dumps . chown kluser:klusers /data/volumes/dumps/ ls -lah /data/volumes/dumps/ lsblk 📸 Скриншот 13: Пример вывода команд 4. Перезапустить работу контейнера preprocessor_span : docker service update kata_product_main_1_preprocessor_span --force docker ps | grep preprocessor_span 5. Убедитесь, что напротив имени подключенного диска в столбце MOUNTPOINTS отображается значение /mnt/kaspersky/nta/dumps . docker exec -it $(docker ps | grep preprocessor_span | awk '{print $1}') bash lsblk 📸 Скриншот 14: Пример вывода команд 6. Войдите в веб-интерфейс приложения под учетной записью ' admin '. 📸 Скриншот 15: Раздел " Серверы Sensor " 7. В веб-интерфейсе: Серверы Sensor → Изменить → Внешнее хранилище 5. Включите: «Подключить внешнее хранилище для файлов дампа трафика» 📸 Скриншот 16: Раздел " Серверы Sensor " 6. Укажите: - Максимальный объём (в ГБ) - Ограничение времени хранения (в днях) - BPF-фильтр (например: `tcp port 102 or tcp port 502`) 7. Нажмите «Сохранить» . 📌 Примечание: Сырой трафик записывается в ` /mnt/kaspersky/nta/dumps `, но просматривается и выгружается из `/data/volumes/dumps` . 3.2. Настройка внешнего хранилища на Sensor 1. На узле с Sensor подключите диск ≥100 ГБ . 2. Подключитесь по SSH и выполните: sudo -i fdisk -l # убедитесь, что диск виден (например, /dev/sdb) 📸 Скриншот 17: Пример вывода команд mke2fs -t ext4 -L DATA -m 0 /dev/sdb 📸 Скриншот 18: Пример вывода команд echo "/dev/sdb /data/volumes/dumps/ ext4 defaults 0 0" >> /etc/fstab 📸 Скриншот 19: Пример вывода команд 3. Закройте текстовый редактор и выполните команду: rm -r /data/volumes/dumps/* 📸 Скриншот 20: Пример вывода команд 6. Войдите в веб-интерфейс приложения под учетной записью ' admin '. 📸 Скриншот 21: Раздел " Серверы Sensor " 7. В веб-интерфейсе: Серверы Sensor → Изменить → Внешнее хранилище 📸 Скриншот 22: Раздел " Серверы Sensor " 5. Включите: «Подключить внешнее хранилище для файлов дампа трафика» 6. Укажите: - Максимальный объём (в ГБ) - Ограничение времени хранения (в днях) - BPF-фильтр (например: `tcp port 102 or tcp port 502`) 7. Нажмите «Сохранить» . 📌 Примечание: Сырой трафик записывается в ` /mnt/kaspersky/nta/dumps `, но просматривается и выгружается из `/data/volumes/dumps` . 4. Проверка работы выгрузки дампов трафика 4.1. Выгрузка дампов трафика 🔍 Цель: скачать дамп трафика для анализа. 1. Авторизуйтесь под УЗ «Офицера безопасности» . 2. Перейдите: Серверы Sensor → Выбрать Sensor → Скачать трафик . 📸 Скриншот 23: Раздел " Серверы Sensor " 3. Укажите: - Период - Максимальный размер дампа - Точки мониторинга - BPF-фильтр - Регулярное выражение (например: `^test.+xABxCD`) 📸 Скриншот 24: Раздел " Серверы Sensor " 4. Нажмите «Скачать» → файл в формате PCAP начнёт загрузку. 📌 Полезные ссылки Официальная документация Kaspersky Настройка SPAN-трафика (онлайн) Распределённое решение и мультитенантность Kaspersky на YouTube Kaspersky на Rutube Полная инструкция по NDR и Sensor ✅ Настройка приёма SPAN-трафика завершена! Теперь Central Node и/или Sensor: Принимает зеркалированный трафик Анализирует выбранные протоколы Отображает статистику в реальном времени Готов к детектированию угроз во внутренней сети При необходимости — записывает и позволяет выгружать дампы KATA & KEDR v.7.1.х Astra Edition: Инструкция по подготовке ISO образа на Astra Linux Введение Инструкция описывает процесс подготовки установочного образа диска с компонентами Central Node, Sensor и Sandbox на основе ОС Astra Linux Special Edition версии 1.8.1.16. Подготовка окружения 1.1. Аппаратные требования и поддерживаемые платформы Минимальные аппаратные требования к устройству, на котором будет происходить создание iso-образа Устройство (ВМ/Сервер/АРМ с установленной ОС семейства Linux) должно удовлетворять следующим минимальным требованиям: • CPU: 4 ядра, частота от 2500 МГц • RAM: 8 ГБ. • Объем свободного места на диске: 200 ГБ (чистое свободное место, без учета занимаемого места ОС) • Места должно быть достаточно либо в /var либо в /home Требования к программному обеспечению: • Операционная система на базе актуального ядра Linux. • Docker версии 20 и выше. • Наличие iso-образа операционной системы Astra Linux Special Edition версии 1.8.1.16 • Python не ниже 3.11 Kaspersky Anti Targeted Attack Platform не поддерживает работу с другими версиями операционной системы Astra Linux. 1.2. Загрузка дистрибутивов Дистрибутивы Central Node/Sensor/Sandbox на OS Astra Linux передаются пользователю по запросу в Лабораторию Касперского. В открытом доступе доступны дистрибутивы только для Endpoint Agent. Дистрибутив Astra Linux Special Edition версии 1.8.1.16 загружается с сайта производителя ОС, из личного кабинета пользователя: https://lk.astra.ru/product/7/iso-images Порядок загрузки: Перейдите в раздел Продукты - Выберите ALSE - Дистрибутивы - x86_64 - 1.8/Дистрибутивы - Расширенный репозиторий – загрузите installation-1.8.1.6-27.06.2024_14.12.iso 1.3 Подготовка установочного образа диска с компонентами Central Node, Sensor и Sandbox Процедура подготовки программных компонентов Выполните шаги по установки программы в следующей последовательности: Установите Docker версии 20 и выше если он не установлен; Загрузите из комплекта поставки дистрибутивы компонентов Central Node и Sensor, Sandbox и ISO builder; Создайте файл iso_builder.sh; Запустите сборку дистрибутива; Установка компонентов Docker Проверьте наличие установленной версии Docker на вашей ВМ. Для проверки используйте команду: systemctl status docker.service Если компонент Docker не установлен, то установите его. Установка Docker на Ubuntu (deb) Обновите существующий список пакетов: sudo apt update Установите docker: sudo apt-get install docker-ce docker-ce-cli containerd.io docker-buildx-plugin docker-compose-plugin Проверьте корректность установки: sudo systemctl status docker docker –version или docker -v Для Astra Linux 1.7.х воспользуйтесь инструкцией по установке Docker https://wiki.astralinux.ru/pages/viewpage.action?pageId=158601444 До момента обращения к хабу контейнеров и загрузке контейнера hello world Для Astra Linux 1.8.х воспользуйтесь инструкцией по установке Docker (т.к. оф.инструкции еще не опубликована на Wiki Astra) https://pixelfed.nbics.net/books/docker/page/ustanovka-docker-na-astra-linux-se-181 Установка Docker на Astra Linux Обновите существующий список пакетов: apt update && apt upgrade Установите docker: sudo apt-get install apt-transport-https ca-certificates curl gnupg2 curl -fsSL https://download.docker.com/linux/debian/gpg | sudo apt-key add - echo "deb [arch=amd64] https://download.docker.com/linux/debian stretch stable" | sudo tee -a /etc/apt/sources.list sudo apt update sudo apt install docker-ce Проверьте корректность установки: sudo systemctl status docker docker –version или docker -v Установите docker-compose: sudo curl -L https://github.com/docker/compose/releases/download/2.24.0/docker-compose-Linux-x86_64 -o /usr/local/bin/docker-compose sudo chmod +x /usr/local/bin/docker-compose Проверьте корректность установки: docker-compose --version Установка Docker на CentOS Чтобы установить последнюю версию, запустите: sudo yum install docker-ce docker-ce-cli containerd.io docker-buildx-plugin docker-compose-plugin Запустите Докер. sudo systemctl start docker Проверьте корректность установки: sudo systemctl status docker docker –version или docker -v 2 Создание дистрибутива KATA Astra Edition Убедитесь, что раздел VAR не менее 200GB. Или раздел HOME не менее 200GB. Создайте папку командой: mkdir /var/kata_builder Создайте файл iso_builder.sh Создайте файл iso_builder.sh в созданном каталоге командой touch iso_builder.sh Откройте созданный файл текстовым редактором, например nano или vi: nano iso_builder.sh Вставьте следующий текст: #!/bin/bash usage="Builds the KATA install ISO. Usage: $(basename "$0") [-h] source_iso distribution iso_builder_image build target_iso_name where: -h, --help - show this text and exit source_iso - absolute path to the source OS ISO file distribution - absolute path to the KATA distribution archive iso_builder_image - absolute path to the iso_builder docker image build - absolute path to a temporary build directory target_iso_name - absolute path to the resulting ISO file " if [ "$#" -eq 0 ] || [ "$1" == "-h" ] || [ "$1" == "--help" ] then echo "$usage"; exit 10; fi if [ "$#" -lt 5 ] then echo "Error: not enough arguments. Please, refer the help text."; exit 11; fi docker load -i $3 docker run -v $1:$1 -v $2:$2 -v $4:/build kaspersky/kata/deployment/iso_builder:6.0 --source-iso-uri file://$1 --kata-distribution-uri file://$2 --target-iso-name $5 Сохраните изменения в файле. Или скачайте готовый файл скрипта: https://box.kaspersky.com/d/434ba09e3e464c9497d4/ Назначьте скрипту права на выполнение chmod +x ./iso_builder.sh Загрузите из комплекта поставки дистрибутивы и поместите их в созданную папку: Дистрибутив Central Node и Sensor - имя kata-cn-distribution-7.1.1.531-x86_64_en-ru-zh.tar.gz, Дистрибутив компонента Sandbox - имя kata-sb-distribution-7.1.0.530-x86_64_en-ru-zh.tar.gz Дистрибутив iso-builder - имя iso-builder-7.1.1.531-x86_64_en-ru-zh.tar iso-образ Astra Linux Special Edition версии 11.8.1.6- имя installation-1.8.1.6-27.06.2024_14.12.iso Загруженный образ Astra Linux Special Edition необходимо переименовать в astra-installation.iso это обязательное требование работы билдера. Примечание: Если в созданную директорию вы не можете загрузить дистрибутивы, то измените права на созданную директорию или загрузите сначала в tmp, а затем перенесите файлы командой mv в необходимую директорию, например: mv /tmp/ kata-cn-distribution-7.1.1.531-x86_64_en-ru-zh.tar.gz /var/kata_builder Выполните команду подготовки образа диска с компонентами Central Node и Sensor sudo ./iso_builder.sh /var/kata_builder/astra-installation.iso /var/kata_builder/kata-cn-distribution-7.1.1.531-x86_64_en-ru-zh.tar.gz /var/kata_builder/iso-builder-7.1.1.531-x86_64_en-ru-zh.tar /var/kata_builder buildCNSensorAstra.iso (одной строчкой) Начнется процесс формирования образа, он занимает продолжительное время. По завершению процедуры, отобразится информация о выполнении операции: «buildCNSensorAstra.iso completed successfully». Можно перейти к следующему шагу – подготовке ISO SandboxAstra. Если вы подготавливаете образ диска с компонентом Sandbox, выполните команду: sudo ./iso_builder.sh /var/kata_builder/astra-installation.iso /var/kata_builder/kata-sb-distribution-7.1.0.530-x86_64_en-ru-zh.tar.gz /var/kata_builder/iso-builder-7.1.1.531-x86_64_en-ru-zh.tar /var/kata_builder buildSandboxAstra.iso После выполнения команд установочный образ диска с компонентами Central Node и Sensor с именем buildCNSensorAstra.iso и buildSandboxAstra.iso будут размещены по пути /var/kata_builder. На этом этапе завершена процедура создания ISO образа КАТА для Astra Linux SE. Для установки КАТА для Astra Linux SE воспользуйтесь PoC KATA__KEDR_7.х_poc_guide Astra Edition, который находится по адресу https://box.kaspersky.com/d/594f6df3692e4675afc8/?p=%2FKATA%206.0&mode=list Примечание: Если вы используете другие директории для хранения файлов, вы можете выполнить команду: sudo ./iso_builder.sh где: • source_iso_host_path – путь к дистрибутиву Astra Linux Special Edition 1.7.4. UU1; • distribution_host_path – путь к дистрибутиву kata-cn-distribution-6.0.0-200-x86_64_en-ru.tar.gz или kata-sb-distribution-6.0.0-660-x86_64_en-ru.tar.gz; • iso_builder_image_host_path – путь к файлу iso-builder-6.0.0-200-x86_64_en-ru.tar. • build_host_path – путь, где будет размещен смонтированный iso-образ без указания присваиваемого имени iso-образа. • target_iso_name – присваиваемое имя iso-образу. Еженедельное резервное копирование Central Node Для всех версий KATA Примечение: данная статья является примером реализации автоматического создания бэкапа Central Node и передачи созданного tar архива на внешнюю систему для хранения Общая схема Вс 02:00 - на Central Node запускается создание бэкапа в /home/admin/apt_backup Вс 02:30 - Central Node запускает временный HTTP-сервер на порту 8000 (работает 90 минут) Вс 02:31 - получатели (Windows\Linux) скачивают бэкап по HTTP Вс 03:00 - получатели удаляют старые бэкапы (оставляют 5 последних) Вс 04:00 - Central Node останавливает HTTP-сервер и порт закрывается Часть 1: Подготовка и настройка Central Node Примечание: все действия выполняются в Technical Support Mode под учетной записью root 1. Подготовка директорий mkdir -p /home/admin/apt_backup mkdir -p /home/admin/scripts chmod 776 /home/admin/apt_backup touch /home/admin/kata_backup.log chmod 664 /home/admin/kata_backup.log 2. Создайте скрипт /home/admin/scripts/backup_transfer.sh #!/bin/bash BACKUP_DIR="/home/admin/apt_backup" SERVER_PORT=8000 DURATION_MIN=90 LATEST_BACKUP=$(ls -t "$BACKUP_DIR"/data_kata_*.tar 2>/dev/null | head -n1) if [ -z "$LATEST_BACKUP" ]; then echo "Бэкап не найден" >&2 exit 1 fi FILENAME=$(basename "$LATEST_BACKUP") IP=$(hostname -I | awk '{print $1}') echo "Бэкап: $FILENAME" echo "Доступен по: http://$IP:$SERVER_PORT/$FILENAME" echo "Сервер будет работать $DURATION_MIN минут" if command -v python3 &> /dev/null; then PYTHON_CMD="python3" elif command -v python &> /dev/null; then PYTHON_CMD="python" else exit 1 fi echo "Используется: $($PYTHON_CMD --version 2>&1)" # Открытие порта sudo iptables -C INPUT -p tcp --dport $SERVER_PORT -j ACCEPT 2>/dev/null || \ sudo iptables -A INPUT -p tcp --dport $SERVER_PORT -j ACCEPT # Проверка, не занят ли порт if sudo lsof -i :$SERVER_PORT &> /dev/null; then echo "Порт $SERVER_PORT занят. Освобождаю..." sudo fuser -k $SERVER_PORT/tcp 2>/dev/null sleep 2 fi # Запуск сервера cd "$BACKUP_DIR" || { echo "Не удалось перейти в $BACKUP_DIR" >&2; exit 1; } echo "Запускаю HTTP-сервер ($PYTHON_CMD -m http.server $SERVER_PORT)..." $PYTHON_CMD -m http.server $SERVER_PORT > /dev/null 2>&1 & SERVER_PID=$! sleep 2 # Проверка if ! kill -0 $SERVER_PID 2>/dev/null; then echo "Сервер упал. Проверьте, что порт свободен." >&2 echo "Попробуйте вручную: cd $BACKUP_DIR && $PYTHON_CMD -m http.server $SERVER_PORT" >&2 exit 1 fi echo "Сервер запущен. PID: $SERVER_PID" sleep $((DURATION_MIN * 60)) # Остановка kill $SERVER_PID 2>/dev/null wait $SERVER_PID 2>/dev/null sudo iptables -D INPUT -p tcp --dport $SERVER_PORT -j ACCEPT 2>/dev/null echo "Сервер остановлен. Порт закрыт." Сделайте его исполняемым: chmod +x /home/admin/scripts/backup_transfer.sh 3. Настройте cron crontab -e Добавьте: 0 2 * * 0 /usr/bin/sudo /usr/bin/kata-run.sh kata-backup-restore backup -b /home/admin/apt_backup -c -d 5 -e -q -a -s -n -l /home/admin/kata_backup.log 30 2 * * 0 /home/admin/scripts/backup_transfer.sh Часть 2: Получатель - Windows 1. Создайте скрипт C:\Scripts\Download-KataBackup.ps1 Примечание: обратите внимание на необходимость указания IP адреса Centra Node. param( [string]$KataIP = "<УКАЖИТЕ IP АДРЕС CENTRAL NODE>", [int]$Port = 8000, [string]$LocalPath = "C:\KataBackups" ) if (-not (Test-Path $LocalPath)) { mkdir $LocalPath } $urlList = "http://$KataIP`:$Port/" try { $list = Invoke-WebRequest -Uri $urlList -UseBasicParsing -TimeoutSec 10 } catch { Write-Error "Не удалось подключиться к KATA" exit 1 } $files = [regex]::Matches($list.Content, 'href="([^"]*data_kata_[^"]*\.tar)"') | ForEach-Object { $_.Groups[1].Value } if (!$files) { Write-Error "Файлы не найдены"; exit 1 } $LatestFile = $files | Sort-Object | Select-Object -Last 1 $DownloadUrl = "http://$KataIP`:$Port/$LatestFile" $LocalFile = Join-Path $LocalPath $LatestFile Write-Host "Скачиваю: $LatestFile" $ProgressPreference = 'SilentlyContinue' Invoke-WebRequest -Uri $DownloadUrl -OutFile $LocalFile -UseBasicParsing -TimeoutSec 3600 Write-Host "Готово: $LocalFile" 2. Создайте скрипт очистки C:\Scripts\Cleanup-KataBackups.ps1 param([string]$BackupPath = "C:\KataBackups", [int]$KeepCount = 5) if (-not (Test-Path $BackupPath)) { exit 1 } $files = Get-ChildItem -Path $BackupPath -File -Filter "data_kata_*.tar" | Sort-Object LastWriteTime -Descending if ($files.Count -gt $KeepCount) { $files | Select-Object -Skip $KeepCount | Remove-Item -Force } 3. Настройте Планировщик заданий Откройте Планировщик заданий → Создать задачу. Общие: Имя: Download backup CN Выполнять для всех пользователей Выполнять с наивысшими правами Триггер: Еженедельно → Укажите дату/время, например, воскресенье, 02:31 Повторять каждые: 1 минуту → в течение: 5 минут (на случай, если сервер ещё не запущен) Действие: Программа или сценарий → powershell.exe Аргументы → -ExecutionPolicy Bypass -File "С:\Scripts\Download-KataBackup.ps1" По удалению бэкапов повторите создание задачи в планировщике, указав время 03:00 и в действиях замените путь до скрипта Cleanup-KataBackups.ps1 Часть 3: Получатель - Linux 1. Создайте скрипт /home/user/scripts/fetch_kata_backup.sh Примечание: обратите внимание на необходимость указания IP адреса Centra Node. #!/bin/bash KATA_IP="<УКАЖИТЕ IP АДРЕС CENTRAL NODE>" PORT=8000 LOCAL_DIR="/mnt/backups/kata" mkdir -p "$LOCAL_DIR" LIST=$(curl -s "http://$KATA_IP:$PORT/") FILENAME=$(echo "$LIST" | grep -o 'href="data_kata_[^"]*\.tar"' | sed 's/href="//;s/"$//' | sort | tail -n1) if [ -z "$FILENAME" ]; then echo "Файлы не найдены" >&2 exit 1 fi echo "Скачиваю: $FILENAME" curl -L "http://$KATA_IP:$PORT/$FILENAME" -o "$LOCAL_DIR/$FILENAME" --connect-timeout 30 --max-time 3600 echo "Готово: $LOCAL_DIR/$FILENAME" Сделайте исполняемым: chmod +x /home/user/scripts/fetch_kata_backup.sh 2. Создайте скрипт очистки /home/user/scripts/cleanup_kata_backups.sh #!/bin/bash BACKUP_DIR="/mnt/backups/kata" KEEP=5 ls -t "$BACKUP_DIR"/data_kata_*.tar 2>/dev/null | tail -n +$((KEEP+1)) | xargs rm -f Сделайте исполняемым: chmod +x /home/user/scripts/cleanup_kata_backups.sh 3. Настройте cron 31 2 * * 0 /home/user/scripts/fetch_kata_backup.sh 0 3 * * 0 /home/user/scripts/cleanup_kata_backups.sh Интеграции с почтовым сервером для отправки сообщений по протоколу SMTP Руководство по настройке KATA/NDR 7.1 Информация:  Приведенная на данной странице информация, является разработкой команды pre-sales и/или AntiAPT Community и НЕ является официальной рекомендацией вендора. Версия решения: 7.1 Тип инструкции: Настройка источников данных SMTP Важно! Интеграция через SMTP позволяет анализировать вложения из почтовых сообщений в реальном времени с использованием трёх ключевых технологий: - Anti-Malware Engine — сигнатурный и эвристический анализ - YARA-правила — детектирование по шаблонам - Sandbox — динамический анализ поведения Администратор настраивает почтовую систему (Microsoft Exchange) на отправку скрытой копии (BCC) всех сообщений на адрес в служебном фиктивном домене (например, ` sensor@kata.abc.corp `). При этом Central Node или Sensor указывается в DNS как почтовый сервер (MX) для этого домена. ✅ Преимущества SMTP-интеграции: KATA получает письма как почтовый сервер , а не как клиент → нет уведомлений о доставке/прочтении Нет задержек, связанных с опросом (в отличие от POP3) Полный контроль над фильтрацией (внешние/внутренние письма, отправители и т.д.) ⚠️ Ограничения: - Подходит только для локальных (on-premises) почтовых систем - Не поддерживается в облачных службах (Microsoft 365, Gmail и др.), где нельзя настроить MX для внутреннего домена и автоматическую пересылку BCC 1.1. Обязательные условия Перед настройкой SMTP-интеграции убедитесь, что: ✅ Установлена и настроена Central Node или выделенный Sensor ✅ Активирована лицензия KATA или KATA/NDR ✅ Добавлен дополнительный сетевой интерфейс (кроме Management), находящийся в состоянии «Не инициализирован» ✅ Настроена сетевая связность между Exchange и KATA по TCP-порту 25 ✅ Есть доступ к Exchange Admin Center (EAC) или Exchange Management Shell с правами администратора 1. Подготовка 1.1. Лицензии и функциональность Лицензия Требуется для KATA Анализ почтового трафика, проверка вложений по Anti-Malware , YARA , Sandbox NDR Не требуется для SMTP-интеграции KATA/NDR Полный функционал: периметр + внутренняя сеть 🔹KATA Принимает копии писем по SMTP Анализирует вложения тремя независимыми технологиями Фиксирует угрозы в разделе «Угрозы → События» Поддерживает интеграцию с Exchange, Postfix, Cisco ESA и др. (при наличии управления маршрутизацией) ⚠️ ВАЖНО: Без лицензии KATA функционал анализа недоступен , даже если письма поступают на SMTP-точку. 💡 Рекомендация: Используйте служебный домен (` katasmtp.corp `) только внутри сети — не публикуйте его во внешнем DNS. 1.2. Сетевые требования Для приёма SMTP-трафика используется management-интерфейс. Exchange должен иметь возможность напрямую подключаться к KATA по TCP-порту 25 . Внутренний DNS должен содержать MX-запись для служебного домена, указывающую на IP KATA . ℹ️ Примечание: SMTP-интеграция не требует зеркалирования трафика — почтовый сервер активно отправляет копии писем на обработку. 1.3. Настройка DNS сервера Чтобы создать дополнительную зону на DNS-сервере, выполните следующие шаги на внутреннем DNS-сервере: 1. Откройте настройки DNS-сервера. Щелкните правой кнопкой мыши по вашему серверу и выберите «Настроить DNS-сервер», чтобы запустить мастер настройки. 📸 Скриншот 1: Поле примера вызова 2. Выберите " Создать зону прямого просмотра ". 📸 Скриншот 2: Поле примера вызова 3. Выберите какой DNS-сервер обслуживает данную зону: 📸 Скриншот 3: Поле примера вызова 4. Укажите имя новой зоны, например: ' katasmtp.corp '. 📸 Скриншот 4: Поле примера вызова 5. Выбираем тип обновления. 📸 Скриншот 5: Поле примера вызова 6. Убираем сервер пересылки. 📸 Скриншот 6: Поле примера вызова 7. Завершаем мастер настройки DNS-сервера. 📸 Скриншот 7: Поле примера вызова 2. Настройка на стороне KATA 2.1. Включение SMTP-интеграции 1. Войдите в веб-интерфейс Central Node под учётной записью ` admin `. 📸 Скриншот 8: Экран входа в KATA 2. Перейдите: Серверы Sensor . 📸 Скриншот 9: Список сенсоров (включая « Embedded Sensor ») 3. Нажмите «Изменить» напротив нужного Sensor (обычно — Embedded Sensor ). 4. Перейдите на вкладку «SMTP-интеграция» . 📸 Скриншот 10: Вкладка «SMTP-интеграция» с переключателем 5. Переведите параметр «SMTP-интеграция» в состояние «Включено» . 📸 Скриншот 11: Вкладка «SMTP-интеграция» 2.2. Настройка доменов назначения ⚠️ Обязательный шаг! Без этого KATA не примет письма . 6. В том же разделе «SMTP-интеграция» найдите поле: «Домены назначения» 7. Укажите служебный домен, например: katasmtp.corp Можно указать несколько доменов — по одному на строку. 8. Нажмите «Применить» . 📸 Скриншот 12: Поле «Домены назначения» с введённым ` kata.abc.corp ` ✅ После этого KATA: Активирует встроенный SMTP-сервер на порту 25 Примет письма только на указанные домены Начнёт анализировать вложения по Anti-Malware , YARA , Sandbox 3. Настройка на стороне Microsoft Exchange 3.1. Регистрация A-записи в DNS 1. В ранее созданной дополнительной зоне внутреннего DNS-сервера создайте запись типа A . Имя: kata Домен : `kata.katasmtp.corp` Целевой хост : IP-адрес интерфейса KATA 📸 Скриншот 13: DNS-запись A 3.2. Регистрация MX-записи в DNS 1. Внутренний DNS-сервер: создайте запись типа MX Домен : `kata.abc.corp` Приоритет : `10` Целевой хост : IP-адрес интерфейса KATA 📸 ** Скриншот 14: DNS-запись MX 3.3. Создание правила BCC 1. В Exchange Admin Center → Mail flow → Rules →+ Create a new rule 2. Укажите: Имя: `Send BCC to KATA` Условие: `The recipient is located...` → `Outside the organization` *(или `Any recipient` — по политике)* Действие: `Blind carbon copy (BCC) the message to...` → `sensor@kata.abc.corp` 📸 Скриншот 15: Правило BCC 3.3. Настройка исходящего коннектора 1. Перейдите: Mail flow → Send connectors → + Create 2. Укажите: Имя: `KATA SMTP Connector` Тип: Custom 3. На шаге Address space : Нажмите + Тип: `SMTP` Домен: `kata.abc.corp` Cost: `1` 📸 Скриншот 16: Address space 4. На шаге Source server выберите ваш Exchange Server 📸 Скриншот 17: Выбор сервера 5. На всех остальных шагах оставьте **настройки по умолчанию** 📸 Скриншот 18: Шаг с параметрами по умолчанию 4. Проверка работы 4.1. Проверка поступления писем 1. Перейдите: Мониторинг → Обработано 2. Выберите источник: SMTP 3. Укажите тип отображения: Текущая загрузка Выбранный период (настраивается в правом верхнем углу) 📸 Скриншот 19: График нагрузки по SMTP-трафику ✅Если письма поступают — вы увидите график. 4.2. Просмотр результатов анализа 1. Перейдите под учётной записью «Офицер безопасности» 2. Откройте: Угрозы → События 3. В колонке «Технология детектирования» вы увидите: Anti-Malware YARA Sandbox 💡Объект может быть детектирован одной или несколькими технологиями. Данные отображаются только под ролью «Офицер безопасности» . 📌 Полезные ссылки Официальная документация KATA 7.1 SMTP-интеграция Kaspersky Tech на YouTube Kaspersky на Rutube ✅ Настройка SMTP-интеграции с Microsoft Exchange завершена! Теперь KATA: Принимает копии писем как почтовый сервер Анализирует вложения тремя технологиями : Anti-Malware, YARA, Sandbox Фиксирует угрозы в реальном времени Готов к расследованию инцидентов, связанных с почтовыми атаками Процесс установки и настройки Kaspersky EDR (KATA) с использованием KES 12.1+ на Windows ℹ️  Информация:  Приведенная на данной странице информация, является разработкой команды pre-sales и/или AntiAPT Community и НЕ является официальной рекомендацией вендора. 📦 Варианты развёртывания Версия решения: KES 12.1+; KEDR (KATA) 4.0>7.1; Тип развёртывания: Чистая установка с EDR Активация EDR на уже установленном KES ⚠️ Очень важно : Для работы компонента EDR (KEDR/KATA) требуется: Kaspersky Security Center (KSC) 13.2 или выше KATA/KEDR/NDR 4.0 или выше Лицензия KES + отдельная лицензия KEDR 💡 Рекомендация : Используйте чистую установку , если вы разворачиваете решение впервые. Используйте активацию через задачу , если KES уже развёрнут и обновлён до 12.1+. ВАЖНО: 1. Подготовка 1.1. Поддерживаемые версии Компонент Минимальная версия KATA / KEDR 4.0>7.1 KSC 13.2+ KES для Windows 12.1+ 1.2. Аппаратные требования (на клиенте) ОС : Windows 10/11, Windows Server 2016–2022 RAM : ≥2 ГБ (x64) HDD : ≥2 ГБ свободного места CPU : ≥1 ГГц, поддержка SSE2 1.3. Необходимые лицензии Лицензия KES Лицензия KEDR (KATA) 📌 Обе лицензии должны быть добавлены отдельно — одна не заменяет другую. 2. Чистая установка KES 12.1 с EDR через KSC Web Console 2.1. Настройка инсталляционного пакета 1. Откройте KSC Web Console → Операции → Хранилища → Инсталляционные пакеты 2. Найдите пакет KES 12.1+ 3. Перейдите в Параметры → Detection and Response 4. Включите: Endpoint Detection and Response (KATA) 📸 Скриншот 1: Выбор компонента EDR до KES 12.8 📸 Скриншот 2 : Выбор компонента EDR для KES 12.8+ 5. (Рекомендуется) Включите: Настройки установки → Добавить путь к приложению в переменную окружения %PATH% 📸 Скриншот 3: Добавить путь к приложению в переменную окружения%PATH% 6. Нажмите «Обновить базы» → «Сохранить» 📸 Скриншот 4: Обновить базы 2.2. Создание задачи удалённой установки 1. Перейдите: Устройства → Задачи → Добавить 2. Выберите: Приложение : Kaspersky Security Center Тип задачи : Удалённая установка программы 3. Укажите устройства (вручную или из списка) 📸 Скриншот 5: Удаленная установка программы 4. Выберите: Инсталляционный пакет : KES 12.1+ Агент администрирования : KSC Agent 5. Если агент уже установлен — выберите: «Учётная запись не требуется» 📸 Скриншот 6: Учетная запись не требуется (Агент администрирования уже установлен) 6. Нажмите «Готово» → «Запустить» 📸 Скриншот 7: После создания она автоматически переходит в состояние ожидания, поэтому её необходимо запустить вручную. 2.3. Добавление лицензий ⚠️ Важно : Добавьте обе лицензии отдельно ! Лицензия KES + EDR: 1. Устройства → Задачи → Добавить → Добавление ключа 2. Выберите KES 12.1+ , укажите устройства 📸 Скриншот 8: Добавление ключа KES 3. Выберите файл ключа → снимите галочку «Использовать как резервный» 📸 Скриншот 9: Использовать ключ в качестве резервного Лицензия KEDR (KATA): 1. Повторите шаги выше, но выберите ключ KEDR 📸 Скриншот 10: Добавление ключа EDR ✅ После применения обеих лицензий агент будет отображаться в KATA как Endpoint Agent . 3. Активация EDR на уже установленном KES
👉 Развернуть: Через задачу «Изменение состава компонентов» ⚠️ Важно : Перед запуском задачи отключите «Защиту паролем» в политике, иначе задача завершится с ошибкой. 3.1. Отключение защиты паролем Активы → Политики → Выберите политику → Параметры приложения → Общие настройки → Интерфейс Отключите «Защита паролем» 📸 Скриншот 14 (стр. 32) 3.2. Создание задачи Устройства → Задачи → Добавить → Изменение состава компонентов Выберите KES 12.1+ → укажите устройства 📸 Скриншот 16 (стр. 34) В параметрах задачи включите: Detection and Response → Endpoint Detection and Response (KATA) 📸 Скриншот 17 (стр. 35) Запустите задачу 3.3. Добавление лицензии KEDR Создайте задачу «Добавление ключа» Выберите ключ KEDR → примените к тем же устройствам 📸 Скриншот 18 (стр. 37) ✅ После завершения агент появится в KATA.
4. Интеграция с Central Node KATA
👉 Развернуть: Настройка политики и подключение 4.1. Скачивание TLS-сертификата из KATA Войдите в KATA Web Console (администратор) Перейдите: Параметры → Сертификаты → Экспортировать 📸 Скриншот 19 (стр. 23) Сохраните файл .cer 4.2. Настройка политики Устройства → Политики → Добавить → KES 12.1+ В мастере выберите стандартный режим Перейдите: Параметры приложения → Detection and Response → Endpoint Detection and Response (KATA) Включите компонент Нажмите «Настройки подключения к серверу KATA» Загрузите TLS-сертификат Укажите адрес Central Node и порт (по умолчанию 11080) 📸 Скриншот 20 (стр. 26) Нажмите «Сохранить» ✅ Успешное подключение подтверждается появлением устройства в разделе «Endpoint Agents / Активы» в KATA. 📌 Полезные ссылки Официальная документация KES 12.1 Интеграция KES с KATA AntiAPT Community – KEDR ✅ Развёртывание KES 12.1 с EDR завершено! Теперь ваши конечные точки: Передают телеметрию в KATA Участвуют в расследовании инцидентов Поддерживают автоматическую корреляцию с сетевыми событиями Руководство по настройке API KATA, KEDR, NDR до 7.1.3 В данном руководстве описывается процесс работы с REST API платформы KATAP. Руководство разделено на функциональные блоки, описывающие весь процесс работы с API, начиная от создания сертификата и заканчивая подготовленной коллекцией запросов в Postman.  Подготовка окружения Подготовка окружения Для начала работы с API необходимо выполнить интеграцию внешней системы с Kaspersky Anti Targeted Attack Platform. Внешняя система должна пройти авторизацию на сервере Kaspersky Anti Targeted Attack Platform. Чтобы выполнить интеграцию внешней системы с Kaspersky Anti Targeted Attack Platform: Сгенерируйте уникальный идентификатор внешней системы для авторизации в Kaspersky Anti Targeted Attack Platform – sensorId . Сгенерируйте сертификат сервера внешней системы. Создайте любой запрос от внешней системы в Kaspersky Anti Targeted Attack Platform, содержащий идентификатор sensorId . Например, вы можете создать запрос на проверку объекта из внешней системы в Kaspersky Anti Targeted Attack Platform. (Создание запроса будет рассмотрено в разделе 2) Методы и возвращаемые ответы Kaspersky Anti Targeted Attack Platform предоставляет HTTPS REST интерфейс проверки объектов, хранящихся во внешних системах. Используются HTTP-методы POST, GET, DELETE. Возвращаемое значение Код возврата Описание 200 Проверка выполнена успешно. 204 Нет содержимого. 400 Требуется авторизация. 401 Требуется авторизация. Ошибка ввода параметров. 404 Не найдены результаты проверки по указанному идентификатору. 429 Превышено количество запросов. Повторите запрос позднее. 500, 502, 503, 504 Внутренняя ошибка сервера. Повторите запрос позднее.   Создание UUID Сгенерируйте уникальный идентификатор внешней системы для авторизации в Kaspersky Anti Targeted Attack Platform – sensorId Для создания UUID необходимо перейти на сайт https://www.uuidgenerator.net/version1 и нажать на кнопку «Generate a version 1 UUID» будет сформирован UUID. Скопируйте получившееся значение и сохраните для последующего использования это значение будет присвоено переменной sensorId . Создание ключей шифрования/ SSL Сертификатов Сгенерируйте сертификат сервера внешней системы. В зависимости от используемого решения необходимо формировать либо пару ключей, либо один crt. 1-й вариант, создания ключей в linux под Postman (и иных систем автоматизации/управления): Создайте пару 2048/4096-битных ключей шифрования (открытый и закрытый) для аутентификации и защиты передаваемых файлов. Тип шифрования RSA. openssl req -x509 -nodes -days 3650 -newkey rsa:4096 -keyout key.pem -out crt.pem Во время генерации заполните необходимые поля: Country Name (2 letter code) [AU]:RU State or Province Name (full name) [Some-State]:apisystem Locality Name (eg, city) []: Organization Name (eg, company) [Internet Widgits Pty Ltd]:apisystem Organizational Unit Name (eg, section) []:localhost Common Name (e.g. server FQDN or YOUR name) []:apisystem.sales.lab Email Address []: Но если не хотите формировать ключи в интерактивном режиме, то альтернативная команда формирования ключей выглядит так: openssl req -x509 -nodes -days 3650 -newkey rsa:4096 \ -keyout localhost.key -out localhost.crt \ -subj "/CN=localhost" \ -addext "subjectAltName=DNS:localhost,IP:127.0.0.1"  После создания сертификатов они будут располагаться в корневой директории текущего пользователя: 2-й вариант, создания ключей в linux под cURL #openssl genrsa -out server.key 2048 #openssl rsa -in server.key -out server.key #openssl req -sha256 -new -key server.key -out server.csr -subj '/CN=localhost' #openssl x509 -req -sha256 -days 365 -in server.csr -signkey server.key -out server.crt #cat server.crt server.key > cert.pem После создания сертификатов они будут располагаться в корневой директории текущего пользователя: cert.pem, server.crt,  server.csr,  server.key - сертификаты необходимые для авторизованного взаимодействия с КАТА через cURL/в ручном режиме. ПОДГОТОВКА POSTMAN Postman это инструмент для работы с API, который позволяет пользователю посылать запросы к сервисам и работать с их ответами.  Специалистами АО «Лаборатория Касперского» подготовлены коллекции запросов для взаимодействия с KATA/KEDR через приложение для автоматизации работы с API запросами -  POSTMAN  и размещены по следующему адресу: https://www.postman.com/kl-ru-presales/workspace/kaspersky-products-apis-ru/documentation/8104472-2e3ebb80-3c2b-4b54-9939-043e57987b2b  Если коллекция не доступна (а Postman часто ее блочит из-за открытых кредов) то скачать коллекцию можно по этой ссылке - Выполним следующие настройки в POSTMAN для работы с API запросами: Настройка Postman Добавление сертификатов Перейдите в раздел Settings Перейти в подраздел General, отключите меню в строке SSL certificate verification Перейти в раздел Certificates , нажать Add Certificate Добавьте в поле Host адрес КАТА на котором ожидается подключение по API Экспортируйте коллекции из доступной коллекции Kaspersky Products APIs (RU) . Перейдите по ссылке, выберите необходимую коллекцию, выберите меню коллекции, export, выбрать версию коллекции, нажать на export. Будет загружен json файл с коллекцией.   Импортируйте коллекции в Postman. Зайдите в вашу коллекцию, нажмите на кнопку Import,   Добавьте коллекцию либо по URL, либо выберите загруженный файл, в меню загрузки файлов. После добавления json/коллекции в левой стороне интерфейса у вас отобразятся добавленные разделы. Настройка использования переменных В Postman есть глобальные переменные. Так же есть переменные в теле запроса для определенных параметров запроса. Откройте окно коллекции, перейдите во вкладку Variables, настройте переменные kedr_ip Они доступны для всех параметров в коллекции.   Раскройте коллекцию, перейдите в подготовленный запрос. Откройте вкладку Body. В этом подразделе вы можете редактировать параметры запросов применительно для вашей инсталляции. Увеличение параметра «Maximum response size». Нажмите «Ctrl+,», откроется меню настроек. В параметре «Maximum response size» введите значение от 50 до 200 MB. (Минимально 50). Закройте окно. API для получения внешними системами информации о событиях приложения Для всех версий KEDR до версии 7.1.7 Примечание: данная статья является примером реализации скрипта, который позволяет делать API запрос к Central Node для сбора событий телеметрии и отправки полученных данных в коллектор SIEM по TCP. Справка на API: https://support.kaspersky.ru/kata/7.1/248949 Шаг 1: копирование скрипта на внешнюю систему Внешней системой может выступать любая рабочая станция или сервер, включая непосредственно коллектор SIEM. Заполните обязательные поля с UUID внешней системы, путями до TLS-сертификата и ключа, а также адресом и портом SIEM системы. Генерация UUID и TLS-сертификата с ключом указаны на шагах 2 и 3. Сам скрипт: import json import logging import os import socket import sys import time import urllib.parse from pathlib import Path import requests # КОНФИГУРАЦИЯ — ОБЯЗАТЕЛЬНО ЗАМЕНИТЕ EXTERNAL_SYSTEM_ID = "<идентификатор external_system_id>" # Сгенерированный UUID KATA_HOST = "" KATA_PORT = 443 # Оставить без изменений CERT_FILE = "<путь к файлу TLS-сертификата>" KEY_FILE = "<путь к файлу закрытого ключа>" SIEM_HOST = "" SIEM_PORT = 9000 # порт TCP # ПАРАМЕТРЫ ЗАПРОСА (опционально) # MAX_EVENTS: от 1 до 72000 (максимум зависит от вашей инсталляции) MAX_EVENTS = 20000 # FILTER: оставьте пустым для всех событий # Примеры (см. список полей ниже): # FILTER = "Ioa.Severity == 'High'" # FILTER = "RemoteIp == '192.168.10.50'" # FILTER = "Ioa.Rules.Techniques contains 'T1059'" FILTER = "" # MAX_TIMEOUT: максимум 300 секунд (PT300S). None — использовать значение по умолчанию. MAX_TIMEOUT = None # или 60, 120, 300 # НЕ МЕНЯЙТЕ НИЖЕ API_URL = f"https://{KATA_HOST}:{KATA_PORT}/kata/events_api/v1/{EXTERNAL_SYSTEM_ID}/events" TOKEN_FILE = "continuation_token.txt" LOG_DIR = "logs" LOG_FILE = f"{LOG_DIR}/kata_to_siem.log" Path(LOG_DIR).mkdir(exist_ok=True) logging.basicConfig( level=logging.INFO, format="%(asctime)s [%(levelname)s] %(message)s", handlers=[ logging.FileHandler(LOG_FILE, encoding="utf-8"), logging.StreamHandler(sys.stdout) ] ) logger = logging.getLogger("kata-to-siem") requests.packages.urllib3.disable_warnings(requests.packages.urllib3.exceptions.InsecureRequestWarning) def send_to_siem(events: list) -> bool: if not events: return True try: data = "\n".join(json.dumps(e, ensure_ascii=False) for e in events) + "\n" with socket.create_connection((SIEM_HOST, SIEM_PORT), timeout=15) as sock: sock.sendall(data.encode("utf-8")) #ДЛЯ ТЕСТА ЗАКОММЕНТИРОВАТЬ ВЕРХНИЕ СТРОКИ ДО try И РАСКОММЕНТИРОВАТЬ ЭТИ ДЛЯ ЗАПИСИ В ФАЙЛ (укажите корректный путь): # with open("/home/admin/kata_events.ndjson", "a", encoding="utf-8") as f: # for e in events: # f.write(json.dumps(e, ensure_ascii=False) + "\n") logger.info(f"Отправлено {len(events)} событий в SIEM") return True except Exception as e: logger.error(f"Ошибка отправки в SIEM: {e}") return False def fetch_events(token: str | None) -> dict | None: params = {"max_events": str(MAX_EVENTS)} if token is None: if FILTER: params["filter"] = FILTER if MAX_TIMEOUT is not None: safe_timeout = min(MAX_TIMEOUT, 300) params["max_timeout"] = f"PT{safe_timeout}S" if token: params["continuation_token"] = token try: response = requests.get( API_URL, params=params, cert=(CERT_FILE, KEY_FILE), verify=False, timeout=310 ) if response.status_code == 404 and "Subscription not found" in response.text: logger.error("Токен устарел или подпись удалена. Сброс токена.") return {"reset_token": True} if response.status_code == 200: return response.json() else: logger.error(f"API error {response.status_code}: {response.text[:300]}") return None except Exception as e: logger.exception(f"Ошибка при запросе к KATA API: {e}") return None def load_token() -> str | None: if os.path.exists(TOKEN_FILE): with open(TOKEN_FILE, "r", encoding="utf-8") as f: return f.read().strip() return None def save_token(token: str): with open(TOKEN_FILE, "w", encoding="utf-8") as f: f.write(token) logger.info("Токен сохранён") def main(): logger.info("Запуск интеграции KATA → SIEM") if FILTER: logger.info(f"Фильтр: {FILTER}") if MAX_TIMEOUT: logger.info(f"Макс. время ожидания: {MAX_TIMEOUT} сек") token = load_token() while True: try: result = fetch_events(token) if result and result.get("reset_token"): logger.info("Сброс токена. Начинаем с начала.") token = None if os.path.exists(TOKEN_FILE): os.remove(TOKEN_FILE) time.sleep(5) continue events = result.get("events", []) new_token = result.get("continuationToken") if not events: logger.info("Очередь пуста. Ожидание...") time.sleep(30) continue logger.info(f"Получено {len(events)} событий") if send_to_siem(events): if new_token: save_token(new_token) token = new_token else: logger.warning("continuationToken отсутствует в ответе") else: logger.warning("События не отправлены — токен НЕ обновлён") time.sleep(1 if len(events) == MAX_EVENTS else 5) except KeyboardInterrupt: logger.info("Остановка по запросу пользователя") sys.exit(0) except Exception as e: logger.exception(f"Критическая ошибка: {e}") time.sleep(10) if __name__ == "__main__": main() Шаг 2: получение UUID внешней системы На Windows откройте PowerShell и выполните: [guid]::NewGuid().ToString() На Linux выполните в терминале: cat /proc/sys/kernel/random/uuid или python3 -c "import uuid; print(uuid.uuid4())" Шаг 3: генерация самоподписанного TLS-сертификата и ключа Предварительно установив OpenSSL выполнить команду: openssl req -x509 -newkey rsa:2048 -keyout kata.key -out kata.crt -days 365 -nodes Шаг 4: тестирование и дальнейшее использование Для тестирования, запустите скрипт вручную, выполнив python3 /path/to/script.py После первого запуска необходимо будет перейти в веб-интерфейс Central Node под учетной запиьсю с правами Администратора в раздел Внешние системы и подтвердить подключение. Далее повторить запуск скрипта. По завершению тестирования можно создать минималистичный сервис на внешней системы, чтобы скрипт запускался после загрузки системы. Для этого в /etc/systemd/system/ создайте kata-siem.service со следующим содержимым (отредактировать под себя, изменив пользователя, рабочий каталог и параметры запуска): [Unit] Description=KATA to SIEM Forwarder After=network.target [Service] Type=simple User=root WorkingDirectory=/opt/kata-siem ExecStart=/usr/bin/python3 /opt/kata-siem/kata_to_siem.py Restart=always RestartSec=10 StandardOutput=journal StandardError=journal [Install] WantedBy=multi-user.target Далее выполнить: sudo systemctl daemon-reload sudo systemctl enable --now kata-siem Интеграция внешней системы (Postman) по API с Central node KATAP Интеграция внешней системы (postman) по api с Central Node kata Вы можете настроить интеграцию Kaspersky Anti Targeted Attack Platform с внешними системами, чтобы управлять действиями по реагированию на угрозы, а также для проверки хранящихся в них файлов и предоставления внешним системам доступа к информации обо всех обнаружениях и событиях приложения. Взаимодействие внешних систем с Kaspersky Anti Targeted Attack Platform осуществляется с помощью интерфейса API. Вызовы методов API доступны только для авторизованных внешних систем. Для авторизации администратору приложения необходимо создать запрос на интеграцию внешней системы с приложением. После этого администратор должен обработать запрос в веб-интерфейсе Kaspersky Anti Targeted Attack Platform. Создадим запрос на получение обнаружений. Выберите в Postman запрос «Получить Алерты / Обнаружения». Проверьте коректность введенных данных и переменных.   На первый запрос, вы получите ответ « 401 Unauthorized », т.к. Postman (или любая внешняя система) еще не авторизованы.   https:// {{kata_ip}} :443/kata/scanner/v1/sensors/ {{sensorid}} /detects?detect_type=am,sb,yara,ids,url_reputation&limit=100 Где: kata_ip – адрес Central Node sensorid – созданный ранее UUID Перейдите в   веб-интерфейс Kaspersky Anti Targeted Attack Platform. Войдите под УЗ локального администратора. В разделе « Внешние системы » отобразится запрос на авторизацию от внешней системы. Нажмите на кнопку Принять .   Внешняя система будет авторизована. Обратите внимание на « ID» и «Отпечаток сертификата». Они должны совпадать с теми данными, которые были введены в Postman (использованы при запросе из сторонней системы) Выполните повторно запрос «Получить Алерты / Обнаружения». CN уже выдаст корректный API для получения внешними системами информации о событиях приложения Для получения информации о состоянии приложения и его событиях необходимо дополнительно авторизоваться в системе. (В веб интерфейсе Central Node будет 2 авторизации от внешней системы с одинаковым UUID/IP адресом). Отличие в том, что у вас будет дополнительный токен для авторизации.   При первом запросе Kaspersky Anti Targeted Attack Platform создает ContinuationToken (далее также "токен"). Приложение передает события, доступные в системе на момент создания токена. При создании нового токена Kaspersky Anti Targeted Attack Platform отправляет события, доступные в системе на момент создания этого токена.   Токен содержит информацию о том, какие данные были переданы последними. Если вы хотите получать события, записанные с момента последнего запроса, вам нужно сохранить созданный токен и использовать его в следующих запросах. Для первого запроса аторизации, запустите команду «Получение информации о событиях CN (Запрос авторизации)» Будет отправлен запрос на авторизацию в CN. Пример: GET https://{{kata_ip}}:443/kata/events_api/v1/{{sensorid}}/events Перейдите в   веб-интерфейс Kaspersky Anti Targeted Attack Platform. Войдите под УЗ локального администратора. В разделе « Внешние системы » отобразится запрос на авторизацию от внешней системы. Нажмите на кнопку Принять .   Внешняя система будет авторизована. Обратите внимание на « ID» и «Отпечаток сертификата». Они должны совпадать с теми данными, которые были введены в Postman (использованы при запросе из сторонней системы) При повторном запросе, подгрузятся все полседние события на CN, поэтому необходимо выгрузить полученный результат в файл и забрать из него полученный токен. Запросы внешней системы (POSTMAN) по API с CENTRAL NODE KATA В этом разделе будет рассмотрена коллекция запросов для КАТА-KEDR 5.Х - 7.1.3 опубликованная в Postman Убедитесь в корректности настроек переменных и параметров запросов. Коллекция уже подготовлена. Обратите внимание, что запросы в Postman несколько отличаются от запросов в cURL! В этом документе рассматриваются запросы на базе Postman, запросы на базе cURL приведены в справке. Запрос на проверку объектов Выберите « Задача на сканирование Создать/Запрос на проверку объектов ». Откройте Body – from-data , выберите файл для отправки на анализ в поле ключа connect. В поле Value будет загружен передаваемый объект. Нажмите Send . Подробное описание запроса приведено в этой статье справки: https://support.kaspersky.com/help/KATA/7.1/ru-RU/176838.htm   CN KATA вернет ответ 200 ОК.   Пример ввода команды с параметрами curl --cert /root/cert.pem --key /root/server.key -X POST "https://10.10.10.1:443/kata/scanner/v1/sensors/dd11a1ee-a00b-111c-b11a-11001b1f1111/scans?sensorInstanceId=instance1" -F "content=@/tmp/test" -F scanId=1 -F "objectType=file"   Ограничения   В конфигурационном файле Kaspersky Anti Targeted Attack Platform установлены максимально допустимое количество запросов на проверку объектов от внешних систем и максимально допустимый размер проверяемого объекта.   Если превышено максимально допустимое количество одновременных запросов на проверку объектов, Kaspersky Anti Targeted Attack Platform перестает обрабатывать дальнейшие запросы до тех пор, пока количество запросов на проверку объектов не станет меньше максимально допустимого. До этого времени выдается код возврата 429. Необходимо повторить запрос на проверку позже.   Если превышен максимально допустимый размер объекта, Kaspersky Anti Targeted Attack Platform не проверяет этот объект. При создании запроса HTTP-методом POST выдается код возврата 413. Вы можете узнать максимально допустимый размер объекта, просмотрев список ограничений приложения на проверку объектов с помощью метода GET. Запрос на получение результатов проверки Выберите « Задача на сканирование Статус/Запрос на получение результатов проверки ». Откройте Params , Отключите параметр state для вывода всех значений. Нажмите Send .     CN ответит статусом OK 200 с параметрами ответа Откройте Params , Включите параметр state для вывода всех значений detect . Нажмите Send .   Возможны следующие значения параметра: detect, not detected, processing, timeout, error . Через запятую можно выбирать несколько параметров   Запрос на удаление результатов проверки Выберите « Задача на сканирование Удалить/Запрос на удаление результатов проверки ». В строке запроса параметр <идентификатор scanId> должен иметь значение номера сканирования из предыдущей задачи скана объектов либо отсутствовать. Нажмите Send .       Если этот параметр <идентификатор scanId>   не задан, будут удалены результаты проверки всех объектов. Если <идентификатор scanId> указан не верно, то CN ответит статусом OK 400 Получение ограничений КАТА Выберите « Получение ограничений КАТА ». Нажмите Send . При успешной обработке запроса отобразятся ограничения приложения на проверку объектов. Ограничение maxObjectSize – максимально допустимый размер объекта, который вы можете отправить на проверку.     Запрос на вывод информации об обнаружениях (Получение Алертов) Выберите « Получить Алерты/ Вывод информации об обнаружениях ». В строке запроса,   вы можете добавить параметры detect_type, limit, token.   Нажмите Send . При корректном выводе запроса вы получите статус 200 ОК.     Параметр detect_type описывает технологию, с помощью которой выполнено обнаружение. Возможно указать несколько технологий через запятую.Возможные значения: am – Anti-Malware Engine; sb – Sandbox; yara – YARA; url_reputation – URL Reputation; ids – Intrusion Detection System; Если параметр не указан, предоставляется информация обо всех обнаружениях. Вы можете сохранить информацию об обнаружениях / алертах сохранив вывод в файл. Перейдите в меню вывода информации, Нажмите на значек расширенного меню, выберите пункт меню   «Save response to file ». Вывод сохранится в виде *.json файла.   Результат сохраненного ответа:   Состав передаваемых данных обширен, полный перечень всех данных описан в разделе « Состав передаваемых данных » раздела   «Взаимодействие с внешними системами по API». Так же таблица с описанием передаваемых данных приведена в приложении 1.   Events API / API для получения внешними системами информации о событиях приложения Обратите внимание на статью API для получения внешними системами информации о событиях приложения , описывающую процесс создания скрипта, автоматически забирающего события в SIEM/SOAR, как реализацию базового функционала REST API KATA Platform. Events API / API для получения внешними системами информации о событиях приложения Для создания запроса на вывод информации о событиях используется HTTP-метод GET. При первом запросе Kaspersky Anti Targeted Attack Platform создает ContinuationToken (далее также "токен"). Приложение передает события, доступные в системе на момент создания токена. При создании нового токена Kaspersky Anti Targeted Attack Platform отправляет события, доступные в системе на момент создания этого токена. Токен содержит информацию о том, какие данные были переданы последними. Если вы хотите получать события, записанные с момента последнего запроса, вам нужно сохранить созданный токен и использовать его в следующих запросах. Первоначальное получение токена и авторизация рассмотрены в пункте 2.1. Выберите « Event API (получение событий) ». В строке запроса,   вы можете добавить параметры filter, max_timeout, max_events, continuation_token.   Нажмите Send . При корректном выводе запроса вы получите статус 200 ОК.   Вы можете сохранить информацию об обнаружениях / алертах сохранив вывод в файл. Перейдите в меню вывода информации. Нажмите на значек расширенного меню , выберите пункт меню   «Save response to file ». Вывод сохранится в виде *.json файла.    Примеры запросов: GET   https://{{kata_ip}}:443/kata/events_api/v1/{{sensorid}}/events?filter=Ioa=='*'&max_timeout=PT300S&max_events=500   GET https://{{kata_ip}}:443/kata/events_api/v1/{{sensorid}}/events?filter=DetectedObjectType=='File' AND HostName==''&max_timeout=PT60S&max_events=50   GET "https://{{kata_ip}}:443/kata/events_api/v1/{{sensorid}}/events=? filter=EventType=='threatdetect' AND EventType=='threatprocessingresult'&max_timeout=PT300S&max_events=64000   Синтаксис: GET ":<порт, по умолчанию 443>/kata/events_api/v1/<идентификатор external_system_id>/events=?filter=<фильтр для событий>&max_timeout=<максимальное время сбора событий>&max_events=<максимальное количество событий>&continuation_token=<значение токена, полученное при первом запросе>"   Если при первом запросе вы указали значение параметра filter, при повторном запросе вы можете его не указывать: параметры фильтрации сохраняются от предыдущего запроса и используются в случае, если не указаны новые. Если вы не хотите использовать фильтрацию, не указывайте значение для параметра. Запрос на вывод информации о событиях для cURL https://support.kaspersky.com/help/KATA/7.1/ru-RU/248951.htm Полное описание логики запроса: языка, параметров приведено в Приложении 2 Event API, но для краткости, здесь приведены ссылки на офицыальнуюдокументацию: Язык запросов для фильтрации событий https://support.kaspersky.com/help/KATA/7.1/ru-RU/249006.htm Поля для фильтрации событий https://support.kaspersky.com/help/KATA/7.1/ru-RU/249086.htm   KEDR: API для управления действиями по реагированию на угрозы/ Response_api API для управления действиями по реагированию на угрозы/ Response_api KATA предоставляет интерфейс API для осуществления действий по реагированию на угрозы. Команды на выполнение операций поступают на сервер Central Node, после чего приложение передает их компоненту Endpoint Agent.   С помощью внешних систем вы можете выполнить следующие операции на хостах с компонентом Endpoint Agent: · Управлять сетевой изоляцией хостов. · Управлять правилами запрета. · Запускать приложения.   Все перечисленные операции доступны на хостах, на которых в роли компонента Endpoint Agent используются приложения Kaspersky Endpoint Agent для Windows и Kaspersky Endpoint Security для Windows. На хостах с Kaspersky Endpoint Agent для Linux и Kaspersky Endpoint Security для Linux доступна только функция запуска приложения. Запрос на получение списка хостов с компонентом Endpoint Agent Выберите « Получить список хостов ». В строке запроса,   вы можете добавить параметры filter, max_timeout, max_events, continuation_token.   Нажмите Send . При корректном выводе запроса вы получите статус 200 ОК. Так же, при успешной обработке запроса отобразится весь список хостов с компонентом Endpoint Agent.   Вы можете сохранить информацию о хостах в файл. Перейдите в меню вывода информации. Нажмите на значек расширенного меню, выберите пункт меню   «Save response to file ». Вывод сохранится в виде *.json файла.     Синтаксис команды   GET  https://{{kedr_ip}}:443/kata/response_api/v1/{{sensorid}}/sensors     Вы можете создать запрос на вывод информации о хостах с фильтрами по IP-адресу, имени или идентификатору хоста. Вы можете указать один, несколько или все перечисленные фильтры.   При указании имени хоста вам нужно учитывать, что фильтр чувствителен к регистру символов.   Перечень параметров доступен ниже в таблице: Параметр Тип Описание external_system_id UUID Уникальный идентификатор внешней системы, используемый для авторизации в Kaspersky Anti Targeted Attack Platform. sensor_id UUID Уникальный идентификатор хоста с компонентом Endpoint Agent. ip string IP-адрес хоста с компонентом Endpoint Agent. Пример запроса информации по определенному хосту или IP адресу Пример: GET https://{{kedr_ip}}:443/kata/response_api/v1/{{sensorid}}/sensors?ip=10.68.85.174&host=W10-MDR-KES.evilcorp.local GET https://{{kedr_ip}}:443/kata/response_api/v1/{{sensorid}}/sensors?ip=10.68.85.174&host=W10-MDR-KES.evilcorp.local&sensor_id=e27b2842-c062-aa47-6d7f-c5ce6b6997f9   Синтаксис: GET ":<порт, по умолчанию 443>/kata/response_api/v1/<идентификатор external_system_id>/sensors?ip=&host=<имя хоста>&sensor_id=<идентификатор sensor_id>"   При успешной обработке запроса отобразится информация о выбранном хосте с компонентом Endpoint Agent. Запрос получения AgentID по IP адресу хоста Пример запроса: GET https:// {{kedr_ip}} :443/kata/response_api/v1/ {{sensorid}} /sensors?ip= {{kedr_host_ip}} Для удобства работы вы можете описать глобальные переменные в разделе переменные, либо работать с параметрами запросов, для таких параметров как sensor_id, settings_type, ip, host, Запрос на получение информации о сетевой изоляции и наличии правил запрета для хостов с компонентом Endpoint Agent Выберите запрос « Получение списка хостов с включеной сетевой изоляцией и праилами запрета ». В строке запроса необходимо обязательно указать параметры sensor_id , settings_type.   Нажмите Send . При корректном выводе запроса вы получите статус 200 ОК. Так же, при успешной обработке запроса отобразится весь список хостов с компонентом Endpoint Agent.   Пример запроса: https://{{kedr_ip}}:443/kata/response_api/v1/{{sensorid}}/settings?sensor_id={{kedr_agent_id}}&settings_type=prevention https://{{kedr_ip}}:443/kata/response_api/v1/{{sensorid}}/settings?sensor_id=e6aa2842-fb29-fa7c-84f2-fc2009bfc2d3&settings_type=prevention Информация о запросах: https://support.kaspersky.com/help/KATA/7.1/ru-RU/227597.htm   Синтаксис команды: GET ":<порт, по умолчанию 443>/kata/response_api/v1/<идентификатор external_system_id>/settings?sensor_id=<идентификатор sensor_id>&settings_type=" Управление сетевой изоляцией хостов Для изоляции хоста с компонентом Endpoint Agent с помощью интерфейса API рекомендуется использовать следующий сценарий взаимодействия с Kaspersky Anti Targeted Attack Platform:   1. Создание запроса на получение списка хостов с компонентом Endpoint Agent 2. Создание запроса на получение информации о хостах, для которых уже включена сетевая изоляция 3. Создание запроса на одну из следующих операций с хостами с компонентом Endpoint Agent: · включение сетевой изоляции; · отключение сетевой изоляции; · добавление исключения в уже существующее правило сетевой изоляции.   Вы можете управлять созданными правилами сетевой изоляции в веб-интерфейсе приложения. Запрос на включение сетевой изоляции Выберите запрос « Изолировать хост ». В строке запроса необходимо обязательно указать параметры sensor_id, autoTurnoffTimeoutInSec.   Нажмите Send .   При корректном выводе запроса вы получите статус 200 ОК, и результат выполнения.   В Postman переменная isolation_timeout_hours параметра autoTurnoffTimeoutInSec определена в резделе переменных «Variables». Используется POST запрос, поэтому в разделе BODY в параметре передаваемых значений выбран тип RAW, формат JSON. Пример: POST https://{{kedr_ip}}:443/kata/response_api/v1/{{sensorid}}/settings?sensor_id={{kedr_agent_id}}&settings_type=network_isolation { "settings": { "autoTurnoffTimeoutInSec": {{isolation_timeout_hours}} } }   Синтаксис команды   POST ":<порт, по умолчанию 443>/kata/response_api/v1/<идентификатор external_system_id>/settings?sensor_id=<идентификатор sensor_id>&settings_type=network_izolation" -H 'Content-Type: application/json' -d ' { "settings": { "autoTurnoffTimeoutInSec": <время действия сетевой изоляции>} }   Выберите запрос « Изолировать Статус хост » для проверки статуса задачи. В строке запроса необходимо обязательно указать параметры sensor_id, autoTurnoffTimeoutInSec.   Нажмите Send .   При корректном выводе запроса вы получите статус 200 ОК, и результат выполнения. Пример Postman: GET https://{{kedr_ip}}:443/kata/response_api/v1/{{sensorid}}/settings?sensor_id={{kedr_agent_id}}&settings_type=network_isolation { "settings" : { "autoTurnoffTimeoutInSec" :  {{isolation_timeout_hours}} } }   Запрос на отключение сетевой изоляции Выберите запрос « Отключить изоляцию хоста ». В строке запроса необходимо обязательно указать параметр sensor_id.   Нажмите Send .   При корректном выводе запроса вы получите статус 200 ОК, и результат выполнения. Чтобы отключить сетевую изоляцию для выбранного хоста, вам требуется создать запрос на отключение правила сетевой изоляции. Для создания запроса используется HTTP-метод DELETE. Пример: DELETE https://{{kedr_ip}}:443/kata/response_api/v1/{{sensorid}}/settings?sensor_id={{kedr_agent_id}}&settings_type=network_isolation Запрос на добавление исключения в правило сетевой изоляции Выберите запрос « Изолировать с исключениями хост ». В строке запроса необходимо обязательно указать параметр sensor_id и параметры указанные в таблице ниже.   Нажмите Send .   При корректном выводе запроса вы получите статус 200 ОК, и результат выполнения. Чтобы добавить исключение для ранее созданного правила сетевой изоляции, вам требуется создать запрос на добавление исключения. Для создания запроса используется HTTP-метод POST. Параметры команды передаются в теле запроса в формате JSON. Пример в Postman: https:// {{kedr_ip}} :443/kata/response_api/v1/ {{sensorid}} /settings?sensor_id= {{kedr_agent_id}} &settings_type=network_isolation { "settings" : [ { "excludedRules" : [ { "direction" :  "" , "protocol" : <номер IP-протокола>, "remoteIpv6Address/remoteIPv4Address" : , "remotePortRange" : { "fromPort" : <номер порта>, "toPort" : <номер порта> }, "localPortRange" : { "fromPort" : <номер порта>, "toPort" : <номер порта> } } ], "autoTurnoffTimeoutInSec" :  " {{isolation_timeout_hours}} " } ] }   Синтаксис команды POST ":<порт, по умолчанию 443>/kata/response_api/v1/<идентификатор external_system_id>/settings?sensor_id=<идентификатор sensor_id>&settings_type=network_izolation" -H 'Content-Type: application/json' -d ' { "settings": [ { "excludedRules": [ { "direction": "", "protocol": <номер IP-протокола>, "remotePortRange": { "fromPort": <номер порта>, "toPort": <номер порта> }, "localPortRange": { "fromPort": <номер порта>, "toPort": <номер порта> } } ], "autoTurnoffTimeoutInSec": <время действия сетевой изоляции> } }     При успешной обработке запроса исключение из правила сетевой изоляции будет добавлено. Описание параметров добавляемого исключения в правило сетевой изоляции   Подробное описание приведено в документации по адресу: https://support.kaspersky.com/help/KATA/7.1/ru-RU/227499.htm Параметр Тип Описание external_system_id UUID Уникальный идентификатор внешней системы, используемый для авторизации в Kaspersky Anti Targeted Attack Platform. sensor_id UUID Уникальный идентификатор хоста с компонентом Endpoint Agent. protocol integer Номер IP-протокола, назначенный Internet Assigned Numbers Authority (IANA) . remoteIpv4Address/remoteIpv6Address string IP-адрес хоста с компонентом Endpoint Agent, сетевой трафик которого не должен быть заблокирован. remotePortRange string Порт назначения. Вы можете указать порт, только если вы выбрали входящее или исходящее направление сетевого трафика. Для двунаправленного трафика нельзя задавать диапазон портов. localPortRange string Порт, с которого устанавливается соединение. Вы можете указать порт, только если вы выбрали входящее или исходящее направление сетевого трафика. Для двунаправленного трафика нельзя задавать диапазон портов. autoTurnoffTimeoutInSec integer Время, в течение которого будет действовать сетевая изоляция хоста. Допустимый диапазон – от 1 до 9999 часов. Время сетевой изоляции указывается в секундах. Например, если вы хотите включить сетевую изоляцию хоста на два часа, вам требуется указать 7200 секунд. Управление правилами запрета Важная информация по работе с правилами запрета, пожалуйста ознаккомьтесь внимательно с информацией.   Информация взята из справки. https://support.kaspersky.com/help/KATA/7.1/ru-RU/227294.htm   С помощью правил запрета вы можете заблокировать запуск файлов или процессов на выбранном хосте или всех хостах с компонентом Endpoint Agent. Например, вы можете запретить запуск приложений, использование которых считаете небезопасным. Приложение идентифицирует файлы по их хешу с помощью алгоритмов хеширования MD5 и SHA256 . Правило запрета, созданное через внешние системы, может содержать несколько хешей файлов. Через внешние системы вы можете управлять всеми правилами запрета, созданными для одного хоста или всех хостов, одновременно. При создании правила запрета для выбранного хоста через внешние системы Kaspersky Anti Targeted Attack Platform заменяет все правила запрета, назначенные на этот хост, правилом с новыми параметрами. Например, если ранее вы добавили несколько правил запрета для выбранного хоста через веб-интерфейс приложения, а потом добавили правило запрета через внешние системы, все правила запрета, добавленные в веб-интерфейсе, будут заменены добавленным через внешние системы правилом.   При изменении параметров правила запрета, созданного через внешние системы, приложение сохраняет только новые параметры. Например, если вы создали правило запрета, которое содержит хеши для нескольких файлов, и хотите добавить в это правило еще один хеш, вам требуется создать запрос на добавление правила запрета и указать в нем все хеши, для которых вы создавали запрет ранее, и новый хеш.   Описанный сценарий также актуален для правил запрета, назначенных на все хосты.   Для создания правила запрета с помощью интерфейса API рекомендуется использовать следующий сценарий взаимодействия с Kaspersky Anti Targeted Attack Platform:   1. Создание запроса на получение списка хостов с компонентом Endpoint Agent 2. Создание запроса на получение информации о хостах, для которых существуют правила запрета 3. Создание запроса на одну из следующих операций с правилами запрета: · создание правила; · удаление правила.   Добавленные правила запрета отображаются в веб-интерфейсе приложения в разделе Политики , подразделе Правила запрета .   Если вы создаете через внешнюю систему правило запрета для всех хостов, вам требуется предварительно убедиться, что на сервере отсутствует и не применяется к одному или нескольким хостам правило запрета для этого же файла. Это условие также справедливо, если вы хотите создать через внешнюю систему правило запрета для выбранного хоста: вам требуется убедиться, что на сервере отсутствует и не применяется ко всем хостам правило запрета для этого же файла. В противном случае сервер вернет внешней системе ошибку со списком хостов, к которым уже применяется правило запрета.   Если правило запрета, создаваемое через внешнюю систему, содержит несколько хешей файлов, в информации об ошибке указывается только первый файл, вызвавший ошибку. Сведения о других дублирующихся правилах запрета не отображаются.   Для изменения уже созданного через веб-интерфейс или внешние системы правила запрета вам нужно создать запрос на добавление правила запрета с обновленными параметрами. Запрос на создание правила запрета Выберите запрос « Правило запрета Создать на хосте ». В строке запроса необходимо обязательно указать параметры sensor_id, objects, sha256 или md5 и парамерты, в виде json.   Нажмите Send .   При корректном выводе запроса вы получите статус 200 ОК, и результат выполнения. Для создания запроса используется HTTP-метод POST. Параметры команды передаются в теле запроса в формате JSON. Пример использования Postman: POST https://{{kedr_ip}}:443/kata/response_api/v1/{{sensorid}}/settings?sensor_id={{kedr_agent_id}}&settings_type=prevention { "settings" : { "objects" : [ { "file" : { "sha256" :  "2e9f874236a42d08c4133bbc895a0d3ffd93ab6f2e3b50f2eae57e5a2135c728" } }  // Если нужно больше добавить сюда ] } }   Отображение запроса в интерфейсе на CN:   Выберите запрос « Правило запрета Статус на хосте/всех клиентах ». В строке запроса необходимо обязательно указать параметры sensor_id, settings.   Нажмите Send .   При корректном выводе запроса вы получите статус 200 ОК, и результат выполнения. Для получения статуса правила запрета изпользуется GET запрос Пример в Postman: https://{{kedr_ip}}:443/kata/response_api/v1/{{sensorid}}/settings?sensor_id={{kedr_agent_id}}&settings_type=prevention Запрос на удаление правила запрета (вариант 1 POST) Выберите запрос « Правило запрета Удалить на хосте (1 способ) ». В строке запроса необходимо обязательно указать параметры sensor_id, settings.   Нажмите Send .   При корректном выводе запроса вы получите статус 200 ОК, и результат выполнения. Вы можете удалить правило запрета с помощью нового запроса с пустыми значениями или запроса с параметром DELETE. Для создания запросов используются HTTP-методы POST и DELETE. Синтаксис: Параметры команды передаются в теле запроса в формате JSON.   POST https://{{kedr_ip}}:443/kata/response_api/v1/{{sensorid}}/settings?sensor_id={{kedr_agent_id}}&settings_type=prevention -H 'Content-Type: application/json' -d ' { "settings": {"objects": [] } }' Запрос на удаление правила запрета (вариант 2 DELETE) Выберите запрос « Правило запрета Удалить на хосте (2 способ) ». В строке запроса необходимо обязательно указать параметры sensor_id, settings.   Нажмите Send .   При корректном выводе запроса вы получите статус 200 ОК, и результат выполнения. Вы можете удалить правило запрета с помощью запроса с параметром DELETE. Для создания запроса используется HTTP-метод DELETE. Синтаксис команды с параметром DELETE DELETE https://{{kedr_ip}}:443/kata/response_api/v1/{{sensorid}}/settings?sensor_id={{kedr_agent_id}}&settings_type=prevention Управление задачей запуска приложения   Для управления задачей запуска приложения с помощью интерфейса API рекомендуется использовать следующий сценарий взаимодействия с Kaspersky Anti Targeted Attack Platform:   1. Создание запроса на получение информации о параметрах, времени создания и статусе выполнения задачи 2. Создание запроса на одну из следующих операций с задачей: · создание задачи; · удаление задачи. Добавленные задачи отображаются в веб-интерфейсе приложения в разделе Задачи . Получение информации о задаче Выберите запрос « Запуск программы Статус на хосте ». В строке запроса необходимо обязательно указать параметры sensor_id, task_id и settings.   Нажмите Send .   При корректном выводе запроса вы получите статус 200 ОК, и результат выполнения. Для создания запроса на получение информации о задаче используется HTTP-метод GET. Пример: https://{{kedr_ip}}:443/kata/response_api/v1/{{sensorid}}/tasks/{{kedr_task_id}}?settings=true   где task_id из справки это переменная {{kedr_task_id}} , указываемая в разделе переменные. Если будет генерироватья множество задач, то для генерации используется переменная {{$guid}}, которая генерирует случайный UUID для новой задачи. (Рассматривается далее в Запрос на создание задачи ) Запрос на создание задачи Выберите запрос « Запуск программы Создать на хосте ». В строке запроса необходимо обязательно указать параметры sensor_id, task_id, settings и параметры запроса.   Нажмите Send .   При корректном выводе запроса вы получите статус 200 ОК, и результат выполнения. Для создания запроса на запуск приложения Kaspersky Anti Targeted Attack Platform используется HTTP-метод POST. Параметры команды передаются в теле запроса в формате JSON. При успешной обработке запроса задача на запуск приложения будет создана. При генерации множества задач используется переменная (именно в Postman/Ansible) {{$guid}} , которая генерирует случайный UUID для каждой новой задачи.   В веб интерфейе Central Node, отобразится созданная задача: Запрос на удаление задачи Выберите запрос « Запуск программы Статус на хосте ». В строке запроса необходимо обязательно указать параметры sensor_id, settings.   Нажмите Send .   При корректном выводе запроса вы получите статус 200 ОК, и результат выполнения. Для создания запроса на удаление задачи Kaspersky Anti Targeted Attack Platform используется HTTP-метод DELETE. Пример: DELETE https:// {{kedr_ip}} :443/kata/response_api/v1/ {{sensorid}} /tasks/ {{kedr_task_id}} Где, {{kedr_task_id}} - sensor_id – ID ранее созданной задачи. При успешной обработке запроса задача на запуск приложения будет удалена. Приложение 1: Состав передаваемых данных Приложение 1: Состав передаваемых данных Информация, передаваемая о каждом обнаружении, представлена в таблице ниже.   Состав передаваемых данных об обнаружении Параметр Значение Описание alertID Целочисленное значение. Идентификатор обнаружения. eventTimeStamp Дата и время. Время события. detectTimestamp Дата и время. Время занесения информации об обнаружении в базу Kaspersky Anti Targeted Attack Platform. importance Одно из следующих значений: · high ; · medium ; · low . Важность обнаружения. objectSource Одно из следующих значений: · web ; · mail ; · endpoint ; · external ; dns . Источник обнаруженного объекта. technology Одно из следующих значений: · am  – Anti-Malware Engine; · sb  – Sandbox; · yara  – YARA; · url_reputation  – URL Reputation; ids  – Intrusion Detection System. Технология, с помощью которой обнаружен объект. objectType Одно из следующих значений: · file . · URL . host  (для удаленных доменов или хостов). Тип обнаруженного объекта. object Зависит от типа обнаруженного объекта. Данные об обнаруженном объекте . (Полное описание приведенео в таблице ниже) detection Зависит от технологии, с помощью которой обнаружен объект. Данные о найденных угрозах . (Полное описание приведенео в таблице ниже) details Зависит от источника обнаруженного объекта. Данные об окружении обнаруженных объектов . (Полное описание приведенео в таблице ниже)   Данные об обнаруженных объектах Тип Параметр Тип данных Описание Пример file processedObject.MD5 MD5 MD5-хеш файла или составного объекта, переданного на проверку. 1839a1e9621c58dadf782e131df3821f processedObject.SHA256 SHA256 SHA256-хеш файла или составного объекта, переданного на проверку. 7bbfc1d690079b0c591e146c4294305da1cee857e12db40f4318598fdb503a47 processedObject.fileName String Имя файла или составного объекта, переданного на проверку. EICAR-CURE.com processedObject.fileType String Тип файла или составного объекта, переданного на проверку. GeneralTxt processedObject.fileSize Integer Размер файла или составного объекта, переданного на проверку, в байтах. 184 detectedObject.MD5 MD5 MD5-хеш файла (простого объекта или файла внутри составного объекта), в котором обнаружена угроза. 1839a1e9621c58dadf782e131df3821f detectedObject.fileName String Имя файла (простого объекта или файла внутри составного объекта), в котором обнаружена угроза. EICAR-CURE.com detectedObject.fileSize Integer Размер файла (простого объекта или файла внутри составного объекта), в котором обнаружена угроза, в байтах. 184 URL detectedObject String URL-адрес обнаруженного объекта. http://example.com/link host detectedObject Array Список доменов, к которым относятся обнаруженные объекты. Для технологии  URL , а также для объектов с параметром  objectSource=dns  список может содержать несколько доменов. example.org, example.net   Данные о найденных угрозах Технология Параметр Описание Тип данных Пример Одна из следующих технологий: · Anti-Malware Engine. · YARA. · Intrusion Detection System. detect Список найденных угроз. Array HEUR:Trojan.Win32.Generic, Trojan-DDoS.Win32.Macri.avy, UDS:DangerousObject.Multi.Generic dataBaseVersion Версия баз, с помощью которых проверен файл. Integer 201811190706 Sandbox detect Список найденных угроз. Array HEUR:Trojan.Win32.Generic, Trojan-DDoS.Win32.Macri.avy, UDS:DangerousObject.Multi.Generic image Имя образа виртуальной машины, на которой был проверен файл. String Win7 dataBaseVersion Версия баз в следующем формате:  <версия баз программы, с помощью которых проверен файл> / <версия баз модуля IDS> . Integer 201902031107/ 201811190706 URL Reputation detect Список категорий URL Reputation для обнаруженного объекта (для объектов типа  URL  или  host ). Array Phishing host, Malicious host, Botnet C&C(Backdoor.Win32.Mokes)   Данные об окружении обнаруженных объектов Источник объекта Параметр Описание Тип данных Пример WEB sourceIP IP-адрес компьютера, установившего соединение. IP address 192.0.2.0 sourceHostname Имя компьютера, установившего соединение. String example.com destinationIp IP-адрес компьютера, с которым установлено соединение. IP address 198.51.100.0 destinationPort Порт компьютера, с которым установлено соединение. Integer 3128 URL URL-адрес интернет-ресурса, к которому выполнено обращение. Для обнаружений, выполненных технологией IDS, этот параметр отсутствует. Для обнаружений, выполненных технологией URL, этот параметр совпадает с параметром  detectedObject . String https://example.com:443/ method Метод HTTP-запроса. String Connect referrer URL-адрес, на который была выполнена переадресация. String https://example.com:443/ agentString Заголовок  User agent  из HTTP-запроса, содержащий название и версию клиентского приложения. String Mozilla/4.0 MAIL mailFrom Адрес электронной почты отправителя. String sender@example.com mailTo Список адресов электронной почты получателей через запятую. Array recipient1@example.com, recipient2@example.com subject Тема сообщения. String 'You are the winner' messageId ID сообщения электронной почты. String 1745028736.156014.1542897410859.JavaMail.svc_jira_pool@hqconflapp2 endpoint external hostName Имя компьютера, на котором выполнено обнаружение. String computername.example.com IP IP-адрес компьютера, на котором выполнено обнаружение. IP address 198.51.100.0 DNS sourceIp IP-адрес компьютера, инициировавшего соединение по протоколу DNS. IP address 192.0.2.0 destinationIp IP-адрес компьютера, с которым установлено соединение по протоколу DNS (как правило, DNS-сервера). IP address 198.51.100.0 destinationPort Порт компьютера, с которым установлено соединение по протоколу DNS (как правило, DNS-сервера). Integer 3128 dnsMessageType Тип DNS-сообщения: · Request . Response . String Request dnsRequestType Один из следующих типов записи DNS-запроса: · A . · AAA . · CNAME . MX . String MX domainToBeResolved Имя домена из DNS-запроса. String example.com ПРИЛОЖЕНИЕ 2: EVENT API Приложение 2: event api API для получения внешними системами информации о событиях приложения Kaspersky Anti Targeted Attack Platform предоставляет интерфейс API для доступа внешних систем к информации о зарегистрированных приложением событиях.  Вы можете указать в параметрах запроса фильтры, чтобы получить информацию только о тех событиях, которые удовлетворяют требуемым условиям.   При появлении новых событий приложение не отправляет информацию о них автоматически на основе предыдущих запросов. Для получения актуальной информации требуется отправить повторный запрос.  Параметры фильтрации событий. Задаются с помощью языка запросов для работы с событиями.  Язык запросов для фильтрации событий поддерживает следующие функции и операторы: · Функции: in. · Операторы сравнения для значений типа String или Boolean: ==, !=. · Операторы сравнения для чисел и переменных: AND, OR, NOT, ==, !=, >, >=, <, <=.  Вы можете посмотреть список полей, по которым можно отфильтровать события, в разделе Поля для фильтрации событий. Полный перечень полей приведен в таблице ниже.  Если вы хотите получить информацию о событиях разного типа, вам нужно создать отдельный запрос для каждого типа событий. EventType=='threatdetect' AND EventType=='threatprocessingresult'  Поддерживаются константы числового и строкового типа. Строковые константы заключаются в апострофы: 'example' . Для строковых констант поддерживаются метасимволы * и ?. Если вы не хотите использовать метасимволы, вам нужно экранировать их: \*, \?. Также в строковых константах вам нужно экранировать специальные символы.  Состав передаваемых данных об окружении обнаруженных объектов в зависимости от источника объекта приведен в таблице ниже. Источник объекта Параметр Описание Тип данных Пример WEB sourceIP IP-адрес компьютера, установившего соединение. IP address 192.0.2.0 sourceHostname Имя компьютера, установившего соединение. String example.com destinationIp IP-адрес компьютера, с которым установлено соединение. IP address 198.51.100.0 destinationPort Порт компьютера, с которым установлено соединение. Integer 3128 URL URL-адрес интернет-ресурса, к которому выполнено обращение. Для обнаружений, выполненных технологией IDS, этот параметр отсутствует. Для обнаружений, выполненных технологией URL, этот параметр совпадает с параметром  detectedObject . String https://example.com:443/ method Метод HTTP-запроса. String Connect referrer URL-адрес, на который была выполнена переадресация. String https://example.com:443/ MAIL mailFrom Адрес электронной почты отправителя. String sender@example.com mailTo Список адресов электронной почты получателей через запятую. Array recipient1@example.com, recipient2@example.com subject Тема сообщения. String 'You are the winner' messageId ID сообщения электронной почты. String 1745028736.156014.1542897410859.JavaMail.svc_jira_pool@hqconflapp2 Endpoint, external hostName Имя компьютера, на котором выполнено обнаружение. String computername.example.com IP IP-адрес компьютера, на котором выполнено обнаружение. IP address 198.51.100.0 DNS sourceIp IP-адрес компьютера, инициировавшего соединение по протоколу DNS. IP address 192.0.2.0 destinationIp IP-адрес компьютера, с которым установлено соединение по протоколу DNS (как правило, DNS-сервера). IP address 198.51.100.0 destinationPort Порт компьютера, с которым установлено соединение по протоколу DNS (как правило, DNS-сервера). Integer 3128 dnsMessageType Тип DNS-сообщения: · Request . Response . String Request dnsRequestType Один из следующих типов записи DNS-запроса: · A . · AAA . · CNAME . MX . String MX domainToBeResolved Имя домена из DNS-запроса. String example.com Настройка и использование NDR API 7.1.x - 8.0 Общее описание процесса настройки REST API Сервер REST API, который обеспечивает доступ внешних систем к функциональности NDR, функционирует на сервере с компонентом Central Node и обрабатывает запросы с использованием архитектурного стиля взаимодействия REST (Representational State Transfer). Обращения к серверу REST API выполняются по протоколу HTTPS. Вы можете настроить параметры сервера REST API в разделе Параметры → Серверы подключений (в том числе заменить используемый по умолчанию самоподписанный сертификат на доверенный). Для представления данных в запросах и ответах используется формат JSON. Внешние системы, использующие Kaspersky Anti Targeted Attack Platform API, подключаются к компоненту Central Node через коннекторы. Коннекторы обеспечивают безопасное соединение с использованием сертификатов. Для каждой внешней системы, из которой вы хотите отправлять запросы на сервер REST API, вам нужно создать отдельный коннектор в Kaspersky Anti Targeted Attack Platform. Для соединения с Kaspersky Anti Targeted Attack Platform внешняя система должна использовать токен аутентификации. Kaspersky Anti Targeted Attack Platform выдает токен аутентификации по запросу внешней системы и использует для токена сертификаты коннектора, который был создан для этой системы. Время действия токена аутентификации составляет 10 часов. Внешняя система может обновить токен аутентификации по специальному запросу. В Kaspersky Anti Targeted Attack Platform API предусмотрены следующие способы работы со внешними системами: взаимодействие на основе архитектурного стиля REST; взаимодействие по протоколу WebSocket. Внешние системы могут использовать способ взаимодействия по протоколу WebSocket в Kaspersky Anti Targeted Attack Platform API для создания подписок на изменяемые значения, которые получает приложение.  помощью Kaspersky Anti Targeted Attack Platform API внешние системы могут выполнять следующие действия: получать данные об известных приложению устройствах; добавлять, изменять и удалять устройства; получать данные о зарегистрированных событиях в трафике сети (событиях NDR); отправлять события NDR в Kaspersky Anti Targeted Attack Platform (для регистрации используется системный  тип события  с кодом 4000005400); получать данные об обнаруженных уязвимостях; получать сообщения приложения и записи аудита; получать данные о разрешающих правилах; включать, выключать и удалять разрешающие правила; получать данные о рисках, связанных с устройствами; получать данные об адресных пространствах; отправлять отчет о топологической карте сети в Kaspersky Anti Targeted Attack Platform; отправлять, получать и удалять сведения о пользователях на устройствах; отправлять и получать сведения о приложениях и патчах на устройствах; отправлять и удалять сведения об исполняемых файлах на устройствах; отправлять содержимое журналов устройств; получать следующие данные о приложении: список серверов с компонентами приложения; список точек мониторинга и их параметры; список поддерживаемых стеков протоколов и их параметры; список типов событий NDR и их параметры; текущее состояние и режимы работы технологий; версия приложения и даты выпуска установленных обновлений; информация о добавленном лицензионном ключе; язык локализации приложения. Полная коллекция API запросов к NDR через POSTMAN: KATA_API_v4.postman_collection.json Обеспечение безопасного взаимодействия при использовании Kaspersky Anti Targeted Attack Platform API Внешние системы получают доступ к функциям приложения с использованием Kaspersky Anti Targeted Attack Platform API, устанавливая зашифрованные соединения по протоколу HTTPS. Для обеспечения безопасности соединений используются сертификаты, выданные компонентом Central Node Kaspersky Anti Targeted Attack Platform. Компонент выдает сертификаты для коннекторов, через которые подключаются внешние системы. Для каждой внешней системы в Kaspersky Anti Targeted Attack Platform должен быть создан отдельный коннектор. Подключение через коннектор возможно с использованием только того сертификата, который был выдан компонентом Central Node и сохранен в файле свертки для этого коннектора. Подключение невозможно установить, если внешняя система предъявляет сертификат от другого коннектора, другого компонента Central Node Kaspersky Anti Targeted Attack Platform, или сертификат, используемый для других подключений (например, сертификат компонента Sensor). После установки зашифрованного соединения внешняя система должна запросить  токен аутентификации  для коннектора, который будет указываться внешней системой в запросах к Central Node REST API. Токен аутентификации действителен в течение 10 часов после выдачи. При необходимости дальнейшего использования токена внешняя система должна запросить продление времени его действия до наступления момента прекращения действия. При обработке запросов от внешних систем Kaspersky Anti Targeted Attack Platform сохраняет в журнале аудита сведения о попытках выполнения следующих операций: получение токена аутентификации; продление времени действия для токена аутентификации; добавление устройства в таблицу устройств; изменение сведений об устройстве; удаление устройства; запрос журнала аудита (при первом чтении записей аудита через коннектор после загрузки веб-сервера). Создание и использование коннекторов для Kaspersky Anti Targeted Attack Platform API Для взаимодействия внешней системы с Kaspersky Anti Targeted Attack Platform API вам нужно  добавить коннектор  для этой системы. При создании коннектора для него требуется указать  системный тип  Generic. При добавлении коннектора, а также при  создании нового файла свертки  для этого коннектора Central Node формирует файл свертки, который вам нужно использовать для работы коннектора. Файл свертки представляет собой архив, содержащий следующие файлы: certificates.pfx – содержит в зашифрованном виде открытый ключ сертификата Central Node, а также сертификат, выданный Central Node для коннектора (с закрытым ключом). Содержимое файла зашифровано с использованием пароля, который был указан при добавлении коннектора или при создании нового файла свертки для этого коннектора. metadata.json – содержит конфигурационные данные для коннектора. Данные представлены в формате JSON. Перечисленные файлы вам нужно использовать для подключения внешней системы через коннектор. Для расшифровки файла certificates.pfx и применения содержащегося в нем сертификата с ключами вы можете использовать стандартные методы обработки файлов этого формата (например, команды  openssl ). Адреса, указанные в файле metadata.json, требуются для работы коннектора и отправки запросов к серверу REST API. Сертификат и конфигурационные данные в файле свертки действительны до тех пор, пока не создан новый файл свертки или пока не удален коннектор в приложении. Добавление коннектора Чтобы добавить коннектор: Войдите в веб-интерфейс под учетной записью администратора приложения. Выберите раздел Параметры, подраздел Коннекторы. На вкладке Коннекторы откройте область деталей по кнопке Добавить коннектор. Настройте общие параметры коннектора: Выберите нужный тип коннектора и введите имя коннектора. Если вы хотите добавить неуправляемый коннектор (или коннектор с включенным режимом игнорирования функций управляемого коннектора), введите пароль для доступа к сертификату коннектора. С использованием заданного пароля будет зашифрован сертификат в файле свертки коннектора. Укажите адрес сервера Central Node. По указанному адресу коннектор будет подключаться к Central Node. Укажите узел размещения коннектора. Чтобы добавить неуправляемый коннектор, вам нужно ввести IP-адрес компьютера, на котором будут работать программные модули коннектора. Выберите пользователя, под которым сторонняя система будет подключаться к приложению через коннектор. Требуется указать имя одного из пользователей приложения. (ndr/system). Нажмите на кнопку  Сохранить . Новый коннектор появится в таблице коннекторов. Если добавлен   неуправляемый коннектор , Central Node сформирует файл свертки для нового коннектора, после чего браузер сохранит загруженный файл. В зависимости от параметров, заданных в браузере, на экране может появиться окно для изменения пути и имени сохраняемого файла. Содержимое полученного файла свертки вам нужно загрузить в приложение, которое будет использовать коннектор. Неуправляемый коннектор  не предоставляет функции управляемого коннектора. Регистрацию такого коннектора, а также запуск, остановку и удаление его программных модулей требуется выполнять вручную на узле размещения коннектора. При включении и выключении неуправляемого коннектора приложение соответственно разрешает и запрещает взаимодействие с коннектором на стороне сервера Central Node. Безопасность соединений коннекторов с сервером Central Node приложения обеспечивается с использованием сертификатов. Сертификаты для коннекторов создаются при добавлении коннекторов в приложение. Для программных модулей управляемых коннекторов приложение автоматически передает созданные сертификаты. При добавлении неуправляемого коннектора (или при добавлении управляемого коннектора с включенным режимом игнорирования функций управляемого коннектора) сертификат для программных модулей этого коннектора требуется загрузить вручную с помощью файла свертки. При необходимости заменить (выпустить новый) сертификат для такого коннектора вам нужно создать новый файл свертки и использовать этот файл для загрузки нового сертификата. Замена сертификатов управляемых коннекторов возможна только путем удаления и повторного добавления этих коннекторов. Пошаговая настройка Postman Порядок выполнения запросов Импорт коллекции Загрузите полную коллекцию API запросов к NDR через POSTMAN: KATA_API_v4.postman_collection.json Откройте Postman Нажмите Import (левый верхний угол) → Upload Files Выберите файл KATA_API_v4.postman_collection.json Коллекция появится в левой панели Создание и настройка окружения (Environment) В правом верхнем углу нажмите на выпадающий список окружений → Manage Environments Нажмите Add Заполните: Variable Initial Value Current Value Описание base_url https://kata-server.local https://kata-server.local Адрес вашего KATA-сервера api_version 4 4 Версия API access_token (пусто) (пусто) Заполняется автоматически после аутентификации refresh_token (пусто) (пусто) Заполняется автоматически token_expires (пусто) (пусто) Время истечения токена (timestamp) device_id (пусто) (пусто) Для подстановки в запросы event_id (пусто) (пусто) Для подстановки в запросы risk_id (пусто) (пусто) Для подстановки в запросы rule_id (пусто) (пусто) Для подстановки в запросы iso_timestamp (пусто) (пусто) Генерируется автоматически Нажмите Add → Выберите созданное окружение в выпадающем списке Настройка клиентских сертификатов (ВАЖНО!) KATA API требует двусторонней TLS-аутентификации (mTLS). Вариант A: Глобальная настройка сертификатов (рекомендуется) File → Settings → Certificates Перейдите на вкладку Certificates Нажмите Add Certificate Заполните: Поле Значение Пример Host Адрес сервера без протокола kata-server.local:443 или *.kata.local CRT file Путь к клиентскому сертификату C:\certs\connector.crt Key file Путь к приватному ключу C:\certs\connector.key PFX file (оставьте пустым, если используете CRT+KEY) либо добавьте выгруженный из файла свертки сертификат Password (если ключ запаролен) your_password CA Certificate (для проверки сервера): Settings → Certificates → CA Certificates Включите Use custom CA certificate Укажите путь к корневому сертификату: C:\certs\ca.crt или сертификату kata.crt или сертификату из файла свертки webserver.pem Результат: Вариант B: Настройка в конкретном запросе Откройте запрос Get Access Token (certificate) Перейдите на вкладку Settings (рядом с Authorization) В разделе Client certificate укажите: Cert : путь к connector.crt Key : путь к connector.key Сертификаты коннектора создаются в KATA Console: Параметры → Серверы подключений → Коннекторы → Создать → Скачать сертификат Настройка SSL Verification Если используете самоподписанные сертификаты: File → Settings → General Отключите опцию SSL certificate verification (только для тестов!) Для продакшена: обязательно настройте CA Certificate как в Шаге 3 Получение токена (первый запуск) Выберите окружение в правом верхнем углу В коллекции раскройте 🔐 Authentication Запустите запрос Get Access Token (certificate) При успешном ответе: access_token автоматически сохранится в окружение В консоль (Postman Console: View → Show Postman Console ) выведется время истечения Тестирование запросов Выберите любой запрос, например: 🖥️ Devices → Query Devices Убедитесь, что в заголовках есть: Authorization: Bearer {{access_token}} Content-Type: application/json Нажмите Send Проверьте ответ во вкладке Body → JSON Обновление токена (автоматически или вручную) Автоматически (через скрипт): Коллекция содержит проверку в Pre-request Script Если токен истекает < 5 минут — в консоль выводится предупреждение Вручную: Запустите запрос Refresh Access Token Или повторно выполните Get Access Token (certificate) Общая информация Маркетинговые материалы Данный раздел содержит ссылки на маркетинговые материалы по продукту KATA&KEDR&NDR. Все материалы представлены в виде ссылок для скачивания. Основные материалы: Страница сайта KATAP - ссылка Страница сайта KEDR - ссылка Datasheet KATA – ссылка Datasheet KEDR – ссылка Листовка Why KATA? – ссылка Ценность для бизнеса от внедрения KATA – ссылка Ценность для бизнеса от внедрения KATA/KEDR – ссылка Листовка How to sell – ссылка What’s new KATA&KEDR – ссылка Видеоролики: Обучающие видео по Kaspersky Anti Targeted Attack Platform - ссылка Истории успеха/Россия и СНГ: Кумтор – ссылка РН-БашНИПИнефть – ссылка Head Hunter – ссылка Фосагро – ссылка Магнит – ссылка МКБ – ссылка Правительство Ростовской области – ссылка Центральная пригородная пассажирская компания – ссылка Инфосистемы Джет – ссылка KICB – ссылка Новосталь-М – ссылка Компания нефтегазового сектора – ссылка Азиатский газопровод – ссылка РТИ Системы – ссылка Оптима Банк – ссылка Материалы по запросу: Дополнительные материалы вы можете запросить через почту у команды pre-sale инженеров AntiAPT. KATA в распределённой инсталляции (PCN/SCN): принцип работы и эксплуатационные особенности KATA в распределённой инсталляции (PCN/SCN) .kata-community-article { line-height: 1.55; } .kata-note { padding: 12px 14px; border-left: 4px solid #888; background: #f7f7f7; margin: 14px 0; } .kata-warning { padding: 12px 14px; border-left: 4px solid #b35; background: #fff6f7; margin: 14px 0; } .kata-figure { margin: 14px 0; } .kata-figcap { font-size: 0.95em; color: #555; margin-top: 6px; } .kata-muted { color: #555; } .kata-toc a { text-decoration: none; } .kata-toc li { margin: 4px 0; } code { font-family: ui-monospace, SFMono-Regular, Menlo, Monaco, Consolas, "Liberation Mono", "Courier New", monospace; } Примечание. Материал подготовлен для AntiAPT Community и предназначен для практического понимания принципов работы. Он не заменяет официальную документацию вендора. Распределённая инсталляция Kaspersky Anti Targeted Attack Platform (KATA) применяется, когда требуется единый контур управления для нескольких площадок/подразделений и/или масштабирование по количеству активов и объёму анализируемых данных. Содержание Назначение и сценарии применения Термины и роли (PCN/SCN) Как распределяются управление и данные Потоки данных: алерты и Threat Hunting Пользователи, права и сессии Хранилище и лицензирование Подключение SCN к PCN: доверие и верификация Резервное копирование: важные ограничения Связность и жизненный цикл SCN 1. Назначение и сценарии применения В распределённой инсталляции несколько серверов Central Node работают как единая система: управление централизуется, а обработка данных выполняется ближе к источникам событий (по площадкам/сегментам/тенантам). Как правило, распределённый режим выбирают при масштабировании (по активам и трафику), а также при необходимости разграничить инфраструктуру по филиалам или по тенантам. 2. Термины и роли (PCN/SCN) PCN (Primary Central Node) — главный сервер управления. Обычно является «точкой обзора» по всем подключённым площадкам. SCN (Secondary Central Node) — подчинённый сервер. Как правило, обслуживает «локальную» площадку и синхронизирует результаты с PCN. Тенант — логическая единица (организация/филиал), для которой ведётся раздельный контур данных и управления (в режиме мультитенантности). 3. Как распределяются управление и данные В распределённой инсталляции PCN выполняет роль центральной точки управления, а SCN — роль площадочных узлов. При этом часть объектов и настроек централизуется, но сохраняется принцип «объект редактируется там, где создан». 3.1. Что обычно централизуется на PCN На практике на PCN удобнее вести единые политики, задачи и правила, а также контролировать алерты и результаты расследований по всей инсталляции. PCN выступает «витриной» по данным, которые поступают от SCN. 3.2. Принцип «создано здесь — редактируется здесь» В эксплуатации важно заранее договориться о правилах администрирования: если объект создан на PCN, его жизненный цикл управляется на PCN; если объект создан на SCN — изменения выполняются на соответствующем SCN. Это снижает риск конфликтов и упрощает ответственность между командами/площадками. 4. Потоки данных: алерты и Threat Hunting SCN выполняют сбор и обработку данных в рамках своей площадки. Результаты (события/корреляции/детекты/метаданные) используются для формирования общей картины на PCN. Алерты агрегируются на уровне PCN для централизованного контроля и triage. Threat Hunting в распределённой инсталляции следует воспринимать как «единый поиск» по площадкам: запрос инициируется из центрального интерфейса, а результаты собираются из подключённых узлов. 5. Пользователи, права и сессии Для эксплуатационной модели важно разделить роли: центральные администраторы (PCN) и площадочные операторы (SCN). В типовом сценарии учётные записи и роли администрируются централизованно, а доступ к конкретным площадкам ограничивается правами. Отдельно имеет смысл учитывать ограничения по одновременным сессиям и правила доступа операторов к площадкам, чтобы избежать «технических конфликтов» при сменах и расследованиях. 6. Хранилище и лицензирование В распределённой инсталляции необходимо заранее оценить влияние объёмов хранилища и лицензирования на площадочных узлах: даже при централизованном управлении объёмы данных и нагрузка зависят от того, какие источники подключены на конкретном SCN. Практика: на этапе проектирования полезно фиксировать, какие типы данных хранятся и как долго (retention), отдельно для центрального уровня и площадок. 7. Подключение SCN к PCN: доверие и верификация Подключение SCN к PCN — это установление доверенного канала управления. В типовом процессе присутствует шаг верификации (например, сравнение отпечатка сертификата), который позволяет исключить подключение к «не тому» центральному узлу. Важно. Рекомендуется заранее определить регламент: кто создаёт учётную запись для подключения SCN, кто выполняет сверку отпечатка сертификата (вне канала), и кто уполномочен подтверждать подключения площадок. 8. Резервное копирование: важные ограничения Для распределённой инсталляции следует отдельно описать процедуру резервного копирования и восстановления, так как доступность резервного копирования и его корректность могут зависеть от текущего состояния подключений между PCN и SCN. 9. Связность и жизненный цикл SCN В эксплуатации необходимо учитывать сценарии деградации связи (плановые окна, аварии каналов, разделение площадки) и их последствия: что происходит с отображением данных на PCN, какие статусы считаются нормальными в переходных состояниях, и как выглядит регламент восстановления. Практический подход: описать «критерии нормальности» (что оператор видит в интерфейсе при штатной работе и при потере связи) и добавить ссылки на внутренние регламенты (если они есть). Cheat Sheet по интеграциям KATA c KUMA Введение В KATA версии 7.0 появились новые возможности и интеграции с KUMA. Данная статья направлена на упрощение восприятия данных интеграций, а также агрегации на одной странице всех инструкций по взаимодействию данных систем. Схема взаимодействия Подробнее Что такое KATA Alerts? Вкладка Alerts в веб-интерфейсе KATA Что такое User activity? Вкладка Logs - User activity в интерфейсе KATA Как настроить отправку алертов и действий пользователей KATA в KUMA - ссылка Что такое EDR telemetry? Вкладка Threat hunting в веб-интерфейсе KATA Как настроить отправку телеметрии EDR в KUMA - ссылка Что такое NDR events? Вкладка Network traffic events в веб-интерфейсе KATA Что такое NDR Audit? Вкладка Logs - Audit в веб-интерфейсе KATA Что такое NDR Application messages? Вкладка Logs - Application messages в веб-интерфейсе KATA Как настроить отправку событий, аудита и сообщений NDR в KUMA -  ссылка Что такое NDR Assets? Вкладка Assets в веб-интерфейсе KATA Как настроить передачу активов, обнаруженных NDR в KUMA - ссылка