Установка Central Node (CN) KATAP
📦 Установка Central Node с компонентом Sensor
Руководство по развёртыванию KATA/KEDR/NDR 7.1
Версия решения: 7.1
Тип установки: Central Node + Sensor (на одном сервере, в кластере или распределённой архитектуре)
Важно: правильный са́йзинг
⚠️ Очень важно:
Точный и надёжный расчёт аппаратных ресурсов (са́йзинг) возможен только после заполнения официального опросника от Kaspersky.
Данные, предоставленные без опросника, являются предварительными и могут привести к нестабильной работе системы.
Окончательные рекомендации по ресурсам (CPU, ОЗУ, дисковое пространство) должны быть предоставлены официальным партнёром или вендором Kaspersky.
1.1. Варианты установки
Решение поддерживает три архитектуры:
| ****Вариант**** | ****Описание**** |
|---|---|
| ****Standalone**** | Central Node + Sensor на одном сервере. Подходит для пилотных внедрений, тестовых сред и организаций с небольшой ИТ-инфраструктурой. |
| ****Кластер**** | Распределённая система из нескольких серверов, объединённых в отказоустойчивый кластер. Минимум 4 сервера: 2 storage + 2 processing. |
| ****Распределённое решение (Hierarchical)**** | Primary CN (PCN) + Secondary CN (SCN) в филиалах. Централизованное управление. |
💡 Рекомендация:
- Смена архитектуры (например, с Standalone на Cluster или Hierarchical) возможна только через переустановку.
- Для кластера и распределённого решения требуется предварительный са́йзинг на основе заполненного опросника и анализа от вендора.
1.2. Требования к оборудованию
| Компонент | Требование |
|---|---|
| \*\*\*\*Режим загрузки\*\*\*\* | Обязательно
UEFI |
| \*\*\*\*Процессор\*\*\*\* | Минимум 10+ потоков (логических ядер), поддержка
BMI2, AVX, AVX2 |
| \*\*\*\*ОЗУ\*\*\*\* | Минимум
64 ГБ |
| \*\*\*\*Диски\*\*\*\* | - 1 диск — для ОС и компонентов -
2 диска — ****обязательно при использовании KEDR**** (второй — для TAA) |
| \*\*\*\*Жёсткие диски\*\*\*\* | Только
SAS HDD 10K rpm и выше |
| \*\*\*\* | Только
аппаратный RAID . Программный RAID не поддерживается |
🔹 Объём системного диска
| Сценарий | Минимальный объём |
|---|---|
| ****KATA и/или NDR**** | 2–2,4 ТБ |
| ****Только KEDR**** | 1 ТБ |
1.3. Платформы виртуализации
Решение не поддерживает Microsoft Hyper-V. Поддерживаются:
- VMware ESXi 6.7.0 или 7.0
- KVM
- ПК СВ "Брест" 3.3
- "РЕД Виртуализация" 7.3
- zVirt Node 4.2
📌 Примечание по KVM:
- ОС: Debian GNU/Linux 12
- Эмулятор: QEMU version 8.0.2
Дополнительные требования для платформ виртуализации
VMware ESXi
- Виртуальная машина требует на 10% больше CPU, чем физический сервер
- Тип виртуального диска: Thick Provision
ПК СВ "Брест" / "РЕД Виртуализация"
- При использовании KEDR или KATA+KEDR увеличьте минимальное количество логических ядер на 20%
📌 Примечание:
Если вы хотите устранить уязвимости типа Spectre и Meltdown на уровне гипервизора, необходимо дополнительно увеличить количество логических ядер в 1,5 раза относительно уже увеличенного значения.
1.4. Дисковые подсистемы и RAID
| Подсистема | Назначение | Рекомендуемый RAID |
|---|---|---|
| \*\*\*\*Первая\*\*\*\* | ОС, контейнеры, базы (кроме TAA) | RAID 1 или RAID 10 |
| \*\*\*\*Вторая\*\*\*\* | База TAA и журналы | RAID 10 |
💡 Рекомендации:
- Минимум 2000 ГБ на первой подсистеме
- Минимум 2400 ГБ на второй подсистеме
- Используйте аппаратный RAID-контроллер с кэшем и BBU
1.5. Требования к процессору
Центральный процессор должен поддерживать наборы инструкций:
- BMI2
- AVX
- AVX2
🔍 Проверка поддержки:
grep -E 'avx|avx2|bmi2' /proc/cpuinfo
1.6. Порты и сервера обновлений/KSN
Открыть на МЭ следующие порты:
| \*\*\*\*Источник\*\*\*\* | \*\*\*\*Направление\*\*\*\* | \*\*\*\*Порт или протокол\*\*\*\* | \*\*\*\*Описание\*\*\*\* |
| \*\*\*\*Central | Входящее | TCP 22 | Подключение к серверу по протоколу SSH |
| TCP 443 | Получение данных от рабочих станций с Endpoint Agent | ||
| TCP 8085 | Получение данных Endpoint Agent (NDR) | ||
| TCP 8443 | Доступ к веб-интерфейсу приложения | ||
| TCP 7423, TCP 13520 | Связь с сервером Sensor | ||
| UDP 53 | |||
| TCP 9081 | Получение данных от Sensor, установленных на отдельных серверах | ||
| Исходящее | TCP 80
TCP 443 TCP 1443 | Связь с серверами службы KSN и серверами обновлений Лаборатории Касперского | |
| TCP 443 | Передача объектов на проверку Sandbox | ||
| UDP 53 | Связь с сервером Sensor | ||
| TCP 601 | Отправка сообщений в SIEM-систему | ||
| Входящее и исходящее | ESP, AH, IKEv1 и IKEv2 | Для взаимодействия Central Node и Sensor по защищенному каналу связи на базе протокола IPSec | |
| \*\*\*\* | Входящее | TCP 22 | Подключение к серверу по протоколу SSH |
| TCP 1344 | Получение трафика от прокси-сервера | ||
| TCP 443 | При использовании Sensor в качестве прокси-сервера для обмена данными между рабочими станциями с Endpoint Agent и Central Node | ||
| TCP 8085 | Получение данных Endpoint Agent (NDR) | ||
| TCP 9443 | Доступ к веб-интерфейсу компонента | ||
| UDP 53 | Связь с сервером Central Node | ||
| TCP 25 | Получение SMTP-трафика от почтового сервер | ||
| TCP 80
TCP 443 | Связь с серверами службы KSN и серверами обновлений Лаборатории Касперского | ||
| Исходящее | TCP 995 | Интеграция с почтовым сервером для защищенных соединений | |
| TCP 80
TCP 443 | Связь с серверами службы KSN и серверами обновлений "Лаборатории Касперского" | ||
| TCP 7423
TCP 13520 TCP 8443 TCP 9443 | Связь с сервером Central Node | ||
| UDP 53 | Связь с сервером Central Node
Интеграция с почтовым сервером для незащищенных соединений | ||
| TCP 110 | |||
| TCP 22 | Подключение к серверу по протоколу SSH | ||
| Входящее и исходящее | ESP, AH, IKEv1 и IKEv2 | Для взаимодействия Central Node и Sensor по защищенному каналу связи на базе протокола IPSec | |
| \*\*\*\* | Входящее (управляющий
интерфейс) | TCP 443 | Взаимодействие с Central Node |
| TCP 22 | Подключение к серверу по протоколу SSH | ||
| TCP 8443 | Доступ к веб-интерфейсу приложения | ||
| TCP 80
TCP 443 | Связь с серверами обновлений "Лаборатории Касперского" | ||
| Исходящее (управляющий интерфейс) | TCP 80
TCP 443 | Связь с серверами обновлений "Лаборатории Касперского" | |
| Исходящее и ответное входящее (интерфейс для доступа обрабатываемых объектов) | Любой | Доступ в сеть Интернет для анализа сетевого поведения исследуемых объектов.
Запретите доступ в локальную сеть организации для обеспечения безопасности сети от анализируемых объектов. | |
| \*\*\*\* (при использовании режима распределенного решения) | Исходящее | TCP 8443, 8444 | Для взаимодействия SCN и PCN по защищенному каналу связи на базе протокола IPSec |
| Входящее и исходящее | TCP 443, 53, 11000:11006, UDP 53, ESP, AH, IKEv1 и IKEv2 | ||
| \*\*\*\* (при использовании режима распределенного решения) | Входящее | TCP 8443, 8444 | |
| Входящее и исходящее | TCP 443, 53, 11000:11006, UDP 53, ESP, AH, IKEv1 и IKEv2 |
****Примечание:**** если вы устанавливаете серверы ****Central NodeNode**** и Sensor****Sensor**** в отдельных подсетях, разделенных другими сетевыми устройствами, такими как брандмауэры, убедитесь, что в дополнение к портам, перечисленным выше, между Sensor****Sensor**** и ****Central NodeNode**** разрешены IP-протоколы с идентификаторами 50 и 51 (требуется для подключения IPSEC между Sensor****Sensor**** и ****Central NodeNode**** с использованием протоколов ESP, AH, IKEv1 и IKEv2).
Примечание: если вы устанавливаете второй сетевой интерфейс, который принимает только зеркальный трафик в виртуальной среде VMware ESXi, используйте сетевой адаптер E1000 или отключите опцию LRO (large receive offload) на сетевом адаптере VMXNET3.
Update and KSN servers:
| \*\*\*\* | \*\*\*\* |
Updates | antiapt.kaspersky-labs.com
antiapt.k.kaspersky-labs.com antiapt.s.kaspersky-labs.com activation-v2.kaspersky.com |
KSN | https://ksn-crypto-file-geo.kaspersky-labs.com
https://ksn-crypto-stat-geo.kaspersky-labs.com https://ksn-crypto-url-geo.kaspersky-labs.com https://ksn-crypto-verdict-geo.kaspersky-labs.com https://ksn-crypto-kas-geo.kaspersky-labs.com https://ksn-crypto-a-stat-geo.kaspersky-labs.com https://ksn-his-geo.kaspersky-labs.com https://ksn-file-geo.kaspersky-labs.com https://ksn-verdict-geo.kaspersky-labs.com https://ksn-url-geo.kaspersky-labs.com https://ksn-kas-geo.kaspersky-labs.com https://ksn-a-stat-geo.kaspersky-labs.com https://ksn-info-geo.kaspersky-labs.com https://ksn-cinfo-geo.kaspersky-labs.com https://dc1.ksn.kaspersky-labs.com https://dc1-file.ksn.kaspersky-labs.com https://dc1-kas.ksn.kaspersky-labs.com https://dc1-st.ksn.kaspersky-labs.com |
\## 2. Установка
2.1. Общая последовательность
- Установите Central Node и Sensor
- Установите Sandbox
- Добавьте образы виртуальных машин в Sandbox
- (Опционально) Установите выделенный Sensor
- (Опционально) Установите агенты Kaspersky Endpoint Agents
💡 Сценарии:
- Пилот: Central Node + Sensor на одном сервере, Sandbox — на другом
- Промышленный: кластер или распределённая архитектура
2.2. Загрузка и запуск образа
Скачайте образ:
kata-cn-7.1.0.530-inst.x86_64_en-ru-zh.iso
- Физический сервер: запишите на USB/DVD и загрузитесь.
- Виртуальный сервер: подключите ISO к ВМ.
⚠️ Важно:
При установке на виртуальной платформе обязательно выберите UEFI в настройках:
<span class="editor-theme-code"><span class="editor-theme-code">Options → Boot Options → Firmware → UEFI</span></span>.
📸
Рис. 1 — Процесс обработки файлов через KDS
> *Вставьте сюда изображение экрана загрузки с выбором <span class="editor-theme-code">Install KATA 7.1.0.530</span>*---
2.3. Процесс установки
Шаг 1: Загрузка
Выберите:
Install KATA 7.1.0.530
📸 Скриншот 2:
Экран выбора версии установки
Шаг 2: Язык
Выберите язык (например, русский) → Enter
📸 Скриншот 3:
Экран выбора языка
Шаг 3: Лицензионное соглашение
- Нажмите Tab, выберите «Я Принимаю»
- Нажмите Enter
📸 Скриншот 4:
Экран лицензионного соглашения
Шаг 4: Политика конфиденциальности
- Выберите «Я Принимаю» → Enter
📸 Скриншот 5:
Экран политики конфиденциальности
Шаг 5: Выбор роли сервера
| Роль | Описание |
|---|---|
| \*\*`
single `** | Central Node + Sensor на одном сервере |
| \*\*`
sensor `** | Только Sensor (выделенный) |
| \*\*`
storage `** | Сервер хранения для кластера |
| \*\*`
processing `** | Обрабатывающий сервер (включает Sensor) |
⚠️ После установки сменить роль невозможно.
📸 Скриншот 6:
Экран выбора роли сервера с выделенным<em class="editor-theme-code editor-theme-italic"><em class="editor-theme-code editor-theme-italic">single</em></em>
Шаг 6: Выбор диска
- Подтвердите очистку диска → Yes → Enter
- Если используется KEDR, появится предложение выделить второй диск под TAA
📸 Скриншот 7:
Предложение выделить второй диск под TAA
Шаг 7: Настройка сети кластера (если применимо)
❗ Только для кластерной установки.
Для не-кластерной установки просто нажмите Enter (оставьте <span class="editor-theme-code"><span class="editor-theme-code">198.18.0.0/16</span></span>)
📸 Скриншот 8:
Экран выбора маски сети кластера
📸 Скриншот 9:
Экран выбора bridge/overlay подсети
Шаг 8: Выбор сетевого интерфейса
Выберите интерфейс для Management Interface
📸 Скриншот 10:
Список доступных сетевых интерфейсов
Шаг 9: Настройка IP-адреса
- DHCP — автоматически
- Static — вручную (IP, Mask, Gateway)
📸 Скриншот 11:
Экран настройки статического IP-адреса
Шаг 10: Учётная запись <span class="editor-theme-code"><span class="editor-theme-code">admin</span></span>
- Пароль: минимум 12 символов
- Подтвердите пароль → OK
📸 Скриншот 12:
Экран создания учётной записи<em class="editor-theme-code editor-theme-italic"><em class="editor-theme-code editor-theme-italic">admin</em></em>
Шаг 11: Язык NDR
Выберите язык (например, русский) → Enter
📸 Скриншот 13:
Экран выбора языка для NDR
Шаг 12: DNS-серверы
⚠️ Обязательно! Даже в изолированной сети укажите фиктивный DNS (например,
<span class="editor-theme-code"><span class="editor-theme-code">1.1.1.1</span></span>)
📸 Скриншот 14:
Поле ввода DNS-серверов
Шаг 13: NTP-серверы
- Нажмите Add
- Введите адрес (например,
<span class="editor-theme-code"><span class="editor-theme-code">pool.ntp.org</span></span>) - Нажмите Continue
📸 Скриншот 15:
Экран добавления NTP-сервера
Шаг 14: Ожидание завершения
Процесс займёт 5–20 минут. Не перезагружайте сервер.
📸 Скриншот 16:
Экран ожидания конфигурации контейнеров
\## 3. Настройка
3.1. Доступ к веб-интерфейсу
После завершения установки подождите 5–20 минут — идёт запуск контейнеров и инициализация сервисов.
⚠️ Не пытайтесь входить сразу — возможна ошибка авторизации.
Откройте в браузере:
https://<IP-адрес-сервера>:8443
Войдите под:
- Логин:
<span class="editor-theme-code"><span class="editor-theme-code">admin</span></span> - Пароль: заданный при установке
📸 Скриншот 17:
Страница входа в веб-интерфейс Central Node
3.2. Конфигурация серверов
После входа откроется веб-интерфейс для управления масштабированием. Вам будет доступен раздел «Конфигурация серверов», где необходимо указать параметры, определяющие нагрузку и объём хранилища.
📸 Скриншот 18:
Экран «Конфигурация серверов» с пустыми полями
🔹 Количество Endpoint Agents
❗ Указывается не количество хостов, а количество эффективных агентов, по которым рассчитывается нагрузка и выделяется дисковое пространство.
| Тип хоста | Коэффициент |
|---|---|
| Windows-хост | ×1 |
| Linux/Mac-хост | ×3 |
| Сервер (Windows/Linux) | ×20 |
Формула:
K = Σ(Windows) + Σ(Linux × 3) + Σ(Серверы × 20)
Пример:
- 800 Windows
- 100 Linux
- 200 Windows Server
- 100 Linux Server
→<span class="editor-theme-code"><span class="editor-theme-code">K = 800 + (100×3) + (300×20) = 7100</span></span>
❌ Если KEDR не используется → укажите
<span class="editor-theme-code"><span class="editor-theme-code">0</span></span>.
📸 Скриншот 18:
Поле "Количество Endpoint Agents"
🔹 Почтовый трафик (KATA)
❗ Указывается среднее количество писем в секунду (PPS).
Формула:
PPS = M / (H × 3600)
<span class="editor-theme-code"><span class="editor-theme-code">M</span></span>— писем в день<span class="editor-theme-code"><span class="editor-theme-code">H</span></span>— часов в рабочем дне
Пример:
10 000 писем/день, 8 часов → <span class="editor-theme-code"><span class="editor-theme-code">10000 / 28800 ≈ 0.35</span></span>
❌ Если KATA не используется → укажите
<span class="editor-theme-code"><span class="editor-theme-code">0</span></span>.
📸 Скриншот 19:
Поле "Почтовый трафик"
🔹 SPAN-трафик (NDR)
Укажите суммарный объём трафика (Мбит/с) с CN и всех Sensor.
Пример:
- CN: 500 Mbps
- Sensor: 1.5 Gbps = 1500 Mbps
→ Укажите: 2000
❌ Если NDR не используется → укажите
<span class="editor-theme-code"><span class="editor-theme-code">0</span></span>.
📸 Скриншот 20:
Поле "SPAN-трафик"
3.3. Объём диска
⚠️ Если вы установили Central Node не в виде отказоустойчивого кластера, вам необходимо рассчитать объём диска для параметров База событий, ГБ и Хранилище, ГБ по следующей формуле:
A = F - R, ГБ
Где:
<span class="editor-theme-code"><span class="editor-theme-code">A</span></span>— объём, используемый для базы событий и хранилища<span class="editor-theme-code"><span class="editor-theme-code">F</span></span>— объём жёсткого диска, на котором будет храниться база событий TAA<span class="editor-theme-code"><span class="editor-theme-code">R</span></span>— зарезервированное количество свободного пространства (ГБ) на второй дисковой подсистеме, соответствующее количеству подключенных хостов с компонентом Endpoint Agent
💡 Примечание:
Если количество подключенных к Central Node хостов находится в диапазоне между значениями, используйте в расчётах большее число.
🔹 Таблица: Зарезервированное количество свободного пространства
| Количество хостов с Endpoint Agent | Зарезервированное пространство (ГБ) |
|---|---|
| 1000 | 1000 |
| 3000 | 1200 |
| 5000 | 1400 |
| 10 000 | 1900 |
| 15 000 | 2400 |
🔹 Расчёт объёма дискового пространства для хранения телеметрии
Объём дискового пространства, необходимого для хранения данных телеметрии на сервере Central Node, рассчитывается по следующей формуле:
S = 150 ГБ + (K / 15000) × ((400 + 460 × d) / 0.65)
Где:
<span class="editor-theme-code"><span class="editor-theme-code">S</span></span>— объём требуемого дискового пространства (в ГБ)<span class="editor-theme-code"><span class="editor-theme-code">K</span></span>— количество хостов с Kaspersky Endpoint Agent или Kaspersky Endpoint Security для Windows<span class="editor-theme-code"><span class="editor-theme-code">d</span></span>— срок хранения данных в днях<span class="editor-theme-code"><span class="editor-theme-code">150 ГБ</span></span>— базовый объём, требуемый для хранения
⚠️ Если включена функция проверки цепочек событий (NDR), применяется изменённая формула:
S = 150 ГБ + (K / 15000) × ((600 + 460 × d) / 0.65)
✅ Пример расчёта
Допустим, в инфраструктуре 5000 хостов и срок хранения данных — 30 дней. Рассчитаем объём дискового пространства:
- Вычисляем сумму в числителе:```
400 + 460 × 30 = 400 + 13 800 = 14 200 - Делим на коэффициент хранения:```
14 200 / 0.65 ≈ 21 846.15 ГБ - Определяем долю хостов:```
5000 / 15000 = 0.33333 - Умножаем:```
0.33333 × 21 846.15 ≈ 7282.05 ГБ - Прибавляем базовые 150 ГБ:```
S = 150 + 7282.05 ≈ 7432.05 ГБ ≈ 7.43 ТБ
✅ Итог:
Для 5000 хостов с 30-дневным хранением данных требуется ≈7.43 ТБ дискового пространства.
💡 Примечание:
Если включена функция проверки цепочек событий (NDR), объём увеличится до ≈7.53 ТБ.
🔹 Дополнительный объём для хранения телеметрии NDR
Если используется анализ SPAN-трафика, рассчитайте дополнительный объём:
S_NDR = (N_NDR × 0.02 + T_SPAN × 10) × d
Где:
<span class="editor-theme-code"><span class="editor-theme-code">N_NDR</span></span>— количество агентов NDR<span class="editor-theme-code"><span class="editor-theme-code">T_SPAN</span></span>— объём SPAN-трафика в Гбит/с<span class="editor-theme-code"><span class="editor-theme-code">d</span></span>— срок хранения (дней)
Пример:
<span class="editor-theme-code"><span class="editor-theme-code">N_NDR = 2000</span></span><span class="editor-theme-code"><span class="editor-theme-code">T_SPAN = 2 Гбит/с</span></span><span class="editor-theme-code"><span class="editor-theme-code">d = 30</span></span>
S_NDR = (2000 × 0.02 + 2 × 10) × 30 = (40 + 20) × 30 = 1800 ГБ = 1.8 ТБ
🔹 Итоговый требуемый объём дискового пространства
S_total = S + S_NDR
Пример:
S_total = 7.43 ТБ + 1.8 ТБ = 9.23 ТБ
✅ Итого требуется: ≈9.23 ТБ
⚠️ Максимальный объём на одной подсистеме — 15 ТБ.
При превышении рассмотрите кластерную архитектуру.
🔹 Хранилище файлов
Рекомендуется указать до 100 ГБ — для файлов, полученных через задачу «Получить файл».
📸 Скриншот 22:
Поле "Хранилище"
3.4. Запуск конфигурации
- Нажмите «Настроить»
- Нажмите «Запустить»
- Дождитесь завершения (10–20 минут)
📸 Скриншот 23:
Кнопки "Настроить" и "Запустить"
📸 Скриншот 24:
Экран ожидания конфигурации
⚠️ После успешного завершения система предложит войти заново.
3.5. Финальная настройка
После успешной конфигурации:
🔹 Проверка времени
- Параметры → Дата и время
- Убедитесь в правильности часового пояса и NTP
⚠️ Время должно быть одинаковым на всех компонентах: CN, Sensor, Sandbox.
📸 Скриншот 25:
Настройка времени
🔹 Имя сервера
- Параметры → Сетевые параметры → Имя сервера
- Укажите имя в нижнем регистре, совпадающее с DNS (если планируется интеграция с AD)
📸 Скриншот 26:
Поле ввода имени сервера
🔹 Лицензия
- Параметры → Лицензия
- Загрузите файл ключа или введите код активации (KATA, NDR, KEDR)
📸 Скриншот 27:
Страница активации лицензии
🔹 KSN
- Параметры → KSN/KPSN и MDR
- Примите соглашение и включите KSN
📸 Скриншот 28:
Включение KSN
🔹 Обновление баз
- Параметры → Общие параметры → Обновление баз
- Выберите источник и запустите обновление
✅ Обновление должно завершиться со статусом успешно
📸 Скриншот 29:
Процесс обновления баз
🔹 Создание учётной записи Офицера безопасности
- Параметры → Пользователи → Добавить
- Роль: Старший сотрудник службы безопасности
- Укажите имя, пароль (дважды), включите учётную запись
💡 Эта учётная запись будет использоваться для работы с инцидентами.
📸 Скриншот 30:
Форма создания пользователя
📌 Полезные ссылки
- Официальная документация Kaspersky
- Инструкция по интеграции с Active Directory
- Kaspersky на YouTube
- Kaspersky на Rutube
✅ Установка и настройка Central Node завершены!
Теперь можно приступать к установке Sandbox, выделенного Sensor и развёртыванию Endpoint Agents.