# Общие материалы

# Knowledge Base AntiAPT Community

##### Практические руководства, кейсы и советы по настройке и эксплуатации решений «Лаборатории Касперского».

##### Создано сообществом и пресейл-командой ЛК для ИБ-специалистов.  


<p class="callout warning">Материалы KB **не заменяют официальную документацию** и не являются гарантией работоспособности решений.   
Применяйте рекомендации только при понимании их последствий. Техподдержка может отказать в помощи при использовании неофициальных инструкций.  
</p>

#### Основные разделы:

<table border="1" id="bkmrk-" style="border-collapse: collapse; width: 100%; border-width: 1px; border-style: hidden; height: 518px;"><colgroup><col style="width: 45.9524%;"></col><col style="width: 54.0476%;"></col></colgroup><tbody><tr style="height: 124.614px;"><td style="height: 124.614px;">[![image.png](https://antiapt-community.ru/uploads/images/gallery/2026-02/scaled-1680-/UXHMgQLwFh2PMQg2-image.png)](https://antiapt-community.ru/books/kata-platform)

</td><td>[![image.png](https://antiapt-community.ru/uploads/images/gallery/2026-02/scaled-1680-/Q4Gu09b8RY3xPgEO-image.png)](https://antiapt-community.ru/books/kpsn)

</td></tr><tr style="height: 130.386px;"><td style="height: 130.386px;">[![image.png](https://antiapt-community.ru/uploads/images/gallery/2026-02/scaled-1680-/7cEguZvJqK66UIKI-image.png)](https://antiapt-community.ru/books/ksmg)

</td><td>[![edit_general_logo.png](https://antiapt-community.ru/uploads/images/gallery/2026-02/scaled-1680-/H2tTr6zvFHXQI93F-edit-general-logo.png)](https://antiapt-community.ru/books/obshhie-materialy)

</td></tr></tbody></table>

<table border="1" id="bkmrk-%D0%9E%D1%84%D0%B8%D1%86%D0%B8%D0%B0%D0%BB%D1%8C%D0%BD%D1%8B%D0%B5-%D1%80%D0%B5%D1%81%D1%83%D1%80%D1%81%D1%8B-" style="border-collapse: collapse; width: 100%; height: 207.523px;"><colgroup><col style="width: 99.881%;"></col></colgroup><tbody><tr style="height: 29.5227px;"><td style="background-color: rgb(194, 224, 244); height: 29.5227px;"><span style="background-color: rgb(194, 224, 244);">**Дополнительные ресурсы**</span></td></tr><tr style="height: 178px;"><td style="height: 178px;"><table border="1" style="width: 100.06%; border-collapse: collapse; border-width: 1px; border-style: hidden; height: 141.83px;"><colgroup><col style="width: 45.8335%;"></col><col style="width: 54.1002%;"></col></colgroup><tbody><tr style="height: 141.83px;"><td style="height: 141.83px;">- <span class="qwen-markdown-text">📦 </span>[<span class="qwen-markdown-text">Postman API Collection</span>](https://www.postman.com/kl-ru-presales/)
- <span class="qwen-markdown-text">📄 </span>[<span class="qwen-markdown-text">Официальная документация</span>](https://support.kaspersky.com/help#/b2b)
- <span class="qwen-markdown-text">📺 </span>Серия коротких видео:  
    <span class="qwen-markdown-text"> </span>[<span class="qwen-markdown-text">Rutube</span>](https://rutube.ru/channel/43034214/) <span class="qwen-markdown-text">| </span>[<span class="qwen-markdown-text">YouTube</span>](https://www.youtube.com/@KasperskyTechRussia)
- <span class="qwen-markdown-text">🎓 </span>[<span class="qwen-markdown-text">Программы обучения</span>](https://support.kaspersky.ru/learning/programs)

</td><td style="height: 141.83px;">- <span class="qwen-markdown-text">💬 </span>[<span class="qwen-markdown-text">Telegram-сообщество</span>](https://t.me/kb2bc)
- <span class="qwen-markdown-text">🤝 KB и чаты наших коллег:</span>  
     <span class="qwen-markdown-text">[KB KUMA](https://kas.pr/kb-kuma) | [Telegram-сообщество KUMA](https://t.me/kumasiem)</span><span class="qwen-markdown-text">  
     [Telegram-сообщество KSMG](https://t.me/ksmg_kaspersky)  
    </span><span class="qwen-markdown-text"> [KB KICS](https://www.ics-community.ru/)</span>

</td></tr></tbody></table>

</td></tr></tbody></table>

<p class="callout info align-left">**Хочешь улучшить KB?   
Делись своими кейсами, скриптами или идеями по UX!  
Напиши об этом в Telegram-сообщество**</p>

💚 С любовью, команда пресейл «Лаборатории Касперского» ;)

# Kaspersky Security Center Linux — Отказоустойчивый кластер

> Инструкция составлена ​​на основе<span style="color: rgb(0, 168, 142);"> [официальной документации](https://support.kaspersky.com/KSCLinux/16.1/ru-RU/5022.htm) </span>и опыта эксплуатации.

## Введение

<span style="color: rgb(41, 204, 177);">**Kaspersky Security Center Linux**</span> – решение (далее – «KSC») для централизованного мониторинга и управления KES и некоторыми другими защитными решениями Лаборатории Касперского.

KSC позволяет вам устанавливать приложения безопасности "Лаборатории Касперского" на устройства в корпоративной сети, удаленно запускать задачи проверки и обновления, а также управлять политиками безопасности управляемых приложений. Как администратор, вы можете использовать панель мониторинга, где показано актуальное состояние корпоративных устройств, отображаются подробные отчеты и детальные параметры политик.

**<span style="color: rgb(41, 204, 177);">Отказоустойчивый кластер KSC Linux</span>** обеспечивает высокую доступность Kaspersky Security Center Linux и минимизирует простои Сервера администрирования в случае сбоя. Отказоустойчивый кластер основан на двух идентичных экземплярах Kaspersky Security Center Linux, установленных на двух компьютерах. Один из экземпляров работает как активный узел, а другой – как пассивный. Активный узел управляет защитой клиентских устройств, в то время как пассивный готов взять на себя все функции активного узла в случае отказа активного узла. Когда происходит сбой, пассивный узел становится активным, а активный узел становится пассивным.

## Схемы развертывания

**Вы можете выбрать одну из следующих схем развертывания отказоустойчивого кластера Kaspersky Security Center Linux:**

- Схема, которая использует дополнительный сетевой адаптер и СУБД, установленную на выделенном устройстве

[![{0D99C4E9-7242-4FD7-A5E9-5A3478B14D1C}.png](https://antiapt-community.ru/uploads/images/gallery/2026-04/scaled-1680-/YxkmpP3MR0Jgxzmh-0d99c4e9-7242-4fd7-a5e9-5a3478b14d1c.png)](https://antiapt-community.ru/uploads/images/gallery/2026-04/YxkmpP3MR0Jgxzmh-0d99c4e9-7242-4fd7-a5e9-5a3478b14d1c.png)

**Условные обозначения схемы:**

[![image.png](https://antiapt-community.ru/uploads/images/gallery/2026-04/scaled-1680-/QsLwSrOEvIsUVJ4b-image.png)](https://antiapt-community.ru/uploads/images/gallery/2026-04/QsLwSrOEvIsUVJ4b-image.png) на схеме развертывания. Сервер администрирования передает данные в базу данных. Откройте необходимые порты на устройстве, на котором расположена база данных, например порт 3306 для MySQL Server или порт 5432 для PostgreSQL или Postgres Pro. Подробную информацию см. в документации СУБД.

[![image.png](https://antiapt-community.ru/uploads/images/gallery/2026-04/scaled-1680-/LBtkZE3vQzxySLvf-image.png)](https://antiapt-community.ru/uploads/images/gallery/2026-04/LBtkZE3vQzxySLvf-image.png) на схеме развертывания. Откройте следующие порты на устройствах с Сервером администрирования для подключения к управляемым устройствам: TCP 13000, UDP 13000 и TCP 17000.

[![image.png](https://antiapt-community.ru/uploads/images/gallery/2026-04/scaled-1680-/iLqCklvli8R6JJpi-image.png)](https://antiapt-community.ru/uploads/images/gallery/2026-04/iLqCklvli8R6JJpi-image.png) на схеме развертывания. Устройство с системой управления базами данных (СУБД). Если вы используете MariaDB Galera Cluster в качестве СУБД, отдельное устройство для этой цели не требуется. Установите кластер MariaDB Galera на каждый из узлов.

- Схема, которая использует сторонний балансировщик нагрузки и СУБД, установленную на выделенном устройстве

[![{A508EED7-6DA6-4F36-B12A-139E99311D2D}.png](https://antiapt-community.ru/uploads/images/gallery/2026-04/scaled-1680-/yrOjualKQJHCZs78-a508eed7-6da6-4f36-b12a-139e99311d2d.png)](https://antiapt-community.ru/uploads/images/gallery/2026-04/yrOjualKQJHCZs78-a508eed7-6da6-4f36-b12a-139e99311d2d.png)

**Условные обозначения схемы:**

[![image.png](https://antiapt-community.ru/uploads/images/gallery/2026-04/scaled-1680-/QsLwSrOEvIsUVJ4b-image.png)](https://antiapt-community.ru/uploads/images/gallery/2026-04/QsLwSrOEvIsUVJ4b-image.png) на схеме развертывания. На сервере устройства балансировки нагрузки откройте все порты Сервера администрирования: TCP 13000, UDP 13000, TCP 13299 и TCP 17000.

[![image.png](https://antiapt-community.ru/uploads/images/gallery/2026-04/scaled-1680-/LBtkZE3vQzxySLvf-image.png)](https://antiapt-community.ru/uploads/images/gallery/2026-04/LBtkZE3vQzxySLvf-image.png) на схеме развертывания. Откройте следующие порты на устройствах с Сервером администрирования для подключения к управляемым устройствам: TCP 13000, UDP 13000 и TCP 17000.

[![image.png](https://antiapt-community.ru/uploads/images/gallery/2026-04/scaled-1680-/iLqCklvli8R6JJpi-image.png)](https://antiapt-community.ru/uploads/images/gallery/2026-04/iLqCklvli8R6JJpi-image.png) на схеме развертывания. Сервер администрирования передает данные в базу данных. Откройте необходимые порты на устройстве, на котором расположена база данных, например порт 3306 для MySQL Server или порт 5432 для PostgreSQL или Postgres Pro. Подробную информацию см. в документации СУБД.

[![image.png](https://antiapt-community.ru/uploads/images/gallery/2026-04/scaled-1680-/x5m4596qsJgaF3BN-image.png)](https://antiapt-community.ru/uploads/images/gallery/2026-04/x5m4596qsJgaF3BN-image.png) на схеме развертывания. Устройство с системой управления базами данных (СУБД). Если вы используете MariaDB Galera Cluster в качестве СУБД, отдельное устройство для этой цели не требуется. Установите кластер MariaDB Galera на каждый из узлов.

### Основные порты используемые KSC

<span style="color: rgb(0, 168, 142);">**[Полный список используемых портов](https://support.kaspersky.com/help/KSCLinux/16.1/ru-RU/158830.htm)**</span>

<table border="1" id="bkmrk-%D0%9F%D0%BE%D1%80%D1%82-%D0%9F%D1%80%D0%BE%D1%86%D0%B5%D1%81%D1%81-%D0%9F%D1%80%D0%BE%D1%82%D0%BE%D0%BA%D0%BE" style="border-collapse: collapse; width: 100%;"><thead><tr><th>Порт</th><th>Процесс</th><th>Протокол</th><th>Функция</th></tr></thead><tbody><tr><td>8060</td><td>klcsweb</td><td>TCP</td><td>Передача на клиентские устройства опубликованных инсталляционных пакетов</td></tr><tr><td>8061</td><td>klcsweb</td><td>TCP (TLS)</td><td>Передача на клиентские устройства опубликованных инсталляционных пакетов</td></tr><tr><td>13000</td><td>klserver</td><td>TCP (TLS)</td><td>Прием подключений от Агентов администрирования и от подчиненных Серверов администрирования; используется также на подчиненных серверах для приема подключений от главного Сервера (например, если подчиненный Сервер находится в демилитаризованной зоне)</td></tr><tr><td>13000</td><td>klserver</td><td>UDP</td><td>Прием информации от Агентов администрирования о выключении устройств</td></tr><tr><td>13299</td><td>klserver</td><td>TCP (TLS)</td><td>Прием подключений от Identity and Access Manager (IAM) к Серверу администрирования; прием подключений к Серверу администрирования через OpenAPI</td></tr><tr><td>17000</td><td>klactprx</td><td>TCP (TLS)</td><td>Прием подключений для активации приложений от управляемых устройств</td></tr><tr><td>4444</td><td>kliam</td><td>HTTPS</td><td>Аутентификация с использованием протокола OpenID Connect</td></tr><tr><td>9050</td><td>kliam</td><td>HTTPS</td><td>Подключение к Серверу администрирования с помощью IAM</td></tr></tbody></table>

## Развёртывание кластера KSC Linux

**В рамках развёртывания кластера необходимо подготовить следующие устройства:**

- 2 идентичных хоста на ОС Linux, на которые будет установлен KSC Linux для работы в режиме Active -Passive
- Отдельных хост с СУБД
- Хост с файловым сервером
- Хост, на который будет установлена веб-консоль KSC
- Внешний балансировщик (при выборе соответствующей схемы)

### Полезные ссылки

[<span style="color: #00a88e;">Общий сценарий развёртывания кластера </span><span lang="EN-US" style="color: #00a88e; mso-ansi-language: EN-US;">KSC</span><span lang="EN-US" style="color: #00a88e;"> </span><span lang="EN-US" style="color: #00a88e; mso-ansi-language: EN-US;">Linux</span>](https://support.kaspersky.com/KSCLinux/16.1/ru-RU/222333.htm)

[<span style="color: #00a88e;">Список поддерживаемых ОС и СУБД для </span><span lang="EN-US" style="color: #00a88e; mso-ansi-language: EN-US;">KSC</span><span lang="EN-US" style="color: #00a88e;"> </span><span lang="EN-US" style="color: #00a88e; mso-ansi-language: EN-US;">Linux</span>](https://support.kaspersky.com/KSCLinux/16.1/ru-RU/255791.htm)

[<span style="color: #00a88e;">Аппаратные требования для </span><span lang="EN-US" style="color: #00a88e; mso-ansi-language: EN-US;">KSC</span><span lang="EN-US" style="color: #00a88e;"> </span><span lang="EN-US" style="color: #00a88e; mso-ansi-language: EN-US;">Linux</span><span style="color: #00a88e;"> и СУБД</span>](https://support.kaspersky.com/KSCLinux/16.1/ru-RU/92567.htm)

[<span style="color: #00a88e;">Аппаратные и программные требования к веб-консоли </span><span lang="EN-US" style="color: #00a88e; mso-ansi-language: EN-US;">KSC</span><span lang="EN-US" style="color: #00a88e;"> </span><span lang="EN-US" style="color: #00a88e; mso-ansi-language: EN-US;">Linux</span>](https://support.kaspersky.com/KSCLinux/16.1/ru-RU/255792.htm)

[<span style="color: #00a88e;">Требования к файловому серверу</span>](https://support.kaspersky.com/KSCLinux/16.1/ru-RU/255792.htm)

[<span style="color: #00a88e;">Необходимые дистрибутивы</span>](https://www.kaspersky.ru/small-to-medium-business-security/downloads/endpoint)

### Предварительная настройка устройств

Для корректного функционирования кластера KSC Linux необходимо выполнить следующие шаги на **активном узле, пассивном узле и файловом сервере**:

- Создать группу kladmins (можно назвать иначе)

```bash
sudo groupadd kladmins
sudo groupmod -g <новый_GID> kladmins
```

- Создайте учетную запись ksc (можно назвать иначе). Назначьте учетные записи пользователей группе kladmins

```bash
sudo adduser ksc
sudo usermod -u <новый_UID> ksc
sudo gpasswd -a ksc kladmins
sudo usermod -g kladmins ksc
```

- Аналогично создайте учетную запись пользователя rightless (можно назвать иначе), но уже с отличным от ksc UID. Назначьте учетные записи пользователей группе kladmins

```bash
sudo adduser rightless
sudo usermod -u <новый_UID> rightless
sudo gpasswd -a rightless kladmins
sudo usermod -g kladmins rightless
```

- Аналогично создайте учетную запись пользователя ksciam (можно назвать иначе), но уже с отличным от ksc и rightless UID. Назначьте учетные записи пользователей группе kladmins

```bash
sudo adduser ksciam
sudo usermod -u <новый_UID> ksciam
sudo gpasswd -a ksciam kladmins
sudo usermod -g kladmins ksciam
```

<p class="callout warning"><span dir="auto" style="vertical-align: inherit;"><span dir="auto" style="vertical-align: inherit;">GID для группы kladmins и UID для каждого из созданных пользователей (ksc, rightless и ksciam) должны быть одинаковыми для всех 3-х устройств.</span></span></p>

- Проверить GID и UID можно командами <span style="color: rgb(41, 204, 177);">*getent group kladmins*</span> и<span style="color: rgb(41, 204, 177);"> *getent passwd &lt;ksc, rightless или ksciam&gt;*</span> соответственно
- Сменить GID и UID можно командами <span style="color: rgb(41, 204, 177);">sudo groupmod -g &lt;новый\_GID&gt; kladmins</span> и<span style="color: rgb(41, 204, 177);"> sudo usermod -u &lt;новый\_UID&gt; &lt;ksc, rightless или ksciam&gt; </span>соответственно

[![image.png](https://antiapt-community.ru/uploads/images/gallery/2026-04/scaled-1680-/VW5rhmeTbUDBNAk7-image.png)](https://antiapt-community.ru/uploads/images/gallery/2026-04/VW5rhmeTbUDBNAk7-image.png)

Пример создания группы и пользователя

### Развертывание файлового сервера

Файловый сервер необходим для синхронизации данных между активным и пассивным узлами отказоустойчивого кластера KSC Linux. [<span style="color: #00a88e;">Требования к файловому серверу</span>](https://support.kaspersky.com/KSCLinux/16.1/ru-RU/255792.htm)**:**

- Доступ к файловому серверу должен быть включен для обоих узлов в параметрах NFS-сервера.
- NFS-протокол должен иметь версию 4.0 или 4.1.
- Минимальные требования для ядра Linux: 
    - 3.19.0-25, если вы используете NFS 4.0;
    - 4.4.0-176, если вы используете NFS 4.1.
- Установите необходимые утилиты одной из следующих команд в зависимости от используемого дистрибутива Linux

```bash
sudo yum install nfs-utils
sudo apt install nfs-kernel-server
```

Далее необходимо создать две общие папки. Для хранения информации о состоянии отказоустойчивого кластера и для хранения данных и параметров KSC Linux.

<p class="callout warning"><span dir="auto" style="vertical-align: inherit;"><span dir="auto" style="vertical-align: inherit;">Имена папок должны быть /mnt/KlFocStateShare и /mnt/KlFocDataShare\\\_klfoc. Поэтому проверьте, что на устройстве отсутствуют данные директории.</span></span></p>

- Для создания и настройки папок выполните команды:

```bash
sudo mkdir -p /mnt/KlFocStateShare
sudo mkdir -p /mnt/KlFocDataShare\_klfoc
sudo chown ksc:kladmins /mnt/KlFocStateShare
sudo chown ksc:kladmins /mnt/KlFocDataShare\_klfoc
sudo chmod -R 770 /mnt/KlFocStateShare /mnt/KlFocDataShare\_klfoc
sudo sh -c "echo /mnt/KlFocStateShare \*(rw,sync,no\_subtree\_check,no\_root\_squash) &gt;&gt; /etc/exports" #одной строкой
sudo sh -c "echo /mnt/KlFocDataShare\_klfoc \*(rw,sync,no\_subtree\_check,no\_root\_squash) &gt;&gt; /etc/exports" #одной строкой
sudo exportfs -a
sudo systemctl start rpcbind
sudo systemctl start nfs-server 
```

Для автозапуска выполните команду

```bash
sudo systemctl enable rpcbind
```

Перезапустите файловый сервер. После чего он будет подготовлен

### Подготовка СУБД

Для работы отказоустойчивого кластера KSC Linux необходимо использовать СУБД на выделенном хосте. В данном руководстве рассмотрен пример с использованием СУБД Postgres. <span style="font-size: 12.0pt; mso-bidi-font-size: 11.0pt; font-family: 'Kaspersky Sans Display',sans-serif; mso-fareast-font-family: Calibri; mso-fareast-theme-font: minor-latin; mso-bidi-font-family: 'Times New Roman'; mso-bidi-theme-font: minor-bidi; mso-ansi-language: RU; mso-fareast-language: EN-US; mso-bidi-language: AR-SA;">[<span style="color: #00a88e;">Полный список поддерживаемых СУБД</span>](https://support.kaspersky.com/KSCLinux/16.1/ru-RU/255791.htm)</span>.

**Необходимо настроить конфигурацию СУБД. Для этого перейдите в /etc/postgresql/&lt;VERSION&gt;/main/postgresql.conf и примените следующие параметры:**

```ini
max_connections = 151
shared_buffers = #25% от объема оперативной памяти устройства, на котором установлена СУБД, если оперативной памяти меньше 1 ГБ, то необходимо оставить значение по умолчанию.
huge_pages = try
temp_buffers = 24MB
max_prepared_transactions = 0
work_mem = 16MB
maintenance_work_mem = 128 MB
max_stack_depth = 2MB #максимальный размер стека (например, можно получить это значение, выполнив команду 'ulimit -s’, показывает размер стека в КБ) минус 1 МБ
temp_file_limit = -1
fsync = on
max_parallel_workers_per_gather = 0
```

[![image.png](https://antiapt-community.ru/uploads/images/gallery/2026-04/scaled-1680-/sMy2ptfmlLPtIaXP-image.png)](https://antiapt-community.ru/uploads/images/gallery/2026-04/sMy2ptfmlLPtIaXP-image.png)

Для работы KSC Linux версии 16.0 и выше на сервере СУБД необходимо наличие 2-х БД. kav – обеспечивает работу всех основных функций KSC Linux, iam – обеспечивает работу службы Identity and Access Manager.

Для KSC Linux 15.4 и ниже БД iam не нужна.

Для работы с этими БД рекомендуется создать отдельных пользователей СУБД. Например можно использовать интерактивный терминальный клиент psql для выполнения SQL-запросов.

**Выполните следующие команды через клиент psql:**

```sql
CREATE USER "kscdbadmin" WITH PASSWORD '<пароль>'; – для создания пользователя СУБД для БД kav
```

или

```sql
CREATE USER "kscdbadmin";
\password kscdbadmin  #чтобы не вводить пароль в открытом виде
CREATE DATABASE "kav" ENCODING 'UTF8' OWNER "kscdbadmin"; #cоздание БД kav
```

Также выполните команды по выдаче прав для пользователя БД kav

```sql
GRANT ALL PRIVILEGES ON DATABASE "kav" TO "kscdbadmin";
GRANT USAGE ON SCHEMA public TO "kscdbadmin";
GRANT CREATE ON SCHEMA public TO "kscdbadmin";
GRANT ALL PRIVILEGES ON ALL TABLES IN SCHEMA "public" TO "kscdbadmin";
GRANT ALL PRIVILEGES ON ALL SEQUENCES IN SCHEMA "public" TO "kscdbadmin";
```

Затем необходимо повторить аналогичные действия для создания 2-й БД iam

```sql
CREATE USER "iamdbadmin" WITH PASSWORD '<пароль>';
CREATE DATABASE "iam" ENCODING 'UTF8' OWNER "iamdbadmin";
GRANT ALL PRIVILEGES ON DATABASE "iam" TO "iamdbadmin";
GRANT USAGE ON SCHEMA public TO "iamdbadmin";
GRANT CREATE ON SCHEMA public TO "iamdbadmin";
GRANT ALL PRIVILEGES ON ALL TABLES IN SCHEMA "public" TO "iamdbadmin";
GRANT ALL PRIVILEGES ON ALL SEQUENCES IN SCHEMA "public" TO "iamdbadmin";
```

<p class="callout warning">Важно! При удалении KSC Linux БД iam не удаляется автоматически. Поэтому при удалении или переустановке KSC Linux необходимо удалить / пересоздать БД iam</p>

Затем необходимо разрешить подключение к СУБД с внешних устройств. Перейдите к редактированию файла /etc/postgresql//&lt;VERSION&gt;/main/pg\_hba.conf. Укажите возможность подключения к созданным базам данных kav и iam, а также к предустановленной БД postgres как на примере

[![image.png](https://antiapt-community.ru/uploads/images/gallery/2026-04/scaled-1680-/f1WnBw4mxZ2wFnwX-image.png)](https://antiapt-community.ru/uploads/images/gallery/2026-04/f1WnBw4mxZ2wFnwX-image.png)

Затем в файле /etc/postgresql/&lt;VERSION&gt;/main/postgresql.conf укажите возможность прослушивания внешних адресов

[![image.png](https://antiapt-community.ru/uploads/images/gallery/2026-04/scaled-1680-/k7ORg1H7baYhbi2w-image.png)](https://antiapt-community.ru/uploads/images/gallery/2026-04/k7ORg1H7baYhbi2w-image.png)

Перезапустите службу СУБД

### Конфигурация общих папок

**Для настройки связи узлов отказоустойчивого кластера KSC Linux с файловым сервером необходимо подключить к ним папки, созданные ранее. В зависимости от вашего дистрибутива Linux установите либо пакет nfs-utils, либо пакет nfs-kernel-server на каждом узле кластера, выполнив соответствующую команду:**

```bash
yum install nfs-utils
apt install nfs-kernel-server
```

**Создайте папки, которые будут точками монтирования:**

```bash
mkdir -p /mnt/KlFocStateShare
mkdir -p /mnt/KlFocDataShare_klfoc
```

**Сопоставьте точки монтирования и общие папки, указав их в /etc/fstab:**

```bash
sudo sh -c "echo <адрес файлового сервера>:/mnt/KlFocStateShare /mnt/KlFocStateShare nfs vers=4,soft,timeo=50,retrans=2,auto,user,rw 0 0 >> /etc/fstab"
sudo sh -c "echo <адрес файлового сервера>:/mnt/KlFocDataShare_klfoc /mnt/KlFocDataShare_klfoc nfs vers=4,noauto,user,rw,exec 0 0 >> /etc/fstab"
```

**Подключите общие папки, выполнив следующие команды:**

```bash
mount /mnt/KlFocStateShare
mount /mnt/KlFocDataShare_klfoc
```

После этого разрешения на доступ к общим папкам принадлежат ksc:kladmins

[![image.png](https://antiapt-community.ru/uploads/images/gallery/2026-04/scaled-1680-/US6QhWS8xd73KJmY-image.png)](https://antiapt-community.ru/uploads/images/gallery/2026-04/US6QhWS8xd73KJmY-image.png)

### Конфигурация сетевого адаптера / балансировщика

В зависимости от выбранной схемы развёртывания необходимо настроить сетевую инфраструктуру для возможности переключения между узлами кластера.

В любом из случаев вам пригодятся команды nmcli device status для вывода списка сетевых интерфейсов под управлением NetworkManager, nmcli con show для вывода списка сетевых подключений и ip a для идентификации сетевых интерфейсов.

**На обоих узлах отказоустойчивого кластера необходимо:**

- Если выбрана схема с виртуальными сетевым адаптером

**Установить пакет iputils-arping. В зависимости от вашего дистрибутива Linux выполните одну из следующих команд:**

```bash
yum install iputils
apt install iputils-arping
```

**Для создания виртуального сетевого интерфейса выполнить команду (одной строкой):**

```bash
nmcli connection add type macvlan dev <физический интерфейс> mode bridge ifname <виртуальный интерфейс> ipv4.addresses <адрес с маской> ipv4.method manual autoconnect no
```

Имя виртуального интерфейса задаётся произвольно, но должно быть одинаково на обоих узлах кластера

[![image.png](https://antiapt-community.ru/uploads/images/gallery/2026-04/scaled-1680-/zPqk7bsyAsZdj4aK-image.png)](https://antiapt-community.ru/uploads/images/gallery/2026-04/zPqk7bsyAsZdj4aK-image.png)

- Если выбрана схема с физическим сетевым адаптером

**Установить пакет iputils-arping. В зависимости от вашего дистрибутива Linux выполните одну из следующих команд:**

```bash
yum install iputils
apt install iputils-arping
```

На обоих узлах кластера на дополнительном сетевом адаптере укажите одинаковый ip-адрес любым удобным способом (через графический интерфейс, терминал) и переведите этот сетевой интерфейс в состояние DOWN командой

```bash
ip link set <интерфейс> down
```

- Если выбрана схема с внешним балансировщиком
- Подготовьте выделенное Linux-устройство с установленным nginx или другим балансировщиком нагрузки;
- Настройте балансировку нагрузки. Установите активный узел в качестве основного сервера и пассивный узел в качестве резервного сервера;
- На сервере балансировщика откройте все

<p class="callout warning">Важно! Доступность узлов отказоустойчивого кластера должна определяться доступностью основных портов подключения к Серверу администрирования (13000 TCP, 13299 TCP). Пассивный узел не принимает никаких внешних подключений, пока не произойдет переключение.</p>

### Установка KSC Linux

[<span style="color: #00a88e;">Дистрибутивы </span><span lang="EN-US" style="color: #00a88e; mso-ansi-language: EN-US;">KSC</span>](https://www.kaspersky.ru/small-to-medium-business-security/downloads/endpoint)<span lang="EN-US" style="mso-ansi-language: EN-US;"> </span><span lang="EN-US" style="mso-ansi-language: EN-US; mso-no-proof: yes;"></span>

[![image.png](https://antiapt-community.ru/uploads/images/gallery/2026-04/scaled-1680-/XKqeo2xyG572awwG-image.png)](https://antiapt-community.ru/uploads/images/gallery/2026-04/XKqeo2xyG572awwG-image.png)

#### Установка KSC на активный узел кластера

**Для начала установки KSC Linux скачайте необходимый дистрибутив KSC в зависимости от вашего дистрибутива Linux и выполните одну из команд:**

```bash
sudo apt-get install /<path>/ksc64_<номер_версии>_amd64.deb
sudo yum install /<path>/ksc64-<номер_версии>.x86_64.rpm
```

<p class="callout info">Совет! Для удобства перед запуском скрипта postinstall.pl можно создать файл ответов answers.txt, в котором указать все необходимые значения для настройки активного узла кластера KSC Linux. Это поможет избежать ошибок установки из-за неточного ввода параметров после запуска скрипта postinstall.pl.</p>

Для применения файла ответов выполните команду export KLAUTOANSWERS=/полный/путь/до/answers.txt (Важно! Обязательно указать именно полный путь)

[![image.png](https://antiapt-community.ru/uploads/images/gallery/2026-04/scaled-1680-/mTcglW8GonZNGUeb-image.png)](https://antiapt-community.ru/uploads/images/gallery/2026-04/mTcglW8GonZNGUeb-image.png)

Затем запустите скрипт настройки /opt/kaspersky/ksc64/lib/bin/setup/postinstall.pl

- Примите условия Лицензионного соглашения – введите Y
- Примите условия Политики конфиденциальности – введите Y
- Выберите значение Основной узел кластера – введите 2
- Укажите локальный путь к точке монтирования общей папки состояния – введите /mnt/KlFocStateShare
- Укажите локальный путь к точке монтирования общей папки данных – введите /mnt/KlFocDataShare\_klfoc
- Выберите режим подключения отказоустойчивого кластера: через дополнительный сетевой адаптер или внешний балансировщик нагрузки
- Если вы используете дополнительный сетевой адаптер, введите его имя (имя отображено в столбце NAME в выводе команды nmcli con show)
- Введите FQDN или IP-адрес дополнительного сетевого адаптера либо FQDN или IP-адрес внешнего балансировщика нагрузки
- Введите номер SSL-порта Сервера администрирования. По умолчанию номер порта – 13000
- Оцените примерное количество устройств, которыми вы планируете управлять: 
    - Если число управляемых устройств составляет от 1 до 100, введите 1
    - Если число управляемых устройств составляет от 101 до 1000, введите 2
    - Если число управляемых устройств составляет более 1000, введите 3
    - Этот параметр используется для автоматического определения случайной задержки запуска задач в целях оптимизации нагрузки на сеть
- Введите имя группы безопасности для служб. В данном примере kladmins
- Введите имя учетной записи для запуска службы Сервера администрирования. В данном примере ksc
- Введите имя учетной записи, чтобы запустить другие службы. В данном примере ksc
- Выберите СУБД для работы с KSC. MySQL или MariaDB – 1, PostgreSQL или Postgres Pro SQL – 2
- Введите DNS-имя или IP-адрес устройства c СУБД
- Введите номер порта базы данных. По умолчанию 3306 для MySQL или MariaDB и 5432 для PostgreSQL или Postgres Pro
- Введите имя базы данных. В данном примере kav
- Введите имя учетной записи администратора базы данных. В данном примере kscdbadmin
- Введите пароль учетной записи администратора базы данных
- Введите FQDN сервера IAM (адрес самого KSC)
- Введите имя учетной записи для запуска службы IAM. В данном примере ksciam
- Выберите СУБД для работы с IAM. MySQL или MariaDB – 1, PostgreSQL или Postgres Pro SQL – 2
- Введите DNS-имя или IP-адрес устройства c СУБД
- Введите номер порта базы данных. По умолчанию 3306 для MySQL или MariaDB и 5432 для PostgreSQL или Postgres Pro
- Введите имя базы данных. В данном примере iam
- Введите имя учетной записи администратора базы данных. В данном примере iamdbadmin
- Введите пароль учетной записи администратора базы данных
- Подождите, пока службы добавятся и запустятся автоматически: 
    - klfocsvc\_klfoc
    - kladminserver\_klfoc
    - klwebsrv\_klfoc
    - klactprx\_klfoc
    - klnagent\_klfoc
    - kliam\_klfoc

 **Для добавления нового пользователя с ролью главный администратора воспользуйтесь командой:**

```bash
sudo /opt/kaspersky/ksc64/sbin/kladduser -n <имя пользователя>
```

#### Установка KSC на пассивный узел кластера

**Аналогично в зависимости от вашего дистрибутива Linux и выполните одну из команд:**

```bash
sudo apt-get install /<path>/ksc64_<номер_версии>_amd64.deb
sudo yum install /<path>/ksc64-<номер_версии>.x86_64.rpm
```

Затем запустите скрипт настройки /opt/kaspersky/ksc64/lib/bin/setup/postinstall.pl

- Примите условия Лицензионного соглашения – введите Y
- Примите условия Политики конфиденциальности – введите Y
- Выберите значение Вторичный узел кластера – введите 3
- Укажите локальный путь к точке монтирования общей папки состояния – введите /mnt/KlFocStateShare Проверьте, что служба klfocsvc\_klfoc активна на обоих узлах

```bash
systemctl status klfocsvc_klfoc
```

[![image.png](https://antiapt-community.ru/uploads/images/gallery/2026-04/scaled-1680-/3W4HNxnayBrRgtv4-image.png)](https://antiapt-community.ru/uploads/images/gallery/2026-04/3W4HNxnayBrRgtv4-image.png)

klfocsvc\_klfoc на активном узле

[![image.png](https://antiapt-community.ru/uploads/images/gallery/2026-04/scaled-1680-/dQw5EDxSnoftT298-image.png)](https://antiapt-community.ru/uploads/images/gallery/2026-04/dQw5EDxSnoftT298-image.png)

klfocsvc\_klfoc на пассивном узле

### Установка Веб консоли KSC Linux

Дистрибутив можно скачать с <span style="background-color: rgb(255, 255, 255); color: rgb(0, 168, 142);">[официального сайта](https://www.kaspersky.ru/small-to-medium-business-security/downloads/endpointhttps://www.kaspersky.ru/small-to-medium-business-security/downloads/endpoint)</span>

[![image.png](https://antiapt-community.ru/uploads/images/gallery/2026-04/scaled-1680-/Dfg3pGrY7GioMCpk-image.png)](https://antiapt-community.ru/uploads/images/gallery/2026-04/Dfg3pGrY7GioMCpk-image.png)

Веб консоль также будет необходимо установить на отдельный хост. Предварительно обязательно необходимо подготовить файл ответов /etc/ksc-web-console-setup.json. Подробные примеры заполнения представлены в

Для установки выполните одну из команд в зависимости от вашего дистрибутива Linux

```bash
sudo apt-get install ksc-web-console-<номер сборки>.x86_64.deb
sudo yum install ksc-web-console-<номер сборки>.x86_64.rpm
```

После завершения установки перезапустите все службы веб консоли KSC Linux

```bash
sudo systemctl restart KSC*
```

По результатам выполненных действий веб-консоль будет доступна по адресу и порту указанному в файле ответов.

### Первоначальная настройка KSC Linux

Перейдите в браузере по адресу веб-консоли и войдите под ранее созданной УЗ. При первом входе будет необходимо принять пользовательское соглашение. После этого автоматически запустится Мастер первоначальной настройки.

**Мастер выполнит первоначальную настройку для корректной работы KSC:**

- Параметры подключения к интернету. Для сбора обновлений и дистрибутивов Серверу администрирования требуется выход в интернет, в зависимости от характеристик сети требуется выбрать подходящий вариант.
- Если доступ в интернет есть, после загрузки обновлений Мастер предложит загрузить доступные дистрибутивы.
- Из предложенного списка выберете типы устройств, участвующих в пилотном тестировании (в будущем можно будет загрузить недостающие дистрибутивы).
- В соответствии с законодательной базой необходимо выбрать доступный алгоритм шифрования (см. Постановление правительства от 16 апреля 2012 г. № 313).
- Также выбрать из перечня плагины для управляемых программ, которые необходимо использовать.
- После чего мастер автоматически загрузит недостающие плагины с серверов Лаборатории Касперского
- Укажите параметры работы выбранных приложений и примите лицензионные соглашения KSN для них
- Выберите удобный вариант активации продукта, либо выберите «Добавить лицензионный ключ позже». Особенности – для активации кодом требуется выход в интернет, зато он включает в себя сразу все программные продукты, но в изолированных сегментах возможно только использование ключа.
- Мастер самостоятельно создаст критически важные задачи для корректной работы KSC Linux.
- В случае, если требуется получать нотификации на почту, необходимо указать параметры SMTP сервера. В противном случае можно указать параметр «Не использовать TLS» из выпадающего списка и пропустить этот шаг.
- На этом завершается работа мастера первоначальной настройки, перенастроить параметры можно заново запустив мастер или точечно, в интересующем разделе. На этом этапе отказоустойчивый кластер настроен для работы и подключения устройств

# Работа с kesl-control и avp.com

### KESL-CONTROL – KES Linux

Для возможности локального управления KESL в него встроена утилита kesl-control. Она позволяет просматривать различные параметры состояния, создавать и запускать задачи. Для ознакомления с полным списком возможностей утилиты выполните в терминале команду `kesl-control`

Для просмотра общей информации о kesl выполните команду :

```bash
kesl-control --app-info

```

`kesl-control --get-app-settings` — вывод списка параметров приложения вывод списка параметров приложения

Далее приведены команды, которые могут быть вам полезны в использовании kesl

> Важно! Ко всем командам kesl-control можно добавить флаг --json. Он позволяет делать вывод команды или запись в файл в json-формате

<details id="bkmrk-%D0%A0%D0%B0%D0%B1%D0%BE%D1%82%D0%B0-%D1%81-%D0%BB%D0%B8%D1%86%D0%B5%D0%BD%D0%B7%D0%B8%D1%8F%D0%BC%D0%B8-"><summary>Работа с лицензиями</summary>

`kesl-control -L --query` – получить информацию об используемой лицензии

`kesl-control --add-active-key <код активации или путь до файла ключа>` - добавить активную лицензию.

`kesl-control --add-reserve-key <код активации или путь до файла ключа>` - добавить резервную лицензию.

`kesl-control --remove-active-key` - удалить активный ключ лицензии.

`kesl-control --remove-reserve-key` - удалить резервный ключ лицензии.

`kesl-control --load-mdr-blob /tmp/mdr_blob.p7` - загрузить файл MDR BLOB для активации интеграции с Managed Detection and Responce

</details><details id="bkmrk-%D0%A0%D0%B0%D0%B1%D0%BE%D1%82%D0%B0-%D1%81-%D0%B7%D0%B0%D0%B4%D0%B0%D1%87%D0%B0%D0%BC%D0%B8-ke"><summary>Работа с задачами</summary>

`kesl-control --get-task-list` - вывести список всех доступных задач. Здесь вы сможете узнать имя и номер задачи для их дальнейшего использования

`kesl-control --get-settings <Имя задачи или её номер>` - получить параметры задачи.

`kesl-control --get-task-state <Имя задачи или её номер>` - получить состояние задачи

`kesl-control --start-task <Имя задачи или её номер>` - запустить указанную задачу

`kesl-control --stop-task <Имя задачи или её номер>` - остановить указанную задачу

`kesl-control --suspend-task <Имя задачи или её номер>- приостановить задачу.`

`kesl-control --resume-task <Имя задачи или её номер>` - возобновить выполнение задачи.

`kesl-control --get-schedule <Имя задачи или её номер>` - получить расписание задачи

`kesl-control --get-schedule <Имя задачи или её номер> --file /tmp/schedule.txt` - сохранить расписание задачи в файл.

`kesl-control --set-schedule <Имя задачи или её номер> --file /tmp/schedule.txt` - применить расписание задачи из файла.

</details><details id="bkmrk-%D0%A1%D0%BA%D0%B0%D0%BD%D0%B8%D1%80%D0%BE%D0%B2%D0%B0%D0%BD%D0%B8%D0%B5-kesl-co"><summary>Сканирование</summary>

`kesl-control --scan-file <путь к папке или файлу> -- action DisinfectDeleteIfNotPossible` - проверить указанный файл или каталог на угрозы при обнаружении попытаться вылечить файл и удалить, если это невозможно

Для флага –action можно использовать DisinfectInformIfNotPossible (лечить или информировать, если лечение невозможно), Inform (информировать)

`kesl-control --scan-container <идентификатор/имя[:тег]>` - проверить образ контейнера

`kesl-control --scan-ioc --path <путь к ioc-файлам> --excludes /var/log /tmp` - выполнить поиск IOC с исключением указанных путей из области поиска.

`kesl-control --scan-ioc --path path <путь к ioc-файлам> --scope /home` - ограничить область поиска по IOC.

</details><details id="bkmrk-%D0%9F%D0%BE%D0%BB%D1%83%D1%87%D0%B5%D0%BD%D0%B8%D0%B5-%D1%81%D1%82%D0%B0%D1%82%D0%B8%D1%81%D1%82%D0%B8%D0%BA%D0%B8"><summary>Получение статистики</summary>

`kesl-control --get-statistic --files` - показать статистику по наиболее проверяемым файлам

`kesl-control --get-statistic –processes` - показать статистику проверки по наиболее чатозапускаемым процессам

`kesl-control --get-statistic –mountpoints` - показать список точек монтирования

`kesl-control --export-settings --file /tmp/kesl-settings.txt` - экспортировать все параметры приложения в файл.

</details><details id="bkmrk-%D0%A0%D0%B0%D0%B1%D0%BE%D1%82%D0%B0-%D1%81-%D0%BA%D0%B0%D1%80%D0%B0%D0%BD%D1%82%D0%B8%D0%BD%D0%BE%D0%BC-"><summary>Работа с карантином и резервным храниищем</summary>

`kesl-control --put /tmp/suspicious.file – вручную поместить указанный файл в карантин`

`kesl-control -Q --query -n 30` - получить информацию о файлах в карантине, показать последние 30 элементов.

`kesl-control -Q --mass-remove --query` - удалить файлы из карантина .

`kesl-control -B --query -n 30` - получить информацию о файлах в резервном хранилище, показать последние 30 элементов.

`kesl-control -B --restore <идентификатор_объекта> --file /tmp/restored.file` - восстановить файл из резервного хранилища в указанный путь.

`kesl-control -B --mass-remove --query` - удалить файлы из резервного хранилища по заданному фильтру.

</details><details id="bkmrk-%D0%A1%D0%BE%D0%B1%D1%8B%D1%82%D0%B8%D1%8F-%D1%80%D0%B0%D0%B1%D0%BE%D1%82%D1%8B-kesl-"><summary>События работы KESL</summary>

`kesl-control -E --query  -n 100 --reverse` - получить последние 100 событий работы приложения по показать их в обратном порядке (с конца)

`kesl-control -W` - включить «живой» вывод событий приложения в консоль

</details><details id="bkmrk-%D0%9A%D0%BE%D0%BD%D1%82%D1%80%D0%BE%D0%BB%D1%8C-%D1%83%D1%81%D1%82%D1%80%D0%BE%D0%B9%D1%81%D1%82%D0%B2-k"><summary>Контроль устройств</summary>

`kesl-control --get-device-list` - получить список подключённых устройств.

`kesl-control --get-device-list --export <имя файла>` - экспортировать список устройств в файл.

`kesl-control --trusted-devices --list` - показать список доверенных устройств.

`kesl-control --trusted-devices --add <идентификатор>` - добавить устройство в доверенные.

`kesl-control --trusted-devices --delete <идентификатор>` - удалить устройство из доверенных.

`kesl-control --request-temporary-device-access --device-id <идентификатор> --access-duration <длительность в часах> --path <путь к файлу для сохранения запроса о временном доступе>` - создать запрос временного доступа.

`kesl-control --upload-temporary-device-access-key --path /tmp/access.key` - загрузить ключ временного доступа.

</details><details id="bkmrk-%D0%A0%D0%B0%D0%B1%D0%BE%D1%82%D0%B0-%D1%81-firewall-ke"><summary>Работа с Firewall</summary>

`kesl-control -F --query` - получить состояние задачи управления сетевым экраном

`kesl-control --add-rule --name AllowSSH --action allow --protocol tcp --direction in --local any:22 --remote any – добавление правила разрешить входящие SSH-подключения`

`kesl-control --add-rule --name BlockHTTP --action block --protocol tcp --direction out --remote any:80` - заблокировать исходящий HTTP трафик

`kesl-control --add-rule --name AllowDNS --action allow --protocol udp --direction out --remote any:53` - разрешить исходящие DNS запросы

`kesl-control --move-rule --name AllowSSH --at 1` - изменить приоритет правила, переместив его на позицию 1.

`kesl-control --del-rule --name AllowSSH` - удалить правило по имени

`kesl-control --del-rule --index 3` - удалить правило по индексу.

`kesl-control --add-zone Trusted --address 192.168.1.0/24` - добавить сеть в доверенную зону.

Флаг --add-zone поддерживает 3 значения: Trusted, Local или Public

`kesl-control --del-zone Trusted --address 192.168.1.0/24` - удалить сеть из доверенной зоны

`kesl-control --get-blocked-hosts` - получить список заблокированных устройств (компонентом сетевой защиты)

`kesl-control --allow-hosts <идентификатор>` - разблокировать устройство.

</details><details id="bkmrk-%D0%A0%D0%B0%D0%B1%D0%BE%D1%82%D0%B0-%D1%81-%D0%B8%D1%81%D0%BA%D0%BB%D1%8E%D1%87%D0%B5%D0%BD%D0%B8%D1%8F%D0%BC"><summary>Работа с исключениями</summary>

`kesl-control --set-settings < идентификатор/имя задачи > -- add-exclusion /opt/app` - добавить путь в исключения задачи проверки

`kesl-control --set-settings < идентификатор/имя задачи > -- del-exclusion /opt/app` - удалить путь из исключений задачи проверки

`kesl-control -N --query auto` - показать автоматически созданные исключения из проверки зашифрованных соединений.

`kesl-control -N --query kl` - показать исключения из проверки зашифрованных соединений, заданные «Лабораторией Касперского».

`kesl-control -N --query user` - показать пользовательские исключения из проверки зашифрованных соединений.

`kesl-control --clear-web-auto-excluded` - очистить список SSL-исключений, автоматически исключённых из проверки

`kesl-control --list-bypass-endpoints` - показать список настроенных исключений из перехвата трафика.

`kesl-control --add-bypass-endpoints --direction out --remote-ip 10.10.10.5 --dst-port 443` - добавить исключение из перехвата для исходящего трафика к указанному IP и порту.

`kesl-control --add-bypass-endpoints --direction in --remote-ip 192.168.1.100 --dst-port 8443` - добавить исключение из перехвата для входящего трафика от указанного IP и порта.

`kesl-control --remove-bypass-endpoints --direction out --remote-ip 10.10.10.5 --dst-port 443` - удалить исключение из перехвата трафика.

`kesl-control --list-certificates` - просмотреть список доверенных корневых сертификатов

`kesl-control --add-certificate <путь к сертификату pem или der>` - добавить сертификатв список доверенных корневых сертификатов

`kesl-control --remove-certificate <субъект сертификата>` - удалить сертификат из списка доверенных корневых сертификатов

`kesl-control --list-bypass-endpoints` - получить список исключений из перехвата трафика

`kesl-control --add-bypass-endpoints --direction out --remote-ip 10.10.10.5 --dst-port 443` - добавить исключение для исходящего HTTPS трафика к IP.

`kesl-control --add-bypass-endpoints --direction in --remote-ip 192.168.1.100 --dst-port 8443` - добавить исключение для входящего трафика.

`kesl-control --remove-bypass-endpoints --direction out --remote-ip 10.10.10.5 --dst-port 443` - - удалить исключение из перехвата трафика

`kesl-control --set-settings < идентификатор/имя задачи > -- add-path /opt/` - добавить путь в область задачи проверки

`kesl-control --set-settings < идентификатор/имя задачи > -- del-path /opt/` - удалить путь из области задачи проверки

`kesl-control --set-settings < идентификатор/имя задачи >` - применить значения по умолчанию для параметров задачи

</details><details id="bkmrk-%D0%98%D0%BD%D1%82%D0%B5%D0%B3%D1%80%D0%B0%D1%86%D0%B8%D1%8F-%D1%81-kata-%D0%B8-"><summary>Интеграция с KATA и KEDR</summary>

`kesl-control --add-kataedr-server-certificate <путь до сертификата>` - добавить сертификат сервера KATA/OSMP.

`kesl-control --remove-kataedr-server-certificate` - удалить сертификат сервера KATA/OSMP.

`kesl-control --query-kataedr-server-certificate` - показать сертификат сервера KATA/OSMP.

Для выбора интеграции с EDR Expert (OSMP) необходимо дополнительно использовать флаг --server-type &lt;response|telemetry&gt;. Т.к. сертификаты для сбора событий и реагирования используются разные сертификаты. Таким образом команды будут составляться по следующей логике:

`kesl-control --add-kataedr-server-certificate <путь до сертификата> --server-type telemetry` - добавить сертификат сервера телеметрии

`kesl-control --add-kataedr-server-certificate <путь до сертификата> --server-type response` - добавить сертификат сервера реагирования

`kesl-control --add-kataedr-client-certificate <путь до сертификата>` - добавить клиентский сертификат KATA/OSMP.

`kesl-control --remove-kataedr-client-certificate` - удалить клиентский сертификат KATA/OSMP.

`kesl-control --query-kataedr-client-certificate` - показать клиентский сертификат KATA/OSMP.

Для выбора интеграции с EDR Expert (OSMP) необходимо также дополнительно использовать флаг --server-type &lt;response|telemetry&gt; как указано в предыдущем блоке команд.

</details><details id="bkmrk-%D0%98%D0%BD%D1%82%D0%B5%D0%B3%D1%80%D0%B0%D1%86%D0%B8%D1%8F-%D1%81-ndr-kes"><summary>Интеграция с NDR</summary>

`kesl-control --add-katandr-server-certificate <путь до сертификата>` - добавить сертификат сервера NDR.

`kesl-control --remove-katandr-server-certificate` - удалить сертификат сервера NDR.

`kesl-control --query-katandr-server-certificate` - показать сертификат сервера NDR.

`kesl-control --add-katandr-client-certificate <путь до сертификата>- добавить сертификат клиента NDR.`

`kesl-control --remove-katandr-client-certificate` - удалить сертификат клиента NDR.

`kesl-control --query-katandr-client-certificate` - показать сертификат клиента NDR.

</details><details id="bkmrk-%D0%98%D0%BD%D1%82%D0%B5%D0%B3%D1%80%D0%B0%D1%86%D0%B8%D1%8F-%D1%81-sandbox"><summary>Интеграция с Sandbox</summary>

`kesl-control --add-sandbox-server-certificate <путь до сертификата>` - добавить сертификат сервера Sandbox.

`kesl-control --remove-sandbox-server-certificate` - удалить сертификат сервера Sandbox.

`kesl-control --query-sandbox-server-certificate` - показать сертификат сервера Sandbox.

`kesl-control --add-sandbox-client-certificate <путь до сертификата>` - добавить клиентский сертификат Sandbox.

`kesl-control --remove-sandbox-client-certificate` - удалить клиентский сертификат Sandbox.

`kesl-control --query-sandbox-client-certificate` - показать клиентский сертификат Sandbox.

`kesl-control --sandbox <путь до файла или директории>` - отправить файл/директорию на проверку в Sandbox.

</details><details id="bkmrk-%D0%98%D0%BD%D1%82%D0%B5%D0%B3%D1%80%D0%B0%D1%86%D0%B8%D1%8F-kuma-kesl"><summary>Интеграция KUMA</summary>

`kesl-control --add-kuma-server-certificate <путь до сертификата>` - добавить сертификат сервера KUMA.

`kesl-control --remove-kuma-server-certificate` - удалить сертификат сервера KUMA.

`kesl-control --query-kuma-server-certificate` - показать сертификат сервера KUMA.

`kesl-control --add-kuma-client-certificate <путь до сертификата>` - добавить клиентский сертификат KUMA.

`kesl-control --remove-kuma-client-certificate` - удалить клиентский сертификат KUMA.

`kesl-control --query-kuma-client-certificate` - показать клиентский сертификат KUMA.

</details><details id="bkmrk-%D0%98%D0%BD%D1%82%D0%B5%D0%B3%D1%80%D0%B0%D1%86%D0%B8%D1%8F-mdr-kesl-"><summary>Интеграция MDR</summary>

`kesl-control --load-mdr-blob <путь до blob-файла>` - загрузить файл MDR BLOB.

`kesl-control --remove-mdr-blob` - удалить файл MDR BLOB.

</details><details id="bkmrk-%D0%9F%D1%80%D0%B8-%D0%B8%D1%81%D0%BF%D0%BE%D0%BB%D1%8C%D0%B7%D0%BE%D0%B2%D0%B0%D0%BD%D0%B8%D0%B8-ke"><summary> При использовании KESL в режиме Лёгкого агента</summary>

`kesl-control --svm-info` - информация о подключении к SVM.

`kesl-control --viis-info` - информация о подключении к Серверу интеграции.

`kesl-control --ksvla-info` – общая информация о состоянии Лёгкого агента

</details>### AVP.COM – KES Windows

Для возможности локального управления KES Windows через командную строку можно использовать утилиту avp.com. Утилита доступна по пути C:\\Program Files (x86)\\Kaspersky Lab\\KES.&lt;версия&gt;. Она позволяет просматривать различные параметры состояния, создавать и запускать задачи. Для ознакомления с полным списком возможностей утилиты выполните в командной строке по указанному ранее пути команду:

```bash
avp.com –help 

```

<details id="bkmrk-addkey%2C-license%2C-mdr"><summary>ADDKEY, LICENSE, MDRLICENSE — работа с лицензиями</summary>

`avp.com ADDKEY <путь к license.key>` - добавить ключ лицензии (код не поддерживается)

`avp.com LICENSE /CHECK` - вывести информацию о всех лицензиях

`avp.com LICENSE /CHECK <Идентификатор лицензии | Серийный номер ключа>` - вывести информацию о конкретной лицензии.

`avp.com MDRLICENSE /ADD <путь к mdr_blob.p7>` - добавить blob-файл для активации MDR.

`avp.com MDRLICENSE /DEL` - удалить MDR blob-файл.

</details><details id="bkmrk-status%2C-statistics%2C-"><summary>STATUS, STATISTICS, START, STOP — запуск задач и компонентов</summary>

`avp.com STATUS – вывести полный список и показать статус всех задач и компонентов.`

`avp.com STATUS <имя задачи или компонента>` - статус конкретной задачи/компонента.

`avp.com STATISTICS <имя задачи или компонента>` - просмотр статистики работы конкретной задачи/компонента.

`avp.com START <имя задачи или компонента>` - запуск конкретной задачи/компонента. /S – в асинхронном режиме

`avp.com START <имя задачи или компонента> /R:<путь к файлу>` - записать критические события.

`avp.com START <имя задачи или компонента>/RA:<путь к файлу>` - записать все события.

`avp.com STOP <имя задачи или компонента>` - остановка конкретной задачи/компонента

</details><details id="bkmrk-scan-%E2%80%94-%D1%81%D0%BA%D0%B0%D0%BD%D0%B8%D1%80%D0%BE%D0%B2%D0%B0%D0%BD%D0%B8%D0%B5-"><summary>SCAN — сканирование</summary>

`avp.com SCAN C:\` - проверить указанный каталог.

`avp.com SCAN C:\` - проверить указанный каталог.

`avp.com SCAN /ALL` - проверить весь компьютер.

`avp.com SCAN /MEMORY` - проверить оперативную память.

`avp.com SCAN /STARTUP` - проверить объекты автозагрузки.

`avp.com SCAN /REMDRIVES` - проверить съемные носители.

`avp.com SCAN /FIXDRIVES` - проверить локальные диски.

`avp.com SCAN /NETDRIVES` - проверить сетевые диски.

`avp.com SCAN C:\ /i0` - только отчёт без лечения.

`avp.com SCAN C:\ /i3` - лечить, при невозможности удалить (по умолчанию).

`avp.com SCAN C:\ /i4` - удалить заражённые файлы.

`avp.com SCAN C:\ -e:a` - исключить архивы из проверки.

`avp.com SCAN C:\ -e:b` - исключить почтовые базы.

`avp.com SCAN C:\ -e:*.iso` - исключить файлы по маске.

`avp.com SCAN C:\ /R:scan.log` - записать критические события в отчёт.

`avp.com SCAN C:\ /RA:scan.log` - записать все события.

`avp.com SCAN C:\ /S` - запустить асинхронно.

</details><details id="bkmrk-iocscan-%E2%80%94-%D0%BF%D0%BE%D0%B8%D1%81%D0%BA-%D0%B8%D0%BD%D0%B4%D0%B8"><summary>IOCSCAN — поиск индикаторов компрометации</summary>

`avp.com HELP IOCSCAN` - полный перечень возможных функций сканирования по IOC

`avp.com IOCSCAN <путь к IOC>` - выполнить IOC-сканирование по файлу.

`avp.com IOCSCAN /PATH=<путь к папке с IOC-файлами>` - выполнить сканирование по набору IOC из папки

`avp.com IOCSCAN <путь к IOC> /FILES=on /DRIVES=ALL` - проверка файлов на всех дисках

`avp.com IOCSCAN <путь к IOC> /EXCLUDES=c:\temp;c:\backup` - исключить пути.

`avp.com IOCSCAN <путь к IOC> /SCOPE=c:\windows;c:\users` - ограничить область поиска.

</details><details id="bkmrk-yara-%E2%80%94-%D1%81%D0%BA%D0%B0%D0%BD%D0%B8%D1%80%D0%BE%D0%B2%D0%B0%D0%BD%D0%B8%D0%B5-"><summary>YARA — сканирование по правилам YARA</summary>

`avp.com YARA <путь к правилу>` - выполнить сканирование по одному правилу.

`avp.com YARA <путь к правилу> <путь к правилу>` - использовать несколько правил.

`avp.com YARA /PATH=<путь к каталогу с правилами>` - использовать каталог с правилами

`avp.com YARA <путь к правилу> /SCANFOLDERS=<путь к папке> /RECURSIVE=on` - сканировать указанную папку рекурсивно.

`avp.com YARA <путь к правилу> /SCANMEMORY=on` - сканировать память процессов.

`avp.com YARA <путь к правилу> /FASTSCAN=on` - включить сканирование в быстром режиме

`avp.com YARA <путь к правилу> /SCANFOLDERS=<путь к папке> /EXCLUDES=<путь к папке>` - исключить каталог

`avp.com YARA <путь к правилу> /LOGFOLDER=<путь к файлу>` - сохранить результат сканирования в отчёт.

</details><details id="bkmrk-update-%E2%80%94-%D0%BE%D0%B1%D0%BD%D0%BE%D0%B2%D0%BB%D0%B5%D0%BD%D0%B8%D0%B5-"><summary>UPDATE — обновление баз</summary>

`avp.com UPDATE` - обновить базы.

`avp.com UPDATE /local` - выполнить локальную задачу обновления.

`avp.com UPDATE " URL или путь к папке"` - обновить с указанного источника.

`avp.com UPDATE /R:<путь к файлу>` - записать критические события.

`avp.com UPDATE /RA:<путь к файлу>` - записать все события.

`avp.com UPDATE /S – запустить задачу обновления асинхронно.`

</details><details id="bkmrk-rollback-%E2%80%94-%D0%BE%D1%82%D0%BA%D0%B0%D1%82-%D0%BE%D0%B1%D0%BD"><summary>ROLLBACK — откат обновления баз</summary>

`avp.com ROLLBACK` - откатить базы к предыдущей версии.

`avp.com ROLLBACK /R:<путь к файлу>` - записать критические события.

`avp.com ROLLBACK /RA:<путь к файлу>` - записать все события.

`avp.com ROLLBACK /S` - запустить асинхронно.

</details><details id="bkmrk-traces-%E2%80%94-%D1%80%D0%B0%D0%B1%D0%BE%D1%82%D0%B0-%D1%81-%D1%82%D1%80"><summary>TRACES — работа с трассировками</summary>

`avp.com TRACES on` - включить трассировку.

`avp.com TRACES off` - отключить трассировку.

`avp.com TRACES on 500` - включить трассировку уровень 500 (по умолчанию).

Доступны уровни 100, 200, 300, 400, 500, 600.

`avp.com TRACES on 500 file` - писать трассировку в один файл.

`avp.com TRACES on 500 rot /rotcount=5 /rotsize=50` - запись трассировки в ограниченное количество файлов rotcount ограниченного размера rotsize (Мб) с последующей перезаписью.

`avp.com TRACES compress /<on|off>` - включить/выключить сжатие трассировок.

</details><details id="bkmrk-restore-%E2%80%94-%D0%B2%D0%BE%D1%81%D1%81%D1%82%D0%B0%D0%BD%D0%BE%D0%B2%D0%BB"><summary>RESTORE — восстановление из файлов из карантина и резервного хранилища</summary>

`avp.com RESTORE /QUARANTINE eicar.com` - восстановить файл из карантина.

`avp.com RESTORE /BACKUP eicar.com` - восстановить файл из резервного хранилища.

`avp.com RESTORE /REPLACE C:\eicar.com – восстановить из карантина с заменой существующего файла.`

</details><details id="bkmrk-export%2C-import-%E2%80%94-%D1%8D%D0%BA%D1%81"><summary>EXPORT, IMPORT — экспорт и импорт настроек</summary>

`avp.com STATUS – вывести список всех задач и компонентов`

`avp.com EXPORT <имя задачи или компонента> <путь к файлу .txt или .dat>` - экспорт настроек задачи или компонента в файл

`avp.com IMPORT <путь к файлу .dat>` - импорт настроек задачи или компонента из файла (поддерживаются только бинарные .dat файлы)

</details><details id="bkmrk-edrkata-%E2%80%94-%D0%B8%D0%BD%D1%82%D0%B5%D0%B3%D1%80%D0%B0%D1%86%D0%B8%D1%8F"><summary>EDRKATA — интеграция с Kaspersky Anti Targeted Attack</summary>

`avp.com EDRKATA /SHOW` - показать настройки подключения KATA

`avp.com EDRKATA /SET /servers=<адрес:порт> /server-certificate=<сертификат сервера> /client-certificate=<клиентский сертификат> /client-certificate-password=<пароль клиентского сертификата> /timeout=<таймаут подключения в секундах> /sync-period=<период синхронизации в минутах>` - настроить подключение к серверу KATA.

`avp.com HELP EDRKATA` - получить полный список параметров подключения к KATA

</details><details id="bkmrk-edrexpertonprem-%E2%80%94-%D0%B8%D0%BD"><summary>EDREXPERTONPREM — интеграция с EDR Expert On-Premise</summary>

`avp.com EDREXPERTONPREM /SHOW` - показать настройки EDR Expert

`avp.com EDREXPERTONPREM /SET /mode=EDRKATA /servers=<адрес:порт>/server-certificate=<сертификат сервера>` - режим интеграции с EDR KATA

`avp.com EDREXPERTONPREM /SET /mode=EDRExpertOnPrem /servers==<адрес:порт> /server-certificate==<сертификат сервера>` - режим интеграции с EDR (OSMP)

`avp.com EDREXPERTONPREM /SET /mode=< EDRKATA  | EDRExpertOnPrem> /servers==<адрес:порт> /server-certificate==<сертификат сервера> /client-certificate=<клиентский сертификат> /client-certificate-password=<пароль клиентского сертификата> /timeout=<таймаут подключения в секундах> /sync-period=<период синхронизации в минутах>` - режим интеграции c дополнительными параметрами

`avp.com HELP EDREXPERTONPREM` - получить полный список параметров подключения к EDR On-Premise

</details><details id="bkmrk-ndr-%E2%80%94-%D0%B8%D0%BD%D1%82%D0%B5%D0%B3%D1%80%D0%B0%D1%86%D0%B8%D1%8F-%D1%81-n"><summary>NDR — интеграция с Network Detection and Response</summary>

`avp.com NDR /SHOW` - показать настройки NDR

`avp.com NDR /SET /servers=<адрес:порт> /server-certificate=<сертификат сервера> /client-certificate=<клиентский сертификат> /client-certificate-password=<пароль клиентского сертификата> /timeout=<таймаут подключения в секундах> /sync-period=<период синхронизации в минутах>` - настроить подключение к серверу KUMA.

`avp.com HELP NDR` - получить полный список параметров подключения к KUMA

</details><details id="bkmrk-sandbox-%E2%80%94-%D0%B8%D0%BD%D1%82%D0%B5%D0%B3%D1%80%D0%B0%D1%86%D0%B8%D1%8F"><summary>SANDBOX — интеграция c Sandbox</summary>

`avp.com SANDBOX /SHOW` - показать настройки Sandbox.

`avp.com SANDBOX /SET --servers=<адрес:порт Sandbox> --pinned-certificate=<путь к сертификату сервера> --client-certificate=< путь к клиентскому сертификату> --client-certificate-password=<пароль клиентского сертификата> --timeout=<таймаут в мс, по умолчанию 5000> --mode= <KSB| KATAManual | KATAAuto | KATAFull> – установить параметры Sandbox.`

KSB – автоматическая отправка в песочницу KSB KATAManual – ручная отправка в песочницу KATA KATAAuto – автоматическая отправка в песочницу KATA KATAFull – Как ручная, так и автоматическая отправка данных в песочницу KATA

</details><details id="bkmrk-kuma-%E2%80%94-%D0%B8%D0%BD%D1%82%D0%B5%D0%B3%D1%80%D0%B0%D1%86%D0%B8%D1%8F-%D1%81-"><summary>KUMA — интеграция с Kaspersky Unified Monitoring and Analysis</summary>

`avp.com KUMA /SHOW` - показать настройки подключения KUMA

`avp.com KUMA /SET /servers=<протокол://адрес:порт> /server-certificate=<сертификат сервера> /client-certificate=<клиентский сертификат> /client-certificate-password=<пароль клиентского сертификата> /timeout=<таймаут подключения в секундах>` - настроить подключение к серверу KUMA.

`avp.com HELP KUMA` - получить полный список параметров подключения к KUMA

</details><details id="bkmrk-telemetryfilters-%E2%80%94-%D0%BD"><summary>TELEMETRYFILTERS — настройка фильтрации телеметрии</summary>

`avp.com TELEMETRYFILTERS /EXPORT <путь к файлу>` - экспорт фильтрации телеметрии в файл

`avp.com TELEMETRYFILTERS /IMPORT <путь к файлу>` - импорт фильтрации телеметрии из файла.

</details><details id="bkmrk-ksn-%E2%80%94-%D1%83%D0%BF%D1%80%D0%B0%D0%B2%D0%BB%D0%B5%D0%BD%D0%B8%D0%B5-kas"><summary>KSN — управление Kaspersky Security Network</summary>

`avp.com KSN /GLOBAL` - включить стандартный KSN.

`avp.com KSN /PRIVATE <путь к файлу .pkcs7>` - включить KPSN с файлом настроек.

</details><details id="bkmrk-isolation-%E2%80%94-%D1%81%D0%B5%D1%82%D0%B5%D0%B2%D0%B0%D1%8F-"><summary>ISOLATION — сетевая изоляция хоста</summary>

`avp.com ISOLATION /STAT` - показать статус сетевой изоляции.

`avp.com ISOLATION /OFF` - отключить изоляцию.

</details><details id="bkmrk-prevention-%E2%80%94-%D1%83%D0%BF%D1%80%D0%B0%D0%B2%D0%BB%D0%B5"><summary> PREVENTION — управление запретом запуска объектов</summary>

`avp.com PREVENTION /SHOW` - показать состояние всех задач Prevention.

`avp.com PREVENTION /SHOW EDR` - показать настройки Prevention для EDR.

`avp.com PREVENTION /SHOW KATA` - показать настройки Prevention для KATA.

`avp.com PREVENTION /SHOW KICS` - показать настройки Prevention для KICS.

`avp.com PREVENTION /DISABLE` - отключить все задачи Prevention.

`avp.com PREVENTION /DISABLE EDR` - отключить Prevention для EDR.

</details><details id="bkmrk-svminfo%2C-viisinfo%2C-k"><summary> SVMINFO, VIISINFO, KSVLAINFO – Работа с KES в режиме Лёгкого агента</summary>

`avp.com SVMINFO` - показать информацию о подключении к SVM

`avp.com VIISINFO` - показать информацию о подключении к серверу интеграции.

`avp.com KSVLAINFO` - показать информацию о работе приложения в режиме Лёгкого агента.

</details><details id="bkmrk-%D0%94%D0%BE%D0%BF%D0%BE%D0%BB%D0%BD%D0%B8%D1%82%D0%B5%D0%BB%D1%8C%D0%BD%D1%8B%D0%B5-%D0%BA%D0%BE%D0%BC%D0%B0%D0%BD"><summary>Дополнительные команды</summary>

`avp.com EXIT` - завершить работу KES

`avp.com EXITPOLICY – отключить применяемую с KSC политику`

`avp.com STARTPOLICY` - включить применяемую с KSC политику

`avp.com RESETMDRMACHINEID` - сбросить идентификатор MDR

`avp.com SERVERBINDINGDISABLE` - отключить защиту подключения к серверу администрирования

`avp.com PBATESTRESET` - удалить информацию о несовместимости системного диска и агента аутентификации. Может быть необходимо Перед запуском полнодискового шифрования. Подробнее см. в справке

</details>

# TIP: PoC

## Kaspersky Threat Intelligence

**Threat Intelligence от Kaspersky** – это доступ к аналитике, необходимой для снижения киберрисков, предоставляемой командой мировых исследователей и аналитиков.

Основные типы Threat Intelligence:

<table id="bkmrk-%D0%A2%D0%B8%D0%BF-%D0%9E%D0%BF%D0%B8%D1%81%D0%B0%D0%BD%D0%B8%D0%B5-%D0%A2%D0%B0%D0%BA%D1%82%D0%B8%D1%87%D0%B5"><thead><tr><th>Тип</th><th>Описание</th></tr></thead><tbody><tr><td>**Тактическая**</td><td>Краткосрочная, быстро устаревающая информация, поддерживающая операции SOC и реагирование на инциденты (например, IOCs новых атак).</td></tr><tr><td>**Оперативная**</td><td>Данные о кампаниях, TTP, атрибуции актёров, их возможностях и намерениях.</td></tr><tr><td>**Стратегическая**</td><td>Информация для C‑уровня и совета директоров: тренды, мотивации актёров, классификации.</td></tr></tbody></table>

## Область применения PoC Threat Intelligence

Вы получаете доступ к **Kaspersky Threat Intelligence Portal**: [https://tip.kaspersky.com](https://tip.kaspersky.com). Ниже перечислены доступные функции и их ограничения в рамках PoC.

### Threat Landscape

<table id="bkmrk-%D0%A4%D1%83%D0%BD%D0%BA%D1%86%D0%B8%D1%8F-%D0%94%D0%BE%D1%81%D1%82%D1%83%D0%BF-%D0%9E%D0%B3%D1%80%D0%B0%D0%BD"><thead><tr><th>Функция</th><th>Доступ</th><th>Ограничения</th></tr></thead><tbody><tr><td>Hunt Hub</td><td>Ограниченный доступ, детали правил скрыты</td><td>—</td></tr><tr><td>TTPs</td><td>Полный доступ, правила Suricata и Sigma не доступны для скачивания</td><td>—</td></tr><tr><td>Actors</td><td>Полный доступ</td><td>—</td></tr><tr><td>Software</td><td>Полный доступ</td><td>—</td></tr><tr><td>Mitigations</td><td>Полный доступ</td><td>—</td></tr><tr><td>Vulnerabilities</td><td>Полный доступ</td><td>—</td></tr></tbody></table>

### Threat Lookup – 100 запросов в день

<table id="bkmrk-%D0%92%D0%BE%D0%B7%D0%BC%D0%BE%D0%B6%D0%BD%D0%BE%D1%81%D1%82%D1%8C-%D0%9A%D0%B2%D0%BE%D1%82%D0%B0-wh"><thead><tr><th>Возможность</th><th>Квота</th></tr></thead><tbody><tr><td>WHOIS Hunting Rule (Normal)</td><td>1 правило</td></tr><tr><td>WHOIS Hunting Rule (High)</td><td>1 правило</td></tr><tr><td>Saved Search</td><td>10 правил</td></tr><tr><td>Research Graph</td><td>100 графов</td></tr></tbody></table>

### Reporting

<table id="bkmrk-%D0%92%D0%BE%D0%B7%D0%BC%D0%BE%D0%B6%D0%BD%D0%BE%D1%81%D1%82%D1%8C-%D0%9A%D0%B2%D0%BE%D1%82%D0%B0-ap"><thead><tr><th>Возможность</th><th>Квота</th></tr></thead><tbody><tr><td>APT Intelligence Reporting</td><td>10 отчётов (Master Yara и Master IoC отключены)</td></tr><tr><td>Crimeware Intelligence Reporting</td><td>10 отчётов (Master Yara и Master IoC отключены)</td></tr></tbody></table>

### Threat Analysis

<table id="bkmrk-%D0%92%D0%BE%D0%B7%D0%BC%D0%BE%D0%B6%D0%BD%D0%BE%D1%81%D1%82%D1%8C-%D0%9A%D0%B2%D0%BE%D1%82%D0%B0-cl"><thead><tr><th>Возможность</th><th>Квота</th></tr></thead><tbody><tr><td>Cloud Sandbox</td><td>10 запросов в день</td></tr><tr><td>Threat Attribution Engine</td><td>10 запросов в день</td></tr><tr><td>Similarity</td><td>10 запросов в день</td></tr></tbody></table>

### Прочие функции

- **Digital Footprint Intelligence** – лишь демонстрационные уведомления.
- **Threat Infrastructure Tracking** – уровень страны.
- **Data Feeds** – только демонстрационные фиды.

---

## Kaspersky Threat Landscape

### Исполнительное резюме

Глобальная картина угроз постоянно меняется: появляются новые методы атак, а известные становятся более изощрёнными. Пользователям необходимо быстро приоритизировать те угрозы, которые требуют незамедлительного реагирования.

*Раздел «Threat Landscape»* предоставляет информацию о злоумышленниках, нацеленных на конкретную отрасль и регионы, связывает технологии обнаружения с глобальной разведкой, даёт полную и актуальную контекстную информацию о тактиках, техниках и процедурах (TTP) атакующих.

### Цель сервиса

Пользователи портала могут **самостоятельно сформировать свою Threat Landscape** в соответствии с матрицей MITRE ATT&amp;CK, получая:

- актуальные техники, тактики и процедуры, которые могут быть использованы против них;
- детальные описания актёров, вредоносного ПО и используемых TTP;
- отчёты с подробным описанием атак;
- рекомендации‑смягчения (mitigations) – конкретные меры для предотвращения выполнения техники.

### Процедуры тестирования

**Threat Landscape** предлагает данные по:

- географии;
- отрасли;
- типам угроз и актёрам;
- их TTP;
- используемому вредоносному ПО;
- релевантным IOC.

#### Как работает матрица MITRE ATT&amp;CK

- **Такт** – цель, которую преследует злоумышленник.
- **Техника** – действие, реализующее цель.
- **Подтехника** – конкретный метод выполнения техники.

Пользователь может:

- просматривать всё TTP или фильтровать их;
- скрывать/показывать тактики/техники;
- раскрывать/сворачивать все подтехники;
- использовать полноэкранный режим;
- видеть список подтехник с количеством связанных подпунктов;
- получать имена и ID TTP;
- переходить к детальному описанию каждой записи.

#### Статистика в Threat Landscape

- **Top Techniques** – наиболее часто используемые техники.
- **Attacks by Industry** – отрасли, получающие наибольшее количество атак.
- **Related Rules and Reports** – количество использованных правил и соответствующих отчётов.
- **Top Software** – часто используемое вредоносное ПО.
- **Top Tactics** – популярные тактики.
- **Related Actors** – активные актёры.

Фильтры автоматически обновляют статистику и графики.

### Цели тестирования

Тестировать возможность **Threat Landscape** выполнять следующие задачи:

1. **Создать heat‑map MITRE ATT&amp;CK**, релевантную компании.
2. **Предоставить практичную информацию о TTP**, релевантных компании.
3. **Определить актёров‑угроз и инструменты**, используемые ими.

---

## Тест 1 – Создание MITRE ATT&amp;CK heat‑map, релевантной компании

Портал позволяет сохранять наборы фильтров, которые затем применяются к матрице ATT&amp;CK.

#### Возможные фильтры

<table id="bkmrk-%D0%A4%D0%B8%D0%BB%D1%8C%D1%82%D1%80-%D0%9E%D0%BF%D0%B8%D1%81%D0%B0%D0%BD%D0%B8%D0%B5-acto"><thead><tr><th>Фильтр</th><th>Описание</th></tr></thead><tbody><tr><td>**Actor**</td><td>Актёры/группы, использующие техники ATT&amp;CK (включая алиасы).</td></tr><tr><td>**Industry**</td><td>Отраслевой фильтр.</td></tr><tr><td>**Affected countries**</td><td>Страны/регионы.</td></tr><tr><td>**Platform**</td><td>Семейства ОС, к которым применимы техники.</td></tr></tbody></table>

#### Как применить фильтры

1. На странице **Threat Landscape** выберите нужные фильтры и нажмите **Apply**.
2. При необходимости нажмите **Reset to default** для сброса.

#### Как сохранить набор фильтров

1. Выберите фильтры → **Save**.
2. В боковой панели введите **имя** (до 255 симв.) и **описание** (до 2048 симв.).
3. Нажмите **Save** – набор появится в коллекции.

#### Работа с сохранёнными наборами

- **Filter collection** – список всех наборов, созданных пользователями организации (видно имя, описание, дату создания/изменения, автора).
- Можно искать по имени, применять, редактировать (Edit) или удалять (Delete) набор.

#### Примерный чек‑лист действий

<table id="bkmrk-%E2%84%96-%D0%94%D0%B5%D0%B9%D1%81%D1%82%D0%B2%D0%B8%D0%B5-%D0%9E%D0%B6%D0%B8%D0%B4%D0%B0%D0%B5%D0%BC%D1%8B%D0%B9"><thead><tr><th>№</th><th>Действие</th><th>Ожидаемый результат</th></tr></thead><tbody><tr><td>1</td><td>Выбрать **Affected countries** → *Россия и СНГ*.</td><td>Heat‑map подсветит TTP, актуальные для выбранных стран.</td></tr><tr><td>2</td><td>Добавить **Industry** → *Государственный сектор*.</td><td>Heat‑map уточнит подсветку в соответствии с выбранной отраслью.</td></tr><tr><td>3</td><td>Нажать **Hide** (правый‑верхний угол).</td><td>Появятся только релевантные TTP.</td></tr><tr><td>4</td><td>Прокрутить вниз к **Top Techniques / Top Tactics / Top Software** и другим дашбордам.</td><td>Дашборды отразят данные, соответствующие выбранным фильтрам.</td></tr></tbody></table>

---

## Тест 2 – Предоставление практичной информации о TTP, релевантных компании

### Тактики

Страница **Tactics** содержит список тактик и общую информацию:

<table id="bkmrk-%D0%9F%D0%BE%D0%BB%D0%B5-%D0%9E%D0%BF%D0%B8%D1%81%D0%B0%D0%BD%D0%B8%D0%B5-id-%D0%98%D0%B4%D0%B5"><thead><tr><th>Поле</th><th>Описание</th></tr></thead><tbody><tr><td>**ID**</td><td>Идентификатор тактики в MITRE ATT&amp;CK.</td></tr><tr><td>**Name**</td><td>Наименование тактики (кликабельно, ведёт к детальному описанию).</td></tr><tr><td>**Adversary action**</td><td>Действие, которое злоумышленник стремится выполнить.</td></tr><tr><td>**Created / Updated**</td><td>Даты создания и последнего обновления.</td></tr></tbody></table>

### Техники

<table id="bkmrk-%D0%9F%D0%BE%D0%BB%D0%B5-%D0%9E%D0%BF%D0%B8%D1%81%D0%B0%D0%BD%D0%B8%D0%B5-descri"><thead><tr><th>Поле</th><th>Описание</th></tr></thead><tbody><tr><td>**Description**</td><td>Подробное описание техники.</td></tr><tr><td>**ID**</td><td>Идентификатор техники.</td></tr><tr><td>**Sub‑techniques**</td><td>Список подтехник (кликабельно).</td></tr><tr><td>**Tactics**</td><td>Связанная тактика (кликабельно).</td></tr><tr><td>**Platforms**</td><td>ОС/приложения, в которых техника реализуется.</td></tr><tr><td>**Permissions required**</td><td>Требуемые привилегии.</td></tr><tr><td>**Created / Updated / Version**</td><td>Дата создания, последнего обновления, версия.</td></tr></tbody></table>

### Подтехники

<table id="bkmrk-%D0%9F%D0%BE%D0%BB%D0%B5-%D0%9E%D0%BF%D0%B8%D1%81%D0%B0%D0%BD%D0%B8%D0%B5-descri-1"><thead><tr><th>Поле</th><th>Описание</th></tr></thead><tbody><tr><td>**Description**</td><td>Подробное описание подтехники.</td></tr><tr><td>**ID**</td><td>Идентификатор подтехники.</td></tr><tr><td>**Sub‑technique of**</td><td>Родительская техника (кликабельно).</td></tr><tr><td>**Tactics / Platforms / Permissions required**</td><td>Как у техники.</td></tr><tr><td>**Created / Updated / Version**</td><td>Даты и версия.</td></tr></tbody></table>

### Примеры процедур

Раздел **Procedure examples** показывает хеши, связанные с подтехникой.

<table id="bkmrk-%D0%9F%D0%BE%D0%BB%D0%B5-%D0%9E%D0%BF%D0%B8%D1%81%D0%B0%D0%BD%D0%B8%D0%B5-id-id-"><thead><tr><th>Поле</th><th>Описание</th></tr></thead><tbody><tr><td>**ID**</td><td>ID актёра/программы, если привязан.</td></tr><tr><td>**Name**</td><td>Наименование актёра/программы/детекции.</td></tr><tr><td>**Hash**</td><td>MD5‑хеш.</td></tr></tbody></table>

### Правила (Rules)

Раздел **Rules** перечисляет правила, покрывающие подтехнику. Возможна загрузка полного списка правил (Sigma, Suricata) при наличии коммерческой лицензии.

#### Sigma‑правила

<table id="bkmrk-%D0%9F%D0%BE%D0%BB%D0%B5-%D0%9E%D0%BF%D0%B8%D1%81%D0%B0%D0%BD%D0%B8%D0%B5-id-%D0%98%D0%B4%D0%B5-1"><thead><tr><th>Поле</th><th>Описание</th></tr></thead><tbody><tr><td>**ID**</td><td>Идентификатор правила.</td></tr><tr><td>**Title**</td><td>Название.</td></tr><tr><td>**Description**</td><td>Описание.</td></tr><tr><td>**Severity**</td><td>Уровень серьёзности.</td></tr><tr><td>**Actions**</td><td>Кнопка загрузки полного файла правила.</td></tr></tbody></table>

#### Suricata‑правила

<table id="bkmrk-%D0%9F%D0%BE%D0%BB%D0%B5-%D0%9E%D0%BF%D0%B8%D1%81%D0%B0%D0%BD%D0%B8%D0%B5-id-%D0%98%D0%B4%D0%B5-2"><thead><tr><th>Поле</th><th>Описание</th></tr></thead><tbody><tr><td>**ID**</td><td>Идентификатор.</td></tr><tr><td>**Content**</td><td>Текст правила (первые 100 символов).</td></tr><tr><td>**Actions**</td><td>Кнопка загрузки.</td></tr></tbody></table>

### Отчёты (Reports)

Список отчётов, относящихся к подтехнике. Клик по строке раскрывает детали.

<table id="bkmrk-%D0%9F%D0%BE%D0%BB%D0%B5-%D0%9E%D0%BF%D0%B8%D1%81%D0%B0%D0%BD%D0%B8%D0%B5-date-%D0%94"><thead><tr><th>Поле</th><th>Описание</th></tr></thead><tbody><tr><td>**Date**</td><td>Дата публикации.</td></tr><tr><td>**Group**</td><td>Группа отчёта – **APT**, **Crimeware**, **Industrial**.</td></tr><tr><td>**Report ID**</td><td>Идентификатор отчёта (кликабельно открывает полное описание).</td></tr><tr><td>**Report**</td><td>Название, краткое резюме, ссылки на загрузку в разных форматах.</td></tr><tr><td>**Tags**</td><td>Теги отчёта.</td></tr></tbody></table>

#### Примерный чек‑лист

<table id="bkmrk-%E2%84%96-%D0%94%D0%B5%D0%B9%D1%81%D1%82%D0%B2%D0%B8%D0%B5-%D0%9E%D0%B6%D0%B8%D0%B4%D0%B0%D0%B5%D0%BC%D1%8B%D0%B9-1"><thead><tr><th>№</th><th>Действие</th><th>Ожидаемый результат</th></tr></thead><tbody><tr><td>1</td><td>Открыть релевантную **Technique** из heat‑map (например, *Boot or Logon Autostart Execution*).</td><td>Переход к странице техники.</td></tr><tr><td>2</td><td>Перейти к подтехнике (например, *Registry Run Keys / Startup Folder*).</td><td>Переход к странице подтехники.</td></tr><tr><td>3</td><td>Прокрутить до **Procedure examples** и нажать **Export**.</td><td>Файл JSON с примерами процедур скачан.</td></tr><tr><td>4</td><td>Прокрутить до **Rules**.</td><td>Виден список доступных Sigma/Suricata/EDR‑правил, их можно экспортировать.</td></tr></tbody></table>

---

## Тест 3 – Идентификация актуальных для компании актёров‑угроз и их инструментов

### Актёры

На странице **Threat Landscape → Actors** отображается список профилей актёров. Каждый профиль содержит:

- общий обзор, поражённые страны, алиасы, жертвы, кампании, наборы инструментов, внешние ссылки.

<table id="bkmrk-%D0%9F%D0%BE%D0%BB%D0%B5-%D0%9E%D0%BF%D0%B8%D1%81%D0%B0%D0%BD%D0%B8%D0%B5-id-%D0%98%D0%B4%D0%B5-3"><thead><tr><th>Поле</th><th>Описание</th></tr></thead><tbody><tr><td>**ID**</td><td>Идентификатор актёра.</td></tr><tr><td>**Name**</td><td>Основное имя (кликабельно → профиль).</td></tr><tr><td>**Description**</td><td>Краткое описание.</td></tr><tr><td>**Aliases**</td><td>Список алиасов.</td></tr><tr><td>**Industries**</td><td>Целевые отрасли.</td></tr><tr><td>**Countries**</td><td>Страны/регионы, где происходили атаки.</td></tr><tr><td>**Updated**</td><td>Дата последнего обновления.</td></tr></tbody></table>

#### Профиль актёра

- **General information** – имя, группа (APT/Crimeware), иконка, алиасы.
- **CVEs** – уязвимости, которые актёр использует.
- **Software** – инструменты/вредоносное ПО, применяемое актёром (кликабельно → профиль ПО).
- **TTPs Details** – таблица MITRE ATT&amp;CK TTP, используемых актёром (можно экспортировать в JSON).
- **Reports** – список относящихся к актёру отчётов (с датой, группой, ID, названием, тегами).

#### Пример действий

<table id="bkmrk-%E2%84%96-%D0%94%D0%B5%D0%B9%D1%81%D1%82%D0%B2%D0%B8%D0%B5-%D0%9E%D0%B6%D0%B8%D0%B4%D0%B0%D0%B5%D0%BC%D1%8B%D0%B9-2"><thead><tr><th>№</th><th>Действие</th><th>Ожидаемый результат</th></tr></thead><tbody><tr><td>1</td><td>Открыть вкладку **Actors**, отфильтровать **Affected Countries** → *Россия* и **Industries** → *Государственный сектор*.</td><td>Список актёров, соответствующих фильтрам.</td></tr><tr><td>2</td><td>Выбрать актёра (пример – *Angry Likho*).</td><td>Откроется профиль с описанием, TTP, отчётами.</td></tr><tr><td>3</td><td>В разделе **TTPs Details** нажать **Download JSON**.</td><td>Скачан JSON‑файл со всеми TTP.</td></tr><tr><td>4</td><td>В секции **Reports** просмотреть последние отчёты.</td><td>Список доступных отчётов.</td></tr><tr><td>5</td><td>Перейти к связанному **Software** (пример – *Lumma Stealer*).</td><td>Появится профиль ПО с описанием, возможностями детекции и TTP.</td></tr><tr><td>6</td><td>В **Procedure examples** нажать **Download JSON**.</td><td>Скачан JSON со списком хешей.</td></tr><tr><td>7</td><td>**Дополнительно**: сформировать heat‑map, выбрав страну, актёра, отрасль и платформу (например, *Windows*).</td><td>Получена кастомизированная матрица ATT&amp;CK.</td></tr></tbody></table>

### Программное обеспечение (Software)

На странице **Threat Landscape → Software** перечисляются инструменты, используемые в APT‑кампаниях.

<table id="bkmrk-%D0%9F%D0%BE%D0%BB%D0%B5-%D0%9E%D0%BF%D0%B8%D1%81%D0%B0%D0%BD%D0%B8%D0%B5-id-%D0%98%D0%B4%D0%B5-4"><thead><tr><th>Поле</th><th>Описание</th></tr></thead><tbody><tr><td>**ID**</td><td>Идентификатор ПО.</td></tr><tr><td>**Name**</td><td>Наименование (кликабельно → профиль).</td></tr><tr><td>**Aliases**</td><td>Альтернативные имена.</td></tr><tr><td>**Platforms affected**</td><td>Уязвимые/затронутые платформы.</td></tr><tr><td>**Related threat actors**</td><td>Актёры, использующие ПО.</td></tr><tr><td>**Updated**</td><td>Дата последнего обновления.</td></tr></tbody></table>

#### Профиль программного обеспечения

- **Description** – цель и функции.
- **Exploited vulnerabilities** – уязвимости, которые ПО использует.
- **TTPs Details** – таблица MITRE ATT&amp;CK TTP (экспорт в JSON).
- **Procedure examples** – хеши, примеры файлов.

#### Пример действий (см. таблицу выше)

---

## Mitigations (смягчения)

Раздел **Mitigations** предоставляет сведения о мерах и технологиях, которые могут предотвратить успешное выполнение техники или подтехники.

<table id="bkmrk-%D0%9F%D0%BE%D0%BB%D0%B5-%D0%9E%D0%BF%D0%B8%D1%81%D0%B0%D0%BD%D0%B8%D0%B5-id-%D0%98%D0%B4%D0%B5-5"><thead><tr><th>Поле</th><th>Описание</th></tr></thead><tbody><tr><td>**ID**</td><td>Идентификатор смягчения.</td></tr><tr><td>**Name**</td><td>Наименование (кликабельно → подробный профиль).</td></tr><tr><td>**Updated**</td><td>Дата/время последнего обновления.</td></tr></tbody></table>

Поиск возможен по имени или ID.

---

## Чек‑лист результатов тестов

<table id="bkmrk-%E2%84%96-%D0%9A%D1%80%D0%B8%D1%82%D0%B5%D1%80%D0%B8%D0%B9-%D1%83%D1%81%D0%BF%D0%B5%D1%85%D0%B0-%D0%94%D0%BE"><thead><tr><th>№</th><th>Критерий успеха</th><th>Достигнуто (да/нет)</th><th>Комментарий</th></tr></thead><tbody><tr><td>**1.** Создать heat‑map MITRE ATT&amp;CK</td><td></td><td></td><td></td></tr><tr><td>1.1</td><td>После выбора отрасли – heat‑map обновилась в реальном времени.</td><td>**Да**</td><td></td></tr><tr><td>1.2</td><td>После выбора географии – heat‑map обновилась в реальном времени.</td><td>**Да**</td><td></td></tr><tr><td>1.3</td><td>Фильтры легко фокусируют информацию о релевантных TTP.</td><td>**Да**</td><td></td></tr><tr><td>1.4</td><td>Threat Landscape предоставляет сводку по топ‑TTP и ПО.</td><td>**Да**</td><td></td></tr><tr><td>**2.** Предоставить практичную информацию о TTP</td><td></td><td></td><td></td></tr><tr><td>2.1</td><td>Лёгкий доступ к детальной информации о тактиках/техниках/подтехниках.</td><td>**Да**</td><td></td></tr><tr><td>2.2</td><td>Возможность собрать **procedure examples**.</td><td>**Да**</td><td></td></tr><tr><td>2.3</td><td>Экспорт примеров процедур в нужном формате (JSON).</td><td>**Да**</td><td></td></tr><tr><td>2.4</td><td>Предоставляются Sigma‑правила.</td><td>**Да**</td><td></td></tr><tr><td>2.5</td><td>Предоставляются Suricata‑правила.</td><td>**Да**</td><td></td></tr><tr><td>2.6</td><td>Предоставляются EDR‑правила (при наличии лицензии).</td><td>**Да**</td><td></td></tr><tr><td>**3.** Идентифицировать актёров и их инструменты</td><td></td><td></td><td></td></tr><tr><td>3.1</td><td>Лёгкий поиск актёров, релевантных компании.</td><td>**Да**</td><td></td></tr><tr><td>3.2</td><td>Экспорт TTP актёров в другие системы.</td><td>**Да**</td><td></td></tr><tr><td>3.3</td><td>Быстрый доступ к TI‑отчётам по актёрам.</td><td>**Да**</td><td></td></tr><tr><td>3.4</td><td>Возможность найти ПО, используемое актёрами.</td><td>**Да**</td><td></td></tr><tr><td>3.5</td><td>Экспорт примеров процедур, использованных актёрами.</td><td>**Да**</td><td></td></tr></tbody></table>

---

## Отчётность

### Исполнительное резюме

Совместный обмен разведданными – ключ к стратегии безопасности любой организации. Проблема большинства компаний – смешивание **информации** и **разведки**: без контекста «терабайты» данных мало что значат.

Наша позиция – предоставлять **глубокую аналитическую разведку** (APT‑кампании, финансово‑мотивированные группы, такие как Duqu, Carbanak, The Flame, Careto, Equation Group) и одновременно сохранять практический контекст для оперативного использования.

### Цель сервиса

**Kaspersky APT Intelligence Reporting** – надёжный аналитический сервис, дающий:

- сведения о текущих APT‑кампаниях, тактиках, техниках, инструментах и IOC;
- рекомендации по обнаружению и смягчению;
- executive‑summary для руководства;
- техническую детализацию для аналитиков.

**Kaspersky Crimeware Intelligence Reporting** – информирует о кампаниях, направленных на финансовый сектор, банковские системы и платежные шлюзы.

### Процедуры тестирования

Сервис предоставляет четыре типа отчётов:

1. **APT‑отчёты** (конкретные атаки) – executive‑summary, детальное описание, выводы и рекомендации, приложения (технический анализ, IOC, C2, хеши, маппинг MITRE ATT&amp;CK).
2. **Crimeware‑отчёты** (анализ криминального ПО).
3. **Researcher notes** – дополнительные заметки от аналитиков.
4. **Monthly APT activity report** – обзор активности за месяц.

Фильтрация по **Tags** (Industry, Geolocation, Threat Actor). С помощью колонки **Group** можно отделить APT‑отчёты от Crimeware‑отчётов.

#### Тест 4 – Работа с актёрами и ПО

<table id="bkmrk-%E2%84%96-%D0%94%D0%B5%D0%B9%D1%81%D1%82%D0%B2%D0%B8%D0%B5-%D0%9E%D0%B6%D0%B8%D0%B4%D0%B0%D0%B5%D0%BC%D1%8B%D0%B9-3"><thead><tr><th>№</th><th>Действие</th><th>Ожидаемый результат</th></tr></thead><tbody><tr><td>1</td><td>Открыть вкладку **Reporting**, отфильтровать по тегу **Geo → Россия** и **Industry → Government**.</td><td>Показаны отчёты, соответствующие выбранным тегам.</td></tr><tr><td>2</td><td>Найти нужный отчёт и кликнуть по **Report ID** (пример – *Awaken Likho*).</td><td>Открыт детальный отчёт.</td></tr><tr><td>3</td><td>Скачать **Report (En)** (PDF).</td><td>PDF‑файл скачан и открывается.</td></tr><tr><td>4</td><td>Скачать **IoC** (OpenIOC) и открыть в текстовом редакторе.</td><td>Список IOC получен.</td></tr><tr><td>5</td><td>Скачать **Yara**‑правила и открыть в редакторе.</td><td>Правила Yara получены.</td></tr></tbody></table>

---

## Kaspersky Threat Lookup

### Исполнительное резюме

**Threat Lookup** предлагает единый веб‑сервис, собирающий всю накопленную Kaspersky информацию о киберугрозах и их взаимосвязях. Цель – дать команде безопасности максимум данных для предотвращения атак до их возникновения.

**Ключевые возможности**

- **Надёжная разведка** – проверенные данные, низкий уровень ложных срабатываний.
- **Реальное время** – автоматическая генерация данных по всему миру.
- **Threat hunting** – проактивный поиск, раннее обнаружение.
- **Широкий спектр данных** – хеши, URL, IP, WHOIS/DNS, pDNS, GeoIP, атрибуты файлов, цепочки загрузок, timestamps и пр.
- **Непрерывная доступность** – отказоустойчивая инфраструктура.
- **Экспорт в STIX, OpenIOC, JSON, Yara, Snort, CSV**.
- **Web‑интерфейс и REST‑API**.

### Процедуры тестирования

- Поиск индикаторов (IP, домен, хеш, URL) через веб‑интерфейс или API.
- Оценка статуса (malicious, clean, unknown и т.п.).
- Просмотр подробностей (WHOIS, DNS, связанные файлы, URL‑маски, спам‑/фишинг‑атаки).
- Кнопки **Open in research graph**, **Copy request**, **Export all results** (CSV, OpenIOC, STIX).

#### Пример анализа хеша

<table id="bkmrk-%D0%9F%D0%BE%D0%BB%D0%B5-%D0%9E%D0%BF%D0%B8%D1%81%D0%B0%D0%BD%D0%B8%D0%B5-status"><thead><tr><th>Поле</th><th>Описание</th></tr></thead><tbody><tr><td>**Status**</td><td>Малисийный/чистый/неизвестный.</td></tr><tr><td>**Hits**</td><td>Популярность (сколько раз обнаружен).</td></tr><tr><td>**First/Last seen**</td><td>Дата первого/последнего появления.</td></tr><tr><td>**Format**</td><td>Формат файла.</td></tr><tr><td>**Size**</td><td>Размер (байт).</td></tr><tr><td>**Signed by / Packed by**</td><td>Подписант / упаковщик.</td></tr><tr><td>**MD5 / SHA‑1 / SHA‑256**</td><td>Хеши.</td></tr><tr><td>**Category**</td><td>Принадлежность к APT.</td></tr><tr><td>**Reports**</td><td>Ссылка на связанные отчёты (при наличии лицензии).</td></tr><tr><td>**Data Feeds**</td><td>Список фидов, содержащих объект.</td></tr><tr><td>**Industries**</td><td>Отрасли, где объект встречался.</td></tr></tbody></table>

#### Пример анализа IP‑адреса

<table id="bkmrk-%D0%9F%D0%BE%D0%BB%D0%B5-%D0%9E%D0%BF%D0%B8%D1%81%D0%B0%D0%BD%D0%B8%D0%B5-status-1"><thead><tr><th>Поле</th><th>Описание</th></tr></thead><tbody><tr><td>**Status**</td><td>Рискованность.</td></tr><tr><td>**Hits**</td><td>Популярность.</td></tr><tr><td>**First/Last seen**</td><td>Даты появления.</td></tr><tr><td>**Threat scope**</td><td>Оценка (0‑100).</td></tr><tr><td>**Owner name / ID**</td><td>Владелец.</td></tr><tr><td>**Created / Updated**</td><td>Даты регистрации/обновления.</td></tr><tr><td>**Category**</td><td>Категория.</td></tr><tr><td>**Reports / Data Feeds / Industries**</td><td>Аналогично хешам.</td></tr></tbody></table>

#### Пример анализа домена/URL

<table id="bkmrk-%D0%9F%D0%BE%D0%BB%D0%B5-%D0%9E%D0%BF%D0%B8%D1%81%D0%B0%D0%BD%D0%B8%D0%B5-status-2"><thead><tr><th>Поле</th><th>Описание</th></tr></thead><tbody><tr><td>**Status**, **IPv4 count**, **Files count**, **Created**, **Expires**, **Domain**, **Registrar**, **Owner**, **Category**, **Reports**, **Data Feeds**, **Industries**</td><td>Как в таблицах выше.</td></tr></tbody></table>

### Тест 5 – Работа с Threat Lookup

<table id="bkmrk-%E2%84%96-%D0%94%D0%B5%D0%B9%D1%81%D1%82%D0%B2%D0%B8%D0%B5-%D0%9E%D0%B6%D0%B8%D0%B4%D0%B0%D0%B5%D0%BC%D1%8B%D0%B9-4"><thead><tr><th>№</th><th>Действие</th><th>Ожидаемый результат</th></tr></thead><tbody><tr><td>1</td><td>Ввести IP *81.0.236.93* в **Master search**. Проверить Overview, WHOIS, Timeline, Files related.</td><td>Показаны результаты поиска.</td></tr><tr><td>2</td><td>В секции **Files related to IP address** нажать **Download data**.</td><td>CSV‑файл со списком файлов скачан.</td></tr><tr><td>3</td><td>Поиск в системе по одному из хешей (пример *093B946FD1C80071AA0AE912D7362FAA*). Перейти к **Files downloaded from web address** и открыть URL.</td><td>Показаны результаты по выбранному хешу и URL.</td></tr><tr><td>4</td><td>В **Files that accessed the requested web address** кликнуть хеш → открывается страница хеша.</td><td>Показан список хешей.</td></tr><tr><td>5</td><td>Прокрутить к **TTPs details** для данного хеша.</td><td>Видны детали TTP.</td></tr></tbody></table>

### AI OSINT IoCs

Раздел **AI OSINT IoCs** автоматически генерирует резюме из открытых источников (соцсети, блоги, форумы) по запрошенному индикатору.

- Возможные поля в AI‑резюме: **Observed**, **Threat actors**, **Affected areas**, **Affected industries**, **Associated software**, **Exploited vulnerabilities**, **Exploited weaknesses**, **General threat information**, **Highlights**.

#### Тест 6 – Работа с AI OSINT IoC

<table id="bkmrk-%E2%84%96-%D0%94%D0%B5%D0%B9%D1%81%D1%82%D0%B2%D0%B8%D0%B5-%D0%9E%D0%B6%D0%B8%D0%B4%D0%B0%D0%B5%D0%BC%D1%8B%D0%B9-5"><thead><tr><th>№</th><th>Действие</th><th>Ожидаемый результат</th></tr></thead><tbody><tr><td>1</td><td>На главной странице кликнуть по индикатору (пример *346C29015AFE9380B6499F5A88CDDBB7*), открыть вкладку **OSINT IoCs**.</td><td>Переход к Look‑up‑tab.</td></tr><tr><td>2</td><td>Проверить AI‑генерированную карточку.</td><td>Карточка отображается сверху.</td></tr></tbody></table>

### Сохранённые поиски (Saved Searches)

Позволяют задать периодические запросы (ежедневно) для отслеживания изменений индикаторов.

#### Тест 7 – Работа со Saved Searches и Research Graph

<table id="bkmrk-%E2%84%96-%D0%94%D0%B5%D0%B9%D1%81%D1%82%D0%B2%D0%B8%D0%B5-%D0%9E%D0%B6%D0%B8%D0%B4%D0%B0%D0%B5%D0%BC%D1%8B%D0%B9-6"><thead><tr><th>№</th><th>Действие</th><th>Ожидаемый результат</th></tr></thead><tbody><tr><td>1</td><td>В **Saved Searches** создать запрос, отслеживающий файлы, обращающиеся к вашему домену (пример: `Request → kaspersky.com`, `Service → Lookup`, `Section → Files accessing domain`, `Name → test`).</td><td>Открыта страница создания поискового запроса.</td></tr><tr><td>2</td><td>Через 24 ч проверить результаты.</td><td>Появится AI‑карточка с новыми данными.</td></tr><tr><td>3</td><td>Ввести IP в **Master search**, нажать **Open in research graph**.</td><td>Откроется страница графа.</td></tr><tr><td>4</td><td>Правой кнопкой мыши по группе объектов → **Show grouped nodes**, найти нужный хеш, перетащить в граф.</td><td>Хеш добавлен в граф.</td></tr></tbody></table>

---

## Kaspersky Threat Analysis

### Исполнительное резюме

Традиционные антивирусы способны остановить лишь известные угрозы. Сегодня необходимы **аналитика поведения, атрибуция и технологии сходства**, позволяющие обнаруживать ранее невидимый малвер. Kaspersky Threat Analysis объединяет:

- **Cloud Sandbox** – динамический анализ поведения.
- **Attribution Engine** – определение источника/автора APT‑образцов.
- **Similarity** – поиск файлов, схожих по поведению и структуре.

Эти инструменты позволяют ускорить приоритизацию инцидентов и автоматизировать рутинные задачи.

### Kaspersky Research Sandbox (облачная версия)

- Гибридный подход: эмуляция поведения + анти‑эвейшн‑техники.
- Патент US10339301.
- Автоматическое ускорение времени внутри ВМ, когда малвер пытается «замедлиться» в VM.

#### Как загрузить и проанализировать файл

1. **Upload and execute file** – выбрать файл (или drag‑and‑drop). Максимальный размер – 256 МБ.
2. Выбрать нужные технологии: **Sandbox**, **Attribution**, **Similarity** (по умолчанию только Sandbox).
3. При необходимости указать **Archive password**, **Document password**, **Internet channel** (Any, Tor, Tarpit, отдельные страны).
4. Выбрать **File execution environment** (Windows XP, 7 x86/64, 10 x64, Android x86/ARM).
5. При желании задать **Execution time**, **Decrypt HTTPS**, **Click links**, **Command line parameters**.
6. Нажать **Start analysis** → ожидать завершения (в **Recent results** статус *Completed*).

#### Выводы Sandbox

- **Summary** – карта активности, скриншоты, сетевые запросы.
- **Results** – обнаруженные угрозы, правила, сетевые активности.
- **Static analysis** – только для Android.
- **System activities**, **Extracted files**, **Network activities** – детальная информация.
- Для каждой секции доступна кнопка **Download data** (CSV, JSON, STIX, ZIP).

#### Тест 8 – Анализ подозрительного файла в Cloud Sandbox

<table id="bkmrk-%E2%84%96-%D0%94%D0%B5%D0%B9%D1%81%D1%82%D0%B2%D0%B8%D0%B5-%D0%9E%D0%B6%D0%B8%D0%B4%D0%B0%D0%B5%D0%BC%D1%8B%D0%B9-7"><thead><tr><th>№</th><th>Действие</th><th>Ожидаемый результат</th></tr></thead><tbody><tr><td>1</td><td>Скачать образец по ссылке `https://support.kaspersky.com/common/diagnostics/7399`, загрузить в **Threat Analysis**, нажать **Start file analysis**, после завершения открыть **Sandbox**.</td><td>Появятся результаты анализа, summary в верхней части.</td></tr><tr><td>2</td><td>Кликнуть **Malware** в разделе **Detects**.</td><td>Показаны названия детекций.</td></tr><tr><td>3</td><td>Прокрутить до **Execution map**.</td><td>Отображаются действия файла в системе.</td></tr><tr><td>4</td><td>Прокрутить до **Screenshots**.</td><td>Показаны скриншоты выполнения.</td></tr><tr><td>5</td><td>Нажать **Export Results → Debug report**.</td><td>Скачан zip‑архив (пароль *infected*) со всеми API‑вызовами.</td></tr></tbody></table>

### Kaspersky Attribution Engine (облачная версия)

- Сравнивает загруженный файл с базой более **80 000** APT‑образцов и 25‑летней коллекцией «чистых» файлов.
- Выдаёт **Summary**, **Sample &amp; Content**, **Similar samples**, **Matched genotypes**, **Matched strings**.
- Экспорт в **JSON, STIX, CSV**.

### Kaspersky Similarity

- Ищет файлы с похожими хешами (50+ типов similarity‑hashes).
- Отображает **Summary**, **Sample &amp; Content**, **Similar files**, **Confidence** (8‑11), **Statistics**, **Detection names**, **Status summary**.

---

## Threat Infrastructure Tracking

### Исполнительное резюме

Сервис **Threat Infrastructure Tracking** выдаёт IP‑адреса инфраструктуры, связанной с продвинутыми угрозами (C2‑серверы, хостинг‑провайдеры и пр.). Обновляется ежедневно, содержит:

- IP, дата первого/последнего появления, домен, страна, тип IP, теги, краткое описание.

IP‑адреса доступны в машинно‑читаемом виде (JSON/CSV) для интеграции в существующие решения.

### Процедуры тестирования

- Доступен в **Threat Intelligence Portal** → вкладка **Active feed** (список IP) и **History** (история активности).
- Фильтрация по стране.

#### Тест 9 – Работа с вкладкой Threat Infrastructure

<table id="bkmrk-%E2%84%96-%D0%94%D0%B5%D0%B9%D1%81%D1%82%D0%B2%D0%B8%D0%B5-%D0%9E%D0%B6%D0%B8%D0%B4%D0%B0%D0%B5%D0%BC%D1%8B%D0%B9-8"><thead><tr><th>№</th><th>Действие</th><th>Ожидаемый результат</th></tr></thead><tbody><tr><td>1</td><td>Открыть **Threat Infrastructure**.</td><td>Показан список IP‑адресов, принадлежащих C2.</td></tr><tr><td>2</td><td>Нажать **Download data** → выбрать JSON или CSV. При нажатии на IP перейти в **Threat Lookup** для детального просмотра.</td><td>Скачан файл, пригодный для использования в виде Data Feed.</td></tr></tbody></table>

---

## Ссылки

- [https://www.kaspersky.com/](https://www.kaspersky.com/)
- [https://www.securelist.com](https://www.securelist.com)

© 2025 AO Kaspersky Lab. Все зарегистрированные товарные знаки и знаки обслуживания являются собственностью их владельцев.

---

**Примечание:** Некоторые разделы (например, таблицы с нумерацией «0», «1», «2») содержат placeholder‑значения в оригинальном документе; в переводе они оставлены без изменения. При необходимости уточните их контекст у поставщика услуги.

# DFI: Плейбук реагирования на инцидент

### **Сценарии реагирования на инцидент**

1. **Анализ причин (Root‑cause analysis)**
    
    
    - Сначала выясняем, что именно привело к утечке данных.
    - Составляем список недостающих мер контроля и разрабатываем план, как избежать подобных проблем в будущем.
    - Ключевые вопросы: какие‑то меры предотвращения угроз не были применены? Каков был доступ (внешний / внутренний) к системе?
2. **Обновление базовой модели угроз**
    
    
    - На основании новой информации меняем уровни опасности для конкретных злоумышленников и пересматриваем профиль угроз для затронутых систем.
    - При необходимости внедряем новые механизмы обнаружения, чтобы лучше ловить похожие атаки.
3. **Оценка человеческого фактора**
    
    
    - Анализируем, могла ли ошибка сотрудника стать причиной инцидента.
    - Если да – планируем и проводим тренировку по повышению осведомлённости пользователей (фишинг, безопасная работа с данными и т.д.).
4. **Обогащение контекста оповещения/инцидента**
    
    
    - Проверяем, какие данные были упущены на каждом этапе обработки CTI‑оповещения и инцидента.
    - Особое внимание уделяем шагам, где происходил обмен информацией между командами.
    - Планируем улучшения, чтобы в следующий раз весь необходимый контекст был доступен сразу.
5. **Обновление плана реагирования**  
    – На основе выявленных недостатков вносим правки в текущие процедуры и сценарии реагирования (добавляем новые шаги, меняем порядок действий).

---

## 1. Схема (BPMN‑диаграмма) уровня 1 – «Полный жизненный цикл инцидента»

```
+-------------------+      +----------------------+      +-------------------+
|   (Start)         | ---> | 1. Получить CTI‑     | ---> | 2. Классификация   |
|   Событие         |      |    оповещение        |      |    инцидента       |
|   «Обнаружение»   |      |    (авто)            |      |  (руч.)            |
+-------------------+      +----------------------+      +-------------------+
                                 |  (gateway)                     |
                                 v                               v
                     +----------------------+      +-------------------+
                     | 3. Автоматическая    | ---> | 4. Оценка риска   |
                     |    блокировка (SIEM) |      |    (T1/T2)        |
                     +----------------------+      +-------------------+
                                 |                               |
                                 v                               v
                     +----------------------+      +-------------------+
                     | 5. Ручной анализ     | ---> | 6. Обогащение     |
                     |    (SOC‑аналитик)    |      |    контекста      |
                     +----------------------+      +-------------------+
                                 |                               |
                                 v                               v
                     +----------------------+      +-------------------+
                     | 7. Корневой          | ---> | 8. Обновление     |
                     |    анализ (RCFA)     |      |    модели угроз   |
                     +----------------------+      +-------------------+
                                 |                               |
                                 v                               v
                     +----------------------+      +-------------------+
                     | 9. Тренинг/          | ---> |10. Обновление     |
                     |    коммуникация      |      |    плана RR       |
                     +----------------------+      +-------------------+
                                 |                               |
                                 v                               v
                     +----------------------+      +-------------------+
                     | 11. Закрытие         | ---> | (End) Событие      |
                     |    инцидента (End)   |      | «Инцидент закрыт» |
                     +----------------------+      +-------------------+

```

- **Стрелки** – переходы потока.
- **(gateway)** – точка принятия решения (одно‑или многопутевой шлюз).
- **(авто)** – автоматизированный шаг (скрипт, SIEM‑правило).
- **(руч.)** – действие, требующее участия аналитика.
- **T1/T2** – типы задач в соответствии с инструкциями (см. таблицу 2).

Эта схема построена на описанных в приложении элементах диаграмм: начальное и конечное событие, задачи (автоматизированные и ручные), шлюзы и вспомогательные процедуры \[1\].

---

## 2. Таблица 1. Элементы BPMN‑диаграммы и их техническое описание

<table id="bkmrk-%D0%AD%D0%BB%D0%B5%D0%BC%D0%B5%D0%BD%D1%82-%D0%A2%D0%B8%D0%BF-bpmn-%D0%A2%D0%B5%D1%85"><thead><tr><th>Элемент</th><th>Тип BPMN</th><th>Техническое назначение</th><th>Пример применения в сценарии</th></tr></thead><tbody><tr><td>**Событие (начальное)**</td><td>Event (Start)</td><td>Триггер, инициирующий процесс (получение CTI‑оповещения, обнаружение аномалии в SIEM).</td><td>«Обнаружение подозрительного размещения данных».</td></tr><tr><td>**Событие (конечное)**</td><td>Event (End)</td><td>Завершение процесса, фиксирование статуса инцидента.</td><td>«Инцидент закрыт».</td></tr><tr><td>**Задача (автоматизированная)**</td><td>Task (Service)</td><td>Выполняется скриптом/правилом SIEM, SOAR, API‑интеграцией.</td><td>Автоматическая блокировка IP‑адреса.</td></tr><tr><td>**Задача (ручная)**</td><td>Task (User)</td><td>Операция, требующая человеческого вмешательства (анализ логов, интервью с владельцем бизнес‑процесса).</td><td>Ручной анализ утечки в SOC.</td></tr><tr><td>**Задача T1/T2/T3**</td><td>Task (Manual)</td><td>Специфические задачи, привязанные к инструкциям (например, T1 – первичная оценка, T2 – детальный RCFA).</td><td>Задача T2 – корневой анализ причины.</td></tr><tr><td>**Задача, назначенная аналитику**</td><td>Task (User)</td><td>Операция, явно распределённая конкретному сотруднику (через тикет‑систему).</td><td>Тикет «RCFA‑2026‑04‑06‑001» назначен старшему аналитика.</td></tr><tr><td>**Шлюз (один путь)**</td><td>Exclusive Gateway</td><td>Выбор единственного ветвления на основе условия (например, “риск &gt; high → эскалация”).</td><td>Если уровень риска = high → перейти к задаче 8.</td></tr><tr><td>**Шлюз (много путей)**</td><td>Parallel Gateway</td><td>Параллельное выполнение нескольких веток без приоритета.</td><td>Одновременно запускать задачи 7 и 9.</td></tr><tr><td>**Вспомогательная процедура**</td><td>Sub‑Process</td><td>Выделенный под‑процесс, «свернутый» в диаграмме, выполняющий поддерживающие действия (например, «Формирование отчёта о вредоносном файле»).</td><td>Подпроцесс «Отчёт по DDoS‑атаке».</td></tr></tbody></table>

*Все определения взяты из приложенного файла \[1\].*

---

## 3. Таблица 2. Расширенный список задач с техническими деталями

<table id="bkmrk-%E2%84%96-%D0%9D%D0%B0%D0%B8%D0%BC%D0%B5%D0%BD%D0%BE%D0%B2%D0%B0%D0%BD%D0%B8%D0%B5-%D0%B7%D0%B0%D0%B4%D0%B0%D1%87"><thead><tr><th>№</th><th>Наименование задачи</th><th>Техническая реализация</th><th>Инструменты / Платформы</th><th>Выходные артефакты</th></tr></thead><tbody><tr><td>1</td><td>Приём CTI‑оповещения</td><td>API‑получение от внешних источников (MISP, Threat‑Intel‑Feeds)</td><td>MISP, OpenCTI, SOAR‑платформа</td><td>JSON‑сообщение, тикет в ServiceNow</td></tr><tr><td>2</td><td>Классификация инцидента</td><td>Правило в SIEM (Splunk, QRadar) → рейтинг CVSS/EPSS</td><td>Splunk ES, QRadar IR, Cortex XSOAR</td><td>Тег «DARKWEB\_LEAK», приоритет P1</td></tr><tr><td>3</td><td>Автоматическая блокировка</td><td>Playbook‑action: блокировать IP/URL в FW, обновить deny‑list</td><td>Palo Alto API, Cisco FMC, FortiGate</td><td>Запись в firewall‑лог</td></tr><tr><td>4</td><td>Оценка риска (T1/T2)</td><td>Корреляция с бизнес‑приоритетами, расчёт «impact»</td><td>ServiceNow Risk, RSA Archer</td><td>Risk‑score, рекомендация по эскалации</td></tr><tr><td>5</td><td>Ручной анализ (SOC)</td><td>Анализ логов, поиск IOC‑ов, запрос у владельцев</td><td>ELK, Graylog, Kibana, Wireshark</td><td>Аналитический отчёт (PDF)</td></tr><tr><td>6</td><td>Обогащение контекста</td><td>Enrichment – добавление WHOIS, Shodan, VirusTotal</td><td>VirusTotal API, PassiveTotal, Shodan</td><td>Обогащённый IOC‑пакет</td></tr><tr><td>7</td><td>Корневой анализ (RCFA)</td><td>5‑Why, Fishbone, построение тайм‑лайн</td><td>Miro, Lucidchart, JIRA</td><td>RCFA‑документ, диаграмма причин</td></tr><tr><td>8</td><td>Обновление модели угроз</td><td>Пересчёт ATT&amp;CK‑техник, обновление MITRE‑ATT&amp;CK matrix</td><td>ATT&amp;CK Navigator, ThreatModeler</td><td>Обновлённый ATT&amp;CK‑профиль</td></tr><tr><td>9</td><td>Тренинг/коммуникация</td><td>Плановое обучение, рассылка «lessons learned»</td><td>KnowBe4, LMS, Teams</td><td>Протокол обучения, feedback‑форма</td></tr><tr><td>10</td><td>Обновление плана реагирования (RR)</td><td>Версионирование плана в Git, CI/CD‑тестирование</td><td>GitLab, Confluence, Ansible</td><td>New‑RR‑v2.3 (PDF)</td></tr><tr><td>11</td><td>Закрытие инцидента</td><td>Финальный тикет‑статус = «Closed», пост‑мортем‑рекомендации</td><td>ServiceNow, JIRA, Confluence</td><td>Пост‑мортем‑отчёт, KPI‑отчёт</td></tr></tbody></table>

---

## 4. Технический поток данных (Data Flow Diagram – уровень 2)

<table id="bkmrk-%D0%A1%D1%82%D0%B5%D0%BF%D0%B5%D0%BD%D1%8C-%D0%98%D1%81%D1%82%D0%BE%D1%87%D0%BD%D0%B8%D0%BA-%2F-%D0%9F"><thead><tr><th>Степень</th><th>Источник / Приёмник</th><th>Путь передачи</th><th>Формат / Протокол</th><th>Описание</th></tr></thead><tbody><tr><td>1</td><td>Внешний Threat‑Intel‑Feed</td><td>HTTPS POST → SIEM</td><td>JSON</td><td>Приём новых IOC‑ов о публикации в дарк‑вебе.</td></tr><tr><td>2</td><td>SIEM → SOAR</td><td>REST API</td><td>JSON</td><td>Триггер автоматической блокировки и создания тикета.</td></tr><tr><td>3</td><td>SOAR → Firewall</td><td>API (XML/JSON)</td><td>HTTPS</td><td>Добавление IP/URL в deny‑list.</td></tr><tr><td>4</td><td>SOC‑аналитик → Wiki</td><td>Web‑UI</td><td>HTML/Markdown</td><td>Документирование анализа и выводов.</td></tr><tr><td>5</td><td>Wiki → Threat‑Modeling tool</td><td>Export/Import</td><td>CSV/JSON</td><td>Обновление модели угроз на основе новых тактик.</td></tr><tr><td>6</td><td>Training platform → End‑users</td><td>SMTP / LMS portal</td><td>HTML‑email</td><td>Рассылка обучающих материалов.</td></tr><tr><td>7</td><td>RR‑repository (Git) → CI/CD</td><td>Git push/pull</td><td>Git</td><td>Автоматическая проверка синтаксиса и публикация новой версии.</td></tr></tbody></table>

---

## 5. Пояснение к использованию шлюзов (gateways)

<table id="bkmrk-%D0%A8%D0%BB%D1%8E%D0%B7-%D0%9B%D0%BE%D0%B3%D0%B8%D0%BA%D0%B0-%D0%A2%D0%B5%D1%85%D0%BD%D0%B8%D1%87%D0%B5%D1%81"><thead><tr><th>Шлюз</th><th>Логика</th><th>Техническая реализация</th></tr></thead><tbody><tr><td>**Exclusive Gateway**</td><td>`if (risk_score >= 80) → путь A (эскалация)`  
`else → путь B (детальный анализ)`</td><td>BPMN‑правило в Camunda (`${riskScore >= 80}`)</td></tr><tr><td>**Parallel Gateway**</td><td>Запуск **задач 7 и 9** одновременно, без ожидания завершения первой</td><td>`parallelGateway` в BPMN‑модели, распределяем поток в два подпроцесса</td></tr></tbody></table>

---

## 6. Пример кода‑фрагмента (SOAR‑playbook) для пункта 3 «Автоматическая блокировка»

```yaml
# playbook.yaml – Cortex XSOAR
id: block_darkweb_ioc
name: Block IOC from DarkWeb leak
tasks:
  - name: Get IOC from incident
    script: GetIncidentIOC
    output:
      - ioc_ip
  - name: Add to firewall deny‑list
    script: PaloAltoBlockIP
    args:
      ip: ${ioc_ip}
    condition: ${ioc_ip} != None
  - name: Update ticket status
    script: UpdateTicket
    args:
      status: "In Progress"

```

Этот playbook реализует **автоматизированную задачу** (см. элемент «Задача Действие интеграции, которое может быть автоматизировано» в таблице 1) \[1\].

---

### Заключение

Схема, таблицы и примеры кода выше дают **техническое** представление о полном жизненном цикле реагирования на утечку данных в дарк‑вебе, используя строго определённые элементы BPMN‑диаграмм (начальное/конечное событие, задачи, шлюзы, вспомогательные процедуры) и интеграцию с реальными системами SOC/SIEM/SOAR \[1\]. При необходимости любую из ветвей (например, более детальный RCFA или автоматизацию блокировок) можно расширить отдельными под‑процессами, сохраняя совместимость с текущей схемой.