Skip to main content

Проблемы ICAP интеграции

Компонент KATA <del class="diffmod">Troubleshooting</del><ins class="diffmod">Directory Scanner (далее – KDS) расширяет функциональные возможности KATA</ins> и<ins class="diffins"> предназначен для сканирования общих папок на предмет вредоносного ПО.</ins></strong></h5><ins class="diffins"> </ins><h5 style="text-align: left;" id="bkmrk-%D0%A1%D1%86%D0%B5%D0%BD%D0%B0%D1%80%D0%B8%D0%B9-%D0%B8%D1%81%D0%BF%D0%BE%D0%BB%D1%8C%D0%B7%D0%BE%D0%B2%D0%B0%D0%BD"><strong><ins class="diffins">Сценарий использования:</ins></strong></h5><ins class="diffins"> </ins><p style="text-align: left;" id="bkmrk-"><ins class="diffins"> </ins></p><ul style="text-align: left; margin-top: 5px;" id="bkmrk-%D0%BD%D0%B0-kata-cn-%D0%BC%D0%BE%D0%BD%D1%82%D0%B8%D1%80%D1%83%D0%B5%D1%82"><ins class="diffins"> </ins><li><ins class="diffins">на KATA CN мо</ins>нт<ins class="diffins">иру</ins>е<ins class="diffins">тся три общих ресурса: input, output и quarantine;</ins></li><ins class="diffins"> </ins><li><ins class="diffins">на KATA CN устанавливается сервис KDS;</ins></li><ins class="diffins"> </ins><li><ins class="diffins">KDS отслеживает появление новых файлов в директории input и отправляет их по API на анализ в KATA;</ins></li><ins class="diffins"> </ins><li><ins class="diffins">KDS по API получает вердикты от KATA;</ins></li><ins class="diffins"> </ins><li><ins class="diffins">в случае, если признаки вредоносно</ins>г<ins class="diffins">о ПО не обнаружены, файлы перемещаются в директорию output; во всех остальных случаях файлы перемещаются в директорию quarantine.</ins></li><ins class="diffins"> </ins></ul><ins class="diffins"> <img src="http://62.113.113.15/uploads/images/gallery/2025-07/scaled-1680-/image-1752575240417.png" style="display: block; margin: 0 auto; max-width: 100%; height: auto;" id="bkmrk--1"> </ins><hr id="bkmrk--2"><ins class="diffins"> </ins><h5 style="text-align: left;" id="bkmrk-%D0%9E%D1%81%D0%BE%D0%B1%D0%B5%D0%BD%D0%BD%D0%BE%D1%81%D1%82%D0%B8-%D0%B8-%D0%BE%D0%B3%D1%80%D0%B0%D0%BD%D0%B8"><strong><ins class="diffins">Особенности и ограничения:</ins></strong></h5><ins class="diffins"> </ins><p style="text-align: left;" id="bkmrk-%D0%9A%D0%BE%D0%BC%D0%BF%D0%BE%D0%BD%D0%B5%D0%BD%D1%82-kds-%D0%BD%D0%B5-%D1%8F%D0%B2%D0%BB"><span style="color: rgb(0, 168, 142);"><strong><ins class="diffins">Компонент KDS не является официально поддерживаемым компонентом KATA, предназначен для демонст</ins>рации <ins class="diffins">расширения функциональных возможностей </ins>KATA
Troubleshootingс использованием API и предоставляегтся «как есть».

  • Один экземпляр сервиса KDS предназначен для рацботы с тремя директориями.
  • В директории KATA
input

сканируются и отправляются на анализ только файлы. Вложенные директории не сканируются, их иерархия не восстанавливается в директориях output и quarantine.

  • Файлы размером более 100 Мб пропускаются и остаются в директории input без изменений.
  • В директорию quarantine перемещаются все файлы с вердиктом отличным от «not detected», в том числе, если произошла ошибка сканирования («error») или превышен таймаут ожидания («timeout»).
  • Если посфайл уже существует в директории input или quarantine, то он заменяется новым.
    • Необходимые файлы:

    Для того чтобы скачать файлы: kata-dir-scanner.service, kata_dir_scanner.py и kata_dir_scanner.conf, обратитесь к команде pre-sale инженеров команды AntiApt.

    Настройкиа нета стороне KATA CN

    ВАЖНО! Зарабатываний или активности в графиках, выполнитее следующие действия:

    Проверка сетевой взчаимосвязанности
    1. Проверьте соединение между CN/Sensor и Proxy по порту 1344 с помощью tcpdump:
    tcpdump -i  port 1344 -nn
    • Повторно сгенерируйте пакетрафик (напримерcifs-utils.deb, загрузите файл через прокси).
    • Убедитесь, чтго tcpdumpна фиксирует пакеты при обмене между ProxyCN и Sensor.
    Сбор tcpdump для устанализа трафика
    1. Для проверки соединения по порту 1344 между CN/Sensor и ProxyServer выполните нас каждой из сторон:
    tcpdump -i  port 1344 -nn -w capture_filename.pcap
    • Эти файлы в формате PCAP удобно анализировать в инструментах типа Wireshark.
    1. Для выгрузки файлов исполмощьзуйте SCP/WinSCP, например:
    • Подключитесь к CN/Sensor или ProxyServer.
    • Перейдите в каталог, где сохранён tcpdump (например, /home/admin/).
    • Скачайте файл на локальный компьютеранды:

      apt install .
    Проверка логов системы
    /cifs-utils.deb
    1. Подключитесь к CN/SensorKATA через SSH иCN по SSH. Перейдите в раздел Technical Support Mode.Mode.
    2. ДСоздайте структуру директорий input, output и quarantine.
      mkdir /mnt/in

      mkdir /mnt/out

      mkdir /mnt/qrnt
    3. Создайте файл с учетными данными для выгдоступа к общим ресузкрсам (username и логовpassword выползамените:
    на свои).
    sudo su
kata-collect-siem-logs log-history --output-dirvi /tmp --no-compress
root/.kata-collect-siem-logs log-detects --output-dir /tmp --no-compresssecret

    username=<username>

    password=<password>
    ВАЖНО!
    • В log-history.log сПодержльзователь должен иметь досятуп записи обо всехк проверяемой директории
    • Добавьте в конныхец файла /etc/fstab следующие строки (удаленный хост замените на свои).
      \\<IP or FQDN>\in /mnt/in cifs credentials=/root/.kata-secret 0 0

      \\<IP or FQDN>\out /mnt/out cifs credentials=/root/.kata-secret 0 0

      \\<IP or FQDN>\qrnt /mnt/qrnt cifs credentials=/root/.kata-secret 0 0
    • ВПримонтируйте все ресурсы.
      log-detects.logmount -a
    • Подготовьте ключевую информацияю.
      openssl обreq объектах,-x509 вызвавших-newkey срабатываrsa:2048 -keyout ./server.key -out ./server.crt -days 365 -nodes

      cat server.crt server.key > cert.pem
    • Иния.
    1. Скциачализируйте жуподключение стороналней системы ск пKATA. Для этого необходимощ отправить лю SCP/WinSCP из каталбога /tmp.
    2. Вй файл нах проверку с использованием подготовленного сертификата.
      Подготавливаем найUUID:

      python3 -c "import uuid; print(uuid.uuid4())"

      curl -k --noproxy '*' --cert ./cert.pem --key ./server.key -F scanId=f2df00bc-c6b0-4bcf-b20b-040e02f08de9 -F objectType=file -F content=@ -X

      POST https://localhost:443/kata/scanner/v1/sensors//scans
    3. Подтвердите запироси на по дключение со стороны KATA CN.

    4. Создайте директорию.
      mkdir /opt/kata-dir-scanner/
    5. Скопируйте вому /opt/kata-dir-scanner/ следующие файлы.
      kata_dir_scanner.py

      kata_dir_scanner.conf

      cert.pem

      server.key
    6. Скопируйте в /etc/systemd/system/ следующий файл.
      kata-dir-scanner.service
    7. Отредактируйте конфигурационный файл (измените system_id на свой).
      vi kata_dir_scanner.conf
      {
      "in_dir": "/mnt/in/",
      "out_dir": "/mnt/out/",
      "qrnt_dir": "/mnt/qrnt/",
      "cert_pem": "/opt/kata-dir-scanner/cert.pem",
      "cert_key": "/opt/kata-dir-scanner/server.key",
      "kata_cn_addr": "localhost",
      "system_id": ""
      }
    8. Запустите сервис KDS.
      systemctl daemon-reload

      systemctl start kata-dir-scanner.service

      systemctl status kata-dir-scanner.service
    9. Добавьте сервис в автозагрузку.
      systemctl enable kata-dir-scanner.service
    10. Установка и настройка сервиса KDS завершена. Логи работы KDS можно посмотреть используя ICAP,следующую чткоманду:
      tail -f /var/log/kata-dir-scanner.log
    11. События, связанные с обнарубжением вредионосного ПО, достьсяупны в web-консоли KATA.
    Настройка и исполуьзование списка исключений:

    1. В директории /opt/kata-dir-scanner/ создайте файл exclude_list.txt. В exclude_list.txt построчно запишите имена файлов и расширения, которые нужно исключить из пересылки на анализ в KATA.
      Наприме трафика от ICAP-клиента:
      File1.txt
      *.doc
      File2.py
      *.pdf
    Просимотер логов сработки

    Для просмотра логов работы ICAP на стороне CN/Sensor подключитесь через SSH и выполните: 

    sudo su
cat /var/log/kaspersky/services/preprocessor_icap/preprocessor_icap.log

    Для удобства анализа используйте фильтрацию:

    • Стандартный режим:
    grep --color 'blocking_simple mode' /var/log/kaspersky/services/preprocessor_icap/preprocessor_icap.log | grep 'verdict'
    • Расширенный режим:
    grep --color 'blocking_advanced mode' /var/log/kaspersky/services/preprocessor_icap/preprocessor_icap.log | grep 'verdict'
    Советы по созданию заявки в службу технической поддержкиKDS:

    Чтобы

      ускорить решение возможных
    1. На проблверяемом хосте открываем папку in и сокхратить время обработки заявки, рекомендуется:

      • Соберите как можно больше информации об установке KATA и KEDR:
        • модель и характеристики оборудования,
        • уровень трафика,
        • типы интеграции,
        • версии программного обеспечения,
        • даты возникновения проблемы.
      • Обязательно приложите актуальные логи:
        • журнал системы,
        • tcpdump с обеих стовый вирон (ICAP-клиент и ICAP-сервер),
        • collect log с CN/Sensor.
      • Четко опишите суть проблемы, при каких условиях она возникает, и шаги для воспроизведения.
      Сбор диагностической информации (Collect log) с Central Node/Sensor
      1. Подключитесь по SSH к CN или Sensor.
      2. Перейдите в Technical Support Mode, подтвердив переход в терминал.
      3. Запку qrnt. Вирустите сбор логов:
      sudo su
kata-collect
      1. После завершения команда выведет имя и путь созданного архива с логами, по умолчанию:
      /tmp/collect/collect-.tar.gz
      1. Скачайте файл был автоматически отправлен в папку qrnt.
      2. Перейдите в web-консоль KATA CN, зайдите SCP/WinSCPв раздел обнаружения из видим сработкаталогу на /tmp/collect/тестовый вирус.
      3. Перейдите в обнаружение. Здесь можно увидеть всю необходимости удалите файл, чтобы освободить местою на сервере:
      rm -f /tmp/collect/collect*
      Либо
      Воспользоваться SSHм интефорфейсом Technical Support Mode
      Technical Support Mode

      Данная инструкцияю.

      2. подходит для следующих компонентов: CN, SCN, PCN, Sensor.

      К
    2. Нак собрать логи history и detects

      3. Если требуется отдельная выгрузка истории проверяеннымом хосте фоткройте пайловпку in и сработок:

      sudo su
kata-collect-siem-logs log-history --output-dir /tmp --no-compress
kata-collect-siem-logs log-detects --output-dir /tmp --no-compress
      • Логи будут сохраните обычный текстовый докаталоге /tmp под иуменами log-history.log и log-detects.logт.
      • Послерейдите выгр папкузки ихout, также можно скачать через SCP/WinSCP.
      Очистка собранных логов

      Чтобы удалить временные журналы и освободить место,вый файл test_KDS не является вирусным и поэтому был автоматически отправлените:

      rmв -fпапку /tmp/log-history.logout.
rm
    -f /tmp/log-detects.log rm -f /tmp/collect/collect*
    Back to top