Руководство по установке и настройке компонента Sandbox в КАТА/KEDR/NDR 7.0-7.1

Информация:  Приведенная на данной странице информация, является разработкой команды pre-sales и/или AntiAPT Community и НЕ является официальной рекомендацией вендора. Версия платформы: КАТА / KEDR / NDR 7.0 - 7.1 Источник: Установка компонента Sandbox Официальная документация: Справка Kaspersky Anti Targeted Attack Platform 7.1 Введение Компонент Sandbox в платформе Kaspersky Anti Targeted Attack (КАТA) предназначен для глубокого анализа поведения подозрительных файлов и URL в изолированной среде. Он позволяет выявлять целевые атаки, вредоносные программы и скрытые угрозы, которые не обнаруживаются традиционными средствами защиты. Установка Sandbox — ответственный процесс, требующий точного соблюдения системных требований и последовательной настройки. В данной статье подробно описаны все этапы: от подготовки виртуальной машины до подключения к **Central Node** и настройки пользовательских шаблонов. ⚠ Перед началом обязательно ознакомьтесь с официальными требованиями . 1. Подготовка виртуальной машины Подготовка Sandbox должен быть развёрнут на виртуальной машине с особыми настройками. Ниже — ключевые требования. ПАРМЕТРЫ ТРЕБОВАНИЕ Процессор Только Intel с поддержкой Hyper-Threading Вложенная виртуализация Обязательно включена (Для платформ виртуализации) Latency Sensitivity Установлено в High (Для платформ виртуализации) Оперативная память Полностью зарезервирована Процессор Частота полностью зарезервирована Прошивка UEFI (с отключённым Secure Boot ) 1.2. Настройка VMware vSphere Шаг 1: Включение вложенной виртуализации Перейдите в настройки виртуальной машины → CPU → включите опцию: 📸 Рис. 1. Expose hardware assisted virtualization to the guest OS Шаг 2: Резервирование ресурсов Память: В разделе Memory → поставьте галочку: 📸 Рис. 2. Reserve all guest memory (All locked) Процессор: В CPU Reservation укажите значение ( см. Рисунок 1 ) по формуле: Примечание: Параметр « Reservation » рассчитывается в зависимости от частоты процессора ESXi-хоста, на котором разворачивается Sandbox, по следующей формуле: 15 * <значение частоты в МГц> 🔢 Пример: Для CPU 2,2 ГГц (2200 МГц) и 1 ядра: 15 × 2200 = 33 000 МГц Шаг 3: Настройка прошивки UEFI Перейдите в VM Options → Boot Options → Firmware . Выберите UEFI . Обязательно отключите Secure Boot . 📸 Рис. 3. Выбор UEFI и отключение Secure Boot Шаг 4: Установка высокой чувствительности к задержкам Перейдите в VM Options → Latency Sensitivity . Установите значение High . 📸 Рис. 4. Настройка Latency Sensitivity в High ✅ На этом этапе подготовка виртуальной машины завершена. 2. Установка компонента Sandbox Установка 2.1. Запуск установщика Примонтируйте ISO-образ Sandbox к виртуальной машине. Запустите ВМ. В меню загрузки выберите: 📸 Рис. 5. Меню установки — выбор " Installation KATA Sandbox " 2.2. Пошаговая установка Установка проходит в текстовом интерфейсе. Действуйте по шагам: Язык: Выберите русский или английский → нажмите Enter . Лицензия: Примите условия (нажмите TAB , выберите " Я принимаю "). Политика конфиденциальности: Аналогично — примите. Диск: Выберите диск → нажмите Enter . Очистка диска: Подтвердите — выберите Yes . 📸 Рис. 6. Подтверждение очистки диска 2.3. Настройка учётных данных и сети Минимальная длина пароля: По умолчанию — 12 символов (рекомендуется оставить). Пароль admin : Задайте надёжный пароль. Управляющий интерфейс (Management Interface): Выберите сетевой адаптер. Назначьте: IP-адрес Маску подсети Шлюз FQDN-имя сервера: Укажите полное доменное имя (например, `sandbox.corp.local`) . ( Важно: имя должно быть задано в нижнем регистре, так же, как и на DNS-сервере). DNS-серверы: Добавьте основной и резервный DNS. Шлюз по умолчанию*: Укажите IP-адрес шлюза. 📸 Рис. 7. Настройка IP, маски и шлюза 📸 Рис. 8. Настройка FQDN и DNS-серверов ✅ Установка завершена. Сохраните URL доступа: Management URL: https://<IP>:8443/ 3. Первый вход и базовая настройка Базовая настройка 3.1. Вход в веб-интерфейс Откройте браузер. Перейдите по адресу: https://<IP_Sandbox>:8443/ Войдите под учётной записью: Логин: ` admin ` Пароль: заданный при установке . 📸 Рис. 9. Страница входа в веб-интерфейс Sandbox 3.2. Настройка даты и времени Перейдите в раздел " Дата и время ". Установите: Часовой пояс Текущее время Рекомендуется настроить синхронизацию с NTP-сервером. 📸 Рис. 10. Настройка времени и NTP 4. Настройка Malware Interface 4.1. Настройка интерфейса Перейдите в " Сетевые интерфейсы ". Найдите " Интерфейс для выхода в интернет ". Укажите: IP-адрес Маску Шлюз 📸 Рис. 11. Настройка Malware Interface 4.2. Обновление баз Важно! Перед подключением к Central Node выполните обновление баз. Перейдите в " Обновление баз ". Убедитесь, что Malware Interface имеет доступ в интернет. Нажмите " Обновить ". Дождитесь статуса: " Успешно ". 📸 Рис. 13. Статус успешного обновления баз 5. Загрузка и настройка шаблонов ОС 5.1. Ограничение количества ВМ Перед загрузкой шаблонов установите лимит: Виртуальный сервер : до 12 ВМ Физический сервер : до 48 ВМ (В зависимости от характеристик оборудования, это значение можно увеличить до 72 или 144). Путь : `Администрирование → Гостевые виртуальные машины` 📸 Рис. 14. Настройка лимита ВМ 5.2. Загрузка преднастроенных шаблонов Перейдите в " Шаблоны и хранилища " → " Шаблоны ". Нажмите " Добавить " → выберите ISO-образ ОС. Дождитесь статуса: " Готова к установке ". Перейдите в " Виртуальные машины " → " Создать ВМ ". Выберите шаблон → нажмите " Сохранить ". Примите лицензионное соглашение. Нажмите " Установить готовые VM "*. Дождитесь статуса: " Включено ". 📸 Рис. 15. Создание ВМ из шаблона 📸 Рис. 16. Статус "Включено" после установки 5.3. Создание пользовательских шаблонов Поддерживаемые ОС: Windows XP SP3+ Windows 7 Windows 8.1 (64-bit) Windows 10 (64-bit, до версии 1909) Мы настоятельно рекомендуем использовать оригинальные ISO-образы от Microsoft. Требования к ОС: Отключить экранную заставку. Схема питания: " Всегда включено ". Отключить автообновления и брандмауэр Windows . Для Windows 7: требуется поддержка хеш-алгоритма SHA-2 ; Для поддержки этого хеш-алгоритма установите обновление Security Update for Windows 7 for x64-based Systems (KB3033929) . Для 32-битных операционных систем Windows 7 также требуется установить обновление KB3033929 . Для использования Windows 7 необходимо в настройках операционной системы включить использование TLS 1.1 и TLS 1.2. Для этого в Windows 7 в разделе   Панель управления   →   Свойства браузера   →   Дополнительно   установите флажок   Использовать TLS 1.1   и   Использовать TLS 1.2. Не устанавливать KB4474419 (может вызвать сбой во время развертывания виртуальной машины. ). Для Windows 8.1/10: отключить Fast Boot , включить функцию автоматического входа в систему ( авто логин ) . Ограничения, действующие при установки программного обеспечения: К одному шаблону единовременно можно подключить только один образ. После того как шаблон будет сохранен, вы можете отключить один образ и подключить другой. Не поддерживаются версии Microsoft Office выше 2016. Для пользовательских образов операционных систем полностью поддерживаются следующие локализации: русский, английский, упрощенный китайский (simplified), арабский, испанский (Mexico). Для операционной системы Windows XP поддерживаются только русский и английский языки. Лицензионные ключи для активации операционных систем и программного обеспечения не предоставляются. Настоятельно не рекомендуется устанавливать программное обеспечение следующих типов: Программное обеспечение, внедряющее свой код в другой запущенный процесс. Драйверы для защиты. Антивирусные приложения, включая Защитник Windows. Не гарантируется обнаружение вредоносной активности файлов, которые запускаются с помощью узкоспециального программного обеспечения. Kaspersky Anti Targeted Attack Platform не уведомляет о проблемах с установленным в операционной системе программным обеспечением. Процесс создания шаблона Перейдите в " Хранилище " → загрузите ISO-образ ОС. Перейдите в " Шаблоны " → "Создать шаблон". Укажите: Имя Описание Образ ОС (из хранилища) Нажмите " Продолжить ". На этапе " Настройка шаблона " установите ОС и ПО. При необходимости: нажмите " Подключить ISO " → выберите образ с ПО. 📸 Рис. 17. Создание нового шаблона 📸 Рис. 18. Подключение ISO с ПО 6. Решение проблемы с отсутствием интернета Если для сервера , на котором устанавливается виртуальная машина с пользовательским образом, не настроен доступ в интернет , для корректного завершения установки виртуальной машины вам нужно загрузить отладочные символы Microsoft . Пример ошибки из журнала установки: File "/opt/kaspersky/python3-venv/lib/python3.10/site-packages/KL/snapshot/vm_steps.py", line 390, in inner 

 raise err_cls(str(err)) from err [M <:common.exceptions.InstallKmExpErr: Offline kmbuild failed. Probably no symbols Решение: загрузка отладочных символов В разделе " Шаблоны " нажмите " Скачать манифест ". Распакуйте архив. Запустите ` sbsymtool.ps1 ` от имени администратора в PowerShell . Скрипт загрузит символы Microsoft. Вернитесь в Sandbox → " Шаблоны " → " Загрузить символы ". Выберите полученный архив → нажмите " Open ". Повторите установку ВМ. 📸 Рис. 19. Кнопка " Скачать манифест " 📸 Рис. 20. Загрузка архива с символами 7. Подключение к Central Node 7.1. Добавление Sandbox в Central Node В Central Node перейдите в " Серверы Sandbox " → " Добавить ". Укажите IP-адрес Sandbox. Нажмите " Получить отпечаток сертификата ". Сравните отпечаток с тем, что указан в Sandbox → " Авторизация KATA ". Укажите имя сервера. Поставьте галочку " Включить " → нажмите " Добавить ". 📸 Рис. 21. Добавление Sandbox в Central Node 7.2. Подтверждение на стороне Sandbox Откройте веб-интерфейс Sandbox. Перейдите в " Авторизация KATA ". Найдите запрос от Central Node → нажмите " Принять ". Нажмите " Применить " → подтвердите. Запрос перейдёт в статус " Принят ". 📸 Рис. 22. Подтверждение подключения в Sandbox ⏳ Важно: После подключения требуется 5–10 минут на подготовку. Предупреждение в интерфейсе исчезнет автоматически. 8. Настройка набора ОС В Central Node перейдите в " Параметры " → " Набор ОС ". Выберите: Стандартные ОС : Windows 7, Windows 10 При необходимости : CentOS, Astra Linux Пользовательские ОС : активируйте нужные Нажмите " Сохранить ". 📸 Рис. 23. Настройка набора ОС в Central Node Проверьте статус в разделе " Серверы Sandbox ". 📸 Рис. 24. Статус подключённых образов ОС Заключение Установка и настройка компонента Sandbox завершена. Компонент готов к анализу подозрительных объектов. Теперь можно: Настроить политики проверки файлов и ссылок . (Применимо только для пользовательских образов) Мониторить поведение угроз в изолированной среде. Полезные ссылки Работа с шаблонами виртуальных машин Создание виртуальной машины Официальная документация КАТА 7.1