# Руководство по установке и настройке компонента Сentral Node в режиме "Ретроспективный анализ трафика" КАТА/NDR 8.0
ℹ️ **Информация:** Приведенная на данной странице информация, является разработкой команды pre-sales и/или AntiAPT Community и НЕ является официальной рекомендацией вендора..
> Официальная документация по данному разделу приведена в **[Онлайн-справке](https://support.kaspersky.com/help/KATA/8.0/ru-RU/246841.htm)** на продукт. Далее по разделам:
>
> - [Аппаратные и программные требования](https://support.kaspersky.com/help/KATA/8.0/ru-RU/247120.htm)
> - [Архитектура приложения](https://support.kaspersky.com/help/KATA/8.0/ru-RU/194604.htm)
> - [Распределенное решение и мультитенантность](https://support.kaspersky.com/help/KATA/8.0/ru-RU/247445.htm)
> - [Руководство по масштабированию](https://support.kaspersky.com/help/KATA/8.0/ru-RU/247448.htm)
> - [Установка и первоначальная настройка приложения](https://support.kaspersky.com/help/KATA/8.0/ru-RU/176843.htm)
### 📦 Установка Central Node в режиме "**Ретроспективный анализ трафика**"
> **Версия решения:** 8.0
> **Тип установки:** Central Node (на одном сервере)
ℹ️ **Информация:** в данном разделе описывается процесс установки компонента Central Node выступающего в роли выделенного сервера выполняющего роль узла для Ретроспективный анализ трафика.
Ретроспективный анализ трафика позволяет анализировать собранные ранее сетевые данные с учетом новых сигнатур, индикаторов и правил.
Этот компонент используется только для ретроспективного анализа трафика. Изменить роль сервера после установки невозможно. Вы можете подключить к этому компоненту Sandbox.
> ℹ️ **Информация:** Детальнее ознакомиться с работой данного компонента можно в **[онлайн документации](https://support.kaspersky.com/help/KATA/8.0/ru-RU/312880.htm)**.
>
**ВАЖНО:** Функция доступна при наличии действующего лицензионного ключа KATA+NDR. После истечения срока действия лицензионного ключа результаты анализа трафика остаются доступными для просмотра. Воспроизведение трафика не запускается. Активация возможна только с помощью файла ключа.
---
1. Подготовка
#### **1.1. Варианты установки**
Решение поддерживает три архитектуры:
| Вариант | Описание |
| **Standalone** | Central Node + Sensor на одном сервере. Подходит для пилотных внедрений, тестовых сред и организаций с небольшой ИТ-инфраструктурой. |
---
#### **1.2. Требования к оборудованию**
| Компонент | Требование |
|---|
| **Режим загрузки** | Обязательно **UEFI** |
| **Процессор** | Минимум 24+ потоков (логических ядер), поддержка **BMI2, AVX, AVX2** |
| **ОЗУ** | Минимум **64 ГБ** |
| **Диски** | - 1 диск — для ОС и компонентов
|
| **Жёсткие диски** | Только **SAS HDD 10K rpm и выше (рекомендуется использовать SSD)** |
| **RAID** | Только **аппаратный RAID**. Программный RAID **не поддерживается** |
##### **🔹 Объём системного диска**
| Сценарий | Минимальный объём |
| **KATA и/или NDR** | 2–2,4 ТБ |
---
#### **1.3. Платформы виртуализации**
Решение **не поддерживает Microsoft Hyper-V**. Поддерживаются:
- **VMware ESXi 6.7.0 или 7.0**
- **KVM**
- **ПК СВ "Брест" 3.3**
- **"РЕД Виртуализация" 7.3**
- **zVirt Node 4.2**
Решение **не поддерживает Microsoft Hyper-V.**
> 📌 **Примечание по KVM:**
>
> - ОС: **Debian GNU/Linux 12**
> - Эмулятор: **QEMU version 8.0.2**
---
##### **Дополнительные требования для платформ виртуализации**
| ****Платформа****
| ****Особенности****
|
| ****VMware ESXi****
| Виртуальная машина требует на \*\*10% больше CPU\*\*, чем физический сервер. Тип виртуального диска: \*\*Thick Provision\*\*
|
| ****ПК СВ "Брест" / "РЕД Виртуализация****"
| При использовании \*\*KATA+NDR\*\* увеличьте минимальное количество логических ядер на \*\*20%\*\*
|
> 📌 **Примечание:**
> Если вы хотите устранить уязвимости типа **Spectre и Meltdown** на уровне гипервизора, необходимо дополнительно увеличить количество логических ядер **в 1,5 раза** относительно уже увеличенного значения.
---
#### **1.4. Дисковые подсистемы и RAID**
| Подсистема | Назначение | Рекомендуемый RAID |
|---|
| **Первая** | ОС, контейнеры, базы (кроме TAA) | RAID 1 или RAID 10 |
| **Вторая** | База TAA и журналы | RAID 10 |
> 💡 **Рекомендации:**
>
> - Минимум **2000 ГБ** на первой подсистеме
> - Используйте **аппаратный RAID-контроллер** с кэшем и BBU
---
#### **1.5. Требования к процессору**
Центральный процессор **должен поддерживать наборы инструкций**:
- **BMI2**
- **AVX**
- **AVX2**
> 🔍 **Проверка поддержки:**
>
> - Выполните в терминале команду: **cat /proc/cpuinfo | grep flags**
> - Убедитесь, что в выводе присутствуют: **avx avx2 bmi2**
> - Либо выполните следующую команду:
>
>
#### **1.6. Порты и сервера обновлений / KSN**
Перед установкой приложения подготовьте IT-инфраструктуру вашей организации к установке компонентов Kaspersky Anti Targeted Attack Platform: Подготовка IT-инфраструктуры к установке компонентов приложения:
1. Для обеспечения безопасности сети от анализируемых объектов запретите доступ в локальную сеть сервера Sandbox управляющему сетевому интерфейсу и интерфейсу для доступа обрабатываемых объектов.
2. Произведите подготовку IT-инфраструктуры организации, [согласно таблице](https://support.kaspersky.com/KATA/7.1/ru-RU/247859.htm).
3. Открыт доступ до серверов обновления и KSN согласно таблице ниже:
| Server | URL |
|---|
| Updates | - antiapt.kaspersky-labs.com
- antiapt.k.kaspersky-labs.com
- antiapt.s.kaspersky-labs.com
- activation-v2.kaspersky.com
|
| KSN | - https://ksn-crypto-file-geo.kaspersky-labs.com
- https://ksn-crypto-stat-geo.kaspersky-labs.com
- https://ksn-crypto-url-geo.kaspersky-labs.com
- https://ksn-crypto-verdict-geo.kaspersky-labs.com
- https://ksn-crypto-kas-geo.kaspersky-labs.com
- https://ksn-crypto-a-stat-geo.kaspersky-labs.com
- https://ksn-crypto-hash-geo.kaspersky-labs.com
- https://ksn-his-geo.kaspersky-labs.com
- https://ksn-file-geo.kaspersky-labs.com
- https://ksn-verdict-geo.kaspersky-labs.com
- https://ksn-url-geo.kaspersky-labs.com
- https://ksn-kas-geo.kaspersky-labs.com
- https://ksn-a-stat-geo.kaspersky-labs.com
- https://ksn-info-geo.kaspersky-labs.com
- https://ksn-cinfo-geo.kaspersky-labs.com
- https://dc1.ksn.kaspersky-labs.com
- https://dc1-file.ksn.kaspersky-labs.com
- https://dc1-kas.ksn.kaspersky-labs.com
- https://dc1-st.ksn.kaspersky-labs.com
|
---
2. Установка
#### **2.1. Общая последовательность**
1. Установите **Central Node в режиме "Ретроспективный анализ трафика"**
2. Установите **Sandbox**
3. Добавьте **образы виртуальных машин** в Sandbox
> 💡 **Сценарии:**
>
> - **Пилот:** Central Node + Sensor на одном сервере, Sandbox — на другом
---
#### **2.2. Загрузка и запуск образа**
Скачайте образ:
- **Физический сервер:** запишите на USB/DVD и загрузитесь.
- **Виртуальный сервер:** подключите ISO к ВМ.
> ⚠️ **Важно:**
> При установке на виртуальной платформе **обязательно выберите UEFI** в настройках:
> `Options → Boot Options → Firmware → UEFI`.
> 📸 **Скриншот 1:**
>
> 
---
#### **2.3. Процесс установки**
##### **Шаг 1: Загрузка**
Выберите:
> 📸 **Скриншот 2:**
>
> [](https://antiapt-community.ru/uploads/images/gallery/2026-03/yXjGlaIIB2yFzxzf-image.png)
>
>
>
##### **Шаг 2: Язык**
Выберите язык (например, **русский**) → **Enter**
> 📸 **Скриншот 3:**
>
> 
---
##### **Шаг 3: Лицензионное соглашение**
- Нажмите **Tab**, выберите **«Я Принимаю»**
- Нажмите **Enter**
> 📸 **Скриншот 4:**
>
> 
---
##### **Шаг 4: Политика конфиденциальности**
- Выберите **«Я Принимаю»** → **Enter**
> 📸 **Скриншот 5:**
>
> 
---
##### **Шаг 5: Выбор роли сервера**
| Роль | Описание |
|---|
| **`single`** | Central Node + Sensor на одном сервере |
| **`sensor`** | Только Sensor (выделенный) |
| **`storage`** | Сервер хранения для кластера |
| **`processing`** | Обрабатывающий сервер (включает Sensor) |
> ⚠️ После установки сменить роль **невозможно**.
> 📸 **Скриншот 6:**
>
> 
---
##### **Шаг 6: Выбор диска**
- Подтвердите очистку диска → **Yes** → **Enter**
> 📸 **Скриншот 7:**
>
>  
##### **В данном примере диск не соответствует минимальным требованиям**
---
##### **Шаг 7: Настройка сети кластера (если применимо)**
> ##### ❗ Настройка выполняется **Только для кластерной установки.**
Для **не-кластерной установки** просто нажмите **Enter** (оставьте `198.18.0.0/16`)
> 📸 **Скриншот 8:**
>
> 
> 📸 **Скриншот 9:**
>
> 
---
##### **Шаг 8: Выбор сетевого интерфейса**
Выберите интерфейс для **Management Interface**
> 📸 **Скриншот 10:**
>
> 
---
##### **Шаг 9: Настройка IP-адреса**
- **DHCP** — автоматически
- **Static** — вручную (IP, Mask, Gateway)
> 📸 **Скриншот 11:**
>
> 
---
##### **Шаг 10: Учётная запись** `admin`
- Пароль: **минимум 12 символов**
- Подтвердите пароль → OK
> 📸 **Скриншот 12:**
>
> 
---
##### **Шаг 11: Язык NDR**
Выберите язык (например, **русский**) → Enter
> 📸 **Скриншот 13:**
>
> 
---
##### **Шаг 12: DNS-серверы**
> ⚠️ **Обязательно!** Даже в изолированной сети укажите фиктивный DNS (например, `1.1.1.1`)
> 📸 **Скриншот 14:**
>
> 
---
##### **Шаг 13: NTP-серверы**
- Нажмите **Add**
- Введите адрес (например, `pool.ntp.org`)
- Нажмите **Continue**
> 📸 **Скриншот 15:**
>
> 
---
##### **Шаг 14: Включение режима ретроспективного анализа трафика**
Для ретроспективного анализа трафика, на этом шаге требуется включить режим ретроспективного анализа трафика. В этом режиме для компонента действует ряд ограничений, вы можете ознакомиться с ними в разделе *[Ретроспективный анализ трафика](https://support.kaspersky.com/help/KATA/8.0/ru-RU/312880.htm)*.
> 📸 **Скриншот 16:**
>
> [](https://antiapt-community.ru/uploads/images/gallery/2026-03/bYnELAtRvWCFKA2w-image.png)
---
##### **Шаг 15: Ожидание завершения**
Процесс займёт **5–20 минут**. Не перезагружайте сервер.
> 📸 **Скриншот 17:**
>
> 
3. Настройка
#### **3.1. Доступ к веб-интерфейсу**
После завершения установки подождите **пару минут** — идёт запуск контейнеров и инициализация сервисов.
> ⚠️ Не пытайтесь входить сразу — возможна ошибка авторизации.
Откройте в браузере:
Войдите под:
- **Логин:** `admin`
- **Пароль:** заданный при установке
> 📸 **Скриншот 17:**
>
> 
---
#### **3.2. Конфигурация серверов**
После входа откроется **веб-интерфейс для управления масштабированием**. Вам будет доступен раздел **«Конфигурация серверов»**, где необходимо указать параметры, определяющие нагрузку и объём хранилища.
> 📸 **Скриншот 18:**
>
> [](https://antiapt-community.ru/uploads/images/gallery/2026-03/TEHLQhrWRUbALnF2-image.png)
>
> [](https://antiapt-community.ru/uploads/images/gallery/2026-03/VT2j8eUBoSpfDqqo-image.png)
>
>
>
##### **🔹 Почтовый трафик (KATA)**
**❗ВАЖНО: **В поле **Почтовый трафик**, сообщений в секунду **ничего не указываем.**
---
##### **🔹 SPAN-трафик (NDR)**
- Укажите **объём трафика (Мбит/с)** поданного на CN.
- В поле **SPAN-трафик**, Мбит/с укажите планируемое количество трафика со SPAN-портов.
- В этом поле указывается общий объем **SPAN-трафика**, который обрабатывается на **Central Node/****RAM**.
---
#### **3.3. Объём диска**
#### В поле «**Хранилище**» нужно указать объем дискового пространства, выделяемого для хранения файлов, загруженных через веб интерфейс для анализа компонентом Cental Node и Sandbox. Рекомендуется выделять не больше 100 Гб.
---
#### **3.4. Запуск конфигурации**
1. Нажмите **«Настроить»**
2. Нажмите **«Запустить»**
3. Дождитесь завершения (10–20 минут)
> 📸 **Скриншот 19:**
>
> 
> 📸 **Скриншот 20:**
>
> 
> ⚠️ **ВАЖНО!** После успешного завершения система предложит войти заново. После завершения конфигурации подождите **5-20 минут** — идёт запуск контейнеров и инициализация сервисов.
---
#### **3.5. Финальная настройка**
После успешной конфигурации:
##### **🔹 Проверка времени**
- **Параметры → Дата и время**
- Убедитесь в правильности часового пояса и NTP
> ⚠️ Время должно быть одинаковым на всех компонентах: CN, Sensor, Sandbox.
> 📸 **Скриншот 21:**
>
> [](https://antiapt-community.ru/uploads/images/gallery/2026-03/3GLYOuxrxjYL4zQM-image.png)
>
>
>
---
##### **🔹 Имя сервера**
- **Параметры → Сетевые параметры → Имя сервера**
- Укажите имя в **нижнем регистре**, совпадающее с DNS (если планируется интеграция с AD)
> ##### **ВАЖНО!**
>
> ##### Имя устройства Central Node можно изменить только через веб-интерфейс. Автоматически присвоенное при установке имя менять нельзя.
> 📸 **Скриншот 22:**
>
> [](https://antiapt-community.ru/uploads/images/gallery/2026-03/C4GlNzk59lOT7Oe6-image.png)
>
>
>
---
##### **🔹 Лицензия**
- **Параметры → Лицензия**
- Загрузите файл ключа или введите код активации (KATA, NDR, KEDR)
> 📸 **Скриншот 23:**
>
> [](https://antiapt-community.ru/uploads/images/gallery/2026-03/n6VWj3MzUMmVjB5h-image.png)
>
>
>
---
##### **🔹 KSN**
- **Параметры → KSN/KPSN и MDR**
- Примите соглашение и включите KSN
> 📸 **Скриншот 24:**
>
> 
---
##### **🔹 Обновление баз**
- **Параметры → Общие параметры → Обновление баз**
- Выберите источник и запустите обновление
> ✅ Обновление должно завершиться со статусом **успешно**
> 📸 **Скриншот 25:**
>
> 
---
##### **🔹 Создание учётной записи Офицера безопасности**
- **Параметры → Пользователи → Добавить**
- Роль: **Старший сотрудник службы безопасности**
- Укажите имя, пароль (дважды), включите учётную запись
> 💡 Эта учётная запись будет использоваться для работы с инцидентами.
> 📸 **Скриншот 26:**
>
> 
>
>
>
**ВАЖНО: **Перед тем как приступить к данным настройкам, лицензии KATA или KATA/NDR должны быть обязательно добавлены в зависимости от тестируемого функционала.
> **Примечание:**
> o Лицензия KATA отвечает за защиту периметра IT-инфраструктуры предприятия обработку сетевых источников.
> o NDR обеспечивающий защиту внутренней сети предприятия, построения карты сети и ретроспективного анализа.
>
Процесс первоначальной установки и настройки на данном этапе завершен.
4. Настройка подключения источников
---
#### **1. API**
##### Платформа KATA поддерживает интеграцию со сторонними решения по средством REST API.
#### Перед подключением источников, обязательно выполните следующие действия:
В данной инструкции этот процесс описан не будет, так как есть полноценная инструкция по работе с данным функционалом. Данную инструкцию можно запросить либо скачать по данной ссылке - [Руководство по настройке API KATA, KEDR, NDR до 7.1.3](https://antiapt-community.ru/books/kata-platform/chapter/rukovodstvo-po-nastroike-api-kata-kedr-ndr-do-713)
Детальнее с данным функционалом можно ознакомиться в онлайн документации** [KATA API](https://support.kaspersky.com/help/KATA/8.0/ru-RU/247805.htm) и [NDR API](https://support.kaspersky.com/help/KATA/8.0/ru-RU/155163.htm).**
#### Рекомендуется увеличить значение максимальное значение обрабатываемых задач получаемых от одного клиента по API
Подключиться по “**SSH**” к “**Central Node**”, перейти в “**Technical Support Mode**” и выполнить следующие команды:
- Переход в root – “**sudo su**”.
- Увеличение максимального значения “API-запросов”
```bash
sudo su
console-settings-updater set --merge /kata/configuration/product/kata_scanner '{"ksmg": {"max_tasks_per_client": 500}}'
```
Прейдите в веб-интерфейс “**Central Node**” и авторизуйтесь под уз “**admin**”.
> 📸 **Скриншот 27:**[](https://antiapt-community.ru/uploads/images/gallery/2026-04/Ay78VKeqk4PEvTMY-image.png)
Перейдите в раздел “**Внешние системы**” и переведите пункт “**Максимальный приоритет проверки**” в состояние “**Включено**”.
> 📸 **Скриншот 28:
> [](https://antiapt-community.ru/uploads/images/gallery/2026-04/Ay78VKeqk4PEvTMY-image.png)**
---
#### **2. SPAN**
Данный пункт описывает процесс настройки Central Node для анализа копии трафика, поданного с внутреннего или внешнего сегмента сети.
**ВАЖНО: для включения анализа сетевого трафика обязательно должен быть добавлен дополнительный интерфейс.
Для Central Node работающей в режиме** **Retrospective analysis mode, точка мониторинга должна быть только одна.**
**Примечание: **В версию KATA 6.0 добавлена возможность записи, хранения и выгрузки копий сырого сетевого трафика. В данном документе этот функционал описан не будет, только настройка приема SPAN. Детально по данному функционалу можно ознакомиться в [онлайн документации](https://support.kaspersky.com/help/KATA/8.0/ru-RU/266038.htm).
Процесс настройки и подключения SPAN в данной инструкции этот процесс описан не будет, так как есть полноценная инструкция по работе с данным функционалом. Данную инструкцию можно запросить либо скачать по данной ссылке - [Настройка приёма SPAN-трафика на Central Node и Sensor](https://antiapt-community.ru/books/kata-platform/page/nastroika-priema-span-trafika-na-central-node-i-sensor)
---
#### **3. SIEM**
**Kaspersky Anti Targeted Attack Platform** может публиковать информацию о **действиях пользователей в веб-интерфейсе** приложения и **обнаружениях** в **SIEM-систему**, которая уже используется в вашей организации, по протоколу **Syslog**.
Процесс настройки и подключения SPAN в данной инструкции этот процесс описан не будет, так как есть полноценная инструкция по работе с данным функционалом. Данную инструкцию можно запросить либо скачать по данной ссылке - [Cheat Sheet по интеграциям KATA c KUMA](https://antiapt-community.ru/books/kata-platform/page/cheat-sheet-po-integraciiam-kata-c-kuma)
Детальнее по настройке данного функционала можно ознакомиться в [онлайн документации](https://support.kaspersky.com/help/KATA/8.0/ru-RU/247568.htm).
С выходом нового модуля **Network Detection and Response** (**NDR**), который является частью платформы **Kaspersky Anti Targeted Attack Platform** (**KATA**), передача данных о событиях, связанных с этим функционалом, осуществляется через настройку **коннекторов**.
Детальнее по настройке данного функционала можно ознакомиться в [онлайн документации](https://support.kaspersky.com/help/KATA/8.0/ru-RU/153523.htm)
---
#### **4. Загрузка PCAP-файла вручную**
1. В окне веб-интерфейса из под уз "**Офицера безопасности**" приложения выберите раздел "**Ретроспективный анализ трафика**". Откроется таблица PCAP-файлов.
2. Нажмите на кнопку "**Загрузить PCAP-файл**". Откроется окно выбора файлов.
3. Выберите PCAP-файл, который вы хотите загрузить, и нажмите на кнопку "**Open**". Вы можете выбрать несколько файлов.
4. В таблице выберите файл с трафиком, который вы хотите воспроизвести.
Откроется окно с информацией о PCAP-файле.
5. Нажмите на кнопку Воспроизвести .
Воспроизведение трафика будет запущено.
> 📸 **Скриншот 29:**
>
> [](https://antiapt-community.ru/uploads/images/gallery/2026-04/JlcJxELwBfeYKPgl-image.png)
После проигрывания PCAP-файла, результаты будут доступны в разделе "**Алерты**"
> 📸 **Скриншот 29:**
>
> [](https://antiapt-community.ru/uploads/images/gallery/2026-04/5O2mEpAZTbXaWqeV-image.png)
**ВАЖНО:** если включен автоматический анализ трафика, загрузка PCAP-файлов в Kaspersky Anti Targeted Attack Platform вручную недоступна.
#### **5. Коннектора типа Generic для загрузки PCAP-файлов из внешней системы в Kaspersky Anti Targeted Attack Platform.**
[Добавление](https://support.kaspersky.com/help/KATA/8.0/ru-RU/136497.htm) коннектора [типа Generic](https://support.kaspersky.com/help/KATA/8.0/ru-RU/207166.htm) для загрузки PCAP-файлов из внешней системы в Kaspersky Anti Targeted Attack Platform.
Этот коннектор используется для соединения с внешней системой, из которой передаются PCAP-файлы.
#### **6. Включение и отключение автоматического анализа трафика**
Если автоматический анализ трафика включен, Kaspersky Anti Targeted Attack Platform загружает и воспроизводит PCAP-файлы автоматически по мере их поступления. Вам требуется убедиться, что PCAP-файлы поступают в Kaspersky Anti Targeted Attack Platform в порядке записи и с учетом сегментов сети, иначе возможно искажение результатов анализа.
При включенном автоматическом анализе трафика [загрузка PCAP-файлов](https://support.kaspersky.com/help/KATA/8.0/ru-RU/313070.htm) в Kaspersky Anti Targeted Attack Platform и запуск воспроизведения трафика вручную недоступны.
ℹ️ **Информация:** Если вы хотите воспроизвести несколько PCAP-файлов подряд без очистки результатов, вам требуется загружать PCAP-файлы в порядке их записи с учетом сегментов сети, чтобы избежать искажения результатов анализа.