Руководство по установке и настройке компонента Сentral Node в режиме Ретроспективный анализ трафика КАТА/NDR 8.0

Рис. 1 — Схема сетевого взаимодействия между компонентами приложения и системами, которые необходимы для работы приложения. Central Node развернут со встроенным Sensor

Рис. 2 — Схема сетевого взаимодействия между компонентами приложения и системами, которые необходимы для работы приложения. Sensor развернут на отдельном от Central Node сервере

Рис. 3 — Принцип работы приложения в режиме распределенного решения

2.1. Общая последовательность

1. Установите Central Node в режиме Sensor"Ретроспективный анализ трафика"
2. Установите Sandbox
3. Добавьте образы виртуальных машин в Sandbox
4. (Опционально) Установите выделенный Sensor
5. (Опционально) Установите агенты Kaspersky Endpoint Agents

💡 Сценарии:

• Пилот: Central Node + Sensor на одном сервере, Sandbox — на другом
• Промышленный: кластер или распределённая архитектура

2.2. Загрузка и запуск образа

Скачайте образ:

• Физический сервер: запишите на USB/DVD и загрузитесь.
• Виртуальный сервер: подключите ISO к ВМ.

⚠️ Важно:
При установке на виртуальной платформе обязательно выберите UEFI в настройках:
Options → Boot Options → Firmware → UEFI.

📸 Скриншот 1:

2.3. Процесс установки

Шаг 1: Загрузка

Выберите:

📸 Скриншот 2:

Шаг 2: Язык

Выберите язык (например, русский) → Enter

📸 Скриншот 3:

Шаг 3: Лицензионное соглашение

• Нажмите Tab, выберите «Я Принимаю»
• Нажмите Enter

📸 Скриншот 4:

Шаг 4: Политика конфиденциальности

• Выберите «Я Принимаю» → Enter

📸 Скриншот 5:

Шаг 5: Выбор роли сервера

⚠️ После установки сменить роль невозможно.

📸 Скриншот 6:

Шаг 6: Выбор диска

• Подтвердите очистку диска → Yes → Enter
• Если используется KEDR, появится предложение выделить второй диск под TAA
• Если вы хотите использовать систему хранения данных SAN, для хранения телеметрии TAA, выполните одно из следующих действий:

  • Если SAN подключена к физическому или виртуальному серверу, на этом шаге установки выберите SAN, отображаемую как локальный диск, в качестве диска для хранения данных.

  • Если SAN доступна через сетевой интерфейс, выполните следующие действия:

    1. На этом шаге установки выберите Do not allocate a separate disk for TAA.
    2. Обратитесь в Техническую поддержку за инструкцией по изменению точки монтирования второй дисковой подсистемы.
    3. Выполните оставшиеся шаги мастера установки компонента Central Node со встроенным Sensor на сервере.
    4. В режиме Technical Support Mode измените точку монтирования в соответствии с полученной инструкцией.

📸 Скриншот 7:

  

В данном примере диск не соответствует минимальным требованиям

Шаг 7: Настройка сети кластера (если применимо)

❗ Настройка выполняется Только для кластерной установки.

Для не-кластерной установки просто нажмите Enter (оставьте 198.18.0.0/16)

📸 Скриншот 8:

📸 Скриншот 9:

Шаг 8: Выбор сетевого интерфейса

Выберите интерфейс для Management Interface

📸 Скриншот 10:

Шаг 9: Настройка IP-адреса

• DHCP — автоматически
• Static — вручную (IP, Mask, Gateway)

📸 Скриншот 11:

Шаг 10: Учётная запись admin

• Пароль: минимум 12 символов
• Подтвердите пароль → OK

📸 Скриншот 12:

Шаг 11: Язык NDR

Выберите язык (например, русский) → Enter

📸 Скриншот 13:

Шаг 12: DNS-серверы

⚠️ Обязательно! Даже в изолированной сети укажите фиктивный DNS (например, 1.1.1.1)

📸 Скриншот 14:

Шаг 13: NTP-серверы

• Нажмите Add
• Введите адрес (например, pool.ntp.org)
• Нажмите Continue

📸 Скриншот 15:

Шаг 14: Включение режима ретроспективного анализа трафика

Для ретроспективного анализа трафика, на этом шаге требуется включить режим ретроспективного анализа трафика. В этом режиме для компонента действует ряд ограничений, вы можете ознакомиться с ними в разделе Ретроспективный анализ трафика.

 📸 Скриншот 16:

Шаг 15: Ожидание завершения

Процесс займёт 5–20 минут. Не перезагружайте сервер.

📸 Скриншот 16:17:

3.1. Доступ к веб-интерфейсу

После завершения установки подождите пару минут — идёт запуск контейнеров и инициализация сервисов.

⚠️ Не пытайтесь входить сразу — возможна ошибка авторизации.

Откройте в браузере:

Войдите под:

• Логин: admin
• Пароль: заданный при установке

📸 Скриншот 17:

3.2. Конфигурация серверов

После входа откроется веб-интерфейс для управления масштабированием. Вам будет доступен раздел «Конфигурация серверов», где необходимо указать параметры, определяющие нагрузку и объём хранилища.

📸 Скриншот 18:

🔹 Количество Endpoint Agents

❗ Указывается не количество хостов, а количество эффективных агентов, по которым рассчитывается нагрузка и выделяется дисковое пространство.

Формула:

Пример:

• 800 Windows
• 100 Linux
• 200 Windows Server
• 100 Linux Server
  → K = 800 + (100×3) + (300×20) = 7100

❌ Если KEDR не используется → укажите 0.

🔹 Почтовый трафик (KATA)

❗ Указывается среднее количество писем в секунду (PPS).

Формула:

• M — писем в день
• H — часов в рабочем дне

Пример:
10 000 писем/день, 8 часов → 10000 / 28800 ≈ 0.35

❌ Если KATA не используется → укажите 0.

🔹 SPAN-трафик (NDR)

Укажите суммарный объём трафика (Мбит/с) с CN и всех Sensor.

Пример:

• CN: 500 Mbps
• Sensor: 1.5 Gbps = 1500 Mbps
  → Укажите: 2000

❌ Если NDR не используется → укажите 0.

3.3. Объём диска

⚠️ Если вы установили Central Node не в виде отказоустойчивого кластера, вам необходимо рассчитать объём диска для параметров База событий, ГБ и Хранилище, ГБ по следующей формуле:

Где:

• A — объём, используемый для базы событий и хранилища
• F — объём жёсткого диска, на котором будет храниться база событий TAA
• R — зарезервированное количество свободного пространства (ГБ) на второй дисковой подсистеме, соответствующее количеству подключенных хостов с компонентом Endpoint Agent

💡 Примечание:
Если количество подключенных к Central Node хостов находится в диапазоне между значениями, используйте в расчётах большее число.

🔹 Таблица: Зарезервированное количество свободного пространства

🔹 Расчёт объёма дискового пространства для хранения телеметрии

Объём дискового пространства, необходимого для хранения данных телеметрии на сервере Central Node, рассчитывается по следующей формуле:

Где:

• S — объём требуемого дискового пространства (в ГБ)
• K — количество хостов с Kaspersky Endpoint Agent или Kaspersky Endpoint Security для Windows
• d — срок хранения данных в днях
• 150 ГБ — базовый объём, требуемый для хранения

⚠️ Если включена функция проверки цепочек событий (NDR), применяется изменённая формула:

1

S = 150 ГБ + (K / 15000) × ((600 + 460 × d) / 0.65)

✅ Пример расчёта

Допустим, в инфраструктуре 5000 хостов и срок хранения данных — 30 дней. Рассчитаем объём дискового пространства:

1. Вычисляем сумму в числителе:

   
   

   
   

   1

   400 + 460 × 30 = 400 + 13 800 = 14 200

   
   

   
   

2. Делим на коэффициент хранения:

   
   

   
   

   1

   14 200 / 0.65 ≈ 21 846.15 ГБ

   
   

   
   

3. Определяем долю хостов:

   
   

   
   

   1

   5000 / 15000 = 0.33333

   
   

   
   

4. Умножаем:

   
   

   
   

   1

   0.33333 × 21 846.15 ≈ 7282.05 ГБ

   
   

   
   

5. Прибавляем базовые 150 ГБ:

   
   

   
   

   1

   S = 150 + 7282.05 ≈ 7432.05 ГБ ≈ 7.43 ТБ

   
   

   
   

✅ Итог:
Для 5000 хостов с 30-дневным хранением данных требуется ≈7.43 ТБ дискового пространства.

💡 Примечание:
Если включена функция проверки цепочек событий (NDR), объём увеличится до ≈7.53 ТБ.

🔹 Дополнительный объём для хранения телеметрии NDR

Если используется анализ SPAN-трафика, рассчитайте дополнительный объём:

Где:

• N_NDR — количество агентов NDR
• T_SPAN — объём SPAN-трафика в Гбит/с
• d — срок хранения (дней)

Пример:

• N_NDR = 2000
• T_SPAN = 2 Гбит/с
• d = 30

🔹 Итоговый требуемый объём дискового пространства

Пример:

✅ Итого требуется: ≈9.23 ТБ

⚠️ Максимальный объём на одной подсистеме — 15 ТБ.
При превышении рассмотрите кластерную архитектуру.

🔹 Хранилище файлов

Рекомендуется указать до 100 ГБ — для файлов, полученных через задачу «Получить файл».

3.4. Запуск конфигурации

1. Нажмите «Настроить»
2. Нажмите «Запустить»
3. Дождитесь завершения (10–20 минут)

📸 Скриншот 19:

📸 Скриншот 20:

⚠️ ВАЖНО! После успешного завершения система предложит войти заново. После завершения конфигурации подождите 5-20 минут — идёт запуск контейнеров и инициализация сервисов.

3.5. Финальная настройка

После успешной конфигурации:

🔹 Проверка времени

• Параметры → Дата и время
• Убедитесь в правильности часового пояса и NTP

⚠️ Время должно быть одинаковым на всех компонентах: CN, Sensor, Sandbox.

📸 Скриншот 21:

🔹 Имя сервера

• Параметры → Сетевые параметры → Имя сервера
• Укажите имя в нижнем регистре, совпадающее с DNS (если планируется интеграция с AD)

ВАЖНО!

Имя устройства Central Node можно изменить только через веб-интерфейс. Автоматически присвоенное при установке имя менять нельзя.

📸 Скриншот 22:

🔹 Лицензия

• Параметры → Лицензия
• Загрузите файл ключа или введите код активации (KATA, NDR, KEDR)

📸 Скриншот 23:

🔹 KSN

• Параметры → KSN/KPSN и MDR
• Примите соглашение и включите KSN

📸 Скриншот 24:

🔹 Обновление баз

• Параметры → Общие параметры → Обновление баз
• Выберите источник и запустите обновление

✅ Обновление должно завершиться со статусом успешно

📸 Скриншот 25:

🔹 Создание учётной записи Офицера безопасности

• Параметры → Пользователи → Добавить
• Роль: Старший сотрудник службы безопасности
• Укажите имя, пароль (дважды), включите учётную запись

💡 Эта учётная запись будет использоваться для работы с инцидентами.

📸 Скриншот 26: