# KEDR (OSMP) # Установка и обновление # Гайд по установке Kaspersky EDR Expert (on-premise) > Инструкция составлена на основе [официальной документации](https://support.kaspersky.ru/kedr-expert-on-premise/8.1/307256) и опыта эксплуатации. > Дата исправления: 29.06.2026 #### **Часть 1. Типы установки**

Параметр	Стандартная конфигурация (несколько узлов)	Демонстрационная конфигурация (один узел)
СУБД PostgreSQL	Устанавливается вне кластера Kubernetes на отдельном сервере	Устанавливается на одном хосте с кластером Kubernetes
Минимальное количество узлов	1 первичный + 3 рабочих узла + сервер СУБД + 1 узел администратора (опционально)	1 узел (все компоненты на одном устройстве) + 1 узел администратора (опционально)
Назначение	Промышленная эксплуатация	Тестирование, демонстрация, обучение

##### **Роли узлов:** - **Узел администратора** - устройство с утилитой KDT (Kaspersky Deployment Toolkit) для развертывания и управления компонентами OSMP. - **Primary/master/controller/первичный рабочий узел** - узел контроллера, осуществляющий управление кластером k0s. - **Worker/рабочий узел** - узел кластера k0s с полезной нагрузкой. - **DB/СУБД** - сервер с СУБД для кластера OSMP. - **KUMA services/устройство с сервисами KUMA** - устройства с установленными сервисами KUMA: коллектор, коррелятор, хранилище (в случае KEDR входят в состав Kubernetes кластера). - **Целевые устройства** - устройства, на которых устанавливается OSMP (все вышеперечисленные узлы) #### **Часть 2. Критические требования инфраструктуры** ##### **2.1. СУБД PostgreSQL**

Параметр	Требование
Версия	15.7 или выше
Расположение	Вне кластера Kubernetes (стандартная конфигурация)
Привилегированная учётная запись	Требуется учётная запись с правами суперпользователя для создания баз данных во время развертывания
Поддержка кластеров	Поддерживается синхронная репликация (минимум 3 узла, максимум 15).
Дисковая подсистема	SSD/NVMe рекомендуется

##### **2.2. Сетевые требования**

Требование	Описание
Широковещательный домен	Все целевые устройства кластера Kubernetes должны находиться в одном широковещательном домене (одна L2-сеть)
Статические IPv4-адреса	Все узлы кластера и шлюз Kubernetes должны иметь статические IPv4-адреса в одной подсети
Синхронизация времени	Разница во времени между узлами не должна превышать 5 секунд (рекомендуется использовать NTP)
DNS	Должна быть настроена зона для домена smp\_domain (например, smp.local) с записями для всех сервисов

##### **2.3. Аппаратные требования (минимальные)**

Компонент	Процессор	ОЗУ	Дисковая подсистема
Все компоненты на одном узле (демонстрационная конфигурация)	12 ядер	56 Гб	1300 Гб

Для корректного развертывания решения убедитесь, что процессор целевого устройства (компонентов KEDR) поддерживает набор инструкций BMI, AVX и SSE 4.2. ##### **2.4. Программные требования** Требования к программному обеспечению и поддерживаемым системам и платформам

**Операционная система**

**OSMP с компонентами KUMA**

Поддерживаются следующие 64-разрядные версии операционных систем: - Ubuntu Server 22.04 LTS. - Ubuntu Server 24.04 LTS. - Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.8.1).

На целевых устройствах с операционными системами семейства Ubuntu версия ядра Linux должна быть 5.15.0.107 или выше.

**Платформы виртуализации**

Название платформы виртуализации	OSMP	Sandbox (опционально)
VMware ESXi 7.0;	![Есть.](https://img.kaspersky.com/oh/XDR/2.0/ru-RU/unloc_icon_yes.png)	![Есть.](https://img.kaspersky.com/oh/XDR/2.0/ru-RU/unloc_icon_yes.png)
Hyper-V для Windows Server 2022;	![Есть.](https://img.kaspersky.com/oh/XDR/2.0/ru-RU/unloc_icon_yes.png)	![Нет.](https://img.kaspersky.com/oh/XDR/2.0/ru-RU/unloc_icon_no.png)
ПК СВ "Брест" 3.3;	![Есть.](https://img.kaspersky.com/oh/XDR/2.0/ru-RU/unloc_icon_yes.png)	![Есть.](https://img.kaspersky.com/oh/XDR/2.0/ru-RU/unloc_icon_yes.png)
"РЕД Виртуализация" 7.3;	![Есть.](https://img.kaspersky.com/oh/XDR/2.0/ru-RU/unloc_icon_yes.png)	![Есть.](https://img.kaspersky.com/oh/XDR/2.0/ru-RU/unloc_icon_yes.png)
zVirt Node 4.2 или выше	![Есть.](https://img.kaspersky.com/oh/XDR/2.0/ru-RU/unloc_icon_yes.png)	![Есть.](https://img.kaspersky.com/oh/XDR/2.0/ru-RU/unloc_icon_yes.png)

**Система управления базами данных (СУБД)**

PostgreSQL 15.х 64-разрядная PostgreSQL 16.x 64-разрядная PostgreSQL 17.х 64-разрядная PostgreSQL 18.x 64-разрядная Postgres Pro 15.х (все редакции) 64-разрядная Postgres Pro 16.х (все редакции) 64-разрядная Postgres Pro 17.х (все редакции) 64-разрядная Postgres Pro 16.х Enterprise 64-разрядная (кластер Built-in High Availability). Postgres Pro 17 Enterprise 64-разрядная (кластер Built-in High Availability).

#### **Часть 3. Подготовка устройств**

Отключайте файл подкачки (swap) в продуктовых средах

##### **Устройство администратора:** - Установка обязательных пакетов на устройстве администратора: ```bash sudo apt update sudo apt install -y python3 ``` [Установите пакет для Docker версии 23](https://docs.docker.com/engine/install/) или выше, а затем [выполните действия после установки,](https://docs.docker.com/engine/install/linux-postinstall/) чтобы настроить устройство администрирования для правильной работы с Docker. Пример: ```bash Для Ubuntu: # Удалите старые версии sudo apt remove docker docker-engine docker.io containerd runc # Установите зависимости sudo apt update sudo apt install ca-certificates curl gnupg lsb-release # Добавьте официальный GPG ключ Docker sudo mkdir -p /etc/apt/keyrings curl -fsSL https://download.docker.com/linux/ubuntu/gpg | sudo gpg --dearmor -o /etc/apt/keyrings/docker.gpg # Добавьте репозиторий echo "deb [arch=$(dpkg --print-architecture) signed-by=/etc/apt/keyrings/docker.gpg] https://download.docker.com/linux/ubuntu $(lsb_release -cs) stable" | sudo tee /etc/apt/sources.list.d/docker.list > /dev/null # Установите Docker sudo apt update sudo apt install docker-ce docker-ce-cli containerd.io docker-compose-plugin # Добавьте пользователя в группу docker sudo usermod -aG docker $USER # Настройте автозапуск sudo systemctl enable docker.service sudo systemctl enable containerd.service # Перезагрузитесь или выполните newgrp docker ``` Ещё вариант: ```bash apt install docker.io ``` - Генерация SSH-ключа (без парольной фразы): ```bash ssh-keygen -t rsa -b 4096 -f ~/.ssh/id_rsa -N "" ``` Скопируйте ключ на все целевые устройства: ```bash ssh-copy-id username@ # Проверка подключения без пароля ssh username@ "sudo whoami" ```

При установке от учётной записи **root** убедитесь, что ключ на целевых устройствах располагается по пути **/root/.ssh/authorized\_keys**

##### **Целевые устройства (OSMP):** - Проверка cgroup v2: ```bash mount | grep cgroup # Должно быть: cgroup2 on /sys/fs/cgroup type cgroup2 ``` - Отключите SELinux (если установлен) ```bash # Проверка статуса getenforce # Отключение (требуется перезагрузка) sudo setenforce 0 sudo sed -i 's/^SELINUX=enforcing/SELINUX=disabled/' /etc/selinux/config ``` - Настройте proxy (если требуется) ```bash # Отредактируйте /etc/environment sudo nano /etc/environment # Добавьте: HTTP_PROXY="http://proxy.example.com:8080" HTTPS_PROXY="http://proxy.example.com:8080" NO_PROXY="localhost,127.0.0.1," ``` - Настройте firewall (если используется) ```bash # Разрешите SSH sudo ufw allow 22/tcp # Разрешите Kubernetes порты sudo ufw allow 6443/tcp sudo ufw allow 2379:2380/tcp sudo ufw allow 10250/tcp # Разрешите PostgreSQL порты sudo ufw allow 5432/tcp # Включите IP forwarding для primary/worker node sudo sed -i 's/#net.ipv4.ip_forward=1/net.ipv4.ip_forward=1/' /etc/sysctl.conf sudo sysctl -p ``` Для отключения firewall'а выполните: ```bash systemctl stop ufw systemctl disable ufw ``` - Установка обязательных пакетов: ```bash # Общие пакеты для всех узлов: sudo apt update sudo apt install -y sudo nfs-common tar wireguard wireguard-tools python3-apt # Для первичного узла дополнительно: sudo apt install -y curl # Для рабочих узлов дополнительно (наименования могут отличаться в зависимости от выбранного дистрибутива Linux): sudo apt install -y libnfs12 iscsi-package ``` - Настройка беспарольного sudo: ```bash # Для пользователя, который будет использоваться KDT: echo "username ALL=(ALL) NOPASSWD: ALL" | sudo tee -a /etc/sudoers ``` Это позволит учетной записи иметь возможность повышать привилегии (sudo) без ввода пароля - Настройка синхронизации времени: ```bash sudo timedatectl set-ntp true ``` - Настройка IP-переадресации (только для первичного узла с UFW): ```bash # В файле /etc/default/ufw установите: DEFAULT_FORWARD_POLICY="ACCEPT" # Примените изменения: sudo ufw reload ``` ##### **СУБД PostgreSQL:** - Установка обязательных пакетов: ```bash sudo apt update sudo apt install -y postgresql ``` - Настройка параметров в **postgresql.conf:** ```bash nano /etc/postgresql/<ВЕРСИЯ>/main/postgresql.conf # Переопределите следующие параметры: listen_addresses = '*' port = 5432 max_connections = 512 shared_buffers = 8GB # 25% от ОЗУ, минимум 3 ГБ effective_cache_size = 24GB # 75% от ОЗУ temp_buffers = 24MB work_mem = 64MB maintenance_work_mem = 1GB max_stack_depth = 7MB # Для Linux: ulimit -s минус 1 МБ effective_io_concurrency = 200 # 200 для SSD или 2 для HDD max_parallel_workers_per_gather = 0 wal_buffers = 64MB max_wal_size = 4GB min_wal_size = 1GB random_page_cost = 1.1 # 1.1 для SSD или 4.0 для HDD log_hostname = 1 standard_conforming_strings = on # Обязательно должно быть 'on' ``` - Разрешение удаленного подключения к СУБД: ```bash nano /etc/postgresql/<ВЕРСИЯ>/main/pg_hba.conf # В секции 'IPv4 local connections' переопределите значение: host all all 0.0.0.0/0 scram-sha-256 ``` - Перезапуск службы: ```bash systemctl restart postgresql ``` - Создание привилегированной учётной записи: ```mysql # Подключитесь к PostgreSQL: sudo -u postgres psql # Создайте учётную запись с правами суперпользователя и базу, например: CREATE USER WITH PASSWORD '' SUPERUSER; CREATE DATABASE OWNER ; ``` ##### **Подготовка инфраструктуры:** 1\. Зарезервируйте IP-адрес из той же подсети, что и у серверов Primary/Worker. Адрес должен быть свободен и будет назначен в процессе установки (указывается в файле **param.yaml** в поле **ingress\_ip**). 2\. Добавьте в DNS-зону вашей организации (предпочтительно создать поддомен) следующие записи: ```xml console. admsrv. api. monitoring. updater. agentserver. kuma. *.kuma. ``` где, **<smp\_domain>** - домен или поддомен вашей организации (данный домен должен быть указан в файле параметров (param.yaml) в одноименном поле **smp\_domain**), а **<ingress\_ip>** - зарезервированный IP из предыдущего пункта.

Обратите внимание, что для имени **kuma** необходимо создать wildcard (\*) на DNS-сервере

#### **Часть 4. Этапы установки** ##### **Подготовка файла param.yaml:**

Для корректной работы KDT с конфигурационным файлом добавьте пустую строку в конце файла

Формат файла для стандартной конфигурации с сервисами KUMA внутри кластера

```yaml schemaType: ParameterSet schemaVersion: 1.0.1 namespace: "" name: bootstrap project: xdr nodes: - desc: cdt-primary1 type: primary host: "" access: ssh: user: "<имя_пользователя>" # По умолчанию root key: "<путь_к_закрытому_ключу>" # По умолчанию /root/.ssh/id_rsa - desc: cdt-w1 type: worker host: "" access: ssh: user: "<имя_пользователя>" key: "<путь_к_закрытому_ключу>" kind: admsrv # Сервер администрирования будет установлен на этом узле - desc: cdt-w2 type: worker host: "" access: ssh: user: "<имя_пользователя>" key: "<путь_к_закрытому_ключу>" kuma_roles: ["storage"] # Хранилище закреплено за этим узлом - desc: cdt-w3 type: worker host: "" access: ssh: user: "<имя_пользователя>" key: "<путь_к_закрытому_ключу>" parameters: - name: psql_dsn source: value: "postgres://:@:<порт_СУБД>" # Если пароль содержит спецсимволы, их необходимо привести к URI кодировке - name: ingress_ip source: value: "" # Ранее зарезервированный ingress_ip - name: ssh_pk source: path: "<путь_к_закрытому_ключу_на_устройстве_администратора>" - name: admin_password source: value: "<пароль_учётной_записи_admin>" - name: core_disk_request source: value: 100Gi - name: metrics_disk_request source: value: 80Gi - name: inventory source: value: "/dev/null" # Все сервисы KUMA будут внутри кластера Kubernetes - name: license source: value: "<путь_к_лицензионному_ключу>" # Рекомендуется файл переименовать в license.key - name: smp_domain source: value: "<доменное_имя>" - name: pki_host_list source: value: "admsrv api console kuma monitoring agentserver updater" - name: low_resources source: value: "false" - name: nwc-language source: value: "ruRu" # Или "enUS" - name: skip_preflight_checks source: value: "false" - name: openbao_ha_mode source: value: "true" - name: grafana_admin_user source: value: <имя_пользователя> - name: grafana_admin_password source: value: "ваш_пароль" - name: route_permissions_dryrun source: value: "true" ```

Формат файла для демонстрационной конфигурации с сервисами KUMA внутри кластера

```yaml schemaType: ParameterSet schemaVersion: 1.0.1 namespace: "" name: bootstrap project: xdr nodes: - desc: cdt-1 type: primary-worker host: "" access: ssh: user: "<имя_пользователя>" # По умолчанию root key: "<путь_к_закрытому_ключу>" # По умолчанию /root/.ssh/id_rsa parameters: - name: psql_dsn source: value: "postgres://:@:<порт>" # Если пароль содержит спецсимволы, их необходимо привести к URI кодировке - name: ingress_ip source: value: "" # Ранее зарезервированный ingress_ip - name: ssh_pk source: path: "<путь_к_закрытому_ключу>" - name: admin_password source: value: "<пароль_учётной_записи_admin>" - name: inventory source: value: "/dev/null" # Все сервисы KUMA будут внутри кластера Kubernetes - name: license source: value: "<путь_к_лицензионному_ключу>" # Рекомендуется файл переименовать в license.key - name: smp_domain source: value: "<доменное_имя>" - name: pki_host_list source: value: "admsrv api console kuma monitoring agentserver updater" - name: low_resources source: value: "true" - name: openbao_ha_mode source: value: "false" - name: default_class_replica_count source: value: 1 - name: grafana_admin_user source: value: "<имя_пользователя>" - name: grafana_admin_password source: value: "<пароль_пользователя>" ```

##### **Установка** 1\. Загрузите на устройство администратора следующие файлы: - `bin.tar.gz` - архив с утилитой KDT, используется для развертывания и изменения параметров инсталляции - `xdr-.tar.gz` - транспортный архив с компонентами SMP - `license.key` - ключ лицензии 2\. Распакуйте архив `bin.tar.gz` ``` tar -xzf bin.tar.gz ``` 3\. Дайте файлу kdt права на выполнение: ```bash chmod +x ./kdt ``` 4\. Запустите установку командой: ```bash ./kdt apply -k <полный путь к транспортному архиву> -i <полный путь к файлу конфигурации param.yaml> --accept-eula ``` #### **Часть 5. Базовые действия после установки** **Первый вход в веб-интерфейс:** 1. Откройте в браузере **https://console.<smp\_domain>** 2. Войдите под учётной записью **admin** с паролем из параметра **admin\_password** и завершите настройку 2FA. **Активация лицензии:** 1. В главном окне приложения нажмите на имя Сервера администрирования. Откроется окно свойств Сервера администрирования 2. На вкладке **Общие** выберите раздел **Лицензионные ключи** 3. В разделе **Действующая лицензия** нажмите на кнопку **Выбрать** 4. В открывшемся окне выберите лицензионный ключ, который вы хотите использовать для активации Kaspersky EDR Expert (on-premise) 8.0. Если лицензионного ключа нет в списке, нажмите на кнопку **Добавить лицензионный ключ** и укажите новый лицензионный ключ 5. Нажмите на кнопку **Сохранить** **Предоставление доступа к функционалу Kaspersky EDR:** 1. В главном окне приложения перейдите в **Параметры**, выберите раздел **Тенанты** и нажмите на **Root tenant** 2. На вкладке **Права доступа** нажмите на кнопку **Добавить пользователя** 3. Выберите пользователя **admin** и предоставьте ему роль **Главный администратор** 4. Нажмите кнопку **Сохранить** и далее **Сохранить и закрыть** **Установка плагинов управления:** 1. Загрузите плагин управления конечным устройством для OSMP с расширением .tar на узел администратора 2. Выполните установку командой: ``` ./kdt apply -k <полный путь к tar-архиву с плагином управления> ``` **Обновление баз Kaspersky EDR:** 1. В главном окне приложения перейдите в **Параметры**, выберите раздел **Тенанты** и нажмите на **Root tenant** 2. На вкладке **Параметры** перейдите к **Параметры сканирования** и на вкладку **Обновить базы** 3. Запустите обновление и дождитесь успешного статуса **Подключение Sandbox:** 1. В главном окне приложения перейдите в **Параметры**, выберите раздел **Тенанты** и нажмите на **Root tenant** 2. На вкладке **Параметры** перейдите к **Серверы Sandbox** и нажмите кнопку **Добавить** 3. Укажите IP-адрес Sandbox 8 версии, получите отпечаток, задайте произвольное имя, нажмите кнопку **Добавить** 4. В браузере перейдите и авторизуйтесь в веб-консоли Sandbox и примите запрос на подключение в разделе **Авторизация** 5. В консоли OSMP дождитесь, что статус авторизации изменился на **Одобрено** и отобразились наборы виртуальных машин **Настройка политик для подключения телеметрии с конечных устройств:** 1. В главном окне приложения перейдите в **Управление активами - Политики** 2. Создайте политику или откройте её свойства и перейдите в **Параметры приложения** 3. Раскройте ветку **Встроенные агенты** и перейдите в параметры для **Endpoint Detection and Response Expert (on-premise)** 4. Установите переключатель в статус **ВКЛЮЧЕН.** Установите переключатель замка, чтобы изменение применялось на конечном узле 5. Выберите **Endpoint Detection and Response Expert (версия 8.0 и выше)** 6. Для раздела **Подключение к серверам сбора телеметрии** нажмите кнопку **Добавить** и нажмите **Выбрать сервер** 7. В открывшемся окне отметьте единственный сервер коллектора и нажмите кнопку **Добавить** 8. Ниже повторите действия для указания сервера реагирования 9. При необходимости настройте другие пункты политики и сохраните изменения **Настройка политик для подключения Sandbox к конечным устройствам:** 1. В главном окне приложения перейдите в **Параметры**, выберите раздел **Тенанты** и нажмите на **Root tenant** 2. На вкладке **Параметры** перейдите к **Сертификаты** и нажмите кнопку **Экспортировать** сертификат сервера и ниже сертификат Endpoint Agent, указав пароль 3. В главном окне приложения перейдите в **Управление активами - Политики** 4. Создайте политику или откройте её свойства и перейдите в **Параметры приложения** 5. Раскройте ветку **Встроенные агенты** и перейдите в параметры для **Sandbox** 6. Установите переключатель в статус **ВКЛЮЧЕН.** Установите переключатель замка, чтобы изменение применялось на конечном узле 7. Выберите режим интеграции **KATA Sandbox** 8. Для раздела **Подключение к серверам Sandbox** нажмите кнопку **Добавить** и укажите адрес сервера **agentserver.<smp\_domain>** 9. Нажмите **Настройки подключения** и загрузите экспортированный сертификат сервера. В этом же поле обязательно включите использование двусторонней аутентификации и подставьте сертификат Endpoint Agent с паролем, указанным при его экспорте 10. При необходимости настройте другие пункты политики и сохраните изменения Базовая настройка завершена. Подключите совместимые приложения KES для Windows 12.11 и выше, KES для Linux 12.4, KES для Mac 12.2.1 и приступайте к работе с Kaspersky EDR Expert (on-premise). # Инструкции по настройке # Оптимизация дисковой подсистемы [В данной статье](https://support.kaspersky.ru/xdr-expert/2.0/314034) на XDR описаны общие рекомендации, которые также применимы к функциональности KEDR. Нас интересует именно требования к дискам и хранилищам. Перед дальнейшими изменениями можете выполнить команду на сервере СУБД и записать результаты: ```bash fio --name=test --directory=/var/lib/postgresql/<ваша_версия>/main --rw=randrw --bs=8k --size=1G --iodepth=16 --ioengine=libaio --direct=1 --fsync=1 --runtime=60 ``` **Для начала выполним быструю проверку типа диска:** ```bash lsblk -d -o name,rota,TYPE,MODEL,SIZE ``` Ожидаемые выводы и их интерпритация: ```bash #Пример 1: SSD NAME ROTA TYPE MODEL SIZE sda 0 disk Samsung_SSD_860 500G # ROTA=0 (SSD) #Пример 2: HDD NAME ROTA TYPE MODEL SIZE sda 1 disk WDC_WD10EZEX 1T # ROTA=1 (HDD) #Пример 3: Виртуальный диск (VMware) NAME ROTA TYPE MODEL SIZE sda 0 disk Virtual_disk 100G # ROTA=0 (считаем как SSD) #Пример 4: NVMe NAME ROTA TYPE MODEL SIZE nvme0n1 0 disk INTEL_SSD 500G # NVMe (всегда SSD) ``` **Далее настроим планировщие I/O:** Создадим udev правило и отредактируем его: ```bash nano /etc/udev/rules.d/60-scheduler.rules ``` Для SSD (ROTA=0) вставим следующие значения: ```bash ACTION=="add|change", KERNEL=="sd[a-z]", ATTR{queue/rotational}=="0", ATTR{queue/scheduler}="mq-deadline" ACTION=="add|change", KERNEL=="sd[a-z]", ATTR{queue/rotational}=="0", ATTR{queue/nr_requests}="1024" ACTION=="add|change", KERNEL=="sd[a-z]", ATTR{queue/rotational}=="0", ATTR{queue/max_sectors_kb}="2048" ACTION=="add|change", KERNEL=="sd[a-z]", ATTR{queue/rotational}=="0", ATTR{queue/read_ahead_kb}="128" ``` Для HDD (ROTA=1): ```bash ACTION=="add|change", KERNEL=="sd[a-z]", ATTR{queue/rotational}=="1", ATTR{queue/scheduler}="mq-deadline" ACTION=="add|change", KERNEL=="sd[a-z]", ATTR{queue/rotational}=="1", ATTR{queue/nr_requests}="256" ACTION=="add|change", KERNEL=="sd[a-z]", ATTR{queue/rotational}=="1", ATTR{queue/max_sectors_kb}="512" ACTION=="add|change", KERNEL=="sd[a-z]", ATTR{queue/rotational}=="1", ATTR{queue/read_ahead_kb}="256" ``` Для NVMe (ROTA=0): ```bash ACTION=="add|change", KERNEL=="nvme[0-9]*", ATTR{queue/scheduler}="none" ACTION=="add|change", KERNEL=="nvme[0-9]*", ATTR{queue/nr_requests}="1024" ``` И применим правила: ```bash udevadm control --reload-rules udevadm trigger --name-match=sda #изменить имя диска, если отличается ``` **Далее настроим параметры ядра (sysctl):** Создадим файл настроек и отредактируем его: ```bash nano /etc/sysctl.d/99-database-tuning.conf ``` Для SSD / NVMe / Виртуальных дисков (ROTA=0): ```bash vm.dirty_ratio = 10 vm.dirty_background_ratio = 5 vm.dirty_expire_centisecs = 3000 vm.dirty_writeback_centisecs = 500 fs.aio-max-nr = 2097152 vm.swappiness = 1 vm.vfs_cache_pressure = 50 net.core.rmem_max = 16777216 net.core.wmem_max = 16777216 net.ipv4.tcp_rmem = 4096 87380 16777216 net.ipv4.tcp_wmem = 4096 65536 16777216 ``` Для HDD (ROTA=1): ```bash vm.dirty_ratio = 30 vm.dirty_background_ratio = 10 vm.dirty_expire_centisecs = 6000 vm.dirty_writeback_centisecs = 3000 fs.aio-max-nr = 2097152 vm.swappiness = 1 vm.vfs_cache_pressure = 50 net.core.rmem_max = 16777216 net.core.wmem_max = 16777216 net.ipv4.tcp_rmem = 4096 87380 16777216 net.ipv4.tcp_wmem = 4096 65536 16777216 ``` И применем настройки: ```bash sysctl -p /etc/sysctl.d/99-database-tuning.conf ``` **Далее настроим опции файловой системы:** Отредактируем fstab (предварительно сделайте резервную копию): ```bash nano /etc/fstab ``` Найдём строку, как пример для ext4: ```bash UUID=3fe51788-bb69-467d-89a9-a146c1df7fdd / ext4 defaults 1 1 ``` Заменим на: ```bash UUID=3fe51788-bb69-467d-89a9-a146c1df7fdd / ext4 rw,noatime,nodiratime,data=ordered,errors=remount-ro 1 1 ``` Для xfs заменим на: **noatime,nodiratime,logbufs=8,logbsize=256k** Далее перемонтируем корневую систему: ```bash mount -o remount / ``` или перезагрузим систему. Также рекомендую обновить systemd после изменения /etc/fstab: ```bash systemctl daemon-reload ``` **Далее настроим TRIM (только для SSD):** ```bash # Включить fstrim.timer: systemctl enable --now fstrim.timer # Проверить статус: systemctl status fstrim.timer ``` **Далее перепроверим конфигуарцию postgresql.conf:** ```bash nano /etc/postgresql/<ВЕРСИЯ>/main/postgresql.conf # Переопределите следующие параметры: listen_addresses = '*' port = 5432 max_connections = 512 shared_buffers = 8GB # 25% от ОЗУ, минимум 3 ГБ effective_cache_size = 24GB # 75% от ОЗУ temp_buffers = 24MB work_mem = 64MB maintenance_work_mem = 1GB max_stack_depth = 7MB # Для Linux: ulimit -s минус 1 МБ effective_io_concurrency = 200 # 200 для SSD или 2 для HDD max_parallel_workers_per_gather = 0 wal_buffers = 64MB max_wal_size = 4GB min_wal_size = 1GB random_page_cost = 1.1 # 1.1 для SSD или 4.0 для HDD log_hostname = 1 standard_conforming_strings = on # Обязательно должно быть 'on' ``` Повторно можете выполнить команду fio и сравнить с первоначальными результатами. Должны увидеть рост пропускной способности, уменьшение задержек, увеличение числа операций в единицу времени. # Настройка доменной аутентификации Kerberos Процесс настройки доменной аутентификации описан [в официальной справке](https://support.kaspersky.ru/kedr-expert-on-premise/8.0/310242). Обратите внимание, что keytab выписывается на console.<smp.domain>. Если после этого возникли проблемы с авторизацией или всплывает окно для ввода учетных данных, то: **1) Проверка keytab файла** Установите MIT Kerberos for Windows: [https://web.mit.edu/kerberos/dist/kfw/](https://web.mit.edu/kerberos/dist/kfw/) И выполните: ```powershell "C:\Program Files (x86)\MIT\Kerberos\bin\klist.exe" -k -t -e C:\<путь>\<имя>.keytab ``` Правильный вывод:

KVNO	Timestamp	Principal
3	01/01/70 03:00:00	HTTP/console.xdr.sales.lab@SALES.LAB (AES-256 CTS...)

Частые ошибки это двойные бэкслеши **HTTP\\\\console...**, либо неправильное шифрование **etype: arcfour-hmac**, либо kvno указан иной. В этом случае, то пересоздайте keytab, указав верные данные, включая учетную запись, к который прикреплен SPN. **2) Настройка браузера для SSO** Быстрая локальная проверка - это запуск браузера с параметрами: ```powershell chrome.exe --auth-server-allowlist="*." msedge.exe --auth-server-allowlist="*." ``` Закрепить результат можно через Group Policy Management Editor (gpme.msc) перейдите в **Computer Configuration → Preferences → Windows Settings → Registry** и добавьте элемент со следующими значениями:

Параметр	Значение для Chrome	Значение для Edge
Action	Update	Update
Hive	HKEY\_LOCAL\_MACHINE	HKEY\_LOCAL\_MACHINE
Key Path	SOFTWARE\\Policies\\Google\\Chrome	SOFTWARE\\Policies\\Microsoft\\Edge
Value name	AuthServerAllowlist	AuthServerAllowlist
Value type	REG\_SZ	REG\_SZ
Value data	\*.<smp.domain>	\*.<smp.domain>

Также можно добавить изменение в локальный реестр: ```powershell reg add "HKLM\SOFTWARE\Policies\Google\Chrome" /v AuthServerAllowlist /t REG_SZ /d "*." /f reg add "HKLM\SOFTWARE\Policies\Microsoft\Edge" /v AuthServerAllowlist /t REG_SZ /d "*." /f ``` Для корпоративных браузеров можно использовать ADMX шаблоны. При изменении политики на клиентском ПК необходимо выполнить: ```powershell gpupdate /force ``` **3) Legacy способ с настройкой системной зоны** В локальной политике или групповой политике перейти в **Computer Configuration → Administrative Templates → Windows Components → Internet Explorer → Internet Control Panel → Security Page** и для **Site to Zone Assignment List** добавить содержание **\*.<smp.domain>** со значением **1**. При изменении политики на клиентском ПК необходимо выполнить: ```powershell gpupdate /force ``` Способ устаревший и уже не применяется для браузера Mozilla Firefox! # Процесс установки и настройки компонента Sandbox (OSMP) на базе KES Windows ### 📦 Варианты подключения ****Версия решения:**** KES 12.7+; KEDR 8.0+ (OSMP); ****Тип развёртывания:**** - Чистая установка с компонентом Sandbox - Активация компонента Sandbox на уже установленном KES > 💡 ****Рекомендация****: > Используйте ****чистую установку****, если вы разворачиваете решение впервые. > Используйте ****активацию через задачу****, если KES уже развёрнут и обновлён до 12.7+.

****ВАЖНО:**** В этой инструкции рассмотрим только настройку через KSC Web Console. MMC консоль больше не поддерживается, поэтому рекомендуется использовать веб-консоль.

---

1. Подготовка

### 1.1. Поддерживаемые версии

**Компонент**	**Минимальная версия**
KEDR (OSMP)	8.0+
KSC	13.2+
KES для Windows	12.7+

### 1.2. Аппаратные требования (на клиенте) - ****RAM****: ≥2 ГБ (x64) - ****HDD****: ≥2 ГБ свободного места - ****CPU****: ≥1 ГГц, поддержка ****SSE2**** ### 1.3. Необходимые лицензии - Лицензия ****KES**** - Для работы KATA Sandbox должно быть развернуто решение Kaspersky Anti Targeted Attack Platform версии 7.0 или выше, либо XDR 2.0 + и Sandbox 8.0+.

---

2. Чистая установка KES 12.7+ с Sandbox через OSMP Web Console

### 2.1. Настройка инсталляционного пакета 1. Откройте ****OSMP Web Console → Операции → Хранилища → Инсталляционные пакеты**** 2. Найдите пакет ****KES 12.7+**** 3. Перейдите в ****Параметры → Detection and Response**** 4. Включите: ****Sandbox**** [![image.png](https://antiapt-community.ru/uploads/images/gallery/2026-06/scaled-1680-/dyp8kvIksU8OFmVl-image.png)](https://antiapt-community.ru/uploads/images/gallery/2026-06/dyp8kvIksU8OFmVl-image.png) ****📸 Скриншот 1:**** Выбор компонента Sandbox c KES 12.7 5. (Рекомендуется) Включите: ****Настройки установки → Добавить путь к приложению в переменную окружения %PATH%**** [![image.png](https://antiapt-community.ru/uploads/images/gallery/2026-05/scaled-1680-/1bMsqRXNJcId30qi-image.png)](https://antiapt-community.ru/uploads/images/gallery/2026-05/1bMsqRXNJcId30qi-image.png) 📸 ****Скриншот 2:**** Добавить путь к приложению в переменную окружения ****%PATH%**** 6. Нажмите ****«Обновить базы» → «Сохранить»**** [![image.png](https://antiapt-community.ru/uploads/images/gallery/2026-05/scaled-1680-/KO4vJzhUhSGaSFrd-image.png)](https://antiapt-community.ru/uploads/images/gallery/2026-05/KO4vJzhUhSGaSFrd-image.png) 📸 ****Скриншот 3: Обновить базы**** --- ### 2.2. Создание задачи удалённой установки 1. Перейдите: ****Устройства → Задачи → Добавить**** 2\. Выберите: 1. ****Приложение****: `Kaspersky Security Center` 2. ****Тип задачи****: `Удалённая установка программы` 3\. Укажите устройства (вручную или из списка) [![image.png](https://antiapt-community.ru/uploads/images/gallery/2026-06/scaled-1680-/F9IV2ODWUJxBafS7-image.png)](https://antiapt-community.ru/uploads/images/gallery/2026-06/F9IV2ODWUJxBafS7-image.png) 📸 ****Скриншот 4:**** Удаленная установка программы 4\. Выберите: 1. ****Инсталляционный пакет****: `KES 12.7+` 2. ****Агент администрирования****: `KSC Agent` 5. Если агент уже установлен — выберите: ****«Учётная запись не требуется»**** ![image.png](https://antiapt-community.ru/uploads/images/gallery/2026-05/scaled-1680-/GHA1hHAkBqBAMHl6-image.png)📸 ****Скриншот 5:**** Учетная запись не требуется (Агент администрирования уже установлен) 6. Нажмите ****«Готово» → «Запустить»**** [![image.png](https://antiapt-community.ru/uploads/images/gallery/2026-06/scaled-1680-/qWyLXdoXcwarQVVQ-image.png)](https://antiapt-community.ru/uploads/images/gallery/2026-06/qWyLXdoXcwarQVVQ-image.png) 📸 ****Скриншот 6:**** После создания она автоматически переходит в состояние ожидания, поэтому её необходимо запустить вручную. --- ### 2.3. Добавление лицензии

Для активации KATA Sandbox вам потребуется лицензионный ключ, который включает в себе функциональность KATA или KEDR. Подробнее о доступных функциональностях см. в справке Kaspersky Anti Targeted Attack Platform.

****1. Устройства → Задачи → Добавить → Добавление ключа**** 2. Выберите ****KES 12.7+****, укажите устройства ![image.png](https://antiapt-community.ru/uploads/images/gallery/2026-05/scaled-1680-/FyOXLHwLm5knTHyZ-image.png)📸 ****Скриншот 7:**** Добавление ключа KES 3. Выберите файл ключа → ****снимите галочку «Использовать как резервный»**** [![image.png](https://antiapt-community.ru/uploads/images/gallery/2026-06/scaled-1680-/Po2EpExVgPvznfY8-image.png)](https://antiapt-community.ru/uploads/images/gallery/2026-06/Po2EpExVgPvznfY8-image.png) 📸 ****Скриншот 8:**** Использовать ключ в качестве резервного

---

3. Активация Sandbox на уже установленном KES

### 3.1. Создание задачи ****1. Устройства → Задачи → Добавить → Изменение состава компонентов**** 2\. Выберите KES 12.7+ → укажите устройства [![image.png](https://antiapt-community.ru/uploads/images/gallery/2026-06/scaled-1680-/g4AIlAETk2ME5c27-image.png)](https://antiapt-community.ru/uploads/images/gallery/2026-06/g4AIlAETk2ME5c27-image.png) 📸 ****Скриншот 9****: выбор на «****Изменение состава компонентов приложения****». 3. В параметрах задачи включите: ****Detection and Response → Sandbox**** [![image.png](https://antiapt-community.ru/uploads/images/gallery/2026-06/scaled-1680-/jbrReOstDV25KLYv-image.png)](https://antiapt-community.ru/uploads/images/gallery/2026-06/jbrReOstDV25KLYv-image.png) 📸 ****Скриншот 10:**** «****Параметры**** ****приложения****» и выберите компоненты «****Detection and Response****». Активируйте компонент «****Sandbox****» 4\. Внесите изменения в задачу «****Изменение состава компонентов приложения****». Добавьте данные «****Имя пользователя****» и «****Пароль****» для её выполнения, чтобы избежать проблем в процессе. [![image.png](https://antiapt-community.ru/uploads/images/gallery/2026-05/scaled-1680-/SymAYuQnPTUYB3h4-image.png)](https://antiapt-community.ru/uploads/images/gallery/2026-05/SymAYuQnPTUYB3h4-image.png) 📸 ****Скриншот 11****: выбор на «****Изменение состава компонентов приложения****». 5\. Запустите задачу [![image.png](https://antiapt-community.ru/uploads/images/gallery/2026-06/scaled-1680-/NyTqnbEU3o5OJPCy-image.png)](https://antiapt-community.ru/uploads/images/gallery/2026-06/NyTqnbEU3o5OJPCy-image.png) 📸 ****Скриншот 12:**** Запустите созданную задачу****.****

---

4. Интеграция с KEDR 8+

### 4.1. Скачивание TLS-сертификата из OSMP 1. Войдите в ****OSMP Web Console (администратор)**** 2. ****Параметры**** → ****Тенанты****, нажмите на название тенанта и выберите вкладку ****Параметры**** → ****Сертификаты****. 3. В разделе ****Сертификат Сервера**** нажмите ****Экспорт****. 4. В этом же разделе экспортируйте ****Сертификат Endpoint Agent****, выберите сертификат либо сгенерируйте новый и нажмите ****Экспортировать****. (При создании нового сертификата старый будет удален. Поэтому его нужно будет обновить во всех политиках, где он использовался.) 5. При экспорте потребуется указать пароль, так как сертификат будет Сертификат будет экспортирован в PFX-архив, защищенный паролем. 6. По итогу будут экспортированы два файла `certificate.pem` и `certificate.pfx` --- ### 4.2. Настройка политики ****1. Устройства → Политики → Добавить → KES 12.7+**** 2. В мастере выберите ****стандартный режим**** 3. Перейдите: ****Параметры приложения → Встроенные агенты → Sandbox**** 4\. Включите компонент 5. Выбираем Режим интеграции: ****KATA Sandbox**** 6. Выберите ****Тип отправки файлов на проверку****.

Для работы KATA Sandbox в ****ручном режиме**** должно быть развернуто решение Kaspersky Anti Targeted Attack Platform версии 7.0 или выше. Для работы KATA Sandbox в ****автоматическом режим**** должно быть развернуто решение Kaspersky Anti Targeted Attack Platform версии 8.0 или выше, либо KEDR 8.0+.

7. Нажмите ****«****Подключение к серверам Sandbox****» → Настройки подключения**** - Загрузите в раздел ****TLS-сертификат сервера**** ранее выгруженный сертификат `certificate.pem` ###### - Дополнительная защита подключения загрузите ранее выгруженный сертификат `certificate.pfx` и введите заданный пароль. 8. Укажите адрес agentserver. Его можно найти в том же разделе, где и ****Сертификат сервера****. [![image.png](https://antiapt-community.ru/uploads/images/gallery/2026-06/scaled-1680-/pdeyb7SgmE5RNp0z-image.png)](https://antiapt-community.ru/uploads/images/gallery/2026-06/pdeyb7SgmE5RNp0z-image.png) 📸 ****Скриншот 13:**** копируем адрес сервера - Укажите ****адрес**** и ****порт** **443**** [![image.png](https://antiapt-community.ru/uploads/images/gallery/2026-06/scaled-1680-/u8Ogx5SoIWrIC53x-image.png)](https://antiapt-community.ru/uploads/images/gallery/2026-06/u8Ogx5SoIWrIC53x-image.png) 📸 ****Скриншот 14:**** указываем адрес сервера KEDR и порт 6. Нажмите ****«Сохранить»**** 7. Рекомендуется ознакомится и дополнительно настроить действий по реагированию на угрозы ![image.png](https://antiapt-community.ru/uploads/images/gallery/2026-06/scaled-1680-/GyASEKqBW06m07dk-image.png)📸 ****Скриншот 15:**** указываем адрес сервера KATA и порт 8. Детально описание доступно в [онлайн-документации](https://support.kaspersky.com/help/KESWin/14.0/ru-RU/214721.htm)

---

5. Проверка интеграции

### 5.1. Со стороны клиента (Агента) 1\. Откройте клиент KES 2\. Перейдите в раздел «****Безопасность****». Убедиться, что должен быть добавлен компонент ****Network Detection and Response (KATA)****. Он должен быть подсвечен зеленым цветом, что подтверждает его активацию и наличие лицензии. [![image.png](https://antiapt-community.ru/uploads/images/gallery/2026-06/scaled-1680-/fQy3kNGHTKQMbcxh-image.png)](https://antiapt-community.ru/uploads/images/gallery/2026-06/fQy3kNGHTKQMbcxh-image.png) 📸 ****Скриншот 16:**** разделе ****«Безопасность»**** присутствует установленный компонент ****«Sandbox».**** 3. Перейти в раздел ****Мониторинг → Отчеты→**** ****Network Detection and Response (KATA),**** либо в том же разделе ****Безопасность**** кликнуть по значку троеточия и выпадающем меню выбрать ****Открыть отчет****. ### 5.2. Со стороны консоли OSMP 1. В свойствах устройства в Web Console (Активы (Устройства) → Управляемые устройства → ссылка <имя устройства> → Приложения → ссылка <название приложения Kaspersky Endpoint Security> → Общие → Компоненты). ![image.png](https://antiapt-community.ru/uploads/images/gallery/2026-06/scaled-1680-/17qR5dbRri2ULEiR-image.png)📸 ****Скриншот 17:**** разделе ****«Безопасность»**** присутствует установленный компонент ****«Sandbox».****

--- #### ****📌 Полезные ссылки**** - [Kaspersky Tech на YouTube](https://www.youtube.com/watch?v=fy54oz8ivGM&t=2s) - [Kaspersky на Rutube](https://rutube.ru/video/dddb90cc8b667713f18eb9a242a7cd27/) ✅ ****Развёртывание KES 12.7+ с Sandbox завершено!**** # Процесс установки и настройки компонента EDR (OSMP) на базе KES Windows ### 📦 Варианты подключения ****Версия решения:**** KES 12.1+; KEDR 8+ (OSMP/XDR); ****Тип развёртывания:**** - Чистая установка с компонентом EDR - Активация компонента EDR на уже установленном KES > 💡 ****Рекомендация****: > Используйте ****чистую установку****, если вы разворачиваете решение впервые. > Используйте ****активацию через задачу****, если KES уже развёрнут и обновлён до 12.1+.

****ВАЖНО:**** ****В этой инструкции мы рассмотрим только настройку через KSC Web Console. MMC консоль больше не поддерживается, поэтому рекомендуется использовать веб-консоль.****

Начиная с версии Kaspersky Endpoint Security для Windows 12.11 компонент EDR (KATA) переименован в Endpoint Detection and Response Expert (версия 8.0 и выше). В этой версии приложения компонент совместим с Kaspersky Anti Targeted Attack Platform версии 7.1 и ниже и Kaspersky Endpoint Detection and Response Expert (on-premise).

Компоненты EDR Optimum, EDR Expert и EDR (KATA) несовместимы между собой.

---

1. Подготовка

### 1.1. Поддерживаемые версии

**Компонент**	**Минимальная версия**
KEDR (OSMP/XDR)	8+
KSC	13.2+
KES для Windows	12.1+

### 1.2. Аппаратные требования (на клиенте) - ****RAM****: ≥2 ГБ (x64) - ****HDD****: ≥2 ГБ свободного места - ****CPU****: ≥1 ГГц, поддержка ****SSE2**** ### 1.3. Необходимые лицензии - Лицензия ****KES**** - Лицензия ****KEDR**** > 📌 Обе лицензии нужно добавить отдельно, они не взаимозаменяемы. Либо можно использовать одну лицензию, которая включает функционал EDR и расширенную версию KES.

---

2. Чистая установка KES 12.1+ с EDR через OSMP Web Console

### 2.1. Настройка инсталляционного пакета 1. Откройте ****OSMP Web Console → Операции → Хранилища → Инсталляционные пакеты**** 2. Найдите пакет ****KES 12.1+**** 3. Выберите ****режим работы**** Kaspersky Endpoint Security для Windows: ****- Стандартный -**** Это базовый режим, который используется по умолчанию. Он входит в состав EPP-решений от "Лаборатории Касперского", например, в Kaspersky Endpoint Security для бизнеса. Этот режим обеспечивает комплексную защиту рабочих станций и серверов от угроз, сетевых атак и мошенничества. ****- EDR-агент -**** EDR-агент предназначен для интеграции с решениями Detection and Response от "Лаборатории Касперского" и EPP-решениями сторонних поставщиков. Например, он работает с Kaspersky Managed Detection and Response (MDR) и Kaspersky Anti Targeted Attack Platform (KATA). Также поддерживается интеграция с SIEM-решением Kaspersky Unified Monitoring and Analysis Platform (KUMA). В этом режиме отключены стандартные компоненты защиты, такие как защита от файловых и веб-угроз. Основную защиту компьютера обеспечивает стороннее EPP-решение. EDR-агент непрерывно следит за процессами, сетевыми соединениями и изменениями файлов, взаимодействуя с решениями Detection and Response. ****- Легкий агент -**** Этот режим предназначен для защиты виртуальных сред. Легкий агент входит в состав Kaspersky Security для виртуальных и облачных сред. Он защищает виртуальные машины с гостевыми операционными системами, обеспечивая те же компоненты защиты, что и в стандартном режиме. Однако проверку на вирусы и вредоносные программы выполняет специальный компонент на отдельной виртуальной машине – SVM (Secure Virtual Machine). Таким образом, ресурсы виртуальной машины не расходуются на обеспечение безопасности. В зависимости от вашего решения, выберите подходящий режим работы. 4. Перейдите в ****Параметры → Detection and Response**** 5. Включите: ****Endpoint Detection and Response (KATA)**** ![image.png](https://antiapt-community.ru/uploads/images/gallery/2026-05/scaled-1680-/TjPdBbUohZ5q03ex-image.png)****📸 Скриншот 1:**** Выбор компонента EDR до KES 12.8 [![image.png](https://antiapt-community.ru/uploads/images/gallery/2026-05/scaled-1680-/EoM9zMTanRTb3TWn-image.png)](https://antiapt-community.ru/uploads/images/gallery/2026-05/EoM9zMTanRTb3TWn-image.png)📸 ****Скриншот 2****: Выбор компонента EDR для KES 12.8+ 6. (Рекомендуется) Включите: ****Настройки установки → Добавить путь к приложению в переменную окружения %PATH%**** [![image.png](https://antiapt-community.ru/uploads/images/gallery/2026-05/scaled-1680-/ACjqgzPS55jAKNI1-image.png)](https://antiapt-community.ru/uploads/images/gallery/2026-05/ACjqgzPS55jAKNI1-image.png)📸 ****Скриншот 3:**** Добавить путь к приложению в переменную окружения ****%PATH%**** 7. (Опционально) Нажмите ****«Обновить базы» → «Сохранить»**** [![image.png](https://antiapt-community.ru/uploads/images/gallery/2026-05/scaled-1680-/fZ4bcaYqa8Tjcwa2-image.png)](https://antiapt-community.ru/uploads/images/gallery/2026-05/fZ4bcaYqa8Tjcwa2-image.png)📸 ****Скриншот 4: Обновить базы**** --- ### 2.2. Создание задачи удалённой установки 1. Перейдите: ****Устройства → Задачи → Добавить**** 2\. Выберите: 1. ****Приложение****: `Kaspersky Security Center` 2. ****Тип задачи****: `Удалённая установка программы` 3\. Укажите устройства (вручную или из списка) [![image.png](https://antiapt-community.ru/uploads/images/gallery/2026-05/scaled-1680-/dDLTD2jkvpFLTm4K-image.png)](https://antiapt-community.ru/uploads/images/gallery/2026-05/dDLTD2jkvpFLTm4K-image.png) 📸 ****Скриншот 5:**** Удаленная установка программы 4\. Выберите: 1. ****Инсталляционный пакет****: `KES 12.1+` 2. ****Агент администрирования****: `KSC Agent` 5. Если агент уже установлен — выберите: ****«Учётная запись не требуется»**** ![image.png](https://antiapt-community.ru/uploads/images/gallery/2026-05/scaled-1680-/GHA1hHAkBqBAMHl6-image.png)📸 ****Скриншот 6:**** Учетная запись не требуется (Агент администрирования уже установлен) 6. Нажмите ****«Готово» → «Запустить»**** [![image.png](https://antiapt-community.ru/uploads/images/gallery/2026-06/scaled-1680-/KVHNS8fnTcR6DN1n-image.png)](https://antiapt-community.ru/uploads/images/gallery/2026-06/KVHNS8fnTcR6DN1n-image.png)📸 ****Скриншот 7:**** После создания она автоматически переходит в состояние ожидания, поэтому её необходимо запустить вручную. --- ### 2.3. Добавление лицензий > ⚠️ ****Важно****: Добавьте ****обе лицензии отдельно****! #### Лицензия KES + EDR: ****1. Устройства → Задачи → Добавить → Добавление ключа**** 2. Выберите ****KES 12.1+****, укажите устройства ![image.png](https://antiapt-community.ru/uploads/images/gallery/2026-05/scaled-1680-/FyOXLHwLm5knTHyZ-image.png)📸 ****Скриншот 8:**** Добавление ключа KES 3. Выберите файл ключа → ****снимите галочку** **«Использовать как резервный»**** [![image.png](https://antiapt-community.ru/uploads/images/gallery/2026-05/scaled-1680-/8CxmorOsGgBGxoEQ-image.png)](https://antiapt-community.ru/uploads/images/gallery/2026-05/8CxmorOsGgBGxoEQ-image.png)📸 ****Скриншот 9:**** Использовать ключ в качестве резервного #### Лицензия KEDR: 1. Повторите шаги выше, но выберите ****ключ KEDR**** [![image.png](https://antiapt-community.ru/uploads/images/gallery/2026-05/scaled-1680-/vbLuSJbhdsySswQb-image.png)](https://antiapt-community.ru/uploads/images/gallery/2026-05/vbLuSJbhdsySswQb-image.png) 📸 ****Скриншот 10:**** Добавление ключа EDR

---

3. Активация EDR на уже установленном KES

### 3.1. Создание задачи ****1. Устройства → Задачи → Добавить → Изменение состава компонентов**** 2\. Выберите KES 12.1+ → укажите устройства [![image.png](https://antiapt-community.ru/uploads/images/gallery/2026-05/scaled-1680-/zcIjkwins7BOkqrJ-image.png)](https://antiapt-community.ru/uploads/images/gallery/2026-05/zcIjkwins7BOkqrJ-image.png)📸 ****Скриншот 11****: выбор на «****Изменение состава компонентов приложения****». 3. В параметрах задачи включите: ****Detection and Response → Endpoint Detection and Response (KATA)**** ![image.png](https://antiapt-community.ru/uploads/images/gallery/2026-05/scaled-1680-/gMxZ63KQk4efe3Ec-image.png)📸 ****Скриншот 12:**** «****Параметры**** ****приложения****» и выберите компоненты «****Detection and Response****». Активируйте компонент «****Endpoint Detection and Response (KATA)****» (Выбор компонента EDR до KES 12.8) [![image.png](https://antiapt-community.ru/uploads/images/gallery/2026-05/scaled-1680-/h3YaOoBXfuimYHO0-image.png)](https://antiapt-community.ru/uploads/images/gallery/2026-05/h3YaOoBXfuimYHO0-image.png)📸 ****Скриншот 13****: Выбор компонента EDR для KES 12.8+ 4\. Внесите изменения в задачу «****Изменение состава компонентов приложения****». Добавьте данные «****Имя пользователя****» и «****Пароль****» для её выполнения, чтобы избежать проблем в процессе. [![image.png](https://antiapt-community.ru/uploads/images/gallery/2026-05/scaled-1680-/kd4ScTIKO01jHeu3-image.png)](https://antiapt-community.ru/uploads/images/gallery/2026-05/kd4ScTIKO01jHeu3-image.png)📸 ****Скриншот 14****: выбор на «****Изменение состава компонентов приложения****». 5\. Запустите задачу [![image.png](https://antiapt-community.ru/uploads/images/gallery/2026-06/scaled-1680-/qN9OnZUDD8WDFeet-image.png)](https://antiapt-community.ru/uploads/images/gallery/2026-06/qN9OnZUDD8WDFeet-image.png)📸 ****Скриншот 15:**** Запустите созданную задачу. --- ### 3.3. Добавление лицензии KEDR 1. Создайте задачу ****«Добавление ключа»**** 2. Выберите ****ключ KEDR**** → примените к тем же устройствам [![image.png](https://antiapt-community.ru/uploads/images/gallery/2026-05/scaled-1680-/99ShSWNuEFlPRQjr-image.png)](https://antiapt-community.ru/uploads/images/gallery/2026-05/99ShSWNuEFlPRQjr-image.png) [![image.png](https://antiapt-community.ru/uploads/images/gallery/2026-06/scaled-1680-/gQsMjkWkeD50D5Yi-image.png)](https://antiapt-community.ru/uploads/images/gallery/2026-06/gQsMjkWkeD50D5Yi-image.png) 📸 ****Скриншот 16:**** выбираем ****«Добавление ключа»****.

---

4. Интеграция с KEDR 8+

### 4.1. Настройка политики 1. Войдите в ****OSMP Web Console (администратор)**** 2. Перейдите в раздел ****Управление активами → Политики → KES 12.1+**** 3. Добавьте политику ****KES 12.1+**** 3. Непосредственно внутри самой политики перейти в ****Параметры приложения → Встроенные агенты → Endpoint Detection and Response Expert (on-premise).**** 4. Включите компонент 5. Выберите ****Endpoint Detection and Response Expert (версия 8.0 и выше)**** 6. В разделе ****Подключение к серверам сбора телеметрии**** жмем ****+Добавить** **→ Выбрать сервер**** выбираем нужный нам сервер сбора телеметрии ****(коллектор).**** ![image.png](https://antiapt-community.ru/uploads/images/gallery/2026-06/scaled-1680-/JYR4zljTyOaqUEZB-image.png) 📸 ****Скриншот 17:**** в политике настраиваем ****Подключение к серверам сбора телеметрии****

****Важно:** Если клиенты подключаются и управляются напрямую сервером KEDR 8+ (OSMP/XDR), выбор серверов будет доступен, и все данные подставятся автоматически, включая адрес сервера сбора телеметрии и сертификаты. Если же агенты подключаются к отдельному серверу KSC и данные платформы не объединяются, адрес коллектора и сертификат необходимо будет загрузить из другого раздела. Этот процесс описан ниже.

7. Далее при необходимости измените значения в разделах ****Настройка передачи данных**** и ****Регулирование количества запросов**** либо оставьте по умолчанию. Более детально о каждом из пунктов описано в [онлайн-документации](https://support.kaspersky.com/help/UPMP_Expert/5.0/ru-RU/314118.htm). 8. В разделе «Подключение к серверам реагирования» можно настроить частоту синхронизации. Этот параметр определяет, как часто агенты будут связываться с сервером для получения телеметрии и команд. По умолчанию синхронизация происходит каждые 5 минут. 9. Далее в разделе ****Подключение к серверам реагирования**** жмем ****+Добавить** **→ Выбрать сервер**** выбираем сервер реагирования****.****

****Важно:** Если клиенты подключаются и управляются напрямую сервером KEDR 8+ (OSMP/XDR), выбор серверов будет доступен, и все данные подставятся автоматически, включая адрес сервера реагирования и сертификаты. Если же агенты подключаются к отдельному серверу KSC и данные платформы не объединяются, адрес сервера реагирования и сертификат необходимо будет загрузить из другого раздела. Этот процесс описан ниже.

[![image.png](https://antiapt-community.ru/uploads/images/gallery/2026-06/scaled-1680-/HRC7h2uITPrrN5Yr-image.png)](https://antiapt-community.ru/uploads/images/gallery/2026-06/HRC7h2uITPrrN5Yr-image.png) 📸 ****Скриншот 18:**** в политике настраиваем ****Подключение к серверам реагирования**** 10. Жмем ****Сохранить и закрыть**** ### 4.2. Если используется внешний сервер KSC #### ****4.2.1. Подготовка к настройке политики****

****Важно:** Если же агенты подключаются к отдельному серверу KSC и данные платформы не объединяются, адрес сервера реагирования и сертификат необходимо будет загрузить из другого раздела.

1. Перейдите в раздел ****Мониторинг → Ресурсы и сервисы → Работа с сервисами → Активные сервисы**** 2. Выберите тот коллектор, что отвечает за сбор телеметрии, на примере это ****встроенный коллектор \[OOTB\] Kaspersky EDR****. После того как выбрали нужный коллектор нажмите правой кнопкой мыши и выберите ****Скачать сертификат,**** либо выполните как на картинке. [![image.png](https://antiapt-community.ru/uploads/images/gallery/2026-06/scaled-1680-/MY0fGePjfr5SLdXI-image.png)](https://antiapt-community.ru/uploads/images/gallery/2026-06/MY0fGePjfr5SLdXI-image.png) 📸 ****Скриншот 19:**** разделе ****«Сертификат сервера»**** нажимаем ****«Экспортировать».**** 3. Необходимо скопировать адрес ****сервера** **сбора телеметрии,**** данный адрес необходимо будет указать при настройке политики как описано в предыдущем разделе ****4.1. Настройка политики.**** Для этого жмем на коллектор ****встроенный коллектор \[OOTB\] Kaspersky EDR**** правой кнопкой мыши и выбираем ****Развернуть.**** В открывшемся окне необходимо скопировать скопировать адрес ****Connection gateway URL: \*\*\*\*\*\*\*\*,**** как на примере ниже. ![image.png](https://antiapt-community.ru/uploads/images/gallery/2026-06/scaled-1680-/kiRoJNMufKwVNNW4-image.png)📸 ****Скриншот 20:**** разделе ****«Сертификат сервера»**** нажимаем ****«Развернуть»**** и копируем адрес ****«Connection gateway».**** 4\. На данном этапе был скопирован адрес Сервера сбора телеметрии (****connection gateway****) и выгружен сертификат `[OOTB] Kaspersky EDR` эти данные необходимо будет указать при настройке политики на KSC не объединённом с KEDR 8+ (OMSP/XDR). 5. Далее для настройки политики также понадобиться адрес ****Сервера реагирования**** и ****Сертификат Endpoint Agent.**** 6. Для этого перейдите ****Параметры**** → ****Тенанты****, нажмите на название тенанта и выберите вкладку ****Параметры**** → ****Сертификаты****. 7. В этом разделе ****Параметры**** → ****Тенанты**** → ****Параметры**** → ****Сертификаты****, в разделе ****Сертификат сервера**** нужно скопировать ****FQDN сервера агента,**** он необходим будет для настройки в политике раздела **Подключение к серверам реагирования.**** 8. Здесь в разделе **Сертификат сервера** экспортировать сам сертификат сервера нажав ****Экспортировать**** 9. По итогу будет экспортирован файл `certificate.pem` 10. Ниже экспортируйте ****Сертификат Endpoint Agent****, выберите сертификат либо сгенерируйте новый и нажмите ****Экспортировать****. (При создании нового сертификата старый будет удален. Поэтому его нужно будет обновить во всех политиках, где он использовался.) При экспорте потребуется указать пароль, так как сертификат будет Сертификат будет экспортирован в PFX-архив, защищенный паролем. 11. По итогу будет экспортирован файл `certificate.pfx` ![image.png](https://antiapt-community.ru/uploads/images/gallery/2026-06/scaled-1680-/HWecZLU4NtEpCHFF-image.png)📸 ****Скриншот 21:**** разделе ****«Параметры**** → ****Тенанты**** → ****Параметры**** → ****Сертификаты»**** где показано что от куда копировать и экспортировать. #### ****4.2.2. Настройка политики на внешнем KSC**** 1. Перейдите в политику, в политике в разделе ****Подключение к серверам сбора телеметрии**** указывается полученный адрес ****connection gateway**** нажав на ****+Добавить → Новый сервер**** и порт **443**** 2. Нажав на ****Настройки подключения**** ****→** **Сертификат сервера**** загружается ранее выгруженный сертификат `[OOTB] Kaspersky EDR` ****.**** Также рекомендуем в разделе ****Дополнительная защита подключения**** указать ранее выгруженный сертификат для защиты подключения `certificate.pfx`****.**** 3. Далее в политике необходимо настроить ****Подключение к серверам реагирования.**** Для этого необходимо будет добавить адрес сервера **FQDN сервера агента** и в разделе ****Настройки подключения**** добавить ****Сертификат сервера**** `certificate.pem` и загрузить в раздел ****Дополнительная защита**** выгруженный ранее сертификат `certificate.pfx`****.**** 4. Нажимаем ****Сохранить и закрыть**** для завершения настройки политики.

---

5. Проверка интеграции

### 5.1. Непосредственно на OSMP 1. Войдите в ****OSMP Web Console (администратор)**** 2. Перейдите: ****Активы (Устройства) → Анализ и реагирование**** в данном разделе так же, как и в разделе ****Администрирование и защита**** будут появляться все подключенные устройства. В данном разделе можно добавить колонки по которым можно отфильтровать агенты по следующему статусу: ****- Телеметрия получена**** ****- Статус телеметрии**** ****- Статус EDR**** ****- Последнее подключение к EDR**** ****- Лицензия EDR**** ****- Версия агента EDR**** [![image.png](https://antiapt-community.ru/uploads/images/gallery/2026-06/scaled-1680-/xHeUfHLeCzEJCmwg-image.png)](https://antiapt-community.ru/uploads/images/gallery/2026-06/xHeUfHLeCzEJCmwg-image.png)📸 ****Скриншот 22:**** разделе ****«Анализ и реагирование»**** начнут появляться ****«Агенты»**** со статусом ****«****Нормальная активность****».**** 3. Перейдите в раздел ****Мониторинг** **→** **Поиск угроз****. В конструкторе оставляете запрос по умолчанию и нажмите ****Выполнить запрос****. Это выведет все события от всех устройств, подключенных к системе с EDR. [![image.png](https://antiapt-community.ru/uploads/images/gallery/2026-06/scaled-1680-/5COy7fQF7z5x8xC5-image.png)](https://antiapt-community.ru/uploads/images/gallery/2026-06/5COy7fQF7z5x8xC5-image.png)📸 ****Скриншот 23:**** разделе ****«****Поиск угроз****»**** вывод собранной телеметрии с EDR агентов****.**** 4. В свойствах устройства в Web Console (Активы (Устройства) → Управляемые устройства → ссылка <имя устройства> → Приложения → ссылка <название приложения Kaspersky Endpoint Security> → Общие → Компоненты). ![image.png](https://antiapt-community.ru/uploads/images/gallery/2026-06/scaled-1680-/qBfA1wB23YOCahyE-image.png)📸 ****Скриншот 24:**** разделе ****«Безопасность»**** присутствует установленный компонент ****«Sandbox».**** --- ### 5.2. Со стороны клиента (Агента) 1\. Откройте клиент KES 2. Перейдите в раздел «****Безопасность****». Убедиться, что должен быть добавлен компонент ****Endpoint Detection and Response Expert (on-premise)****. Он должен быть подсвечен зеленым цветом, что подтверждает его активацию и наличие лицензии. ![image.png](https://antiapt-community.ru/uploads/images/gallery/2026-05/scaled-1680-/1NeNDgU9gawGdDi8-image.png)📸 ****Скриншот 25:**** разделе ****«Безопасность»**** присутствует установленный компонент **«****Endpoint Detection and Response Expert (on-premise)****».**** 3. Перейти в раздел ****Мониторинг → Отчеты→**** ****Endpoint Detection and Response Expert (on-premise),**** либо в том же разделе ****Безопасность**** кликнуть по значку троеточия и выпадающем меню выбрать ****Открыть отчет****. ![image.png](https://antiapt-community.ru/uploads/images/gallery/2026-05/scaled-1680-/u07SfIjmBt4nqU08-image.png)📸 ****Скриншот 26:**** Варианты проверки статуса подключения компонента ****«****Endpoint Detection and Response Expert (on-premise)** к ****«Central Node».****

--- #### ****📌 Полезные ссылки**** - [Kaspersky Tech на YouTube](https://www.youtube.com/watch?v=fy54oz8ivGM&t=2s) - [Kaspersky на Rutube](https://rutube.ru/video/dddb90cc8b667713f18eb9a242a7cd27/) ✅ ****Развёртывание KES 12.1+ с EDR завершено!**** Теперь ваши конечные точки: - Передают телеметрию в KATA - Участвуют в расследовании инцидентов - Поддерживают автоматическую корреляцию с сетевыми событиями # Процесс установки и настройки компонента EDR (OSMP) на базе KES Linux ### 📦 Варианты подключения ****Версия решения:**** KESL 11.4+; KEDR 8+ (OSMP/XDR);

****Примечание:**** В отличие от версии KES Windows, KES Linux не требует установки и включения компонента EDR, так как он уже входит в состав установленного решения и для его активации необходимо включить использование его в политике и настроить интеграцию.

Начиная с версии ****Kaspersky Endpoint Security 12.4 для Linux**** компонент Endpoint Detection and Response (KATA) переименован в Endpoint Detection and Response Expert (on-premise). Теперь этот компонент обеспечивает интеграцию не только с Kaspersky Endpoint Detection and Response (KATA), компонентом Kaspersky Anti Targeted Attack Platform, но и с решением Kaspersky Endpoint Detection and Response Expert (on-premise).

Если приложение Kaspersky Endpoint Security используется в режиме Легкого агента для защиты виртуальных сред (О режимах использования приложения Kaspersky Endpoint Security, Просмотр в командной строке информации об использовании приложения в режиме Легкого агента), активация выполняется на стороне Сервера защиты (компонента решения Kaspersky Security для виртуальных сред Легкий агент) путем добавления лицензионных ключей на SVM.

Для полноценной интеграции приложения Kaspersky Endpoint Security с Kaspersky Anti Targeted Attack Platform требуется включить компонент ****Анализ поведения****. Если Анализ поведения выключен, необходимые данные телеметрии не передаются (кроме запросов на синхронизацию и данных об обнаружении угроз от других компонентов защиты).

---

1. Подготовка

### 1.1. Поддерживаемые версии

**Компонент**	**Минимальная версия**
KEDR (OSMP/XDR)	8+
KSC	13.2+
KES для Linux	11.4+

---

2. Чистая установка KESL 11.4+ с EDR через OSMP Web Console

### 2.1. Настройка инсталляционного пакета 1. Откройте ****OSMP Web Console → Операции → Хранилища → Инсталляционные пакеты**** 2. Найдите пакет ****KESL 11.4+**** 3.Перейдите в ****Параметры и выберите режим использования приложения:**** - ****Стандартном режим**** - Kaspersky Endpoint Security используется как автономное приложение для защиты рабочих станций и серверов под управлением операционных систем Linux. - ****Легкий агент**** - Kaspersky Security для виртуальных в составе решения. Kaspersky Endpoint Security используется как компонент решения Kaspersky Security для виртуальных сред Легкий агент для защиты виртуальных машин с гостевыми операционными системами Linux. - ****EDR-агент**** - Endpoint Detection and Response для совместной работы на защищаемых устройствах решений Detection and Response от "Лаборатории Касперского" и антивирусных приложений от сторонних поставщиков (далее также "режим Агента Endpoint Detection and Response"). [![image.png](https://antiapt-community.ru/uploads/images/gallery/2026-06/scaled-1680-/gSUrvirKUDJrhCB5-image.png)](https://antiapt-community.ru/uploads/images/gallery/2026-06/gSUrvirKUDJrhCB5-image.png)****📸 Скриншот 1:**** Выбор компонента Режима работы KESL 12.4+ 4. Выполните дополнительные настройки в Консоли администрирования с детальным описанием можно ознакомиться в [онлайн-документации](https://support.kaspersky.ru/kes-for-linux/12.4.0/298623) --- ### 2.2. Создание задачи удалённой установки 1. Перейдите: ****Устройства → Задачи → Добавить**** 2\. Выберите: 1. ****Приложение****: `Kaspersky Security Center` 2. ****Тип задачи****: `Удалённая установка программы` 3\. Укажите устройства (вручную или из списка) [![image.png](https://antiapt-community.ru/uploads/images/gallery/2026-06/scaled-1680-/IY0ycD6HKdbf5aSx-image.png)](https://antiapt-community.ru/uploads/images/gallery/2026-06/IY0ycD6HKdbf5aSx-image.png) 📸 ****Скриншот 2:**** Удаленная установка программы 4\. Выберите: 1. ****Инсталляционный пакет****: `KESL 11.4+` 2. ****Агент администрирования****: `KSC Agent` 5. Если агент уже установлен — выберите: ****«Учётная запись не требуется»**** ![image.png](https://antiapt-community.ru/uploads/images/gallery/2026-05/scaled-1680-/GHA1hHAkBqBAMHl6-image.png)📸 ****Скриншот 3:**** Учетная запись не требуется (Агент администрирования уже установлен) 6. Нажмите ****«Готово» → «Запустить»**** ![image.png](https://antiapt-community.ru/uploads/images/gallery/2026-06/scaled-1680-/nbrGSNlWoO0La2pt-image.png)📸 ****Скриншот 4:**** После создания она автоматически переходит в состояние ожидания, поэтому её необходимо запустить вручную. --- ### 2.3. Добавление лицензий #### Лицензия KES + EDR: ****1. Устройства → Задачи → Добавить → Добавление ключа****

Для интеграции с компонентами Kaspersky Anti Targeted Attack Platform вам нужно активировать решение Kaspersky Anti Targeted Attack Platform (см. подробнее в справке решения). Активировать компоненты приложения Kaspersky Endpoint Security, обеспечивающие интеграцию, не требуется, основные лицензии Kaspersky Endpoint Security включают в себя эту функциональность.

2. Выберите ****KESL 11.4+****, укажите устройства [![image.png](https://antiapt-community.ru/uploads/images/gallery/2026-06/scaled-1680-/aBOCYHocWFTxfdn2-image.png)](https://antiapt-community.ru/uploads/images/gallery/2026-06/aBOCYHocWFTxfdn2-image.png) 📸 ****Скриншот 5:**** Добавление ключа KESL 3. Выберите файл ключа → ****снимите галочку «Использовать как резервный»**** [![image.png](https://antiapt-community.ru/uploads/images/gallery/2026-06/scaled-1680-/xFp8kw4ZllOHaz9o-image.png)](https://antiapt-community.ru/uploads/images/gallery/2026-06/xFp8kw4ZllOHaz9o-image.png)📸 ****Скриншот 6:**** Использовать ключ в качестве резервного

---

3. Интеграция с KEDR 8+

### 4.1. Настройка политики 1. Войдите в ****OSMP Web Console (администратор)**** 2. Перейдите в раздел ****Управление активами → Политики → KES 12.1+**** 3. Добавьте политику ****KES 12.1+**** 3. Непосредственно внутри самой политики перейти в ****Параметры приложения → Встроенные агенты → Endpoint Detection and Response Expert (on-premise).**** 4. Включите компонент 5. Выберите ****Endpoint Detection and Response Expert (версия 8.0 и выше)**** 6. В разделе ****Подключение к серверам сбора телеметрии**** жмем ****+Добавить** **→ Выбрать сервер**** выбираем нужный нам сервер сбора телеметрии ****(коллектор).**** ![image.png](https://antiapt-community.ru/uploads/images/gallery/2026-06/scaled-1680-/JYR4zljTyOaqUEZB-image.png) 📸 ****Скриншот 7:**** в политике настраиваем ****Подключение к серверам сбора телеметрии****

****Важно:** Если клиенты подключаются и управляются напрямую сервером KEDR 8+ (OSMP/XDR), выбор серверов будет доступен, и все данные подставятся автоматически, включая адрес сервера реагирования и сертификаты. Если же агенты подключаются к отдельному серверу KSC и данные платформы не объединяются, адрес сервера реагирования и сертификат необходимо будет загрузить из другого раздела. Этот процесс описан ниже.

![image.png](https://antiapt-community.ru/uploads/images/gallery/2026-06/scaled-1680-/HRC7h2uITPrrN5Yr-image.png)📸 ****Скриншот 8:**** в политике настраиваем ****Подключение к серверам реагирования**** 10. Жмем ****Сохранить и закрыть**** ### 4.2. Если используется внешний сервер KSC #### ****4.2.1. Подготовка к настройке политики****

1. Перейдите в раздел ****Мониторинг → Ресурсы и сервисы → Работа с сервисами → Активные сервисы**** 2. Выберите тот коллектор, что отвечает за сбор телеметрии, на примере это ****встроенный коллектор \[OOTB\] Kaspersky EDR****. После того как выбрали нужный коллектор нажмите правой кнопкой мыши и выберите ****Скачать сертификат,**** либо выполните как на картинке. ![image.png](https://antiapt-community.ru/uploads/images/gallery/2026-06/scaled-1680-/MY0fGePjfr5SLdXI-image.png)📸 ****Скриншот 9:**** разделе ****«Сертификат сервера»**** нажимаем ****«Экспортировать».**** 3. Необходимо скопировать адрес ****сервера** **сбора телеметрии,**** данный адрес необходимо будет указать при настройке политики как описано в предыдущем разделе ****4.1. Настройка политики.**** Для этого жмем на коллектор ****встроенный коллектор \[OOTB\] Kaspersky EDR**** правой кнопкой мыши и выбираем ****Развернуть.**** В открывшемся окне необходимо скопировать скопировать адрес ****Connection gateway URL: \*\*\*\*\*\*\*\*,**** как на примере ниже. ![image.png](https://antiapt-community.ru/uploads/images/gallery/2026-06/scaled-1680-/kiRoJNMufKwVNNW4-image.png)📸 ****Скриншот 10:**** разделе ****«Сертификат сервера»**** нажимаем ****«Развернуть»**** и копируем адрес ****«Connection gateway».**** 4\. На данном этапе был скопирован адрес Сервера сбора телеметрии (****connection gateway****) и выгружен сертификат `[OOTB] Kaspersky EDR` эти данные необходимо будет указать при настройке политики на KSC не объединённом с KEDR 8+ (OMSP/XDR). 5. Далее для настройки политики также понадобиться адрес ****Сервера реагирования**** и ****Сертификат Endpoint Agent.**** 6. Для этого перейдите ****Параметры**** → ****Тенанты****, нажмите на название тенанта и выберите вкладку ****Параметры**** → ****Сертификаты****. 7. В этом разделе ****Параметры**** → ****Тенанты**** → ****Параметры**** → ****Сертификаты****, в разделе ****Сертификат сервера**** нужно скопировать ****FQDN сервера агента,**** он необходим будет для настройки в политике раздела **Подключение к серверам реагирования.**** 8. Здесь в разделе **Сертификат сервера** экспортировать сам сертификат сервера нажав ****Экспортировать**** 9. По итогу будет экспортирован файл `certificate.pem` 10. Ниже экспортируйте ****Сертификат Endpoint Agent****, выберите сертификат либо сгенерируйте новый и нажмите ****Экспортировать****. (При создании нового сертификата старый будет удален. Поэтому его нужно будет обновить во всех политиках, где он использовался.) При экспорте потребуется указать пароль, так как сертификат будет Сертификат будет экспортирован в PFX-архив, защищенный паролем. 11. По итогу будет экспортирован файл `certificate.pfx` ![image.png](https://antiapt-community.ru/uploads/images/gallery/2026-06/scaled-1680-/HWecZLU4NtEpCHFF-image.png)📸 ****Скриншот 11:**** разделе ****«Параметры**** → ****Тенанты**** → ****Параметры**** → ****Сертификаты»**** где показано что от куда копировать и экспортировать. #### ****4.2.2. Настройка политики на внешнем KSC**** 1. Перейдите в политику, в политике в разделе ****Подключение к серверам сбора телеметрии**** указывается полученный адрес ****connection gateway**** нажав на ****+Добавить → Новый сервер**** и порт **443**** 2. Нажав на ****Настройки подключения**** ****→** **Сертификат сервера**** загружается ранее выгруженный сертификат `[OOTB] Kaspersky EDR` ****.**** Также рекомендуем в разделе ****Дополнительная защита подключения**** указать ранее выгруженный сертификат для защиты подключения `certificate.pfx`****.**** 3. Далее в политике необходимо настроить ****Подключение к серверам реагирования.**** Для этого необходимо будет добавить адрес сервера **FQDN сервера агента** и в разделе ****Настройки подключения**** добавить ****Сертификат сервера**** `certificate.pem` и загрузить в раздел ****Дополнительная защита**** выгруженный ранее сертификат `certificate.pfx`****.**** 4. Нажимаем ****Сохранить и закрыть**** для завершения настройки политики.

---

5. Проверка интеграции

### 5.1. Непосредственно на OSMP 1. Войдите в ****OSMP Web Console (администратор)**** 2. Перейдите: ****Активы (Устройства) → Анализ и реагирование**** в данном разделе так же, как и в разделе ****Администрирование и защита**** будут появляться все подключенные устройства. В данном разделе можно добавить колонки по которым можно отфильтровать агенты по следующему статусу: ****- Телеметрия получена**** ****- Статус телеметрии**** ****- Статус EDR**** ****- Последнее подключение к EDR**** ****- Лицензия EDR**** ****- Версия агента EDR**** [![image.png](https://antiapt-community.ru/uploads/images/gallery/2026-06/scaled-1680-/xHeUfHLeCzEJCmwg-image.png)](https://antiapt-community.ru/uploads/images/gallery/2026-06/xHeUfHLeCzEJCmwg-image.png)📸 ****Скриншот 22:**** разделе ****«Анализ и реагирование»**** начнут появляться ****«Агенты»**** со статусом ****«****Нормальная активность****».**** 3. Перейдите в раздел ****Мониторинг** **→** **Поиск угроз****. В конструкторе оставляете запрос по умолчанию и нажмите ****Выполнить запрос****. Это выведет все события от всех устройств, подключенных к системе с EDR. [![image.png](https://antiapt-community.ru/uploads/images/gallery/2026-06/scaled-1680-/5COy7fQF7z5x8xC5-image.png)](https://antiapt-community.ru/uploads/images/gallery/2026-06/5COy7fQF7z5x8xC5-image.png)📸 ****Скриншот 23:**** разделе ****«****Поиск угроз****»**** вывод собранной телеметрии с EDR агентов****.**** 4. В свойствах устройства в Web Console (Активы (Устройства) → Управляемые устройства → ссылка <имя устройства> → Приложения → ссылка <название приложения Kaspersky Endpoint Security> → Общие → Компоненты). [![image.png](https://antiapt-community.ru/uploads/images/gallery/2026-06/scaled-1680-/hJw856GZxYapiu17-image.png)](https://antiapt-community.ru/uploads/images/gallery/2026-06/hJw856GZxYapiu17-image.png)📸 ****Скриншот 24:**** разделе ****«Безопасность»**** присутствует установленный компонент ****«Sandbox».**** --- ### 5.2. Со стороны клиента (Агента) Откройте клиент и используйте команду ****kesl-control --app-info**** ![image.png](https://antiapt-community.ru/uploads/images/gallery/2026-06/scaled-1680-/Gs3U1nK0l4nUPLA7-image.png)📸 ****Скриншот 12:**** результаты вывода команды ****«kesl-control»**** со статусом подключения EDR агента****.****

--- #### ****📌 Полезные ссылки**** - [Kaspersky Tech на YouTube](https://www.youtube.com/watch?v=fy54oz8ivGM&t=2s) - [Kaspersky на Rutube](https://rutube.ru/video/dddb90cc8b667713f18eb9a242a7cd27/) ✅ ****Развёртывание KESL 11.4+ с EDR завершено!**** Теперь ваши конечные точки: - Передают телеметрию в KATA - Участвуют в расследовании инцидентов - Поддерживают автоматическую корреляцию с сетевыми событиями # Процесс установки и настройки компонента Sandbox (OSMP) на базе KES Linux ### 📦 Варианты подключения ****Версия решения:**** KESL 12.2+; KEDR 8+ (OSMP/XDR);

****Примечание:**** В отличие от версии KES Windows, KES Linux не требует установки и включения компонента Sandbox, так как он уже входит в состав установленного решения и для его активации необходимо включить использование его в политике и настроить интеграцию.

---

1. Подготовка

### 1.1. Поддерживаемые версии

**Компонент**	**Минимальная версия**
KEDR (OSMP/XDR)	8+
KSC	13.2+
KES для Linux	12.2+

### 1.2. Аппаратные требования (на клиенте) - ****CPU****: ≥1 ГГц, поддержка ****SSE2**** - ****RAM****: ≥2 ГБ (x64) - ****HDD****: ≥2 ГБ свободного места ### 1.3. Необходимые лицензии - Лицензия ****KESL**** - Для работы KATA Sandbox должно быть развернуто решение Kaspersky Anti Targeted Attack Platform версии 7.0 или выше, либо OSMP/XDR 2.0 + и Sandbox 8.0+.

---

2. Чистая установка KESL 12.2+ с EDR через OSMP Web Console

### 2.1. Настройка инсталляционного пакета 1. Откройте ****OSMP Console → Операции → Хранилища → Инсталляционные пакеты**** 2. Найдите пакет ****KESL 12.2+**** 3.Перейдите в ****Параметры**** 4. Выполните дополнительные настройки в Консоли администрирования с детальным описанием можно ознакомиться в [онлайн-документации](https://support.kaspersky.ru/kes-for-linux/12.4.0/298623) --- ### 2.2. Создание задачи удалённой установки 1. Перейдите: ****Устройства → Задачи → Добавить**** 2\. Выберите: 1. ****Приложение****: `Kaspersky Security Center` 2. ****Тип задачи****: `Удалённая установка программы` 3\. Укажите устройства (вручную или из списка) [![image.png](https://antiapt-community.ru/uploads/images/gallery/2026-06/scaled-1680-/IY0ycD6HKdbf5aSx-image.png)](https://antiapt-community.ru/uploads/images/gallery/2026-06/IY0ycD6HKdbf5aSx-image.png) 📸 ****Скриншот 1:**** Удаленная установка программы 4\. Выберите: 1. ****Инсталляционный пакет****: `KESL 12.2+` 2. ****Агент администрирования****: `KSC Agent` 5. Если агент уже установлен — выберите: ****«Учётная запись не требуется»**** ![image.png](https://antiapt-community.ru/uploads/images/gallery/2026-05/scaled-1680-/GHA1hHAkBqBAMHl6-image.png)📸 ****Скриншот 2:**** Учетная запись не требуется (Агент администрирования уже установлен) 6. Нажмите ****«Готово» → «Запустить»**** [![image.png](https://antiapt-community.ru/uploads/images/gallery/2026-06/scaled-1680-/wXHhyJ81byRWSOzc-image.png)](https://antiapt-community.ru/uploads/images/gallery/2026-06/wXHhyJ81byRWSOzc-image.png) 📸 ****Скриншот 3:**** После создания она автоматически переходит в состояние ожидания, поэтому её необходимо запустить вручную. --- ### 2.3. Добавление лицензий #### Лицензия KESL: ****1. Устройства → Задачи → Добавить → Добавление ключа****

2. Выберите ****KESL 12.2+****, укажите устройства ![image.png](https://antiapt-community.ru/uploads/images/gallery/2026-06/scaled-1680-/ccGiHzKmzql03wc1-image.png)📸 ****Скриншот 4:**** Добавление ключа KESL 3. Выберите файл ключа → ****снимите галочку «Использовать как резервный»**** [![image.png](https://antiapt-community.ru/uploads/images/gallery/2026-06/scaled-1680-/mDNSmdEY259DULWs-image.png)](https://antiapt-community.ru/uploads/images/gallery/2026-06/mDNSmdEY259DULWs-image.png)📸 ****Скриншот 5:**** Использовать ключ в качестве резервного

---

3. Интеграция с KEDR 8+ (OSMP)

7. Нажмите ****«****Подключение к серверам Sandbox****» → Настройки подключения**** - Загрузите в раздел ****TLS-сертификат сервера**** ранее выгруженный сертификат `certificate.pem` ###### - Дополнительная защита подключения загрузите ранее выгруженный сертификат `certificate.pfx` и введите заданный пароль. 8. Укажите адрес agentserver. Его можно найти в том же разделе, где и ****Сертификат сервера****. [![image.png](https://antiapt-community.ru/uploads/images/gallery/2026-06/scaled-1680-/pdeyb7SgmE5RNp0z-image.png)](https://antiapt-community.ru/uploads/images/gallery/2026-06/pdeyb7SgmE5RNp0z-image.png) 📸 ****Скриншот 6:**** копируем адрес сервера - Укажите ****адрес**** и ****порт** **443**** [![image.png](https://antiapt-community.ru/uploads/images/gallery/2026-06/scaled-1680-/u8Ogx5SoIWrIC53x-image.png)](https://antiapt-community.ru/uploads/images/gallery/2026-06/u8Ogx5SoIWrIC53x-image.png) 📸 ****Скриншот 7:**** указываем адрес сервера KEDR и порт 6. Нажмите ****«Сохранить»**** 7. Рекомендуется ознакомится и дополнительно настроить действий по реагированию на угрозы ![image.png](https://antiapt-community.ru/uploads/images/gallery/2026-06/scaled-1680-/GyASEKqBW06m07dk-image.png)📸 ****Скриншот 8:**** указываем адрес сервера KATA и порт 8. Детально описание доступно в [онлайн-документации](https://support.kaspersky.com/help/KESWin/14.0/ru-RU/214721.htm)

---

5. Проверка интеграции

### 5.1. Со стороны клиента (Агента) 1. Откройте клиент и используйте команду ****kesl-control --app-info**** ![image.png](https://antiapt-community.ru/uploads/images/gallery/2026-06/scaled-1680-/WXKgFbp9Qd8tKE9z-image.png)📸 ****Скриншот 9:**** результаты вывода команды ****«kesl-control»**** со статусом подключения EDR агента****.**** 2\. В свойствах устройства в Web Console (Активы (Устройства) → Управляемые устройства → ссылка <имя устройства> → Приложения → ссылка <название приложения Kaspersky Endpoint Security> → Общие → Компоненты). ![image.png](https://antiapt-community.ru/uploads/images/gallery/2026-06/scaled-1680-/fFRiILRDqg7Wn6MA-image.png)📸 ****Скриншот 10:**** результаты вывода команды ****«kesl-control»**** со статусом подключения EDR агента****.****

--- #### ****📌 Полезные ссылки**** - [Kaspersky Tech на YouTube](https://www.youtube.com/watch?v=fy54oz8ivGM&t=2s) - [Kaspersky на Rutube](https://rutube.ru/video/dddb90cc8b667713f18eb9a242a7cd27/) ✅ ****Развёртывание KESL 11.4+ с Sandbox завершено!**** # Диагностика и решение проблем # KEDR Expert on-premise: общие рекомендации по диагностике и устранению неполадок **Версия продукта**: KEDR Expert on-premise 8.0 **Актуальный список ограничений**: [support.kaspersky.ru/kedr-expert-on-premise/8.0/303912](https://support.kaspersky.ru/kedr-expert-on-premise/8.0/303912) **1. Проверка основных компонентов KUMA (вне Kubernetes кластере):** ```bash systemctl status kuma-collector-.service systemctl status kuma-correlator-.service systemctl status kuma-storage-.service ``` ID компонента можно скопировать из консоли OSMP (Ресурсы и сервисы - Активные сервисы)

[![{3ABA65D2-104B-4854-A580-14D7609B56BB}.png](https://antiapt-community.ru/uploads/images/gallery/2026-04/scaled-1680-/YSmwaQhFSSNuTHeU-3aba65d2-104b-4854-a580-14d7609b56bb.png)](https://antiapt-community.ru/uploads/images/gallery/2026-04/YSmwaQhFSSNuTHeU-3aba65d2-104b-4854-a580-14d7609b56bb.png)

Работа с логами через системное журналирование: ```bash journalctl -xe journalctl -xe | grep "" journalctl -u "" -e ``` Работа с логами коллекторов, корреляторов и хранилищ: ```bash less /opt/kaspersky/kuma/collector//log/collector less /opt/kaspersky/kuma/correlator//log/correlator less /opt/kaspersky/kuma/storage//log/storage tail -n 100 /opt/Kaspersky/kuma/storage//log/storage systemctl list-units | grep kuma- ``` Проверить открыт ли удаленный порт: ```bash telnet nc -uzv nmap -p ``` Проверить открытые порты: ```bash firewall-cmd --list-ports ``` Открыть порт на firewall: ``` firewall-cmd --add-port=7210/tcp --permanent firewall-cmd --reload ``` Проверка входящих подключений через tcpdump: ```bash tcpdump -i any port 5144 -A ``` **2. Полезные команды для работы с Kubernetes** **Для Kubernetes k0s Cluster**

Task	Command
View cluster info	k0s kubectl cluster-info
View nodes	k0s kubectl get nodes
View node details	k0s kubectl describe node <node-name>
Check k0s status	k0s status

**Для Kubernetes k0s Pods**

Task	Command
List all pods	k0s kubectl get pods -A
List all pods changes in real-time	k0s kubectl get pods -A --watch
List pods in a namespace	k0s kubectl get pods -n <namespace>
Pod details	k0s kubectl describe pod <pod-name> -n <namespace>
Delete pod	k0s kubectl delete pod <pod-name> -n <namespace>
Exec into a pod	k0s kubectl exec -it <pod-name> -n <namespace> -- /bin/sh

**Для Kubernetes k0s Namespace**

Task	Command
List namespaces	k0s kubectl get namespaces -A
Get all resources in namespace	k0s kubectl get all -n <namespace>
Delete namespace	k0s kubectl delete namespace <name>

**Для Kubernetes k0s Secrets & ConfigMaps**

Task	Command
List all secrets	k0s kubectl get secrets -A
List secrets in a namespace	k0s kubectl get secret -n <namespace>
View secret (base64 encoded)	k0s kubectl get secret <name> -n <namespace> -o yaml
Decode secret	k0s kubectl get secret -o jsonpath=”{.data.}” -n <namespace>
List configmaps	k0s kubectl get configmap
View configmap	k0s kubectl describe configmap <name>

**Для Kubernetes k0s Logs**

Task	Command
View logs of a pod	k0s kubectl logs <pod-name> -n <namespace>
Get logs of a pod in a real time	k0s kubectl logs -f <pod-name> -n <namespace>
Save a specific log to the file	k0s kubectl logs -f <pod-name> -n <namespace> > log.txt
Stream logs	k0s kubectl logs -f <pod-name> -n <namespace>
View logs of previous run	k0s kubectl logs --previous <pod-name> -n <namespace>

**Для Kubernetes k0s Deployments & Services**

Task	Command
List all deployments	k0s kubectl get deployments -A
List deployments in a namespace	k0s kubectl get deployments -n <namespace>
List services	k0s kubectl get svc
View deployment status	k0s kubectl rollout status deployment/<name>
Restart deployment	k0s kubectl rollout restart deployment <name>

**Для Kubernetes k0s PVC**

Task	Command
List all PV	K0s kubectl get pvc -A
List PVCs in a namespace	k0s kubectl get pvc -n <namespace>
PVC details	k0s kubectl describe pvc <pvc-name> -n <namespace>
Edit a PVC in a namespace	k0s kubectl edit pvc -n <namespace>
List all PV	K0s kubectl get pv -A
List PVCs in a namespace	k0s kubectl get pv -n <namespace>
PVC details	k0s kubectl describe pv <pvc-name> -n <namespace>

**3. Получение диагностической информации о KEDR (XDR) компонентах** Утилита KDT позволяет получать диагностическую информацию о компонентах KEDR (XDR), устранять неполадки самостоятельно или с помощью службы технической поддержки Kaspersky. 1\) После установки вы можете выполнить следующую команду, чтобы просмотреть список всех установленных компонентов: ```bash ./kdt state ``` 2\) Отобразится список установленных компонентов. Правильно установленные компоненты имеют статус "Succeeded". Если установка компонента завершилась неудачно, этот компонент имеет статус "Failed". 3\) Чтобы просмотреть полный журнал установки некорректно установленного компонента, выполните следующую команду: ```bash ./kdt state -l <имя_компонента> ``` 4\) Чтобы получить диагностическую информацию о компонентах и веб-плагинах управления на хосте администратора, где расположена утилита KDT, выполните следующую команду и укажите необходимый флаг: ```bash ./kdt logs get <флаг> ``` a. Где <флаги> - это параметры команды, которая позволяет настроить результат ведения журнала. b. Вы можете указать следующие параметры ведения журнала: - Период регистрации, например, все журналы за последние 12 часов: ```bash ./kdt logs get --to-archive --last=12h ``` - Вы можете получить диагностическую информацию за период от 2 минут до 7 дней. Если период регистрации не указан, вы получите его за максимальное время. - Путь к целевому файлу и каталог для сохранения диагностической информации: ```bash ./kdt logs get -D ./path_to_folder/ --last=12h ``` 5\) Чтобы просмотреть доступные флаги, выполните одну из следующих команд: ```bash ./kdt logs get -h ./kdt logs get --help ``` 6\) Логи также можно загрузить непосредственно из pod'ов. Для этого выполните команды (не забудьте изменить namespace): ```bash k0s kubectl get pods -A k0s kubectl get pods -n irp k0s kubectl logs interpreter-58c5856f7c-hfd87 -n irp ``` Где имя **interpreter-58c5856f7c-hfd87** должно быть изменено на уникальное имя вашего pod'а # Очистка событий в хранилище (освобождение места) **Вариант 1: Автоматическая ротация через политику хранения** - Перейдите в **Ресурсы и сервисы - Активные сервисы** - Нажмите на имя нужного сервиса хранилища - Измените условие хранения:

[![{4A3C719D-F847-4F01-9991-E328FBF68A45}.png](https://antiapt-community.ru/uploads/images/gallery/2026-04/scaled-1680-/lz4D8LNWoSHUfrSV-4a3c719d-f847-4f01-9991-e328fbf68a45.png)](https://antiapt-community.ru/uploads/images/gallery/2026-04/lz4D8LNWoSHUfrSV-4a3c719d-f847-4f01-9991-e328fbf68a45.png)

**Примечание:** Изменения применяются в течение ~1 часа. Устаревшие разделы будут удалены автоматически. **Вариант 2: Ручная очистка разделов** - Перейдите в Ресурсы и сервисы - Активные сервисы - Нажмите правой кнопкой на имя нужного сервиса хранилища - Перейдите в просмотр разделов и вручную удалите выбранные разделы (место на диске будет увеличено сразу)

[![{769E21C7-C7E1-41BB-A836-44CDB31CC16E}.png](https://antiapt-community.ru/uploads/images/gallery/2026-04/scaled-1680-/xDTlfZZohaQsTHH6-769e21c7-c7e1-41bb-a836-44cdb31cc16e.png)](https://antiapt-community.ru/uploads/images/gallery/2026-04/xDTlfZZohaQsTHH6-769e21c7-c7e1-41bb-a836-44cdb31cc16e.png)

# Плейбуки # New Page

ℹ️ ****Информация:**** Приведенная на данной странице информация, является разработкой команды pre-sales и/или AntiAPT Community и НЕ является официальной рекомендацией вендора.

Раздел 1. Что такое плейбук

### 1.1. Что такое плейбук При расследовании инцидентов аналитик SOC часто выполняет одни и те же действия: проверяет источник события, получает информацию об устройстве, запускает дополнительные проверки, изолирует хост или уведомляет ответственных сотрудников. Выполнение этих операций вручную занимает время и увеличивает вероятность ошибки. Плейбук — это сценарий автоматизации, который позволяет системе самостоятельно выполнить заранее определенную последовательность действий при наступлении заданного события. Проще говоря, плейбук можно представить как инструкцию: > ****«Если произошло определенное событие, последовательно выполни указанные действия и получи необходимый результат».**** Например, если в системе появился критический алерт, плейбук может: 1. определить устройство, на котором произошло событие; 2. получить сведения о пользователе; 3. изолировать устройство от сети; 4. запустить дополнительную проверку; 5. отправить уведомление ответственному специалисту. В результате аналитик получает уже обработанный инцидент и может сосредоточиться на принятии решений, а не на выполнении однотипных операций. --- ### 1.2. Чем плейбук отличается от обычного действия Отдельное действие выполняет только одну операцию: - изолировать устройство; - получить информацию о процессе; - отправить уведомление. Плейбук объединяет множество таких действий в единый алгоритм, где результат одного шага используется следующим. Именно поэтому плейбуки являются одним из основных инструментов автоматизации реагирования в Kaspersky EDR Expert и OSMP. # Зачем нужны плейбуки При расследовании инцидентов аналитик регулярно выполняет повторяющиеся действия: открывает карточку алерта, получает информацию об устройстве и пользователе, проверяет индикаторы компрометации, запускает дополнительные проверки, изолирует хост или отправляет уведомления. По отдельности эти операции занимают немного времени, однако при большом количестве событий они превращаются в однообразную рутинную работу. Кроме того, выполнение одинаковых действий вручную увеличивает вероятность ошибки: можно пропустить важный шаг, выбрать неверный объект или просто забыть выполнить необходимую проверку. Плейбуки позволяют автоматизировать такие сценарии. Вместо того чтобы выполнять каждое действие самостоятельно, аналитик описывает последовательность шагов один раз, после чего система воспроизводит ее при наступлении заданного условия. Например, при обнаружении вредоносного процесса плейбук может автоматически: - определить устройство, на котором произошло событие; - получить информацию о пользователе; - изолировать устройство от сети; - запустить IOC Scan; - отправить уведомление ответственному сотруднику. В результате все типовые операции выполняются одинаково и без участия аналитика, а специалист может сосредоточиться на анализе инцидента и принятии решений. ## Какие задачи решают плейбуки Плейбуки не заменяют аналитика, а помогают автоматизировать повторяющиеся этапы реагирования. Их можно использовать для решения самых разных задач: ### Автоматическое реагирование Выполнение заранее определенных действий сразу после появления алерта или инцидента. Например: - изоляция устройства; - завершение вредоносного процесса; - запуск дополнительной проверки; - создание правила блокировки. ### Обогащение информации Перед выполнением действий плейбук может собрать дополнительные сведения, необходимые для расследования: - получить информацию об устройстве; - определить пользователя; - найти связанные алерты; - извлечь хэш, IP-адрес или имя процесса. ### Проверка условий Плейбук способен анализировать данные и принимать решения на основе заданных условий. Например: - выполнить действия только для критических алертов; - реагировать только на события определенного правила корреляции; - запускаться только для устройств из конкретной группы. ### Оркестрация действий Один плейбук может объединять несколько независимых операций в единый сценарий, где результат предыдущего шага используется следующим. ``` Получен алерт │ ▼Получить HostID │ ▼Получить информацию о пользователе │ ▼Изолировать устройство │ ▼Запустить IOC Scan │ ▼Отправить уведомление ``` ## Когда стоит использовать плейбуки Плейбук имеет смысл создавать, если один и тот же набор действий регулярно выполняется по одинаковым правилам. Если сценарий требует постоянного участия аналитика и принятия решений на каждом этапе, автоматизация может оказаться избыточной. Практика показывает, что лучше всего плейбуки подходят для стандартных процессов реагирования, обогащения данных и выполнения рутинных операций, позволяя сократить время обработки инцидентов и обеспечить единообразное выполнение действий независимо от того, кто занимается расследованием.

# Миграция # Миграция данных с KATA/KEDR 7.1 на KEDR Expert 8+

ℹ️ ****Информация:**** Приведенная на данной странице информация подготовлена на основании документации Kaspersky EDR Expert 8.1 и практического опыта внедрения решений Kaspersky. Материал не является официальной инструкцией производителя и предназначен для упрощения планирования и выполнения миграции. Официальная документация: [****Kaspersky EDR Expert 8.1****](https://support.kaspersky.com/help/KEDR_Expert_on_prem/8.1/ru-RU/320010.htm)

Переход с ****KEDR 7.1**** на ****Kaspersky EDR Expert 8.1**** представляет собой полноценную процедуру миграции, позволяющую перенести накопленные данные и основные объекты конфигурации в новую инфраструктуру. Перед началом миграции рекомендуется ознакомиться с перечнем переносимых данных. Это позволит заранее определить, какие объекты сохранятся автоматически, какие требуют дополнительных действий после переноса, а какие потребуется настроить заново. При обновлении и переходе с KEDR 7.1 на Kaspersky EDR Expert 8.1 переносятся следующие данные:

****ℹ️ Важно:**** Переход на Kaspersky EDR Expert 8.1 ****не является обновлением "поверх" существующей установки KEDR 7.1.**** Процесс выполняется путем экспорта данных из существующей системы и их последующего импорта в новую инфраструктуру.

## Поддерживаемые сценарии миграции Документация рассматривает несколько вариантов переноса данных: - [Переход с использованием того же сервера;](https://support.kaspersky.com/help/KEDR_Expert_on_prem/8.1/ru-RU/320256.htm) - Существующий сервер KEDR 7.1 переиспользуется для установки Kaspersky EDR Expert 8.1. - [Переход с использованием отдельного сервера;](https://support.kaspersky.com/help/KEDR_Expert_on_prem/8.1/ru-RU/320232.htm) - Разворачивается новый сервер с Kaspersky EDR Expert 8.1, после чего выполняется перенос данных из KEDR 7.1. - [Переход в распределенной инфраструктуре;](https://support.kaspersky.com/help/KEDR_Expert_on_prem/8.1/ru-RU/320258.htm) - Используется, если KEDR 7.1 уже развернут как распределенное решение. В этом случае миграция выполняется с сохранением распределенной архитектуры. - [Разделение KATA и Kaspersky EDR Expert;](https://support.kaspersky.com/help/KEDR_Expert_on_prem/8.1/ru-RU/320324.htm) - Этот сценарий предназначен для случаев, когда вместо единой платформы необходимо получить два отдельных решения: - KATA 8.0; - Kaspersky EDR Expert 8.1. Независимо от выбранного варианта перехода документация рассматривает два способа переноса исторической телеметрии: - [С использованием внешнего хранилища;](https://support.kaspersky.com/help/KEDR_Expert_on_prem/8.1/ru-RU/323381.htm) - [Без использования внешнего хранилища;](https://support.kaspersky.com/help/KEDR_Expert_on_prem/8.1/ru-RU/320260.htm) --- ## Предварительная подготовка 1. Перед началом миграции рекомендуется обновить ****Endpoint Agent**** до последних поддерживаемых версий.

****Важно:**** Поддержка передачи телеметрии, необходимой для работы Kaspersky EDR Expert 8.1, реализована только в актуальных версиях Endpoint Agent начиная с KES 12.12 и KESL 12.4. Использование устаревших версий может привести к некорректной работе решения после миграции.

2\. Запросить в технической поддержке файлы инсталляционных пакетов и набор пакетов для переноса данных с KATA/KEDR 7.1 состоящий из: - ****Набор пакетов для инсталляции:**** - Пакет развёртывания (KDT): bin.tar.gz - Сборка KEDR 8+: xdr-2.+-ru.tar (Обратите внимание, что дистрибутив (файл вида xdr-2.0.6xx-yy.tar) отличается в зависимости от локализации). - Дистрибутив Sandbox - Образы Sandbox - ****Плагины:**** - KES Mac CNAB plugin - KES Linux CNAB plugin - MDR (по запросу) - KICS for Nodes (по запросу) - ****Набор пакетов для миграции:**** - img\_kata\_osmp\_migrate.tar - img\_kata\_osmp\_migration\_importer.tar - kata-osmp-export.sh - kata-osmp-import.sh - gateway-migration\_v2.0.+.tar

Обратите внимание, что перенос данных (настройки, правила, алерты, телеметрия) с предыдущей версии KEDR Expert 7.1 в KEDR Expert 8 возможен только на версию 8.0.1 и выше с помощью утилиты миграции. Для переноса телеметрии необходима временная лицензия на XDR! (запрашивается через саппорт), подробнее по [****ссылке****](https://support.kaspersky.ru/kata/8.0/install/16223)****.****

3. Определить минимально требуемый размер диска для временного хранения данных в процессе переноса полученных при экспорте данных.

Требования к аппаратному обеспечению для переноса данных

Перед запуском скриптов экспорта и импорта необходимо рассчитать требуемые ресурсы и дисковое пространство. Ошибка на этом этапе приведет к прерыванию процесса миграции из-за нехватки места или перегрузки процессора. ### Состав переносимых данных Данные в KATA/KEDR 7.1 разделены на три логических слоя. Базовая миграция (Этапы 1 и 2) переносит только алерты, инциденты и объекты из S3. Сырая телеметрия переносится только при явном запуске Этапа 3. --- ### 1. Расчет места на внешнем диске (Базовая миграция) Внешний диск (Transport Storage) используется для временного хранения данных при переносе между серверами. ****Формула расчета:**** ``` Disk_size_GB = 2 * ( (N_ioa_alerts + N_ioc_alerts) * 0.00005 + N_ext_alerts * 0.2 + 0.8 * Storage_GB + 1 ) ``` **Коэффициент* `2` *в начале формулы резервирует место для временного архива, создаваемого скриптом экспорта.**

****Альтернатива:**** Если вы выбираете сценарий переноса телеметрии без внешнего хранилища (напрямую через сеть), требования к внешнему SSD-массиву не применяются. Вместо этого потребуются дополнительные ресурсы CPU/RAM на целевом сервере OSMP (см. раздел 4 ниже).

****Где взять переменные:****

**Переменная**	**Описание**	**Источник данных**
`Storage_GB`	Размер хранилища объектов (S3).	Веб-интерфейс KATA 7.1: значение, указанное в поле «Хранилище, ГБ» при настройке Central Node.
`N_ioa_alerts`	Количество поведенческих алертов (IOA).	Запрос к PostgreSQL: `SELECT count(*) FROM ioa_alerts;`
`N_ioc_alerts`	Количество алертов по IOC.	Запрос к PostgreSQL: `SELECT count(*) FROM ioc_scan_ep_alert;`
`N_ext_alerts`	Количество внешних алертов (SIEM/TI).	Запрос к БД. Если интеграций нет — значение `0`.

****Пример расчета:**** **Вводные:** `Storage_GB` = 200, `N_ioa_alerts` = 40 000, `N_ioc_alerts` = 10 000, `N_ext_alerts` = 0. **Расчет:** `2 * ( (50000 * 0.00005) + 0 + (0.8 * 200) + 1 ) = 2 * ( 2.5 + 160 + 1 ) = 327 ГБ`. **Результат:** Требуется внешний диск объемом не менее 330 ГБ. --- ### 2. Требования к целевому серверу (OSMP) На время выполнения скрипта импорта целевой сервер Kaspersky EDR Expert 8.1 должен иметь свободные ресурсы для распаковки архивов и записи в БД. ****Необходимо временно зарезервировать:****

**Ресурс**	**Значение**	**Назначение**
**CPU**	4 ядра	Обработка скрипта импорта.
**RAM**	4 ГБ	Буферы обработки потоков данных.
**Disk**	`Storage_GB`	Свободное место для записи объектов S3.

> ⚠️ Правило масштабирования: При планировании постоянного дискового пространства на новом сервере выделите вдвое больше места, чем рассчитано по «[Руководству по масштабированию](https://support.kaspersky.com/help/KEDR_Expert_on_prem/8.1/ru-RU/303904.htm)». Это необходимо для стабильной работы баз данных и сервисов KUMA после завершения импорта.

****Важно:**** Указанные 4 ядра CPU и 4 ГБ RAM — это базовые требования для импорта конфигурации и истории. Если вы планируете перенос телеметрии, необходимо дополнительно зарезервировать ресурсы согласно разделу 4 (от +6 до +18 ядер CPU и от +4 до +12 ГБ RAM в зависимости от выбранного сценария).

--- ### 3. Требования для переноса телеметрии Если требуется перенести сырую телеметрию (Этап 3), необходимо рассчитать эффективное количество хостов и подготовить высокоскоростное хранилище. #### Шаг 1. Расчет эффективного количества хостов (K) Разные ОС генерируют разный объем телеметрии. Для расчета используется формула приведения к единому знаменателю: ``` K = A + 3*B + 3*C + 20*D ``` - A — рабочие станции и терминальные серверы Windows. - B — рабочие станции и терминальные серверы Linux. - C — рабочие станции и терминальные серверы macOS. - D — серверы (физические или виртуальные, любая ОС). #### Шаг 2. Расчет объема данных и места на диске Объем данных, выгружаемых из Elasticsearch, рассчитывается по формуле: ``` ES_Data_Volume = (K / 15000) * (460GB * <период хранения в днях>) / 0.65 ``` **Параметр* `<период хранения в днях>` *соответствует значению* `telemetry-keep-days` *при запуске скрипта экспорта.** Требуемый размер внешнего диска для телеметрии: ``` Disk_size_Telemetry = ES_Data_Volume * 2.6 ``` Требования к внешнему диску для телеметрии: - Тип: SSD. - Конфигурация: RAID 0. - Производительность: 200 ROPS (чтение), 200 WOPS (запись), пропускная способность ~1 ГБ/сек. Пример расчета: **Вводные:** Парк: 2000 Win (A), 100 Lin (B), 0 Mac (C), 50 Серверов (D). Период хранения: 14 дней. 1. **Считаем K:** `2000 + (3*100) + (3*0) + (20*50) = 3300`. 2. **Считаем ES\_Data:** `(3300 / 15000) * (460 * 14) / 0.65 ≈ 2180 ГБ`. 3. **Считаем Диск:** `2180 * 2.6 ≈ 5668 ГБ`. **Результат:** Требуется внешний SSD-массив объемом не менее 5,7 ТБ. --- ### 4. Выбор способа переноса телеметрии: с внешним хранилищем или без него Если вы планируете переносить сырую телеметрию (Этап 3), необходимо заранее выбрать один из двух архитектурных сценариев. От этого выбора зависят требования к оборудованию, время миграции и даже выбор основного сценария перехода. #### Сравнительная таблица сценариев переноса телеметрии

**Параметр**	**Сценарий А: С внешним хранилищем**	**Сценарий Б: Без внешнего хранилища**
**Суть процесса**	Телеметрия выгружается в `.dump` файлы на внешний SSD, затем импортируется через коллектор KUMA типа `file`.	Телеметрия передаётся напрямую из старого Elasticsearch в новый через коллектор KUMA типа `elastic` по сети.
**Требования к внешнему диску**	Высокие. SSD RAID 0, ~1 ГБ/сек, объем = `ES_Data_Volume * 2.6`.	Низкие. Диск нужен только для базовой миграции (алерты + S3).
**Доп. ресурсы CPU/RAM на OSMP**	+18 ядер, +12 ГБ RAM (при скорости 40 000 EPS).	От +6 до +12 ядер, от +4 до +8 ГБ RAM (зависит от числа индексов).
**Требования к сети**	Не критичны.	Высокая пропускная способность между старым KATA и новым OSMP.
**Настройка старого KATA**	Не требуется.	Необходимо открыть внешний порт Elasticsearch.
**Совместимость со Сценарием 1 (Тот же сервер)**	✅ Совместимо.	❌ НЕСОВМЕСТИМО. Развертывание OSMP на том же сервере, где был KEDR 7.1, невозможно.
**Когда выбирать**	Большой парк, медленная сеть, есть быстрый SSD-массив.	Быстрая сеть (10 Гбит/с+), нет свободного SSD, готовность выделить CPU/RAM.

#### Дополнительные ресурсы для Сценария Б (Без внешнего хранилища) Если выбран сценарий без внешнего хранилища, необходимо зарезервировать дополнительные ресурсы на целевом сервере OSMP в зависимости от количества индексов Elasticsearch:

**Количество индексов**	**Скорость передачи**	**Доп. CPU на OSMP**	**Доп. RAM на OSMP**
**1 индекс**	9 000 EPS	\+ 6 ядер	\+ 4 ГБ
**5 индексов**	20 000 EPS	\+ 12 ядер	\+ 8 ГБ

****Критическое ограничение:**** Если выбран сценарий переноса телеметрии без внешнего хранилища, развертывание Kaspersky EDR Expert 8.1 на том же сервере, где ранее был развернут KEDR 7.1 (Сценарий 1), невозможно. Старый сервер KATA должен оставаться в сети на протяжении всего процесса импорта телеметрии, а в Сценарии 1 сервер KEDR 7.1 удаляется до начала импорта. ****Решение:**** Если вы хотите использовать Сценарий 1 (экономия железа) — выбирайте перенос телеметрии с внешним хранилищем.

--- ### 5. Ограничения и запреты Что НЕ переносится автоматически: - Файлы из карантина. - Завершенные задачи (если результат не сохранен в хранилище). - Неактивные пользователи Active Directory. - Исключения IOA (требуют ручного импорта из файла `excludes.json` после миграции). Запрещенные действия во время экспорта и импорта: До завершения процесса импорта категорически запрещено: 1. Выполнять действия с образами ОС в Sandbox или менять правила Sandbox. 2. Добавлять, изменять или удалять правила запрета, IOC, IOA, YARA и исключения IOA. 3. Добавлять или удалять Endpoint Agent, менять их группы и теги. 4. Изменять список паролей архивов. Особенности для распределенных решений (Кластер KATA): Если инфраструктура состоит из нескольких узлов (PCN + SCN), для переноса данных должен использоваться строго один внешний диск. Скрипт экспорта запускается последовательно на каждом узле, диск физически перемещается между серверами. Все данные накапливаются на одном носителе.

4\. Выбор способа переноса телеметрии: с внешним хранилищем или без него **Подробный разбор обоих сценариев приведён в* ****разделе 4**** *выше (внутри блока «*****Требования к аппаратному обеспечению*****»).** 5. Определите сценарий миграции:

Выбор сценария миграции

Официальная документация Kaspersky EDR Expert 8.1 выделяет четыре сценария перехода с KATA/KEDR 7.1. Выбор сценария зависит от доступных аппаратных ресурсов, текущей архитектуры и допустимого времени простоя (Downtime). ### ****Сводная таблица сценариев****

**Сценарий**	**Суть процесса**	**Преимущества**	**Недостатки и влияние на простой**
**1. Тот же сервер**	OSMP развертывается на существующем сервере KEDR 7.1 после завершения экспорта. Старый KEDR 7.1 удаляется с диска.	Экономия аппаратных ресурсов (не нужна новая VM).	Существенный простой. Сервер недоступен на время экспорта, удаления и установки. Несовместим с переносом телеметрии без внешнего хранилища (см. раздел 3.4).
**2. Отдельный сервер *(Рекомендуемый)***	Экспорт данных со старого сервера и импорт на новый (заранее развернутый) сервер OSMP.	Минимальный простой. Старый сервер продолжает работать, пока идет импорт.	Требует выделения отдельного сервера/VM под OSMP.
**3. Распределенное решение**	Миграция кластера (PCN + SCN + Embedded SCN) с сохранением распределенной архитектуры.	Сохранение кластерной топологии и иерархии данных.	Сложность. Требуется маппинг тенантов между узлами и строгая очередность.
**4. Разделение на два решения**	Переход с единого KATA/KEDR 7.1 на KATA 8.0 (платформа) + Kaspersky EDR Expert 8.1 (EDR).	Архитектурное разделение функций SIEM и EDR.	Требует развертывания двух систем и перераспределения ресурсов (в т.ч. Sandbox).

--- ### Детальный разбор сценариев #### Сценарий 1: Использование того же сервера (Экономия ресурсов, максимальный простой) Этот сценарий допускает повторное использование оборудования, но требует существенного простоя сервера. OSMP развертывается непосредственно на существующем сервере KATA/KEDR 7.1 **после** этапа экспорта данных. Критическая особенность: > ⚠️ Важно: Даже если вы используете тот же сервер для развертывания OSMP, для запуска скрипта импорта (`kata-osmp-import.sh`) все равно потребуется дополнительное устройство Linux. Скрипт импорта не может выполняться на том же узле, где работает OSMP.

****Критическое ограничение по телеметрии:**** Если вы планируете переносить телеметрию без использования внешнего хранилища (напрямую через elastic-коннектор), Сценарий 1 недоступен. Старый сервер KATA должен оставаться в сети на протяжении всего процесса импорта телеметрии, а в этом сценарии он удаляется до начала импорта. ****Альтернативы:**** • Использовать Сценарий 2 (Отдельный сервер) + телеметрия без внешнего хранилища. • Использовать Сценарий 1 + телеметрия с внешним хранилищем (предварительно выгрузив `.dump` файлы до удаления KEDR 7.1).

Оценка времени простоя: - Без телеметрии: до 6 часов. - С телеметрией: зависит от объема данных. Около 24 часов для конфигурации с 5000 агентов Endpoint Agent и глубиной хранения 30 дней. Высокоуровневый алгоритм (Фазы): 1. Фаза Экспорта (на старом KEDR 7.1): Подключение внешнего диска ➔ Запуск `kata-osmp-export.sh --step first` ➔ Отключение интеграций и агентов ➔ Запуск `--step second` ➔ (Опционально) `--step third` для телеметрии ➔ Отключение диска. 2. Фаза Разрушения и Создания: Удаление KEDR 7.1 с диска ➔ Развертывание OSMP на этом же "железе". 3. Фаза Импорта (на временном Linux-сервере): Подключение диска к временному Linux-серверу с Docker ➔ Запуск `kata-osmp-import.sh --step first` ➔ Ручной импорт исключений IOA и переключение агентов через KSC ➔ Запуск `--step second`. 4. Финал: Перенос телеметрии (отдельным сценарием). --- #### ****Сценарий 2: Использование отдельного сервера (Минимизация простоя)**** Этот сценарий следует использовать, если в инфраструктуре достаточно ресурсов и основной задачей является минимизация времени недоступности функций EDR. Логика минимизации простоя: Процесс разделен на этапы, чтобы старый KEDR 7.1 продолжал защищать периметр как можно дольше: 1. Сохранение данных Этапа 1 (конфигурации, правила) и их импорт в новый OSMP. 2. Переключение агентов Endpoint Agent на новый сервер через политики Kaspersky Security Center. Именно этот период считается временем простоя. 3. Перенос исторических данных (Этап 2) и телеметрии (Этап 3). На этом этапе OSMP уже полноценно работает, а старый сервер можно выводить из эксплуатации. --- #### ****Сценарий 3: Миграция распределенного решения (Кластер KATA)**** Применяется, если текущая инфраструктура развернута в виде кластера (Primary Central Node, Secondary Central Node, Embedded SCN). Главная цель — перенести данные так, чтобы сохранить изоляцию и иерархию тенантов в новой OSMP. ****Специфика и жесткие ограничения:**** 1. Один диск на всех. Для переноса данных должен использоваться строго один внешний диск. Скрипт экспорта последовательно запускается на каждом узле кластера, диск физически перемещается между ними. 2. Маппинг тенантов. Перед импортом необходимо вручную создать тенанты в OSMP и составить JSON-файл конфигурации (`tenant_config.json`), сопоставляя узлы SCN с тенантами OSMP (строго 1-к-1). 3. Импорт через корень. Импорт всегда начинается через узел OSMP, содержащий **корневой тенант**. Данные со SCN распределяются по иерархии автоматически. 4. Нюанс с глобальными правилами. Глобальные YARA-правила или пароли для архивов, созданные на SCN, при миграции всегда переносятся в корневой тенант сервера OSMP. *****Пример файла**** **`tenant_config.json`******:***** ``` { "globalTenantName": "Root tenant", "tenants": [ { "scnName": "embedded_scn", "xdrTenantName": "embedded_scn" }, { "scnName": "scn", "xdrTenantName": "scn" }, { "scnName": "scn_2", "xdrTenantName": "scn_2" } ] } ```

****Важно:**** Тенант с именем `embedded_scn` в этом файле всегда указывает на главный сервер управления — Primary Central Node (PCN).

--- #### ****Сценарий 4: Разделение на KATA 8.0 и Kaspersky EDR Expert 8.1**** Начиная с версии 8.1, функциональность KEDR становится частью Kaspersky EDR Expert, а KATA остается отдельным решением. Этот сценарий описывает переход с единого решения на два независимых продукта. ****Порядок действий:**** 1. Развертывание нового сервера Kaspersky EDR Expert 8.1. 2. Перенос данных EDR из KATA 7.1 в новый Kaspersky EDR Expert 8.1. 3. Обновление старой KATA 7.1 до версии 8.0.> Критически важно: После обновления KATA до 8.0 функциональность и данные KEDR на этом сервере станут недоступны. 4. Переключение серверов Sandbox. В связи с переносом функционала EDR, общее потребное количество серверов Sandbox должно перераспределиться между двумя системами. ****Ограничения для кластера в этом сценарии:**** - Обновите KATA до версии 8.0 только ПОСЛЕ развертывания всех узлов Kaspersky EDR Expert и переноса всех данных KEDR. - Поэтапный перенос данных (от узла к узлу) не поддерживается. Скрипт переноса должен сначала экспортировать данные со всех серверов и только после этого импортировать их. --- ### ****Итоговый алгоритм принятия решения**** ****Используйте эту инструкцию для выбора целевого сценария:**** ****Шаг 1. Оценка текущей архитектуры**** - Если у вас развернут кластер (PCN + SCN) ➔ Выбирайте Сценарий 3. - Если у вас один узел (Central Node) ➔ Переходите к Шагу 2. ****Шаг 2.1. Если планируется перенос телеметрии — выберите способ передачи:**** - Если есть быстрый SSD-массив (RAID 0, ~1 ГБ/сек) или сеть медленная ➔ Телеметрия с внешним хранилищем (доступны все 4 сценария миграции). - Если нет SSD, но есть быстрая сеть (10 Гбит/с+) и готовы выделить CPU/RAM ➔ Телеметрия без внешнего хранилища (Сценарий 1 недоступен, выбирайте Сценарий 2, 3 или 4). ****Шаг 2. Оценка аппаратных ресурсов и требований бизнеса**** - Если нужно минимизировать простой и есть ресурсы ➔ Выбирайте Сценарий 2 (Отдельный сервер). - Если нет ресурсов на новый сервер ➔ Выбирайте Сценарий 1 (Тот же сервер). Закладывайте окно простоя на выходные. - Если бизнес требует архитектурно разделить SIEM (KATA) и EDR ➔ Выбирайте Сценарий 4 (Разделение на два решения). --- ### Универсальные ограничения (Запрет на изменения) Независимо от выбранного сценария, до завершения процесса экспорта категорически запрещено вносить следующие изменения в KATA/KEDR 7.1: 1. Добавлять, изменять или удалять пользователей. 2. Выполнять действия с образами ОС в Sandbox или менять правила Sandbox. 3. Добавлять, изменять или удалять правила запрета. 4. Добавлять, изменять или удалять IOC, IOA-правила, YARA-правила, исключения IOA и расписание проверки IOC. 5. Добавлять или удалять Endpoint Agent, менять их группы и теги. 6. Изменять список паролей архивов. > ****Что НЕ переносится автоматически:****- История алертов (переносятся только специфические метаданные). > - Завершенные задачи (если результат не сохранен в хранилище). > - Неактивные пользователи и учетные записи, связанные с Active Directory. > - Файлы из карантина.

6. Подготовка внешнего хранилища и выбор между Физическим диском или Сетевым хранилищем.

Выбора варианта хранилища

Все действия по монтированию внешних дисков и запуску скриптов миграции должны выполняться строго в режиме ****Technical Support Mode****. Этот режим останавливает основные службы записи KATA и делает снятие слепков данных безопасным.

****Критическое правило:**** Все действия по монтированию/размонтированию внешних дисков, а также запуск скриптов миграции (`kata-osmp-export.sh` и `kata-osmp-import.sh`) должны выполняться строго в режиме ****Technical Support Mode****. Как войти в этот режим — используйте штатные средства обслуживания KATA (см. документацию по эксплуатации вашей версии).

#### ****Вариант А: Физический диск (USB / SATA)**** **Подходит, если у вас физический сервер (Bare Metal) или к виртуальной машине проброшен RAW-диск.** ##### ****Инструкции по монтированию и размонтированию физического диска**** ****Чтобы монтировать физический диск:**** 1. Подключите физический жесткий диск к хосту и установите его системное имя. 2. Найдите диск по размеру с помощью вывода команды:``` lsblk sudo fdisk -l ``` *****Пример найденного устройства:**** **`/dev/sdb1`*** 3. Смените формат устройства на файловую систему Ext4, чтобы подготовить диск к записе данных:``` sudo mkfs.ext4 /dev/ ```

****ВНИМАНИЕ:**** Эта команда полностью удалит все данные с диска!

4. Чтобы создать точку монтирования, создайте пустую директорию, в которую будет монтироваться диск:``` sudo mkdir -p /mnt/external_disk ``` 5. Выполните следующую команду (зависит от файловой системы диска):``` sudo mount /dev/<диск> /mnt/external_disk ``` ****Чтобы размонтировать физический диск после выполнения необходимых операций, выполните следующую команду:**** ``` sudo umount /mnt/external_disk ```

****⚠️ Важно:**** Настоятельно рекомендуется выполнить эту команду перед физическим отключением кабеля, чтобы избежать потери данных.

--- #### ****Вариант Б: Сетевая папка (Samba / Windows Share)**** **Самый популярный сценарий для виртуальных сред (VMware, Hyper-V, KVM), где нет возможности подключить USB-накопитель.** ##### ****Инструкции по созданию общего ресурса**** ****Чтобы создать общий ресурс Samba (на отдельном Linux-сервере):**** 1. Установите Samba:``` sudo apt update sudo apt install samba samba-common-bin ``` 2. Добавьте пользователя Samba с созданием домашней папки для этого пользователя. Эта папка будет служить общей папкой.

****⚠️ Важно:**** Не создавайте общую папку вручную от имени текущего пользователя. Это необходимо сделать с помощью следующей команды:

``` sudo useradd -m -d /home/ -s /bin/bash ``` 3. Задайте пароль и активируйте пользователя:``` sudo smbpasswd -a sudo smbpasswd -e ``` 4. Добавьте следующий блок в файл конфигурации `/etc/samba/smb.conf`:``` [] comment = Сетевой ресурс path = /home/ read only = no browseable = yes guest ok = no ``` **где* `SHARE_FOLDER` *– имя общей директории.** 5. Перезапустите сервис:``` sudo systemctl restart smbd nmbd ``` ****Чтобы создать общий ресурс Windows (cmd / PowerShell):**** 1. Убедитесь, что консоль запущена от имени администратора. 2. Создайте пользователя и задайте пароль:``` net user /add /expires:never ``` 3. Создайте папку и установите общий доступ к ней:``` mkdir icacls /inheritance:r icacls /grant "Everyone:(OI)(CI)F" ``` 4. Создайте общий ресурс для пользователя:``` net share = /grant:,full ``` --- ##### ****Инструкции по монтированию и размонтированию сетевого ресурса**** **Этот метод предназначен для SMB/CIFS (Windows Share / Samba). Он подходит для разового подключения. После перезагрузки системы соединение будет потеряно.** ****Чтобы монтировать сетевой ресурс:**** 1. Скачайте и установите следующие три пакета: - `libtalloc2_2.4.2-1~bpo12+1_amd64.deb` - `libwbclient0_4.9.5+dfsg-5+deb10u3astra.ce4_amd64.deb` - `cifs-utils_6.8-2+deb10u1+ci202212062128+astra2_amd64.deb`

****ℹ️ Примечание для закрытых контуров (Astra Linux):**** Не изменяйте файл `source.list`. Чтобы установить программное обеспечение, скачайте необходимые пакеты `.deb` из общедоступных репозиториев или из частных репозиториев, поддерживаемых вашей организацией.

2. Создайте точку монтирования:``` sudo mkdir -p ``` 3. Монтируйте сетевой ресурс:``` sudo mount -t cifs /// / -o username=,password=,vers=2.1 ``` ****Где:**** - `SERVER` – IP-адрес сервера или его сетевое имя. - `SHARE_FOLDER` – имя общей директории. - `PATH_FOLDER` – локальный путь к точке монтирования. - `NAME` – имя пользователя в Windows/Samba. - `PASSWORD` – пароль пользователя. - `2.1` – рекомендуемая версия протокола. Пример команды: ``` sudo mount -t cifs ///Share /mnt/share -o username=<имя пользователя>,password=<пароль>,vers=2.1 ``` Чтобы отключить сетевой ресурс, выполните следующую команду: ``` sudo umount ``` После завершения переноса данных рекомендуется удалить пакет `cifs-utils` и его зависимости. Чтобы удалить пакет `cifs-utils` и его зависимости, выполните следующую команду: ``` sudo apt remove --purge cifs-utils && sudo apt autoremove -y ``` ---

7. Подготовка к переносу телеметрии без внешнего хранилища ****(опционально)****

Сценарий Б: Перенос телеметрии без внешнего хранилища (напрямую через сеть)

Если вы планируете переносить сырую телеметрию (Этап 3) и выбрали ****Сценарий Б: Перенос телеметрии без внешнего хранилища**** (напрямую через сеть), необходимо заранее учесть дополнительные требования. Этот сценарий предполагает прямое чтение телеметрии из старого Elasticsearch сервера KATA/KEDR 7.1 через сеть с использованием коллектора KUMA.

****Критическое ограничение:**** Если выбран сценарий переноса телеметрии ****без внешнего хранилища****, развертывание Kaspersky EDR Expert 8.1 на том же сервере, где был развернут KEDR 7.1 (****Сценарий 1 миграции****), ****невозможно****. Старый сервер KATA должен оставаться в сети на протяжении всего процесса импорта телеметрии.

#### 7.1. Предварительные условия Для успешного выполнения этого сценария убедитесь, что выполнены следующие условия: - У вас есть ****два отдельных сервера****: KEDR 7.1 на платформе KATA и Kaspersky EDR Expert 8.1 на OSMP. - Между серверами обеспечена ****высокая пропускная способность сети**** (рекомендуется 10 Гбит/с и выше). - У вас есть ****временная лицензия**** на XDR, дающая право на настройку коннекторов импорта (запрашивается через Службу технической поддержки). - Вы понимаете, что ****коллектор KUMA нельзя разворачивать в кластере Kubernetes**** OSMP. - У вас есть ****отдельный Linux-сервер**** для установки коллектора KUMA (рекомендуется) или достаточно ресурсов на узле OSMP. - DNS-сервер настроен корректно: запись `*.kuma_host.smp_domain` существует и правильно настроена. - На сервере KATA установлено и работает решение KATA/KEDR 7.1 с накопленной телеметрией. #### 7.2. Понимание индексов Elasticsearch Прежде чем планировать ресурсы, необходимо понять, что такое ****индексы Elasticsearch**** в контексте KATA/KEDR и как определить их количество в вашей системе. ##### 7.2.1. Что такое индексы Elasticsearch? В KATA/KEDR 7.1 телеметрия хранится в базе данных Elasticsearch. ****Индекс**** — это логическая единица хранения данных, аналогичная таблице в реляционной базе данных. Каждый индекс содержит телеметрию за определенный период времени или определенного типа. ****Типичная структура индексов в KATA/KEDR 7.1:**** - Индексы создаются автоматически по мере накопления телеметрии - Обычно каждый индекс соответствует определенному периоду (например, день или неделя) - Имена индексов имеют формат: `kaspersky_edr_events_YYYY.MM.DD` или подобный - Количество индексов зависит от: - ****Глубины хранения телеметрии**** (параметр `telemetry-keep-days`) - ****Периода ротации индексов**** (настройки Elasticsearch) - ****Объема накопленной телеметрии**** ##### 7.2.2. Как определить количество индексов в вашей системе Чтобы узнать точное количество индексов в вашем KATA/KEDR 7.1, выполните следующие действия: ****Шаг 1.**** Подключитесь к серверу KATA по SSH. ****Шаг 2.**** Выполните команду для получения списка индексов: ``` docker exec -t $(docker ps -q -f name=elasticsearch.1) curl localhost:9200/_cat/indices?h=index,store.size ``` ****Шаг 3.**** Проанализируйте вывод команды. Пример вывода: ``` 12345 ``` ****Шаг 4.**** Подсчитайте количество строк (индексов) в выводе. Это и есть количество индексов, которые нужно будет импортировать. ##### 7.2.3. Типичные сценарии ****Сценарий 1: Небольшая инфраструктура (1-5 индексов)**** - Глубина хранения: 7-14 дней - Количество конечных точек: до 1000 - ****Ресурсы:**** Отдельный сервер с 5-10 ядер CPU, 1 ГБ RAM - ****Время импорта:**** Несколько часов ****Сценарий 2: Средняя инфраструктура (5-20 индексов)**** - Глубина хранения: 14-30 дней - Количество конечных точек: 1000-5000 - ****Ресурсы:**** Отдельный сервер с 10-20 ядер CPU, 2-4 ГБ RAM - ****Время импорта:**** 1-3 дня (импорт партиями по 5 индексов) ****Сценарий 3: Крупная инфраструктура (20+ индексов)**** - Глубина хранения: 30+ дней - Количество конечных точек: 5000+ - ****Ресурсы:**** Отдельный сервер с 20+ ядер CPU, 4+ ГБ RAM - ****Время импорта:**** Несколько дней (импорт партиями по 5 индексов) > 💡 ****Совет:**** Если у вас более 5 индексов, не пытайтесь импортировать их все одновременно. Импортируйте партиями по 5 индексов, дождавшись завершения каждой партии перед началом следующей. #### 7.3. Требования к ресурсам После определения количества индексов в вашей системе, используйте следующие таблицы для планирования ресурсов. ****Требования к ресурсам отдельного Linux-сервера для коллектора:****

Количество индексов Elasticsearch	Скорость передачи	Ресурсы для отдельного хоста
1 индекс	9 000 EPS	5 ядер CPU, 1 ГБ RAM
5 индексов	20 000 EPS	10 ядер CPU, 1 ГБ RAM

****Дополнительные требования к ресурсам OSMP при использовании отдельного хоста:****

Количество индексов Elasticsearch	Доп. CPU на OSMP	Доп. RAM на OSMP
1 индекс	\+ 2 ядра	\+ 4 ГБ
5 индексов	\+ 4 ядра	\+ 8 ГБ

> 💡 ****Совет:**** Если вы не хотите выделять отдельный сервер, можно установить коллектор прямо на узел OSMP. Но тогда требования к ресурсам OSMP возрастают: ****+6 ядер CPU / +4 ГБ RAM**** для 1 индекса или ****+12 ядер CPU / +8 ГБ RAM**** для 5 индексов. #### 7.4. Ограничения и рекомендации - ****Рекомендуется использовать не более пяти коннекторов одновременно.**** Если требуется импортировать более пяти индексов, дождитесь завершения текущего импорта в коллектор, замените индексы следующим набором (до пяти), обновите конфигурацию коннектора и запустите его снова. - Импорт телеметрии занимает много времени (может длиться несколько часов или дней в зависимости от объема данных), но ****не влияет на работу Kaspersky EDR Expert**** — система уже полноценно функционирует и обрабатывает новые события. - После завершения импорта коннектор можно удалить, а отдельный сервер (если он использовался) можно убрать из кластера KUMA. #### 7.5. Пошаговая инструкция Детальная пошаговая инструкция по выполнению переноса телеметрии без внешнего хранилища разделена на два этапа: - ****Этап 1. Подготовка архива к экспорту из KEDR 7.1**** — подраздел «Подготовка сервера KATA для переноса телеметрии без внешнего хранилища» (открытие порта Elasticsearch, получение учетных данных). - ****Этап 2. Импорт данных в Kaspersky EDR Expert 8.1**** — подраздел «Импорт телеметрии без внешнего хранилища» (настройка коллектора KUMA, мониторинг, завершение миграции). ---

8\. Поместите на хост с KATA/KEDR 7.1 необходимые файлы: - архив содержащего образ Docker для экспорта `img_kata_osmp_migrate.tar` - скрипт экспорта данных `kata-osmp-export.sh`

****Рекомендация:**** Также рекомендуется завершить активные расследования и переносить преимущественно алерты со статусом «****Закрыто****», что позволит избежать несогласованности данных и упростит последующую проверку результатов миграции.

--- ## Этап 1. Экспорт данных из KATA/KEDR 7.1 На этом этапе мы подготовим архив миграции, содержащий все необходимые данные из старого решения KATA/KEDR 7.1. Этот архив будет использоваться на Этапе 2 для импорта в новый Kaspersky EDR Expert 8.1.

ℹ️ ****Важно:**** Процесс экспорта разделен на три этапа (steps), что позволяет минимизировать риски, правильно подготовить инфраструктуру к переключению и при необходимости перенести историческую телеметрию.

--- #### 1.1. Предварительные требования

Перед началом экспорта убедитесь, что выполнены следующие условия: - Завершен раздел ****«Предварительная подготовка»**** (обновлены Endpoint Agent, получены пакеты, рассчитаны ресурсы, выбран сценарий миграции). - Внешнее хранилище подготовлено и смонтировано (см. раздел 6 «Подготовка внешнего хранилища»). - Сервер KATA/KEDR 7.1 переведен в режим ****Technical Support Mode****. - У вас есть необходимые файлы из набора пакетов для миграции: - `kata-osmp-export.sh` - `img_kata_osmp_migrate.tar` - `gateway-migration_v2.0.+.tar` (для сценария с внешним хранилищем)

****Важно:**** Во время процесса экспорта ****категорически запрещено**** вносить изменения в KATA/KEDR 7.1:

- Добавлять, изменять или удалять пользователей - Выполнять действия с образами ОС в Sandbox или менять правила Sandbox - Добавлять, изменять или удалять правила запрета, IOC, IOA, YARA - Добавлять или удалять Endpoint Agent, менять их группы и теги - Изменять список паролей архивов

--- #### 1.2. Размещение скриптов и Docker-образов на сервере KATA/KEDR

Находясь в режиме Technical Support Mode, поместите в рабочую директорию на сервере KATA следующие файлы из набора пакетов для миграции: - `kata-osmp-export.sh` — скрипт экспорта - `img_kata_osmp_migrate.tar` — архив TAR, содержащий Docker-образ для экспорта Убедитесь, что скрипт имеет права на выполнение. Если нет, назначьте их командой: ``` chmod +x kata-osmp-export.sh ``` ---

--- #### 1.3. Запуск экспорта первого этапа (Step First)

На этом шаге экспортируются данные, необходимые для запуска OSMP и репликации рабочего состояния KEDR 7.1 (конфигурация, правила, списки агентов). #### Что экспортируется на этом шаге: - Список активных (включенных) пользователей - Список имен образов, включенных в набор данных Sandbox, и пользовательские правила Sandbox - Правила запрета, IOC-правила, пользовательские IOA-правила, пользовательские YARA-правила - Пароли к архивам, используемые при проверке антивирусом и Sandbox - Расписание IOC-проверок - Список Endpoint Agent, их группы и теги #### Команда для запуска: ``` ./kata-osmp-export.sh --step first --migration-dir /mnt/external_disk ``` **Где* `/mnt/external_disk` *— путь к точке монтирования вашего внешнего хранилища.** > 💡 ****Важное замечание про IOA:**** Скрипт автоматически экспортирует исключения IOA в отдельный файл `excludes.json` в формате, совместимом с политиками Endpoint Agent. Этот файл будет находиться среди экспортированных данных в директории `ioa`. Его нужно будет вручную импортировать в политики KES после миграции (см. Этап 2). Дождитесь уведомления скрипта об успешном завершении первого этапа. ---

--- #### 1.4. Подготовка ко второму этапу экспорта

После успешного завершения первого этапа экспорта данных необходимо «отвязать» агентов и внешние системы, чтобы зафиксировать состояние периметра перед выгрузкой истории. #### Выполните следующие действия: 1. ****Отключите KEDR 7.1 от всех внешних интеграций**** (SIEM, TI, сторонние API). 2. ****Отключите Endpoint Agent в параметрах политики:**** - Удалите сертификаты Endpoint Agent - Включите проверку подлинности сертификатов **После этого Endpoint Agent на конечных точках не сможет подключиться к старому серверу KEDR 7.1.**

****Важно:**** После выполнения этих действий старые агенты перестанут отправлять данные на старый сервер. Это необходимо для корректного переноса истории алертов.

---

--- #### 1.5. Запуск экспорта второго этапа (Step Second)

На этом шаге экспортируются исторические данные и дополнительные параметры. #### Что экспортируется на этом шаге: - База данных алертов - Дополнительные данные, связанные с алертами - Хранилище (данные для расследования, загруженные вручную файлы и файлы, полученные с помощью задачи `get`) - Шаблоны уведомлений по электронной почте #### Команда для запуска: ``` ./kata-osmp-export.sh --step first --migration-dir /mnt/external_disk ``` Дождитесь уведомления скрипта об успешном завершении второго этапа. ---

--- #### 1.6. Запуск экспорта третьего этапа (Step Third) — ****Опционально****

Этот шаг выполняется ****только если вы планируете перенести историческую телеметрию**** и выбрали соответствующий сценарий в разделе 4. #### Для кого этот шаг: - Для администраторов, которым необходимо сохранить историческую телеметрию за определенный период - Для организаций с требованиями compliance, требующими хранения истории событий #### Что экспортируется на этом шаге: - Сырая телеметрия из Elasticsearch за указанный период #### Команда для запуска: ``` ./kata-osmp-export.sh --step third --migration-dir /mnt/external_disk ``` **Дополнительно можно указать параметры:** - `--telemetry-max-processes <количество>` — ограничение количества процессов - `--telemetry-keep-days <количество дней>` — глубина выгрузки телеметрии Данные телеметрии будут размещены по пути `migration-dir/nodes/[GUID узла]/archive_source/elasticsearch/` в файлах `.dump`. > 💡 ****Совет:**** Для определения оптимального значения `--telemetry-keep-days` используйте формулу расчета из раздела «****Требования для переноса телеметрии****». ---

--- #### 1.7. Отключение внешнего диска от сервера KEDR 7.1

После успешного завершения всех необходимых этапов экспорта, в режиме Technical Support Mode безопасно отключите (размонтируйте) внешний диск или сетевой ресурс от сервера KEDR 7.1. ### Для физического диска: ``` sudo umount /mnt/external_disk ```

****Важно:**** Настоятельно рекомендуется выполнить эту команду ****перед физическим отключением кабеля****, чтобы избежать потери данных.

### Для сетевого ресурса (Samba/Windows Share): ``` sudo umount /mnt/external_disk ``` После завершения миграции рекомендуется удалить пакет `cifs-utils` в целях безопасности: ``` sudo apt remove --purge cifs-utils && sudo apt autoremove -y ``` ---

--- #### 1.8. Подготовка сервера KATA для переноса телеметрии без внешнего хранилища (****опционально****)

Если вы выбрали ****Сценарий Б: Перенос телеметрии без внешнего хранилища**** (напрямую через сеть), необходимо подготовить старый сервер KATA/KEDR 7.1 для прямого чтения телеметрии через сеть.

****Важно:**** Этот подраздел выполняется ****вместо**** шагов 1.7 (только если вы не используете внешнее хранилище для телеметрии) или ****после**** шага 1.7 (если внешнее хранилище использовалось для базовой миграции, но телеметрия будет передаваться напрямую).

### 1.8.1. Проверка необходимых файлов Убедитесь, что на сервере KATA существуют следующие файлы: ``` ls -l /etc/kaspersky/node.json ls -l /home/swarm_user/.ssh/id_rsa ``` Если файлы отсутствуют, обратитесь в Службу технической поддержки. ### 1.8.2. Создание директории для скрипта Выполните следующую команду, чтобы создать корневую директорию для скрипта и других объектов: ``` mkdir /home/admin/elastic_script_dir ``` ### 1.8.3. Загрузка Docker-образа Скопируйте на сервер архив TAR, содержащий образ Docker `kata_osmp_migrate`, и выполните следующую команду: ``` docker load -i ./img_kata_osmp_migrate.tar ``` Скопируйте значение `Loaded image` в выводе команды (например, `registry.kata.zvx.com:5000/kaspersky/kata/management/kata_osmp_migrate:d0a217b`), которое затем будет необходимо использовать на следующем шаге вместо `migrate_image:tag`. ### 1.8.4. Генерация скрипта и получение учетных данных Запустите образ в режиме генерации скрипта: ``` sudo docker run --rm \ -v /home/admin/elastic_script_dir:/elastic_script_dir \ -v /etc/kaspersky:/etc/kaspersky \ -v /home/swarm_user/.ssh:/home/swarm_user/.ssh \ --network kata_prod_network \ migrate_image:tag \ generate-elastic-script \ --elastic-script-dir /elastic_script_dir ```

****Важно:**** Замените `migrate_image:tag` на значение, полученное на предыдущем шаге (например, `registry.kata.zvx.com:5000/kaspersky/kata/management/kata_osmp_migrate:d0a217b`).

После генерации скрипта в консоль выводятся данные, необходимые для коллектора KUMA: - ****Конечная точка Elasticsearch**** (endpoint) - ****Пользователь Elasticsearch**** - ****Пароль Elasticsearch**** - ****SSL-сертификат Elasticsearch**** SSL-сертификат будет расположен по адресу: ``` /home/admin/elastic_script_dir/conf.d/elastic.crt ```

****Критически важно:**** Сохраните учетные данные надежным образом, поскольку в дальнейшем скопировать или просмотреть их будет невозможно. Чтобы изменить учетные данные, повторите шаг генерации скрипта.

### 1.8.5. Открытие внешнего доступа Выполните следующую команду, чтобы перейти в каталог скрипта: ``` cd /home/admin/elastic_script_dir ``` Запустите скрипт в режиме `open`: ``` sudo ./kata-elastic-access.sh open ``` В результате выполнения этой команды открывается внешний порт Elasticsearch. Сервер KATA готов к переносу телеметрии. ****Elasticsearch будет доступен по адресу:**** ``` https://:8888/kata/elastic/ ``` ****Индексы Elasticsearch будут доступны по адресу:**** ``` https://:8888/kata/elastic/_cat/indices?v&s=index:desc ``` ### 1.8.6. Получение списка индексов Для получения списка индексов с указанием их размера выполните команду: ``` docker exec -t $(docker ps -q -f name=elasticsearch.1) curl localhost:9200/_cat/indices?h=index,store.size ``` ****После выполнения этих действий сервер KATA готов к приему запросов от коллектора KUMA. Переходите к Этапу 2 для настройки импорта.**** ---

--- #### Итоговый чек-лист Этапа 1 Перед переходом к Этапу 2 убедитесь, что выполнены следующие действия: #### Для сценария с внешним хранилищем: - Скрипты и Docker-образы размещены на сервере KATA - Выполнен экспорт первого этапа (Step First) - Отключены внешние интеграции и Endpoint Agent - Выполнен экспорт второго этапа (Step Second) - (Опционально) Выполнен экспорт третьего этапа (Step Third) - Внешнее хранилище безопасно отключено #### Для сценария без внешнего хранилища (телеметрия): - Все вышеперечисленные действия выполнены - Проверены необходимые файлы на сервере KATA - Создана директория `/home/admin/elastic_script_dir` - Загружен Docker-образ `kata_osmp_migrate` - Сгенерирован скрипт и получены учетные данные Elasticsearch - Открыт внешний доступ к Elasticsearch - Получен список индексов для последующего импорта --- ## Этап 2. Импорт данных в Kaspersky EDR Expert 8.1 На этом этапе мы импортируем данные из архива миграции в новый Kaspersky EDR Expert 8.1 (OSMP). Процесс импорта выполняется с помощью отдельного Linux-сервера, который выступает в роли «шлюза» между архивом и целевой системой.

ℹ️ ****Важно:**** Процесс импорта, как и экспорт, разделен на этапы (steps), что позволяет минимизировать время простоя и правильно переключить агентов Endpoint Agent на новую систему.

****Критическое правило:**** Скрипт импорта (`kata-osmp-import.sh`) ****не может выполняться на том же сервере, где развернут Kaspersky EDR Expert 8.1****. Вам потребуется ****отдельный Linux-сервер**** с установленным Docker для выполнения импорта.

--- #### 2.1. Предварительные требования

Перед началом импорта убедитесь, что выполнены следующие условия: - Завершен ****Этап 1**** (экспорт данных из KATA/KEDR 7.1) - Развернут новый сервер ****Kaspersky EDR Expert 8.1**** на OSMP (для Сценария 2) ****ИЛИ**** удален старый KEDR 7.1 и установлена OSMP на том же сервере (для Сценария 1) - Подготовлен ****отдельный Linux-сервер**** для импорта (или используется старый KEDR 7.1, если он еще не удален) - На сервере импорта установлен ****Docker**** - Внешнее хранилище с архивом миграции доступно для сервера импорта - Получена ****временная лицензия на XDR**** (если планируется перенос телеметрии)

****Важно:**** Если вы используете ****Сценарий 1 (Тот же сервер)****, последовательность действий следующая:

1. Выполнить экспорт (Этап 1) 2. Удалить KEDR 7.1 с диска 3. Развернуть OSMP на этом же сервере 4. Подготовить ****отдельный временный Linux-сервер**** для импорта 5. Выполнить импорт (Этап 2) ---

--- #### 2.2. Подготовка сервера Linux для импорта

Вам потребуется отдельный Linux-сервер для выполнения скрипта импорта. Это может быть: - ****Вариант А:**** Отдельная виртуальная или физическая машина - ****Вариант Б:**** Старый сервер KEDR 7.1 (если он еще не удален и на нем установлен Docker) ##### Требования к серверу импорта:

Ресурс	Минимальное значение
**ОС**	Linux (рекомендуется Astra Linux, Ubuntu, Debian)
**Docker**	Установлен и запущен
**CPU**	4 ядра (для базового импорта)
**RAM**	4 ГБ (для базового импорта)
**Диск**	Свободное место, равное размеру архива миграции

> 💡 ****Совет:**** Если вы используете старый сервер KEDR 7.1 в качестве сервера импорта, Docker на нем уже установлен. Это самый быстрый вариант — не нужно разворачивать новую машину. ##### Проверка установки Docker: ``` docker --version ``` Если Docker не установлен, обратитесь к документации вашей ОС для установки. ---

--- #### 2.3. Размещение скриптов импорта на сервере Linux

На сервере импорта создайте рабочую директорию и поместите в нее следующие файлы из набора пакетов для миграции: - `kata-osmp-import.sh` — скрипт импорта - `img_kata_osmp_migration_importer.tar` — архив TAR, содержащий Docker-образ для импорта Убедитесь, что скрипт имеет права на выполнение: ```bash chmod +x kata-osmp-import.sh ``` ---

--- #### 2.4. Подключение внешнего хранилища к серверу импорта

Подключите внешнее хранилище с архивом миграции к серверу импорта. Используйте те же команды монтирования, что и на Этапе 1 (раздел 6 «Подготовка внешнего хранилища»). ##### Для физического диска: ``` sudo mkdir -p /mnt/external_disk sudo mount /dev/sdX /mnt/external_disk ``` ##### Для сетевого ресурса (Samba/Windows Share): ``` sudo mkdir -p /mnt/external_disk sudo mount -t cifs /// /mnt/external_disk -o username=,password=,vers=2.1 ``` Убедитесь, что архив миграции доступен: ``` ls -la /mnt/external_disk ``` Вы должны увидеть директорию `migration-dir` с экспортированными данными. --- #### 2.4.1. Подготовка к запуску импорта Перед запуском скрипта импорта необходимо выполнить ряд критически важных действий на сервере Kaspersky EDR Expert 8.1. Без этих шагов импорт не запустится. #### 2.4.1.1. Установка cnab gateway-migration Gateway-migration — это шлюз импорта данных, который создает необходимые сертификаты для безопасного взаимодействия между сервером импорта и OSMP. ****Шаг 1.**** Подключитесь к серверу Kaspersky EDR Expert 8.1 по SSH. ****Шаг 2.**** Проверьте, установлен ли gateway-migration: ``` ./bin/kdt state -l gateway-migration ``` ****Шаг 3.**** Если gateway-migration не установлен, выполните установку из архива TAR: ``` ./bin/kdt apply -k gateway-migration_<версия>.tar ./bin/kdt invoke gateway-migration -a start ``` > 💡 Пример: Если у вас файл gateway-migration\_v2.0.123.tar, команда будет: ``` ./bin/kdt apply -k gateway-migration_v2.0.123.tar ./bin/kdt invoke gateway-migration -a start ``` ****Шаг 4.**** После запуска шлюза будут созданы три сертификата, которые необходимо сохранить на отдельном сервере Linux (сервере импорта): - `YYYY-MM-DDThh_mm_ss-ca.crt` — CA-сертификат - `tls.crt` — TLS-сертификат - `tls.key` — TLS-ключ

****Важно:**** Сертификаты создаются в директории, где запущен gateway-migration. Найдите их и скопируйте на сервер импорта в отдельную директорию, например `/home/admin/certs/`.

```bash # На сервере OSMP - найдите сертификаты find / -name "*.crt" -path "*/gateway-migration/*" 2>/dev/null find / -name "*.key" -path "*/gateway-migration/*" 2>/dev/null # Скопируйте на сервер импорта scp /path/to/certs/*.crt user@import-server:/home/admin/certs/ scp /path/to/certs/*.key user@import-server:/home/admin/certs/ ``` #### 2.4.1.2. Получение API-токена Kaspersky EDR Expert API-токен требуется для импорта определенных объектов (например, пользователей, шаблонов уведомлений). ****Шаг 1.**** Откройте веб-интерфейс Kaspersky EDR Expert 8.1. ****Шаг 2.**** Перейдите в раздел ****Настройки**** → ****API-токены****. ****Шаг 3.**** Нажмите на кнопку ****Добавить токен**** и укажите имя токена (например, `migration-token`). ****Шаг 4.**** В поле ****Срок действия**** укажите минимально достаточный срок (например, 7 дней). ****Шаг 5.**** В разделе ****Методы API**** установите флажки для следующих методов: - `GET:/api/v1/tenants` - `GET:/api/v1/notifications/incident/template/default` - `POST:/api/v1/notifications/incident/template` - `POST:/api/v3/kuma/resources/*/create` - `POST:KEDR Migration` ****Шаг 6.**** Нажмите ****Создать****, затем ****Копировать и закрыть****.

****Критически важно:**** Токен будет показан ****только один раз**** и скопирован в буфер обмена. Сохраните его в надежном месте на сервере импорта, например в файле `/home/admin/api-token.txt`. В дальнейшем скопировать его будет невозможно!

#### 2.4.1.3. Создание migration-url Migration-url — это специальный URL для доменного имени (FQDN) хоста Kaspersky EDR Expert. Он используется скриптом импорта для подключения к OSMP. ****Шаг 1.**** Определите FQDN вашего сервера Kaspersky EDR Expert 8.1: ``` hostname -f ``` **Пример вывода:* `xdr.company.local`* ****Шаг 2.**** Сформируйте migration-url. Он ****должен начинаться с** `https://migrate.`**: ``` https://migrate. ``` **Пример: для* `fqdn=xdr.company.local` *→* `--migration-url https://migrate.xdr.company.local`* ****Шаг 3.**** Добавьте соответствующую DNS-запись на вашем DNS-сервере: - ****Тип записи:**** A или CNAME - ****Имя:**** `migrate` (или `migrate.xdr.company.local`) - ****Значение:**** IP-адрес сервера Kaspersky EDR Expert 8.1 ****Шаг 4.**** Проверьте доступность migration-url с сервера импорта: ```bash curl -k https://migrate.xdr.company.local ``` > 💡 Совет: Если у вас нет возможности настроить DNS, можно временно добавить запись в файл /etc/hosts на сервере импорта: ``` echo " migrate.xdr.company.local" >> /etc/hosts ``` #### 2.4.1.4. Добавление тенантов Перед импортом необходимо создать тенанты в Kaspersky EDR Expert 8.1, в которые будут импортированы данные. ##### Для режима одного узла (Single Node): ****Шаг 1.**** Откройте веб-интерфейс Kaspersky EDR Expert 8.1. ****Шаг 2.**** Перейдите в раздел ****Настройки**** → ****Тенанты****. ****Шаг 3.**** Выберите ****Корневой тенант****, нажмите на кнопку ****Добавить****. ****Шаг 4.**** Укажите имя тенанта (например, `Root tenant`) и нажмите ****Добавить****. При запуске скрипта импорта используйте параметр `--tenant-name`: ``` --tenant-name "Root tenant" ``` > 💡 ****Совет:**** Если имя тенанта содержит пробел, его необходимо заключить в кавычки. #### Для режима мультитенантности (кластер KATA): Используйте файл конфигурации `tenant_config.json`, который должен быть создан заранее (см. раздел «Выбор сценария миграции» → «Сценарий 3»). ****Пример файла конфигурации:**** ```json { "globalTenantName": "Root tenant", "tenants": [ { "scnName": "embedded_scn", "xdrTenantName": "embedded_scn" }, { "scnName": "scn", "xdrTenantName": "scn" }, { "scnName": "scn_2", "xdrTenantName": "scn_2" } ] } ```

****Важно:**** Требуется тенант с именем `embedded_scn`, который указывает на главный сервер управления — Primary Central Node (PCN).

При запуске скрипта импорта используйте параметр `--tenant-config-path`: ```bash --tenant-config-path /path/to/tenant_config.json ``` #### 2.4.1.5. Подготовка сервера импорта На сервере импорта создайте директорию для сертификатов и API-токена: ``` mkdir -p /home/admin/certs ``` Скопируйте в эту директорию: - Три сертификата из шага 2.4.1.1 (`ca.crt`, `tls.crt`, `tls.key`) - Файл с API-токеном (`api-token.txt`) Убедитесь, что права доступа корректны: ``` chmod 600 /home/admin/certs/* chmod 600 /home/admin/api-token.txt ``` ---

--- #### 2.5. Запуск импорта первого этапа (Step First)

На этом шаге импортируются данные конфигурации, правила и списки агентов. После этого шага новый Kaspersky EDR Expert 8.1 будет готов к приему агентов. #### Команда для запуска (одиночный узел): ``` ./kata-osmp-import.sh \ --step first \ --migration-dir /mnt/external_disk \ --migration-url https://migrate.xdr.company.local \ --api-token $(cat /home/admin/api-token.txt) \ --ca-cert /home/admin/certs/ca.crt \ --tls-cert /home/admin/certs/tls.crt \ --tls-key /home/admin/certs/tls.key \ --tenant-name "Root tenant" ``` **Где:** - `/mnt/external_disk` — путь к точке монтирования внешнего хранилища - `https://migrate.xdr.company.local` — migration-url из шага 2.4.1.3 - `/home/admin/api-token.txt` — файл с API-токеном из шага 2.4.1.2 - `/home/admin/certs/` — директория с сертификатами из шага 2.4.1.1 #### Для кластера KATA (распределенное решение): Если вы мигрируете кластер KATA (PCN + SCN), используйте параметр `--tenant-config-path` вместо `--tenant-name`: ```bash ./kata-osmp-import.sh \ --step first \ --migration-dir /mnt/external_disk \ --migration-url https://migrate.xdr.company.local \ --api-token $(cat /home/admin/api-token.txt) \ --ca-cert /home/admin/certs/ca.crt \ --tls-cert /home/admin/certs/tls.crt \ --tls-key /home/admin/certs/tls.key \ --tenant-config-path /path/to/tenant_config.json ``` > 💡 ****Напоминание:**** Файл `tenant_config.json` должен быть создан заранее (см. раздел «Выбор сценария миграции» → «Сценарий 3»). Дождитесь уведомления скрипта об успешном завершении первого этапа импорта. ---

--- #### 2.6. Действия после первичного импорта

После успешного завершения импорта первого этапа необходимо выполнить ряд критически важных действий. ****Именно в этот момент происходит переключение агентов, и это считается временем простоя.**** #### 2.6.1. Обновление агентов Endpoint Agent (если необходимо) Если версии агентов Endpoint Agent слишком ранние и не обеспечивают совместимость с Kaspersky EDR Expert 8.1, их необходимо обновить.

****Важно:**** Поддержка передачи телеметрии реализована только в актуальных версиях Endpoint Agent (начиная с ****KES 12.12**** и ****KESL 12.4****).

#### 2.6.2. Ручной импорт исключений IOA Скрипт экспорта автоматически выгрузил исключения IOA в файл `excludes.json`, но они ****не импортируются автоматически****. Необходимо выполнить ручной импорт. ****Шаг 1.**** Найдите файл `excludes.json` в архиве миграции: ```bash find /mnt/external_disk -name "excludes.json" ``` Обычно он расположен по пути: `/mnt/external_disk/migration-dir/ioa/excludes.json` ****Шаг 2.**** Откройте веб-интерфейс Kaspersky EDR Expert 8.1. ****Шаг 3.**** Перейдите в раздел ****Политики**** → выберите политику Endpoint Agent. ****Шаг 4.**** В разделе ****Исключения IOA**** нажмите ****Импорт**** и загрузите файл `excludes.json`. > 💡 ****Совет:**** Исключения можно импортировать как в ****общие исключения****, так и в ****исключения для конкретных типов событий****. Если импортированное исключение отсутствует в одном разделе, проверьте другой раздел политики Endpoint Agent. #### 2.6.3. Переключение агентов Endpoint Agent Это ****критический момент**** — именно сейчас происходит переключение агентов со старого сервера на новый. ****Это и есть время простоя.**** ****Шаг 1.**** Откройте консоль ****Kaspersky Security Center (KSC)****. ****Шаг 2.**** Перейдите в раздел ****Управляемые устройства**** → выберите группу с агентами Endpoint Agent. ****Шаг 3.**** Откройте свойства группы и перейдите на вкладку ****Политики****. ****Шаг 4.**** В политике Endpoint Agent измените адрес сервера управления: - Укажите адрес нового сервера ****Kaspersky EDR Expert 8.1**** - Сохраните изменения ****Шаг 5.**** Дождитесь, когда агенты получат новую политику и подключатся к новому серверу.

****Важно:**** После переключения агенты начнут отправлять данные на новый сервер Kaspersky EDR Expert 8.1. Старый сервер KEDR 7.1 больше не будет получать данные от агентов.

#### 2.6.4. Проверка подключения агентов Убедитесь, что агенты успешно подключились к новому серверу: 1. Откройте веб-интерфейс Kaspersky EDR Expert 8.1 2. Перейдите в раздел ****Устройства**** → ****Endpoint Agent**** 3. Проверьте, что агенты отображаются в списке и имеют статус ****Онлайн**** ---

--- #### 2.7. Запуск импорта второго этапа (Step Second)

После переключения агентов можно продолжить импорт исторических данных. На этом шаге импортируются алерты, хранилище объектов и дополнительные данные. #### Команда для запуска: ``` ./kata-osmp-import.sh \ --step second \ --migration-dir /mnt/external_disk \ --migration-url https://migrate.xdr.company.local \ --api-token $(cat /home/admin/api-token.txt) \ --ca-cert /home/admin/certs/ca.crt \ --tls-cert /home/admin/certs/tls.crt \ --tls-key /home/admin/certs/tls.key \ --tenant-name "Root tenant" ``` Дождитесь уведомления скрипта об успешном завершении второго этапа импорта. > 💡 ****Совет:**** Импорт исторических данных может занять продолжительное время (от нескольких минут до нескольких часов в зависимости от объема данных). Однако на этом этапе ****Kaspersky EDR Expert 8.1 уже полноценно работает**** и обрабатывает новые события от агентов. ---

--- #### 2.8. Импорт телеметрии с использованием внешнего хранилища ****(опционально)****

Если вы выбрали ****Сценарий А: Перенос телеметрии с внешним хранилищем**** и выполнили экспорт третьего этапа (Step Third) на Этапе 1, необходимо выполнить импорт телеметрии.

****Важно:**** Для импорта телеметрии требуется ****временная лицензия на XDR****, дающая право на настройку коннекторов импорта. Если у вас нет такой лицензии, обратитесь в Службу технической поддержки.

#### 2.8.1. Подготовка дампов телеметрии Убедитесь, что на внешнем хранилище присутствуют файлы дампов телеметрии: ``` ls -la /mnt/external_disk/migration-dir/nodes/*/archive_source/elasticsearch/ ``` Вы должны увидеть файлы с расширением `.dump`. #### 2.8.2. Настройка коллектора KUMA Для импорта телеметрии необходимо настроить коллектор KUMA типа `file` на сервере OSMP. ****Шаг 1.**** Откройте веб-интерфейс Kaspersky EDR Expert 8.1. ****Шаг 2.**** Перейдите в раздел ****Мониторинг**** → ****Ресурсы и сервисы**** → ****Конфигурация сервисов**** → ****Коллекторы****. ****Шаг 3.**** Найдите коллектор `[OOTB] Kaspersky EDR events migration file` и нажмите на него. ****Шаг 4.**** На вкладке ****Транспорт**** укажите путь к дампу телеметрии: ``` /mnt/external_disk/migration-dir/nodes//archive_source/elasticsearch/ ``` ****Шаг 5.**** На вкладке ****Парсинг событий**** выберите нормализатор: ``` [OOTB] Normalizer for KEDR events migration ``` ****Шаг 6.**** На вкладке ****Маршрутизация**** убедитесь, что в качестве точки назначения указано `[OOTB] OSMP Storage`. ****Шаг 7.**** Сохраните конфигурацию и запустите коллектор. > 💡 ****Рекомендация:**** Настоятельно рекомендуется установить коллектор KUMA на ****отдельный сервер**** и включить этот сервер в кластер KUMA. Это снижает требования к ресурсам на основном узле OSMP. #### 2.8.3. Мониторинг импорта телеметрии Отслеживайте прогресс импорта через веб-интерфейс KUMA: 1. Перейдите в раздел ****Мониторинг**** → ****Ресурсы и сервисы**** → ****Активные сервисы**** 2. Найдите коллектор в списке 3. Проверьте статус (должен быть 🟢 ****зелёный****) 4. Отслеживайте использование CPU и памяти > 💡 ****Совет:**** Импорт телеметрии может занять много времени (от нескольких часов до нескольких дней в зависимости от объема данных). Однако ****Kaspersky EDR Expert 8.1 уже полноценно работает**** и обрабатывает новые события. #### 2.8.4. Завершение импорта телеметрии После завершения импорта телеметрии: 1. Остановите коллектор KUMA 2. Удалите коллектор из конфигурации KUMA 3. Отключите внешнее хранилище от сервера импорта ---

--- #### 2.9. Импорт телеметрии без внешнего хранилища ****(опционально)****

Если вы выбрали ****Сценарий Б: Перенос телеметрии без внешнего хранилища**** и выполнили подготовку сервера KATA (подраздел 1.8), необходимо настроить коллектор KUMA для импорта телеметрии напрямую из старого Elasticsearch.

****Важно:**** Этот подраздел выполняется ****только если**** вы выбрали сценарий без внешнего хранилища и выполнили все шаги из подраздела 1.8.

#### 2.9.1. Добавление отдельного сервера в кластер KUMA (рекомендуется) ****Настоятельно рекомендуется**** установить коллектор KUMA на ****отдельный сервер**** и включить этот сервер в кластер KUMA. Это существенно снижает требования к дополнительным ядрам и процессорам на основном узле OSMP. На сервере управления KUMA выполните следующие действия: ****Шаг 1.**** Создайте файл `expand.inventory.yml` со следующим содержимым: ```yaml kuma_collector: hosts: - kuma_correlator: hosts: [] kuma_storage: hosts: [] ``` ****Шаг 2.**** Выполните команду подготовки инфраструктуры: ``` ./kdt invoke kuma --action addHosts --param host_inventory='<путь к файлу expand.inventory.yml>' ``` ****Шаг 3.**** Дождитесь завершения выполнения команды и убедитесь, что сервер успешно добавлен в кластер KUMA. #### 2.9.2. Создание коннекторов elastic в KUMA Вы можете создать собственный коллектор или воспользоваться встроенным коллектором `[OOTB] Kaspersky EDR events migration Elasticsearch`. ****Рекомендуется использовать встроенный коллектор.**** ****Шаг 1. Открытие мастера настройки коллектора**** 1. В главном меню перейдите в раздел ****Мониторинг**** → ****Ресурсы и сервисы**** → ****Конфигурация сервисов**** и нажмите ****Коллекторы****. 2. В списке коллекторов найдите коллектор с именем `[OOTB] Kaspersky EDR events migration Elasticsearch` и нажмите на него. 3. Откроется мастер ****Изменение коллектора****. ****Шаг 2. Настройка вкладки "Транспорт"**** На вкладке ****Транспорт**** в разделе ****Подключение**** укажите следующие параметры:

Параметр	Значение
**URL**	`https://:8888/kata/elastic/`
**Индекс**	Имя индекса в Elasticsearch (из списка `_cat/indices`, полученного в шаге 1.8.6)
**Запрос**	`{"query": {"match_all": {}}, "size": 10000, "sort": {"_doc": "asc"}}`
**Учетные данные Elastic**	Создать новый секрет с user/password, полученными в шаге 1.8.4
**Elastic fingerprint**	Создать новый секрет типа `certificate` и загрузить `elastic.crt` из шага 1.8.4

****Важно:**** Чтобы избежать проблем с производительностью KUMA и Elasticsearch, рекомендуется указывать значение `size` не более ****10 000****.

> 💡 ****Совет:**** Для импорта данных можно создавать и использовать несколько подключений. Каждое соединение соответствует одному индексу в Elasticsearch. ****Рекомендуется использовать не более пяти коннекторов одновременно.**** Если у вас более 5 индексов, импортируйте партиями. ****Шаг 3. Настройка вкладки "Парсинг событий"**** На вкладке ****Парсинг событий**** выберите нормализатор: ``` [OOTB] Normalizer for KEDR events migration ``` ****Шаг 4. Настройка вкладки "Маршрутизация"**** 1. На вкладке ****Маршрутизация**** удалите встроенное хранилище `[OOTB] OSMP Storage`. 2. Нажмите на кнопку ****Добавить**** и выберите ****Создать**** в поле ****Назначение****. 3. Выберите вариант ****хранилище**** в поле ****Тип****. 4. Выберите `[OOTB] OSMP Storage (Kubernetes gateway)` в поле ****URL****. 5. Введите URL в следующем формате: ``` https://api..kuma_host.smp_domain:443 ```

****Важно:**** Убедитесь, что запись `*.kuma_host.smp_domain` существует и правильно настроена на вашем DNS-сервере.

****Шаг 5. Сохранение конфигурации**** 1. Нажмите на кнопку ****Сохранить****. 2. На шаге проверки параметров нажмите ****Создать и сохранить сервис****. 3. Будет отображена рекомендуемая команда для установки коллектора. 4. ****Скопируйте рекомендуемую команду**** и нажмите ****Сохранить****. #### 2.9.3. Установка коллектора на отдельном сервере Выполните скопированную команду через `sudo` на сервере, на котором установлены сервисы KUMA: ``` sudo /opt/kaspersky/kuma/kuma collector \ --core https://:7210 \ --id <идентификатор сервиса коллектора> \ --api.port <порт для связи с устанавливаемым компонентом> \ --install ``` ****Где:**** - ****FQDN сервера Ядра KUMA:**** `.` - ****Порт по умолчанию:**** `7210` (неизменяемый) - ****Идентификатор сервиса:**** скопирован из веб-интерфейса KUMA - ****Порт API:**** указывается при установке нескольких сервисов на одном устройстве (должен быть уникальным) > 💡 Пример команды: ``` sudo /opt/kaspersky/kuma/kuma collector \ --core https://kuma-core.company.local:7210 \ --id collector-abc123def456 \ --api.port 7221 \ --install ``` После создания коллектора рекомендуется убедиться в правильности его работы. С этого момента начинается передача телеметрии с параметрами, заданными в разделе Подключение коллектора. #### 2.9.4. Мониторинг и проверка импорта ****Проверка статуса коллектора через веб-интерфейс**** 1. В главном меню перейдите в раздел ****Мониторинг**** → ****Ресурсы и сервисы**** → ****Активные сервисы****. 2. Найдите ваш коллектор в таблице. 3. Проверьте колонку ****Статус****: - 🟢 ****Зелёный**** — сервис работает корректно - 🟡 ****Жёлтый**** — сервис работает с предупреждениями - 🔴 ****Красный**** — сервис не работает 4. Отслеживайте использование ****CPU**** и ****Памяти**** в реальном времени. ****Проверка через поиск событий**** Передаваемые данные телеметрии можно проверить путем ****поиска по ним в созданном коллекторе****: 1. Перейдите в раздел ****Мониторинг**** → ****События****. 2. Выберите ваш коллектор в фильтре. 3. Убедитесь, что события начинают поступать. ****Команды диагностики**** На сервере KUMA выполните команды для проверки состояния: ```bash # Список всех компонентов и их статусов ./kdt state # Полный журнал событий для конкретного компонента ./kdt state -l <название_компонента> ``` ****Как понять, что импорт завершен**** Импорт телеметрии считается завершенным, когда: - Все индексы из старого Elasticsearch обработаны - В новом Kaspersky EDR Expert 8.1 появились исторические события за указанный период - Статус коллектора в веб-интерфейсе KUMA — ****зелёный**** - Использование CPU и памяти коллектора стабилизировалось на низком уровне > 💡 ****Совет:**** Импорт телеметрии занимает много времени (может длиться несколько часов или даже дней в зависимости от объема данных), но ****не влияет на работу Kaspersky EDR Expert**** — система уже полноценно функционирует и обрабатывает новые события. #### 2.9.5. Закрытие доступа к Elasticsearch После завершения импорта телеметрии необходимо закрыть доступ к Elasticsearch на сервере KATA.

****Важно:**** Описываемые ниже действия необходимо выполнить на сервере KATA в режиме ****Technical Support Mode****.

Выполните следующую команду, чтобы перейти в каталог скрипта: ``` cd /home/admin/elastic_script_dir ``` Запустите скрипт в режиме `close`: ``` sudo ./kata-elastic-access.sh close ``` В результате выполнения этой команды внешний порт Elasticsearch будет закрыт, и сервер KATA вернется в безопасное состояние. #### 2.9.6. Завершение миграции телеметрии ****Удаление коннекторов**** После завершения переноса данных коннекторы можно удалить: 1. В главном меню перейдите в раздел ****Мониторинг**** → ****Ресурсы и сервисы**** → ****Активные сервисы****. 2. Найдите коллекторы, созданные для импорта телеметрии. 3. Щелкните правой кнопкой мыши на коллекторе и выберите ****Удалить****. 4. Подтвердите удаление. ****Удаление сервера из кластера KUMA (если использовался отдельный сервер)**** Если вы использовали отдельный Linux-сервер для коллектора, его можно убрать из кластера KUMA: 1. В главном меню перейдите в раздел ****Мониторинг**** → ****Ресурсы и сервисы**** → ****Устройства****. 2. Найдите сервер, который использовался для коллектора. 3. Щелкните правой кнопкой мыши и выберите ****Удалить из кластера****. 4. Подтвердите удаление. ****Очистка временных файлов**** На сервере KATA выполните очистку временных файлов: ```bash # Удаление директории со скриптами sudo rm -rf /home/admin/elastic_script_dir # Удаление Docker-образа (опционально) docker rmi <имя_образа> ``` ---

--- #### 2.10. Отключение внешнего хранилища

После завершения всех этапов импорта (включая телеметрию, если она переносилась) безопасно отключите внешнее хранилище от сервера импорта. #### Для физического диска: ``` sudo umount /mnt/external_disk ``` #### Для сетевого ресурса: ``` sudo umount /mnt/external_disk ``` После завершения миграции рекомендуется удалить пакет `cifs-utils` в целях безопасности: ``` sudo apt remove --purge cifs-utils && sudo apt autoremove -y ``` --- ####

--- #### Итоговый чек-лист Этапа 2 Перед завершением миграции убедитесь, что выполнены следующие действия: #### Базовая миграция (обязательно): - Подготовлен сервер Linux для импорта с установленным Docker - Скрипты импорта размещены на сервере - Внешнее хранилище подключено к серверу импорта - ****Установлен cnab gateway-migration на сервере OSMP**** - ****Получены три сертификата (ca.crt, tls.crt, tls.key) и скопированы на сервер импорта**** - ****Создан API-токен с необходимыми методами и сохранен на сервере импорта**** - ****Создан migration-url (https://migrate.<FQDN>) и добавлена DNS-запись**** - --- - ****Созданы тенанты в OSMP (или подготовлен tenant\_config.json)**** - Выполнен импорт первого этапа (Step First) ****с новыми параметрами**** - Импортированы исключения IOA из файла `excludes.json` - ****Переключены агенты Endpoint Agent на новый сервер**** (время простоя) - Проверено подключение агентов к новому серверу - Выполнен импорт второго этапа (Step Second) ****с новыми параметрами**** - Внешнее хранилище отключено #### Для сценария с внешним хранилищем (телеметрия): - Настроен коллектор KUMA типа `file` - Указан путь к дампу телеметрии - Выбран нормализатор `[OOTB] Normalizer for KEDR events migration` - Запущен коллектор и проверен статус (🟢 зелёный) - Дождитесь завершения импорта телеметрии - Проверьте, что исторические события появились в Kaspersky EDR Expert 8.1 - Остановите коллектор KUMA - Удалите коллектор из конфигурации KUMA - Отключите внешнее хранилище от сервера импорта #### Для сценария без внешнего хранилища (телеметрия): - Добавлен отдельный сервер в кластер KUMA (рекомендуется) - Созданы коннекторы elastic в KUMA (до 5 одновременно) - Настроен нормализатор `[OOTB] Normalizer for KEDR events migration` - Настроена маршрутизация на `[OOTB] OSMP Storage (Kubernetes gateway)` - Установлен коллектор на отдельном сервере - Проверен статус коллектора (🟢 зелёный) - Убедились, что события поступают в новый Kaspersky EDR Expert 8.1 - Дождитесь завершения импорта всех индексов - Закрыт доступ к Elasticsearch (`kata-elastic-access.sh close`) - Удалены коннекторы из KUMA - Удалён сервер из кластера KUMA (если использовался) - Очищены временные файлы на сервере KATA --- #### ****📌 Полезные ссылки**** - [Kaspersky Tech на YouTube](https://www.youtube.com/watch?v=fy54oz8ivGM&t=2s) - [Kaspersky на Rutube](https://rutube.ru/video/dddb90cc8b667713f18eb9a242a7cd27/)

Требование	Описание
Широковещательный домен	Все целевые устройства кластера Kubernetes должны находиться в одном широковещательном домене (одна L2-сеть)
Статические IPv4-адреса	Все узлы кластера и шлюз Kubernetes должны иметь статические IPv4-адреса в одной подсети
Синхронизация времени	Разница во времени между узлами не должна превышать 5 секунд (рекомендуется использовать NTP)
DNS	Должна быть настроена зона для домена smp\_domain (например, smp.local) с записями для всех сервисов

KVNO	Timestamp	Principal
3	01/01/70 03:00:00	HTTP/console.xdr.sales.lab@SALES.LAB (AES-256 CTS...)