Skip to main content

Руководство по установке и настройке компонента Sensor в КАТА/KEDR/NDR 7.0-7.1

Информация: Приведенная на данной странице инфомрация, является разработкой команды pre-sales и/или AntiAPT Community и НЕ является официальной рекомендацией вендора.

Версия платформы: КАТА / KEDR / NDR 7.0 - 7.1

Источник: Установка компонента Sensor

Официальная документация: Справка Kaspersky Anti Targeted Attack Platform 7.1

📌 Введение

Компонент Sensor в платформе Kaspersky Anti Targeted Attack (КАТА)/KEDR/NDR 7.1 предназначен для сбора, фильтрации и анализа сетевого трафика в распределённых и высоконагруженных инфраструктурах. Он выступает в роли выделенного сервера, обеспечивающего эффективное обнаружение целевых атак, скрытых угроз и подозрительной активности в сети.

Установка Sensor требуется в следующих сценариях:

  • Обработка SPAN-трафика объёмом **свыше 1 Гбит/с**, когда центральный узел (Central Node) не справляется с нагрузкой.
  • Подключение **удалённых филиалов или изолированных сегментов сети**, где важно локально анализировать трафик и минимизировать нагрузку на каналы связи.
  • Использование в качестве **прокси-сервера** для Endpoint Agent, что позволяет централизованно управлять соединениями и обеспечивать безопасность.
📌 Назначение компонента Sensor

Компонент Sensor выполняет ключевую функцию по анализу сетевых потоков и передаче данных на Central Node для дальнейшего корреляционного анализа и формирования инцидентов. Он не имеет веб-интерфейса — вся настройка осуществляется через SSH в псевдо-веб интерфейсе.

Основные режимы работы:

  • Мониторинг SPAN/TAP-трафика — позволяет анализировать копии сетевого трафика в реальном времени.
  • Локальный анализ в филиалах — снижает объём передаваемых данных и повышает скорость реагирования.
  • Прокси для Endpoint Agent — обеспечивает безопасное и контролируемое подключение агентов к платформе.

Установка и подключение компонента Sensor в КАТА/KEDR/NDR 7.1

В данной статье подробно описаны все этапы установки и подключения компонента Sensor — от подготовки виртуальной машины до интеграции с Central Node.

🔗 Подробнее о работе компонента Sensor

Перед началом обязательно ознакомьтесь с официальными требованиями к оборудованию, сетевой конфигурации и режиму загрузки (UEFI).

🔧 Подготовка к установке

🔧 Подготовка к установке

Требования к оборудованию:

Компонент

Требование

Режим загрузки

Обязательно UEFI

Процессор

Поддержка BMI2, AVX, AVX2

Жёсткие диски

Только SAS HDD 10K rpm и выше

RAID

Только аппаратный RAID. Программный RAID не поддерживается

1.3. Платформы виртуализации

Поддерживаются следующие платформы:

  • VMware ESXi 6.7.0 или 7.0
  • KVM
  • ПК СВ "Брест" 3.3
  • "РЕД Виртуализация" 7.3
  • zVirt Node 4.2

Решение не поддерживает Microsoft Hyper-V.

📌 Примечание по KVM:
    • ОС: Debian GNU/Linux 12
    cat /proc/cpuinfo | grep flags
Дополнительные требования для платформ виртуализации

Платформа

Особенности

VMware ESXi

Виртуальная машина требует на **10% больше CPU**, чем физический сервер. Тип виртуального диска: **Thick Provision**

ПК СВ "Брест" / "РЕД Виртуализация"

При использовании **KEDR** или **KATA+KEDR** увеличьте минимальное количество логических ядер на **20%**

💡Примечание:
Если вы хотите устранить уязвимости типа Spectre и Meltdown на уровне гипервизора, необходимо дополнительно увеличить количество логических ядер в 1,5 раза относительно уже увеличенного значения.
1.5. Требования к процессору

Центральный процессор должен поддерживать следующие наборы инструкций:

  • BMI2
  • AVX
  • AVX2
🔍 Проверка поддержки:
    • Выполните в терминале команду: cat /proc/cpuinfo | grep flags
    • Убедитесь, что в выводе присутствуют: avx avx2 bmi2

❗ Если хотя бы один из этих флагов отсутствует, установка компонентов не будет поддерживаться.

Ограничения Sensor

  • Для компонента Sensor действуют следующие ограничения:
    • Для захвата сетевого трафика на максимальной скорости 10 Гбит/с могут использоваться только компоненты Sensor, установленные на отдельных физических серверах. Виртуальные машины не рекомендуются для таких нагрузок.
    • При захвате FTP-трафика на скорости до 10 Гбит/с возможен высокий уровень потерь пакетов из-за особенностей обработки протокола. Рекомендуется мониторинг и тестирование в реальных условиях.
    • Настройка параметров проверки ICAP-трафика в режиме реального времени на серверах с компонентом Sensor возможна только в режиме Technical Support Mode через CLI. Прямой доступ через веб-интерфейс отсутствует.
### Настройка виртуальной машины (если применимо)

Если используется VMware:

  1. Откройте настройки ВМ.
  2. Перейдите: Options → Boot Options → Firmware.
  3. Выберите UEFI.

image.png

🖼️ Скриншот: Настройки виртуальной машины с выделенным пунктом UEFI.

⚙️ Установка компонента Sensor (пошагово)


Установка запускается автоматически после загрузки с образа.

Шаг 1: Загрузка образа

Скачайте образ:

kata-cn-7.1.0.530-inst.x86_64_en-ru-zh.iso
  • Физический сервер: запишите на USB/DVD и загрузитесь.
  • Виртуальный сервер: подключите ISO к ВМ.

При запуске системы выберите:

Install KATA 7.1.0.530

image.png

📸 Скриншот 1: Экран загрузки с выделенным пунктом `Install KATA 7.1.0.530` в меню GRUB.

Шаг 2: Приветственное окно

Нажмите: Continue

image.png

📸 Скриншот 2: Приветственное окно установщика с кнопкой `Continue`.

Шаг 3: Лицензионное соглашение
  1. Нажмите TAB, чтобы перейти к опции.
  2. Выберите: Я принимаю
  3. Нажмите Enter.

image.png

image.png

image.png

image.png

📸 Скриншот 3: Окно лицензионного соглашения с активной кнопкой `Я принимаю`.

Шаг 4: Выбор роли сервера

При установке доступны следующие роли сервера:

Роль

Описание

single

Central Node + Sensor на одном сервере (подходит для тестовых и малых сред)

sensor

Только Sensor (выделенный сервер для обработки трафика)

storage

Сервер хранения данных в кластерной конфигурации

processing

Обрабатывающий сервер (включает функциональность Sensor)

Для установки выделенного Sensor выберите sensor и нажмите Enter.

image.png


📸 Скриншот 4: **Меню выбора роли сервера с выделенным пунктом `sensor`.**


> 🖼️ *Место для скриншота: Меню выбора роли с выделенным пунктом "sensor".*


---


###

Шаг 5: Подтверждение очистки диска


Система предупреждает об очистке дискового пространства.


Выберите:

```

 Yes

```

 и нажмите **Enter**Enter.


image.png

image.png

📸 Скриншот 5:

**Окно предупреждения о необходимости очистки диска с кнопкой `Yes`Yes`.**


> 🖼️ *Место для скриншота: Окно предупреждения с кнопкой "Yes".*


---


###

Шаг 6: Ожидание распаковки


Подождите завершения процесса распаковки.


📸 Скриншот 6:

**Индикатор прогресса с надписью `Ожидаем завершения процесса распаковки`.**


> 🖼️ *Место для скриншота: Индикатор прогресса "Ожидаем завершения процесса распаковки".*


---


### Шаг 7: Настройка кластерной подсети


> ⚠️ **Только для кластера.** Если установка **не для кластера**, выберите:

```

1

```

(значение по умолчанию: `198.18.0.0/16`)


📸 Скриншот 7:

**Экран настройки кластерной подсети с подсказкой: `для не-кластера выберите пункт 1`.**


> 🖼️ *Место для скриншота: Экран выбора маски сети с подсказкой "для не-кластера выберите пункт 1".*


---


### Шаг 8: Выбор сетевого интерфейса (Management Interface)


Выберите один из доступных интерфейсов (например, `eth0`) и нажмите **Enter**.


📸 Скриншот 8:

**Список сетевых интерфейсов с подсказкой `Выберите один из доступных сетевых интерфейсов`.**


> 🖼️ *Место для скриншота: Список сетевых интерфейсов.*


---


### Шаг 9: Настройка IP-адреса


Выберите способ назначения IP:

- **DHCP** — автоматическое получение.

- **Static** — ручной ввод.


После настройки нажмите:

```

Save

```


📸 Скриншот 9:

**Меню настройки IP-адреса с опциями `DHCP` и `Static`, кнопка `Save`.**


> 🖼️ *Место для скриншота: Меню настройки интерфейса с опциями "DHCP" и "Static".*


---


### Шаг 10: Настройка учётной записи admin


1. Убедитесь, что длина пароля — **минимум 12 символов**.

2. Введите пароль.

3. Нажмите **OK**.


📸 Скриншот 10:

**Окно настройки пароля администратора с подсказкой о минимальной длине — 12 символов.**


> 🖼️ *Место для скриншота: Поле ввода пароля с подсказкой "минимальная длина — 12 символов".*


---


### Шаг 11: Настройка DNS-серверов


> ⚠️ **ВАЖНО!** Указание DNS **обязательно**, даже в изолированной сети.

Можно указать любой IP (например, `1.1.1.1`), чтобы избежать 100% загрузки CPU.


Введите:

- Основной DNS (IPv4)

- Дополнительный DNS (IPv4)


После ввода **дважды нажмите Enter**.


📸 Скриншот 11:

**Поле ввода DNS-серверов с подсказкой: `ВАЖНО: Указание DNS обязательно...`.**


> 🖼️ *Место для скриншота: Поле ввода DNS-серверов с примером "1.1.1.1".*


---


### Шаг 12: Настройка NTP-сервера


Введите IP или доменное имя NTP-сервера (например, `ntp.kaspersky.com` или `10.10.0.100`).


При необходимости добавьте резервный сервер.

Завершите ввод **дважды нажав Enter**.


📸 Скриншот 12:

**Окно настройки NTP-сервера с подсказкой: `Введите IP-адрес или имя NTP-сервера`.**


> 🖼️ *Место для скриншота: Поле ввода NTP-сервера с подсказкой "введите IP или имя".*


---


### Шаг 13: Завершение установки


Подождите завершения настройки. После окончания:


- Появится приглашение к вводу логина и пароля.

- **Sensor не имеет веб-интерфейса** — вся дальнейшая настройка через SSH.


📸 Скриншот 13:

**Терминал с сообщением: `На данном этапе процесс установки завершен...`.**


> 🖼️ *Место для скриншота: Терминал с сообщением "На данном этапе процесс установки завершен...".*


---


## 🌐 Получение IP-адреса (если использовался DHCP)


Если IP получен по DHCP, выполните:


1. Подключитесь по SSH как `admin`.

2. Перейдите в **Technical Support Mode** → подтвердите переход в **CLI**.

3. Выполните команду:

```bash

ip address show eth0

```

(замените `eth0` на интерфейс, выбранный при установке)


📸 Скриншот 14:

**Терминал с выводом команды `ip address show`, где виден назначенный IP-адрес.**


> 🖼️ *Место для скриншота: Терминал с выводом команды `ip address show`, где виден IP-адрес.*


---


## 🔗 Подключение Sensor к Central Node (метод: "Автоматически по сети")


> ✅ **Рекомендуемый способ.** Требует доступа к Central Node и Sensor.


---


### Шаг 1: Откройте веб-интерфейс Central Node


Перейдите по адресу:

```

https://<IP_Central_Node>:8443

```

и авторизуйтесь под учётной записью `admin`.


📸 Скриншот 15:

**Страница входа в веб-интерфейс Central Node с полем ввода логина и пароля.**


> 🖼️ *Место для скриншота: Страница входа в веб-интерфейс Central Node.*


---


### Шаг 2: Добавление нового Sensor


1. Перейдите в раздел: **Серверы Sensor**.

2. Нажмите: **Добавить сенсор**.

3. Выберите вкладку: **Автоматически по сети**.


📸 Скриншот 16:

**Окно "Добавление нового сенсора" с активной вкладкой "Автоматически по сети".**


> 🖼️ *Место для скриншота: Окно "Добавление нового сенсора" с активной вкладкой "Автоматически по сети".*


---


### Шаг 3: Заполнение формы


Заполните поля:


| Поле | Пример значения |

|------|-----------------|

| **Имя сенсора** | `Sensor-Moscow` |

| **Адрес сервера** | `192.168.10.10` (IP Central Node) |

| **IP-адрес сенсора** | `192.168.20.15` (IP установленного Sensor) |


📸 Скриншот 17:

**Форма с заполненными полями: имя, адрес сервера, IP-адрес сенсора.**


> 🖼️ *Место для скриншота: Форма с заполненными полями "Имя", "Адрес сервера", "IP-адрес сенсора".*


---


### Шаг 4: Создание SSH-туннеля


На ПК с доступом к Sensor выполните команду:


```bash

ssh -4 -L 9444:localhost:9444 admin@<IP_Sensor>

```


> ⚠️ Если ошибка `Corrupted MAC on input`, используйте:

```bash

ssh -4 -L 9444:localhost:9444 admin@<IP_Sensor> -o "MACs hmac-sha2-256"

```


📸 Скриншот 18:

**Терминал с успешным подключением по SSH или с сообщением об ошибке `Corrupted MAC` и её решением.**


> 🖼️ *Место для скриншота: Терминал с успешным подключением по SSH (или с ошибкой и её решением).*


---


### Шаг 5: Проверка отпечатка сертификата


1. Откройте в браузере:

```

https://localhost:9444

```

2. На странице отобразится **отпечаток сертификата (fingerprint)**.


📸 Скриншот 19:

**Страница https://localhost:9444 с отпечатком сертификата в формате `SHA256: ab:cd:ef:...`.**


> 🖼️ *Место для скриншота: Страница https://localhost:9444 с отпечатком в формате `SHA256: ab:cd:ef:...`.*


---


### Шаг 6: Подтверждение подключения


1. Сравните отпечаток на странице Sensor и в интерфейсе Central Node.

2. Если совпадают — нажмите **ОК**.


📸 Скриншот 20:

**Интерфейс Central Node с запросом подтверждения отпечатка и кнопкой `ОК`.**


> 🖼️ *Место для скриншота: Центральный узел с запросом подтверждения отпечатка и кнопкой "ОК".*


---


### Шаг 7: Проверка подключения


После подтверждения:

- Sensor появится в списке.

- Статус: **Подключён**.

- Начнётся синхронизация.


📸 Скриншот 21:

**Список Sensor в веб-интерфейсе Central Node с новым подключённым узлом.**


> 🖼️ *Место для скриншота: Список Sensor на Central Node с новым подключённым узлом.*


---


## ✅ Заключение


Установка и подключение компонента **Sensor** завершены. Теперь он готов к:

- Приёму SPAN/TAP-трафика.

- Мониторингу сетевой активности.

- Работе в качестве прокси для Endpoint Agent.


> 🔜 **Следующий этап:**

> Настройка источников трафика — см. раздел **3. Настройка компонентов для подключения источников** в руководстве.


---


## 📌 Полезные ссылки


- [Официальная документация Kaspersky Anti Targeted Attack Platform](https://support.kaspersky.com/KATA/7.1/ru-RU/246841.htm)

- [Инструкция по интеграции с Active Directory](http://62.113.113.15/books/integracii-s-vnesnimi-sistema/page/process-podkliuceniia-kata-po-ldap-sso)

- [Kaspersky на YouTube](https://www.youtube.com/@KasperskyTechRussia)

- [Kaspersky на Rutube](https://rutube.ru/channel/43034214/)


Back to top