Руководство по установке и настройке компонента Sensor в КАТА/KEDR/NDR 7.0-7.1
Информация: Приведенная на данной странице инфомрация, является разработкой команды pre-sales и/или AntiAPT Community и НЕ является официальной рекомендацией вендора.
Версия платформы: КАТА / KEDR / NDR 7.0 - 7.1
Источник: Установка компонента Sensor
Официальная документация: Справка Kaspersky Anti Targeted Attack Platform 7.1
📌 Введение
Компонент Sensor в платформе Kaspersky Anti Targeted Attack (КАТА)/KEDR/NDR 7.1 предназначен для сбора, фильтрации и анализа сетевого трафика в распределённых и высоконагруженных инфраструктурах. Он выступает в роли выделенного сервера, обеспечивающего эффективное обнаружение целевых атак, скрытых угроз и подозрительной активности в сети.
Установка Sensor требуется в следующих сценариях:
- Обработка SPAN-трафика объёмом **свыше 1 Гбит/с**, когда центральный узел (Central Node) не справляется с нагрузкой.
- Подключение **удалённых филиалов или изолированных сегментов сети**, где важно локально анализировать трафик и минимизировать нагрузку на каналы связи.
- Использование в качестве **прокси-сервера** для Endpoint Agent, что позволяет централизованно управлять соединениями и обеспечивать безопасность.
📌 Назначение компонента Sensor
Компонент Sensor выполняет ключевую функцию по анализу сетевых потоков и передаче данных на Central Node для дальнейшего корреляционного анализа и формирования инцидентов. Он не имеет веб-интерфейса — вся настройка осуществляется через SSH в псевдо-веб интерфейсе.
Основные режимы работы:
- Мониторинг SPAN/TAP-трафика — позволяет анализировать копии сетевого трафика в реальном времени.
- Локальный анализ в филиалах — снижает объём передаваемых данных и повышает скорость реагирования.
- Прокси для Endpoint Agent — обеспечивает безопасное и контролируемое подключение агентов к платформе.
Установка и подключение компонента Sensor в КАТА/KEDR/NDR 7.1
В данной статье подробно описаны все этапы установки и подключения компонента Sensor — от подготовки виртуальной машины до интеграции с Central Node.
🔗 Подробнее о работе компонента Sensor
⚠ Перед началом обязательно ознакомьтесь с официальными требованиями к оборудованию, сетевой конфигурации и режиму загрузки (UEFI).
🔧 Подготовка к установке
Требования к оборудованию:
Компонент | Требование |
| Обязательно UEFI |
| Поддержка BMI2, AVX, AVX2 |
| Только SAS HDD 10K rpm и выше |
| Только аппаратный RAID. Программный RAID не поддерживается |
1.3. Платформы виртуализации
Решение **не поддерживает Microsoft Hyper-V**.
Поддерживаются следующие платформы:
- **
- VMware ESXi 6.7.0 или 7.
0**- **KVM**- **0 - KVM
- ПК СВ "Брест" 3.
3**- **3 - "РЕД Виртуализация" 7.
3**- **3 - zVirt Node 4.
2**2
Решение не поддерживает Microsoft Hyper-V.
####
📌 Примечание по KVM:
- **
- ОС
**: Debian GNU/Linux 12
- **- Эмулятор
**: QEMU version 8.0.2
---
###
Дополнительные требования для платформ виртуализации
| Особенности |
| Виртуальная машина требует на **10% больше CPU**, чем физический сервер. Тип виртуального диска: **Thick Provision** |
| При использовании **KEDR** или **KATA+KEDR** увеличьте минимальное количество логических ядер на **20%** |
| Платформа | |
|----------|-------------|
| ||
| | |
> 💡 **Примечание:**
> Если вы хотите устранить уязвимости типа **Spectre** и **Meltdown** на уровне гипервизора, необходимо дополнительно увеличить количество логических ядер в **1,5 раза** относительно уже увеличенного значения.
---
### 1.5. Требования к процессору
Центральный процессор должен поддерживать следующие наборы инструкций:
- **BMI2**
- **AVX**
- **AVX2**
#### 🔍 Проверка поддержки:
Выполните в терминале команду:
```bash
cat /proc/cpuinfo | grep flags
```
Убедитесь, что в выводе присутствуют:
```
avx avx2 bmi2
```
> ❗ Если хотя бы один из этих флагов отсутствует, установка компонентов **не будет поддерживаться**.
---
### ⚠ Ограничения Sensor
Для компонента **Sensor** действуют следующие ограничения:
- **Для захвата сетевого трафика на максимальной скорости 10 Гбит/с** могут использоваться только компоненты Sensor, установленные на **отдельных физических серверах**. Виртуальные машины не рекомендуются для таких нагрузок.
- **При захвате FTP-трафика на скорости до 10 Гбит/с** возможен **высокий уровень потерь пакетов** из-за особенностей обработки протокола. Рекомендуется мониторинг и тестирование в реальных условиях.
- **Настройка параметров проверки ICAP-трафика в режиме реального времени** на серверах с компонентом Sensor **возможна только в режиме Technical Support Mode** через CLI. Прямой доступ через веб-интерфейс отсутствует.
> 💡 **Рекомендация:** При планировании развёртывания Sensor в высокоскоростных сетях (10 Гбит/с и выше) убедитесь в использовании специализированного оборудования и проведите предварительное тестирование под ваш сценарий.
---
### Настройка виртуальной машины (если применимо)
Если используется VMware:
1. Откройте настройки ВМ.
2. Перейдите: **Options → Boot Options → Firmware**.
3. Выберите **UEFI**.
> 🖼️ *Место для скриншота: Настройки виртуальной машины с выделенным пунктом UEFI.*
---
## ⚙️ Установка компонента Sensor (пошагово)
Установка запускается автоматически после загрузки с образа.
---
### Шаг 1: Загрузка образа
При запуске системы выберите:
```
Install KATA 7.1.0.530
```
📸 Скриншот 1:
**Экран загрузки с выделенным пунктом `Install KATA 7.1.0.530` в меню GRUB.**
> 🖼️ *Место для скриншота: Меню загрузки с выделенным пунктом "Install KATA 7.1.0.530".*
---
### Шаг 2: Приветственное окно
Нажмите:
```
Continue
```
📸 Скриншот 2:
**Приветственное окно установщика с кнопкой `Continue`.**
> 🖼️ *Место для скриншота: Экран с кнопкой "Continue".*
---
### Шаг 3: Лицензионное соглашение
1. Нажмите **TAB**, чтобы перейти к опции.
2. Выберите:
```
Я принимаю
```
3. Нажмите **Enter**.
📸 Скриншот 3:
**Окно лицензионного соглашения с активной кнопкой `Я принимаю`.**
> 🖼️ *Место для скриншота: Окно лицензионного соглашения с выделенной кнопкой "Я принимаю".*
---
### Шаг 4: Выбор роли сервера
При установке доступны следующие роли сервера:
| Роль | Описание |
|------|---------|
| **single** | Central Node + Sensor на одном сервере (подходит для тестовых и малых сред) |
| **sensor** | Только **Sensor** (выделенный сервер для обработки трафика) |
| **storage** | Сервер хранения данных в кластерной конфигурации |
| **processing** | Обрабатывающий сервер (включает функциональность Sensor) |
Для установки **выделенного Sensor** выберите:
```
sensor
```
и нажмите **Enter**.
📸 Скриншот 4:
**Меню выбора роли сервера с выделенным пунктом `sensor`.**
> 🖼️ *Место для скриншота: Меню выбора роли с выделенным пунктом "sensor".*
---
### Шаг 5: Подтверждение очистки диска
Система предупреждает об очистке дискового пространства.
Выберите:
```
Yes
```
и нажмите **Enter**.
📸 Скриншот 5:
**Окно предупреждения о необходимости очистки диска с кнопкой `Yes`.**
> 🖼️ *Место для скриншота: Окно предупреждения с кнопкой "Yes".*
---
### Шаг 6: Ожидание распаковки
Подождите завершения процесса распаковки.
📸 Скриншот 6:
**Индикатор прогресса с надписью `Ожидаем завершения процесса распаковки`.**
> 🖼️ *Место для скриншота: Индикатор прогресса "Ожидаем завершения процесса распаковки".*
---
### Шаг 7: Настройка кластерной подсети
> ⚠️ **Только для кластера.** Если установка **не для кластера**, выберите:
```
1
```
(значение по умолчанию: `198.18.0.0/16`)
📸 Скриншот 7:
**Экран настройки кластерной подсети с подсказкой: `для не-кластера выберите пункт 1`.**
> 🖼️ *Место для скриншота: Экран выбора маски сети с подсказкой "для не-кластера выберите пункт 1".*
---
### Шаг 8: Выбор сетевого интерфейса (Management Interface)
Выберите один из доступных интерфейсов (например, `eth0`) и нажмите **Enter**.
📸 Скриншот 8:
**Список сетевых интерфейсов с подсказкой `Выберите один из доступных сетевых интерфейсов`.**
> 🖼️ *Место для скриншота: Список сетевых интерфейсов.*
---
### Шаг 9: Настройка IP-адреса
Выберите способ назначения IP:
- **DHCP** — автоматическое получение.
- **Static** — ручной ввод.
После настройки нажмите:
```
Save
```
📸 Скриншот 9:
**Меню настройки IP-адреса с опциями `DHCP` и `Static`, кнопка `Save`.**
> 🖼️ *Место для скриншота: Меню настройки интерфейса с опциями "DHCP" и "Static".*
---
### Шаг 10: Настройка учётной записи admin
1. Убедитесь, что длина пароля — **минимум 12 символов**.
2. Введите пароль.
3. Нажмите **OK**.
📸 Скриншот 10:
**Окно настройки пароля администратора с подсказкой о минимальной длине — 12 символов.**
> 🖼️ *Место для скриншота: Поле ввода пароля с подсказкой "минимальная длина — 12 символов".*
---
### Шаг 11: Настройка DNS-серверов
> ⚠️ **ВАЖНО!** Указание DNS **обязательно**, даже в изолированной сети.
Можно указать любой IP (например, `1.1.1.1`), чтобы избежать 100% загрузки CPU.
Введите:
- Основной DNS (IPv4)
- Дополнительный DNS (IPv4)
После ввода **дважды нажмите Enter**.
📸 Скриншот 11:
**Поле ввода DNS-серверов с подсказкой: `ВАЖНО: Указание DNS обязательно...`.**
> 🖼️ *Место для скриншота: Поле ввода DNS-серверов с примером "1.1.1.1".*
---
### Шаг 12: Настройка NTP-сервера
Введите IP или доменное имя NTP-сервера (например, `ntp.kaspersky.com` или `10.10.0.100`).
При необходимости добавьте резервный сервер.
Завершите ввод **дважды нажав Enter**.
📸 Скриншот 12:
**Окно настройки NTP-сервера с подсказкой: `Введите IP-адрес или имя NTP-сервера`.**
> 🖼️ *Место для скриншота: Поле ввода NTP-сервера с подсказкой "введите IP или имя".*
---
### Шаг 13: Завершение установки
Подождите завершения настройки. После окончания:
- Появится приглашение к вводу логина и пароля.
- **Sensor не имеет веб-интерфейса** — вся дальнейшая настройка через SSH.
📸 Скриншот 13:
**Терминал с сообщением: `На данном этапе процесс установки завершен...`.**
> 🖼️ *Место для скриншота: Терминал с сообщением "На данном этапе процесс установки завершен...".*
---
## 🌐 Получение IP-адреса (если использовался DHCP)
Если IP получен по DHCP, выполните:
1. Подключитесь по SSH как `admin`.
2. Перейдите в **Technical Support Mode** → подтвердите переход в **CLI**.
3. Выполните команду:
```bash
ip address show eth0
```
(замените `eth0` на интерфейс, выбранный при установке)
📸 Скриншот 14:
**Терминал с выводом команды `ip address show`, где виден назначенный IP-адрес.**
> 🖼️ *Место для скриншота: Терминал с выводом команды `ip address show`, где виден IP-адрес.*
---
## 🔗 Подключение Sensor к Central Node (метод: "Автоматически по сети")
> ✅ **Рекомендуемый способ.** Требует доступа к Central Node и Sensor.
---
### Шаг 1: Откройте веб-интерфейс Central Node
Перейдите по адресу:
```
https://<IP_Central_Node>:8443
```
и авторизуйтесь под учётной записью `admin`.
📸 Скриншот 15:
**Страница входа в веб-интерфейс Central Node с полем ввода логина и пароля.**
> 🖼️ *Место для скриншота: Страница входа в веб-интерфейс Central Node.*
---
### Шаг 2: Добавление нового Sensor
1. Перейдите в раздел: **Серверы Sensor**.
2. Нажмите: **Добавить сенсор**.
3. Выберите вкладку: **Автоматически по сети**.
📸 Скриншот 16:
**Окно "Добавление нового сенсора" с активной вкладкой "Автоматически по сети".**
> 🖼️ *Место для скриншота: Окно "Добавление нового сенсора" с активной вкладкой "Автоматически по сети".*
---
### Шаг 3: Заполнение формы
Заполните поля:
| Поле | Пример значения |
|------|-----------------|
| **Имя сенсора** | `Sensor-Moscow` |
| **Адрес сервера** | `192.168.10.10` (IP Central Node) |
| **IP-адрес сенсора** | `192.168.20.15` (IP установленного Sensor) |
📸 Скриншот 17:
**Форма с заполненными полями: имя, адрес сервера, IP-адрес сенсора.**
> 🖼️ *Место для скриншота: Форма с заполненными полями "Имя", "Адрес сервера", "IP-адрес сенсора".*
---
### Шаг 4: Создание SSH-туннеля
На ПК с доступом к Sensor выполните команду:
```bash
ssh -4 -L 9444:localhost:9444 admin@<IP_Sensor>
```
> ⚠️ Если ошибка `Corrupted MAC on input`, используйте:
```bash
ssh -4 -L 9444:localhost:9444 admin@<IP_Sensor> -o "MACs hmac-sha2-256"
```
📸 Скриншот 18:
**Терминал с успешным подключением по SSH или с сообщением об ошибке `Corrupted MAC` и её решением.**
> 🖼️ *Место для скриншота: Терминал с успешным подключением по SSH (или с ошибкой и её решением).*
---
### Шаг 5: Проверка отпечатка сертификата
1. Откройте в браузере:
```
https://localhost:9444
```
2. На странице отобразится **отпечаток сертификата (fingerprint)**.
📸 Скриншот 19:
**Страница https://localhost:9444 с отпечатком сертификата в формате `SHA256: ab:cd:ef:...`.**
> 🖼️ *Место для скриншота: Страница https://localhost:9444 с отпечатком в формате `SHA256: ab:cd:ef:...`.*
---
### Шаг 6: Подтверждение подключения
1. Сравните отпечаток на странице Sensor и в интерфейсе Central Node.
2. Если совпадают — нажмите **ОК**.
📸 Скриншот 20:
**Интерфейс Central Node с запросом подтверждения отпечатка и кнопкой `ОК`.**
> 🖼️ *Место для скриншота: Центральный узел с запросом подтверждения отпечатка и кнопкой "ОК".*
---
### Шаг 7: Проверка подключения
После подтверждения:
- Sensor появится в списке.
- Статус: **Подключён**.
- Начнётся синхронизация.
📸 Скриншот 21:
**Список Sensor в веб-интерфейсе Central Node с новым подключённым узлом.**
> 🖼️ *Место для скриншота: Список Sensor на Central Node с новым подключённым узлом.*
---
## ✅ Заключение
Установка и подключение компонента **Sensor** завершены. Теперь он готов к:
- Приёму SPAN/TAP-трафика.
- Мониторингу сетевой активности.
- Работе в качестве прокси для Endpoint Agent.
> 🔜 **Следующий этап:**
> Настройка источников трафика — см. раздел **3. Настройка компонентов для подключения источников** в руководстве.
---
## 📌 Полезные ссылки
- [Официальная документация Kaspersky Anti Targeted Attack Platform](https://support.kaspersky.com/KATA/7.1/ru-RU/246841.htm)
- [Инструкция по интеграции с Active Directory](http://62.113.113.15/books/integracii-s-vnesnimi-sistema/page/process-podkliuceniia-kata-po-ldap-sso)
- [Kaspersky на YouTube](https://www.youtube.com/@KasperskyTechRussia)
- [Kaspersky на Rutube](https://rutube.ru/channel/43034214/)