Kaspersky Anti Targeted Attack Platform

Kaspersky Anti Targeted Attack Platform – решение (далее также "программа"), предназначенное для защиты IT-инфраструктуры организации и своевременного обнаружения таких угроз, как атаки "нулевого дня", целевые атаки и сложные целевые атаки advanced persistent threats (далее также "APT"). Программа разработана для корпоративных пользователей.

Программа Kaspersky Anti Targeted Attack Platform включает в себя два функциональных блока:

• Kaspersky Anti Targeted Attack (далее также "KATA"), обеспечивающий защиту периметра IT-инфраструктуры предприятия.
• Kaspersky Endpoint Detection and Response (далее также "KEDR"), обеспечивающий защиту компьютеров локальной сети организации.

Программа может получать и обрабатывать данные следующими способами:

• Интегрироваться в локальную сеть, получать и обрабатывать
  зеркалированный SPAN-, ERSPAN- и RSPAN-трафик

  Копия трафика, перенаправляемая с одного порта коммутатора на другой порт этого же коммутатора (локальное зеркалирование) или на удаленный коммутатор (удаленное зеркалирование). Администратор сети может настроить, какую часть трафика зеркалировать для передачи в Kaspersky Anti Targeted Attack Platform.

  и извлекать объекты и метаинформацию HTTP-, FTP-, SMTP- и DNS-протоколов.
• Подключаться к прокси-серверу по протоколу ICAP, получать и обрабатывать данные HTTP- и FTP-трафика, а также HTTPS-трафика, если администратор настроил подмену SSL-сертификата на прокси-сервере.
• Подключаться к почтовому серверу по протоколам POP3(S) и SMTP, получать и обрабатывать копии сообщений электронной почты.
• Интегрироваться с программами "Лаборатории Касперского" Kaspersky Secure Mail Gateway и Kaspersky Security для Linux Mail Server, получать и обрабатывать копии сообщений электронной почты.

  Вы можете получить подробную информацию о Kaspersky Secure Mail Gateway и Kaspersky Security для Linux Mail Server из документации к этим программам.

• Интегрироваться с программой Kaspersky Endpoint Agent и получать данные с отдельных компьютеров, входящих в IT-инфраструктуру организации и работающих под управлением операционных систем Microsoft Windows и Linux. Kaspersky Endpoint Agent осуществляет постоянное наблюдение за процессами, запущенными на этих компьютерах, открытыми сетевыми соединениями и изменяемыми файлами.
• Интегрироваться с внешними системами с помощью интерфейса REST API и проверять файлы на этих системах.

Программа использует следующие средства анализа угроз (Threat Intelligence):

• Инфраструктуру облачных служб Kaspersky Security Network (далее также "KSN"), предоставляющую доступ к оперативной базе знаний "Лаборатории Касперского" о репутации файлов, веб-ресурсов и программного обеспечения. Использование данных Kaspersky Security Network обеспечивает более высокую скорость реакции программ "Лаборатории Касперского" на угрозы, повышает эффективность работы некоторых компонентов защиты, а также снижает вероятность ложных срабатываний.
• Интеграцию с программой "Лаборатории Касперского" Kaspersky Private Security Network (далее также "KPSN"), предоставляющую пользователю возможность получать доступ к репутационным базам KSN, а также другим статистическим данным, не отправляя данные в KSN со своих компьютеров.
• Интеграцию с информационной системой "Лаборатории Касперского" Kaspersky Threat Intelligence Portal, которая содержит и отображает информацию о репутации файлов и URL-адресов.
• Базу угроз "Лаборатории Касперского" Kaspersky Threats.

Программа может предоставлять пользователю результаты своей работы и анализа угроз следующими способами:

• Отображать результаты работы в веб-интерфейсе серверов Central Node, Primary Central Node (далее также PCN) или Secondary Central Node (далее также SCN).
• Публиковать обнаружения в SIEM-систему, которая уже используется в вашей организации, по протоколу Syslog.
• Интегрироваться с внешними системами с помощью интерфейса REST API и по запросу отправлять данные об обнаружениях программы во внешние системы.
• Публиковать информацию об обнаружениях компонента Sandbox в
  локальную репутационную базу Kaspersky Private Security Network

  База данных репутаций объектов (файлов или URL-адресов), которая хранится на сервере Kaspersky Private Security Network, а не на серверах Kaspersky Security Network. Управление локальными репутационными базами осуществляется администратором KPSN.

  .

Пользователи Старший сотрудник службы безопасности и Сотрудник службы безопасности могут выполнять следующие действия в программе:

• Осуществлять мониторинг работы программы.
• Просматривать таблицу обнаруженных признаков целевых атак и вторжений в IT-инфраструктуру организации, осуществлять фильтрацию и поиск обнаружений, просмотр и работу с каждым обнаружением, выполнять рекомендации по оценке и расследованию инцидентов.
• Просматривать таблицу событий, происходящих на компьютерах и серверах, входящих в IT-инфраструктуру организации, осуществлять поиск угроз, фильтрацию, просмотр и работу с каждым событием, выполнять рекомендации по оценке и расследованию инцидентов.
• Выполнять задачи на хостах с Kaspersky Endpoint Agent: запускать программы и останавливать процессы, скачивать и удалять файлы, помещать объекты на карантин на компьютерах с программой Kaspersky Endpoint Agent, копии файлов в Хранилище программы, а также восстанавливать файлы из карантина.
• Настраивать политики запрета запуска файлов и процессов, которые они считают небезопасными, на выбранных хостах с программой Kaspersky Endpoint Agent.
• Изолировать отдельные хосты с программой Kaspersky Endpoint Agent от сети.
• Работать с правилами TAA (IOA) для классификации и анализа событий.
• Работать с пользовательскими правилами Targeted Attack Analyzer TAA (IOA), Intrusion Detection System (IDS) и YARA: загружать правила, по которым программа будет проверять события и создавать обнаружения.
• Работать с файлами открытого стандарта описания индикаторов компрометации OpenIOC (IOC-файлы) для поиска признаков целевых атак, зараженных и возможно зараженных объектов на хостах с компонентом Endpoint Agent и в базе обнаружений.
• Добавлять правила TAA (IOA) и правила IDS, предоставленные специалистами "Лаборатории Касперского", в исключения из проверки.
• Работать с объектами на карантине и копиями объектов в Хранилище.
• Управлять отчетами о работе программы и отчетами об обнаружениях.
• Настраивать отправку уведомлений об обнаружениях и о проблемах в работе программы на адреса электронной почты пользователей.
• Работать со списком обнаружений со статусом VIP, со списком данных, исключенных из проверки, наполнять локальную репутационную базу KPSN.

Пользователи с ролью Аудитор могут выполнять следующие действия в программе:

• Осуществлять мониторинг работы программы.
• Просматривать таблицу обнаруженных признаков целевых атак и вторжений в IT-инфраструктуру организации, осуществлять фильтрацию и поиск обнаружений, просматривать данные каждого обнаружения.
• Просматривать таблицу событий, происходящих на компьютерах и серверах, входящих в IT-инфраструктуру организации, осуществлять поиск угроз, фильтрацию, просмотр каждого события.
• Просматривать список хостов с компонентом Endpoint Agent и информацию о выбранных хостах.
• Просматривать пользовательские правила Targeted Attack Analyzer TAA (IOA), Intrusion Detection System (IDS) и YARA.
• Просматривать исключенные из проверки правила TAA (IOA) и правила IDS, предоставленные специалистами "Лаборатории Касперского".
• Просматривать отчеты о работе программы и отчеты об обнаружениях.
• Просматривать список обнаружений со статусом VIP, список данных, исключенных из проверки.
• Осуществлять мониторинг работоспособности программы.
• Просматривать все настройки, производимые в веб-интерфейсе программы.

Пользователи Локальный администратор и Администратор могут выполнять следующие действия в программе:

• Настраивать параметры работы программы.
• Настраивать серверы для работы в режиме распределенного решения и мультитенантности.
• Производить интеграцию программы с другими программами и системами.
• Работать с TLS-сертификатами и настраивать доверенное соединение сервера Central Node c сервером Sandbox, а также серверов Kaspersky Anti Targeted Attack Platform c программой Kaspersky Endpoint Agent и с внешними системами.
• Управлять учетными записями пользователей программы.
• Осуществлять мониторинг работоспособности программы.

Программа обнаруживает следующие события, происходящие внутри IT-инфраструктуры организации:

• На компьютер локальной сети организации был загружен файл или была предпринята попытка загрузки файла.
• На адрес электронной почты пользователя локальной сети организации был отправлен файл.
• На компьютере локальной сети организации была открыта ссылка на веб-сайт.
• IP-адрес или доменное имя компьютера локальной сети организации были замечены в сетевой активности.
• На компьютере локальной сети организации были запущены процессы.

Kaspersky Anti Targeted Attack Platform оценивает события и рекомендует пользователю обратить внимание на каждое обнаруженное событие (обнаружение) в соответствии с тем, какое влияние это обнаружение может оказать на безопасность компьютера или локальной сети вашей организации, по опыту "Лаборатории Касперского".

Пользователь Kaspersky Anti Targeted Attack Platform самостоятельно принимает решение о дальнейших действиях над обнаружениями.

Что нового

В Kaspersky Anti Targeted Attack Platform появились следующие возможности и доработки:

1. Компонент Central Node может быть развернут в виде отказоустойчивого кластера, который состоит из серверов 2 ролей – серверов хранения и обрабатывающих серверов. Отказоустойчивость достигается за счет дублирования данных между серверами хранения и избыточности вычислительных ресурсов: при выходе из строя одного сервера его функции выполняет другой сервер с аналогичной ролью. Программа при этом продолжает работать.
2. Добавлена возможность настроить параметры масштабирования программы. Вы можете указать планируемый объем SPAN-трафика, почтового трафика, количество хостов с Kaspersky Endpoint Agent, а также планируемый размер Хранилища и базы событий. Программа настроит серверы с компонентом Central Node в соответствии с указанными параметрами.

   Для настройки параметров масштабирования используется отдельный веб-интерфейс – веб-интерфейс для управления масштабированием. Если компонент Central Node развернут в виде кластера, в веб-интерфейсе для управления масштабированием вы также можете просмотреть список серверов и выключить кластер.

3. Для компонента Sandbox поддержана установка операционной системы Astra Linux 1.7 и запуск объектов в этой операционной системе.

   Использование операционной системы опционально: вы можете выбрать набор операционных систем, на основе которого будут формироваться задачи на проверку объектов для компонента Sandbox – Windows XP, Windows 7, Windows 10; Windows XP, Windows 7, Windows 10, CentOS 7.8 или Windows XP, Windows 7, Windows 10, Astra Linux 1.7.

   Программа может запускать в Astra Linux 1.7 следующие объекты:

   • Файлы с хостов с Kaspersky Endpoint Agent, отправленные на проверку компоненту Sandbox в соответствии с правилами TAA (IOA) "Лаборатории Касперского".
   • Файлы, загруженные в Хранилище вручную или по задаче Получить файл (при условии, что объект был отправлен на проверку).
   • Файлы, полученные из почтового или сетевого трафика.
4. Расширен функционал задач для хостов с компонентом Kaspersky Endpoint Agent для Windows:
   • Добавлена задача Получить образ диска.

     Задача позволяет получить образ диска выбранного хоста.

   • Добавлена задача Получить дамп памяти.

     Задача позволяет получить дамп оперативной памяти выбранного хоста.

     Файлы, полученные в результате выполнения задач, сохраняются в общий сетевой ресурс.

   В связи с добавлением новых типов задач в программе произошли следующие изменения:

   • Задачи сбора данных теперь сгруппированы в подменю Собрать данные.
   • Переименованы следующие типы задач:
     • Получить файл → Файл.
     • Собрать данные → Форензика.
     • Получить ключ реестра → Ключ реестра.
     • Метафайлы NTFS → Метафайлы NTFS.
     • Получить дамп памяти процесса → Дамп памяти процесса.
5. Добавлен новый тип события – Завершен процесс.
6. В веб-интерфейсе программы произошли следующие изменения:
   • В окне параметров сетевого интерфейса добавлена возможность выбрать способ настройки этого интерфейса: вручную или получать параметры от DHCP-сервера.
   • В разделе Параметры, подразделе Дата и время упразднена возможность отключить синхронизацию с NTP-сервером.
   • Упразднена возможность указать максимальное допустимое значение заполнения жесткого диска серверов Central Node и Sensor.

В Kaspersky Endpoint Agent для Windows 3.14 появились следующие возможности и доработки:

1. Добавлена возможность взаимодействия с отказоустойчивыми кластерами серверов Kaspersky Anti Targeted Attack Platform.
2. Добавлена возможность создавать через интерфейс командной строки полный дамп памяти и полный дамп диска защищаемого устройства для дальнейшего использования Kaspersky Anti Targeted Attack Platform.
3. Добавлен режим работы Kaspersky Endpoint Agent, совместимый с Azure WVD.
4. Исправлена ошибка, связанная с возможной блокировкой обрабатываемых Kaspersky Endpoint Agent файлов.

Для Kaspersky Endpoint Agent 3.12 для Linux актуальны следующие изменения:

Работа с решением Kaspersky Managed Detection and Response больше не поддерживается. Не рекомендуется использовать Kaspersky Endpoint Agent for Linux для работы с этим решением. Для работы с Kaspersky Managed Detection and Response следует использовать программу Kaspersky Endpoint Security для Linux.

О Kaspersky Threat Intelligence Portal

Для получения дополнительной информации о файлах, которые вы считаете подозрительными, вы можете перейти на веб-сайт программы "Лаборатории Касперского" Kaspersky Threat Intelligence Portal, которая анализирует каждый файл на содержание в нем вредоносного кода и отображает информацию о репутации этого файла.

Доступ к программе Kaspersky Threat Intelligence предоставляется на платной основе. Для авторизации на веб-сайте программы на вашем компьютере в хранилище сертификатов должен быть установлен сертификат доступа к программе. Кроме того, у вас должны быть имя пользователя и пароль доступа к программе.

Подробнее о программе Kaspersky Threat Intelligence Portal см. веб-сайт "Лаборатории Касперского".

Комплект поставки

В комплект поставки Kaspersky Anti Targeted Attack Platform входят следующие файлы:

1. Образ диска (файл с расширением iso) с установочными файлами операционной системы Ubuntu Server 20.04.5 и компонентов Sensor, Central Node.
2. Образ диска (файл с расширением iso) с установочными файлами операционной системы CentOS 7.9 и компонента Sandbox.
3. Образы дисков (файлы с расширением iso) операционных систем Windows XP SP3, Windows 7 (64-разрядной), Windows 10 (64-разрядной), CentOS 7.8, в которых компонент Sandbox будет запускать файлы.

   Для российских пользователей также поставляется образ диска с операционной системой Astra Linux 1.7.

4. Скрипт kata-upgrade-preparation для обновления компонента Central Node.
5. Файл с информацией о стороннем коде, используемом в Kaspersky Anti Targeted Attack Platform.

В комплект поставки программы Kaspersky Endpoint Agent входят следующие файлы:

Комплект поставки Kaspersky Endpoint Agent

Аппаратные и программные требования

Для настройки и работы с программой через веб-интерфейс на компьютерах должен быть установлен один из следующих браузеров:

• Mozilla Firefox для Linux.
• Mozilla Firefox для Windows.
• Google Chrome для Windows.
• Google Chrome для Linux.
• Edge (Windows).
• Safari (Mac).

Минимально возможное разрешение экрана для работы в веб-интерфейсе: 1366х768 пикселей.

Для развертывания программы на виртуальной платформе должен быть установлен гипервизор VMware ESXi версии 6.7.0 или 7.0.

Для корректной работы программы в виртуальной среде необходимо установить для гипервизора актуальный патч.

Конфигурация серверов с компонентами Central Node, Sensor и Sandbox зависит от объема данных, обрабатываемых программой, а также от пропускной способности канала связи.

Аппаратные требования к компонентам Central Node, Sensor и Sandbox приведены в Руководстве по масштабированию.

Требования к Kaspersky Endpoint Agent для Windows

В этом разделе описываются аппаратные и программные требования для Kaspersky Endpoint Agent 3.14 для Windows.

Если версия программы Kaspersky Anti Targeted Attack Platform на серверах Central Node несовместима с версией программы Kaspersky Endpoint Agent 3.14 для Windows, установленной на компьютерах локальной сети вашей организации, в работе Kaspersky Anti Targeted Attack Platform возможны ограничения.

У Kaspersky Endpoint Agent для Windows есть предустановленные параметры, которые определяют влияние программы на производительность локального компьютера в сценариях получения информации и взаимодействия с компонентом Central Node.

Программные требования к компьютерам для установки Kaspersky Endpoint Agent 3.14 для Windows

Поддерживаемые операционные системы для рабочих станций:

• Windows 7 SP1 Home / Professional / Enterprise / Ultimate 32-разрядная / 64-разрядная.
• Windows 8.1.1 Professional / Enterprise 32-разрядная / 64-разрядная.
• Windows 10 RS3 (версия 1703) Home / Professional / Education / Enterprise 32-разрядная / 64-разрядная.
• Windows 10 RS4 (версия 1803) Home / Professional / Education / Enterprise 32-разрядная / 64-разрядная.
• Windows 10 RS5 (версия 1809) Home / Professional / Education / Enterprise 32-разрядная / 64-разрядная.
• Windows 10 19H1 (версия 1903) Home / Professional / Education / Enterprise 32-разрядная / 64-разрядная.
• Windows 10 19H2 (версия 1909) Home / Professional / Education / Enterprise 32-разрядная / 64-разрядная.
• Windows 10 20H1 (версия 2004) Home / Professional / Education / Enterprise 32-разрядная / 64-разрядная.
• Windows 10 20H2 (версия 2009) Home / Professional / Education / Enterprise 32-разрядная / 64-разрядная.
• Windows 10 21H1 (версия 21H1) Home / Professional / Education / Enterprise 32-разрядная / 64-разрядная.
• Windows 10 21H2 (версия 21H2) Home / Professional / Education / Enterprise 32-разрядная / 64-разрядная.
• Windows 11 21H2 (версия 21H2) Home / Professional / Education / Enterprise 32-разрядная / 64-разрядная.

Поддерживаемые серверные операционные системы:

• Windows Server 2008 SP2 Standard / Enterprise 64-разрядная.
• Windows Server 2008 R2 SP1 Foundation / Standard / Enterprise 64-разрядная.
• Windows Server 2012 Foundation / Standard / Enterprise / Datacenter 64-разрядная.
• Windows Server 2012 R2 Foundation / Standard / Enterprise / Datacenter 64-разрядная.
• Windows Server 2016 Essentials / Standard / Datacenter 64-разрядная.
• Windows Server 2019 Essentials / Standard / Datacenter 64-разрядная.
• Windows Server 20H2 Standard Core / Datacenter Core 64-разрядная.
• Windows Server 2022 Standard / Datacenter 64-разрядная.

Поддерживаемые встраиваемые операционные системы:

• Windows Embedded Standard 7 SP1 32-разрядная / 64-разрядная.

Программные требования к компьютерам для установки Kaspersky Endpoint Agent 3.14 для Windows при интеграции с Kaspersky Industrial CyberSecurity for Nodes

Поддерживаемые операционные системы для рабочих станций:

• Windows XP Professional SP2 32-разрядная / 64-разрядная.
• Windows XP Professional SP3 32-разрядная.
• Windows Vista SP2 32-разрядная / 64-разрядная.
• Windows 7 SP1 Home / Pro / Enterprise / Ultimate 32-разрядная / 64-разрядная.
• Windows 8 Pro / Enterprise 32-разрядная / 64-разрядная.
• Windows 8.1 Pro / Enterprise 32-разрядная / 64-разрядная.
• Windows 10 LTSC 2015 (1507) 32-разрядная / 64-разрядная.
• Windows 10 LTSC 2016 (1607) 32-разрядная / 64-разрядная.
• Windows 10 LTSC 2019 (1809) 32-разрядная / 64-разрядная.
• Windows 10 LTSC 2021 (21H2) 32-разрядная / 64-разрядная.
• Windows 10 Home / Pro / Education / Enterprise 1703 RS2 32-разрядная / 64-разрядная.
• Windows 10 Home / Pro / Education / Enterprise 1803 RS4 32-разрядная / 64-разрядная.
• Windows 10 Home / Pro / Education / Enterprise 1809 RS5 32-разрядная / 64-разрядная.
• Windows 10 Home / Pro / Education / Enterprise 1903 19H1 32-разрядная / 64-разрядная.
• Windows 10 Home / Pro / Education / Enterprise 1909 19H2 32- или 64-разрядная.
• Windows 10 Home / Pro / Education / Enterprise 2004 20H1 32-разрядная / 64-разрядная.
• Windows 10 Home / Pro / Education / Enterprise 2009 20H2 32-разрядная / 64-разрядная.
• Windows 10 Home / Pro / Education / Enterprise 21H1 32-разрядная / 64-разрядная.
• Windows 10 Home / Pro / Education / Enterprise 21H2 32-разрядная / 64-разрядная.

Поддерживаемые серверные операционные системы:

• Windows Server 2003 SP1 Standard / Enterprise / Datacenter 32-разрядная / 64-разрядная.
• Windows Server 2003 SP2 Standard / Enterprise / Datacenter 32-разрядная / 64-разрядная.
• Windows Server 2008 SP2 Standard / Enterprise / Datacenter 32-разрядная / 64-разрядная.
• Windows Server 2003 R2 Standard / Enterprise / Datacenter 32-разрядная / 64-разрядная.
• Windows Server 2008 R2 SP1 Standard / Enterprise / Datacenter 32-разрядная / 64-разрядная.
• Windows Server 2012 Foundation / Standard / Essentials / Datacenter 64-разрядная.
• Windows Server 2012 R2 Foundation / Standard / Enterprise / Datacenter 64-разрядная.
• Windows Server 2016 Essentials / Standard / Datacenter 64-разрядная следующих версий: 1709 и 1803.
• Windows Server 2019 Standard Core / Datacenter Core 64-разрядная следующих версий: 1903, 1909, 2004, 20H2, 21H2.

Поддерживаемые встраиваемые операционные системы:

• Windows XP Embedded SP2 (WEPOS) 32-разрядная / 64-разрядная.
• Windows XP Embedded SP3 (POSReady 2009) 32-разрядная.
• Windows 7 SP1 Embedded (POSReady 7) 32-разрядная / 64-разрядная.
• Windows Embedded 8.1 Industry Pro 32-разрядная / 64-разрядная.
• Windows 10 IoT Enterprise 32-разрядная / 64-разрядная следующих версий: 1703, 1803, 1809, 1903, 1909, 2004, 2009, 21H1, 21H2.

При создании инсталляционного пакета в Kaspersky Security Center версии 12 и выше для установки Kaspersky Endpoint Agent на устройства под управлением Windows XP необходимо использовать файл запуска установки (setup.exe) из инсталляционного пакета, созданного в Kaspersky Security Center версии 10.5.

Аппаратные требования к компьютерам для установки Kaspersky Endpoint Agent 3.14 для Windows

Минимальная конфигурация:

• Процессор: 1.4 ГГц (одноядерный) или выше.
• Оперативная память: 256 МБ (512 МБ при 64-разрядной операционной системе).
• Объем свободного места на диске: 500 МБ.
• Один сетевой адаптер со скоростью передачи данных 1 Гбит/с.

При интеграции с Kaspersky Endpoint Security программа Kaspersky Anti Targeted Attack Platform имеет ограниченную функциональность, если на сервере с Kaspersky Endpoint Security установлена операционная система Windows Server 2008 SP2 x64

Для управления программой Kaspersky Endpoint Agent с помощью Kaspersky Security Center Web Console требуется Google Chrome для Windows.

Совместимость версий Kaspersky Endpoint Agent для Windows с версиями Kaspersky Anti Targeted Attack Platform

Программа Kaspersky Endpoint Agent использует предустановленные параметры, которые определяют его влияние на производительность локального компьютера в сценариях получения информации и взаимодействия с компонентом Central Node.

Если версия программы Kaspersky Anti Targeted Attack Platform, установленной на серверах Central Node, несовместима с версией программы Kaspersky Endpoint Agent, установленной на компьютерах локальной сети вашей организации, возможны ограничения в работе Kaspersky Anti Targeted Attack Platform.

Информация о совместимости версий Kaspersky Endpoint Agent с версиями Kaspersky Anti Targeted Attack Platform приведена в таблице ниже.

Совместимость версий Kaspersky Endpoint Agent для Windows с версиями Kaspersky Anti Targeted Attack Platform

Версия Kaspersky Endpoint Agent	Тип Kaspersky Endpoint Agent	Совместимость с KATA 3.7	Совместимость с KATA 3.7.1	Совместимость с KATA 3.7.2	Совместимость с KATA 4.0	Совместимость с KATA 4.1	Совместимость с KATA 5.0
Endpoint Agent 3.7	Устанавливается отдельно или в составе KES версий 11.2 и 11.3	Нет	Нет	Нет	Нет	Нет	Нет
Endpoint Agent 3.8	Устанавливается отдельно	Да	Да	Есть ограничения Объем передаваемых Kaspersky Endpoint Agent данных ограничен: Недоступны данные о событии AMSI-проверка. Объем передаваемых программой Kaspersky Endpoint Agent данных для событий Загружен модуль, Изменен файл, Изменение в реестре, Интерактивный ввод команд в консоли ограничен. Подробно состав данных для этих событий описан в Справке Kaspersky Anti Targeted Attack Platform версии 3.7.1. Не поддерживается задача Получить список файлов, процессов.	Есть ограничения Объем передаваемых Kaspersky Endpoint Agent данных ограничен: В информации о событиях не отображаются поля Имя ОС и Версия ОС. Объем передаваемых программой Kaspersky Endpoint Agent данных ограничен для событий: Загружен модуль, Изменен файл, Изменение в реестре, Интерактивный ввод команд в консоли и Удаленное соединение. Подробно состав данных для этих событий описан в справке Kaspersky Anti Targeted Attack Platform версии 3.7.1. Недоступны данные о событии AMSI-проверка. Не поддерживаются задачи Собрать данные, Запустить YARA-проверку, Управление службами.	Есть ограничения Объем передаваемых Kaspersky Endpoint Agent данных ограничен: В информации о событиях не отображаются поля Имя ОС и Версия ОС. Объем передаваемых программой Kaspersky Endpoint Agent данных ограничен для событий: Загружен модуль, Изменен файл, Изменение в реестре, Интерактивный ввод команд в консоли и Удаленное соединение. Подробно состав данных для этих событий описан в справке Kaspersky Anti Targeted Attack Platform версии 3.7.1. Недоступны данные о событии AMSI-проверка. Подробно состав данных для этого события описан в справке Kaspersky Anti Targeted Attack Platform версии 3.7.2. Не поддерживаются задачи Собрать данные, Запустить YARA-проверку, Управление службами, Получить метафайлы NTFS, Получить дамп памяти процесса, Получить ключ реестра. Подробную информацию об этих задачах вы можете посмотреть в справке Kaspersky Anti Targeted Attack Platform версии 4.0.	Есть ограничения Объем передаваемых Kaspersky Endpoint Agent данных ограничен: Недоступны данные о событии AMSI-проверка. Объем передаваемых программой Kaspersky Endpoint Agent данных для событий Загружен модуль, Изменен файл (Создан файл), Изменение в реестре, Интерактивный ввод команд в консоли ограничен. Подробно состав данных для этих событий описан в справке Kaspersky Anti Targeted Attack Platform версии 3.7.1. В информации о событиях не отображаются поля Имя ОС, Версия ОС, IP хоста. Не поддерживаются задачи Запустить YARA-проверку, Управление службами, Собрать форензику, Получить метафайлы NTFS, Получить дамп памяти процесса, Получить ключ реестра, Получить образ диска, Получить дамп памяти.
Endpoint Agent 3.9	Устанавливается отдельно или в составе программ EPP	Да	Да	Есть ограничения	Есть ограничения	Есть ограничения	Есть ограничения
Endpoint Agent 3.10	Устанавливается отдельно или в составе программ EPP	Нет	Есть ограничения Сервер этой версии Kaspersky Anti Targeted Attack Platform воспринимает ограниченный объем данных от программы Kaspersky Endpoint Agent для событий Загружен модуль, Изменен файл, Изменение в реестре, Интерактивный ввод команд в консоли. Подробно состав данных для этих событий описан в справке Kaspersky Anti Targeted Attack Platform версии 3.7.1.	Да	Есть ограничения Объем передаваемых Kaspersky Endpoint Agent данных ограничен: В информации о событиях не отображается поле IP хоста. Не поддерживается получение списка точек автозапуска с помощью задачи Собрать форензику. Не поддерживаются задачи Запустить YARA-проверку, Управление службами.	Есть ограничения Объем передаваемых Kaspersky Endpoint Agent данных ограничен: В информации о событиях не отображается поле IP хоста. Не поддерживается получение списка точек автозапуска с помощью задачи Собрать данные. Не поддерживаются задачи Запустить YARA-проверку, Управление службами, Получить метафайлы NTFS, Получить дамп памяти процесса, Получить ключ реестра.	Есть ограничения Объем передаваемых Kaspersky Endpoint Agent данных ограничен: В информации о событиях не отображается поле IP хоста. Не поддерживается получение списка точек автозапуска с помощью задачи Собрать данные. Не поддерживаются задачи Запустить YARA-проверку, Управление службами, Получить метафайлы NTFS, Получить дамп памяти процесса, Получить ключ реестра, Получить образ диска, Получить дамп памяти.
Endpoint Agent 3.11	Устанавливается отдельно или в составе KES 11.7	Нет	Есть ограничения	Да	Есть ограничения	Есть ограничения	Есть ограничения
Endpoint Agent 3.12	Устанавливается отдельно	Нет	Нет	Нет	Да	Есть ограничения Объем передаваемых Kaspersky Endpoint Agent данных ограничен: Не поддерживается проверка точек автозапуска с помощью задачи Запустить YARA-проверку. Не поддерживаются задачи Получить метафайлы NTFS, Получить дамп памяти процесса, Получить ключ реестра.	Есть ограничения Объем передаваемых Kaspersky Endpoint Agent данных ограничен: Не поддерживается проверка точек автозапуска с помощью задачи Запустить YARA-проверку. Не поддерживаются задачи Получить метафайлы NTFS, Получить дамп памяти процесса, Получить ключ реестра, Получить образ диска, Получить дамп памяти.
Endpoint Agent 3.13	Устанавливается отдельно	Нет	Нет	Нет	Есть ограничения Сервер этой версии Kaspersky Anti Targeted Attack Platform воспринимает ограниченный объем данных от программы Kaspersky Endpoint Agent: создание задач Получить метафайлы NTFS, Получить дамп памяти процесса, Получить ключ реестра в веб-интерфейсе программы невозможно.	Да	Есть ограничения Объем передаваемых Kaspersky Endpoint Agent данных ограничен: Не поддерживаются задачи Получить образ диска, Получить дамп памяти.
Endpoint Agent 3.14	Устанавливается отдельно	Нет	Нет	Нет	Есть ограничения Сервер этой версии Kaspersky Anti Targeted Attack Platform воспринимает ограниченный объем данных от программы Kaspersky Endpoint Agent: создание задач Получить метафайлы NTFS, Получить дамп памяти процесса, Получить ключ реестра, Получить образ диска, Получить дамп памяти в веб-интерфейсе программы невозможно.	Есть ограничения Сервер этой версии Kaspersky Anti Targeted Attack Platform воспринимает ограниченный объем данных от программы Kaspersky Endpoint Agent: создание задач Получить образ диска, Получить дамп памяти в веб-интерфейсе программы невозможно.	Да

Совместимость версий Kaspersky Endpoint Agent для Windows с программами EPP

Вы можете использовать только программу Kaspersky Endpoint Agent или настроить интеграцию Kaspersky Endpoint Agent с программами защиты рабочих станций (Endpoint Protection Platform, далее также "EPP") Kaspersky Endpoint Security для Windows, Kaspersky Security для Windows Server и Kaspersky Security для виртуальных сред Легкий агент. Если интеграция между программами настроена, Kaspersky Endpoint Agent будет также передавать на сервер Central Node данные об угрозах, обнаруженных программами EPP, и о результатах их обработки.

Описанные сценарии интеграции не работают при установке программы Kaspersky Endpoint Agent на виртуальный рабочий стол в инфраструктуре Virtual Desktop Infrastructure.

Для интеграции Kaspersky Endpoint Agent с Kaspersky Endpoint Security для Windows и Kaspersky Security для Windows Server требуется установить Kaspersky Endpoint Agent в составе этих программ.

Совместимость Kaspersky Endpoint Agent для Windows с версиями Kaspersky Security для Windows Server

Вы можете установить в составе Kaspersky Security для Windows Server следующие версии Kaspersky Endpoint Agent:

• Kaspersky Endpoint Agent 3.9 в составе Kaspersky Security 11 для Windows Server.
• Kaspersky Endpoint Agent 3.10 в составе Kaspersky Security 11.0.1 для Windows Server.

При установке Kaspersky Endpoint Agent в составе Kaspersky Security для Windows Server отдельно установленная ранее программа Kaspersky Endpoint Agent той же или более ранних версий удаляется. Если версия Kaspersky Endpoint Agent в составе Kaspersky Security для Windows Server более ранняя, программа не будет установлена. В этом случае вам требуется предварительно удалить отдельно установленную программу Kaspersky Endpoint Agent.

При необходимости вы можете обновить программу Kaspersky Endpoint Agent, уже установленную в составе Kaspersky Security для Windows Server. Интеграция между совместимыми версиями программ сохранится как при обновлении Kaspersky Endpoint Agent, так и при обновлении Kaspersky Security для Windows Server.

Информация о совместимости версий программ Kaspersky Endpoint Agent и Kaspersky Security для Windows Server приведена в таблице ниже.

Совместимость версий Kaspersky Endpoint Agent и Kaspersky Security для Windows Server

Подробнее об установке Kaspersky Security для Windows Server см. в справке Kaspersky Security для Windows Server.

Совместимость Kaspersky Endpoint Agent для Windows с версиями Kaspersky Endpoint Security для Windows

Вы можете установить в составе Kaspersky Endpoint Security для Windows следующие версии Kaspersky Endpoint Agent (Endpoint Sensors):

• Kaspersky Endpoint Agent 3.7 или Kaspersky Endpoint Agent (Endpoint Sensors) 3.6.1 в составе Kaspersky Endpoint Security 11.2, 11.3 для Windows.

  Программа Kaspersky Endpoint Agent (Endpoint Sensors) 3.6.1 несовместима с Kaspersky Anti Targeted Attack Platform 4.1 и выше.

  Программа Kaspersky Endpoint Agent 3.7 несовместима со всеми версиями Kaspersky Anti Targeted Attack Platform.

• Kaspersky Endpoint Agent 3.9 в составе Kaspersky Endpoint Security 11.4, 11.5.
• Kaspersky Endpoint Agent 3.10 в составе Kaspersky Endpoint Security 11.6.
• Kaspersky Endpoint Agent 3.11 в составе Kaspersky Endpoint Security 11.7, 11.8.

При установке Kaspersky Endpoint Agent версии 3.10 и выше в составе Kaspersky Endpoint Security для Windows отдельно установленная ранее программа Kaspersky Endpoint Agent той же или более ранних версий удаляется. Если отдельно установленная программа Kaspersky Endpoint Agent более поздних версий, программа в составе Kaspersky Endpoint Security для Windows не будет установлена. В этом случае вам требуется предварительно удалить отдельно установленную программу Kaspersky Endpoint Agent.

При необходимости вы можете обновить программу Kaspersky Endpoint Agent, уже установленную в составе Kaspersky Endpoint Security для Windows. Интеграция между совместимыми версиями программ сохранится как при обновлении программы Kaspersky Endpoint Agent, так и при обновлении программы Kaspersky Endpoint Security для Windows. Обновление с предыдущей версии Kaspersky Endpoint Agent до версии 3.14 доступно для Kaspersky Endpoint Agent версии 3.7 и выше.

Информация о совместимости версий Kaspersky Endpoint Agent и Kaspersky Endpoint Security для Windows приведена в таблице ниже.

Совместимость версий Kaspersky Endpoint Agent и Kaspersky Endpoint Security для Windows

Подробнее об установке Kaspersky Endpoint Security см. в справке Kaspersky Endpoint Security для Windows.

Совместимость Kaspersky Endpoint Agent с версиями Kaspersky Security для виртуальных сред Легкий агент

Вы можете настроить интеграцию для отдельно установленных программ Kaspersky Endpoint Agent и Kaspersky Security для виртуальных сред Легкий агент.

Информация о совместимости версий программ Kaspersky Endpoint Agent и Kaspersky Security для виртуальных сред Легкий агент приведена в таблице ниже.

Совместимость версий Kaspersky Endpoint Agent и Kaspersky Security для виртуальных сред Легкий агент

Kaspersky Endpoint Agent и Kaspersky Security для виртуальных сред Легкий агент, установленные на виртуальную машину, дают такую же нагрузку на сервер Central Node, как Kaspersky Endpoint Agent и Kaspersky Security для виртуальных сред Легкий агент, установленные на хост.

Подробнее о включении интеграции между Kaspersky Endpoint Agent и Kaspersky Security для виртуальных сред Легкий агент см. в справке Kaspersky Security для виртуальных сред Легкий агент.

Совместимость Kaspersky Endpoint Agent с версиями Kaspersky Industrial CyberSecurity for Nodes

Вы можете установить программу Kaspersky Endpoint Agent на устройство с установленной программой Kaspersky Industrial CyberSecurity for Nodes. Программы интегрируются автоматически.

Интеграция поддерживается только для Kaspersky Endpoint Agent версии 3.14 и Kaspersky Industrial CyberSecurity for Nodes версии 3.1. Интеграция между другими версиями программ не поддерживается.

Для интеграции с Kaspersky Industrial CyberSecurity for Nodes в Kaspersky Endpoint Agent должен быть установлен соответствующий лицензионный ключ.

Для получения детальной информации вы можете обратиться к вашему аккаунт-менеджеру.

Совместимость версий Kaspersky Endpoint Agent для Windows с другими программами

Совместная работа Kaspersky Anti Targeted Attack Platform с программами, не указанными в этом разделе, не предусмотрена.

Совместимость Kaspersky Endpoint Agent 3.8 и 3.9 для Windows с другими программами "Лаборатории Касперского"

Программа Kaspersky Endpoint Agent версий 3.8 и 3.9 совместимо со следующими программами и решениями "Лаборатории Касперского":

• Kaspersky Security Center версий 11, 12 и выше.
• Kaspersky Sandbox 1.0.

Совместимость Kaspersky Endpoint Agent 3.8 и 3.9 для Windows с антивирусными программами других производителей

На компьютерах, на которые вы хотите установить программу Kaspersky Endpoint Agent, может быть установлена одна из следующих антивирусных программ других производителей:

• Symantec Endpoint Protection.
• Sophos Endpoint Protection.
• ESET NOD32 Business Edition Smart Security.
• Bitdefender GravityZone Advanced Business Security.
• McAfee Endpoint Security 10.6.1.
• McAfee Endpoint Security 10.7.

Если на компьютере одновременно установлены несколько антивирусных программ других производителей, корректная работа программы Kaspersky Endpoint Agent не гарантируется.

Если на компьютерах, на которых будет устанавливаться программа Kaspersky Endpoint Agent, установлена программа RealTimes Desktop Service, рекомендуется ее удалить перед тем, как устанавливать Kaspersky Endpoint Agent.

Совместимость Kaspersky Endpoint Agent 3.10 для Windows с другими программами "Лаборатории Касперского"

Программа Kaspersky Endpoint Agent 3.10 поддерживает интеграцию со следующими программами и решениями "Лаборатории Касперского":

• Kaspersky Security Center версий 11 и 12.1.
• Kaspersky Sandbox 1.0.
• Kaspersky Endpoint Detection and Response Optimum 1.0.

Совместимость Kaspersky Endpoint Agent 3.10 для Windows с антивирусными программами других производителей

На компьютерах, на которые вы хотите установить программу Kaspersky Endpoint Agent 3.10, может быть установлена антивирусная программа Bitdefender GravityZone Advanced Business Security.

Совместимость Kaspersky Endpoint Agent 3.11 для Windows с другими программами "Лаборатории Касперского"

Программа Kaspersky Endpoint Agent версии 3.11 поддерживает интеграцию со следующими программами и решениями "Лаборатории Касперского":

• Kaspersky Security Center версий 10.5, 11, 12.1, 13 и выше.
• Kaspersky Sandbox 1.0.
• Kaspersky Endpoint Detection and Response Optimum 1.0.
• Kaspersky Industrial CyberSecurity for Networks 3.0.

Совместимость Kaspersky Endpoint Agent 3.11 для Windows с антивирусными программами других производителей

На компьютерах, на которые вы хотите установить программу Kaspersky Endpoint Agent 3.11, может быть установлена антивирусная программа Bitdefender GravityZone Advanced Business Security.

Совместимость Kaspersky Endpoint Agent 3.12 для Windows с другими программами "Лаборатории Касперского"

Программа Kaspersky Endpoint Agent 3.12 поддерживает интеграцию со следующими программами и решениями "Лаборатории Касперского":

• Kaspersky Security Center версий 13, 13.1 и 13.2.
• Kaspersky Security Center Cloud Console.
• Kaspersky Sandbox 1.0.
• Kaspersky Endpoint Detection and Response Optimum 1.0.

Совместимость Kaspersky Endpoint Agent 3.13, 3.14 для Windows с другими программами "Лаборатории Касперского"

Программа Kaspersky Endpoint Agent версий 3.13, 3.14 поддерживает интеграцию со следующими программами и решениями "Лаборатории Касперского":

• Kaspersky Security Center версий 13, 13.1, 13.2 и 14.
• Kaspersky Sandbox 2.0.
• Kaspersky Endpoint Detection and Response Optimum 1.0.

Требования к Kaspersky Endpoint Agent для Linux

В этом разделе описываются аппаратные и программные требования для Kaspersky Endpoint Agent 3.12 для Linux.

Программные требования к компьютерам для установки программы Kaspersky Endpoint Agent 3.12 для Linux

Для работы программы Kaspersky Endpoint Agent 3.12 на компьютерах должны быть установлена одна из следующих операционных систем:

• Ubuntu 16.04 LTS и выше.
• Ubuntu 18.04 LTS и выше.
• Ubuntu 20.04 LTS.
• Red Hat Enterprise Linux 7.2 и выше.
• Red Hat Enterprise Linux 8.0 и выше.
• CentOS 7.2 и выше.
• CentOS 8.0 и выше.
• Debian GNU / Linux 9.4 и выше.
• Debian GNU / Linux 10.1 и выше.
• Debian GNU / Linux 11 и выше.
• Oracle Linux 7.3 и выше.
• Oracle Linux 8 и выше.
• SUSE Linux Enterprise Server 12 и выше.
• SUSE Linux Enterprise Server 15.
• Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.6).
• Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.7).
• Astra Linux Special Edition РУСБ.10015-16 (исполнение 1) (очередное обновление 1.6).
• Astra Linux Common Edition (очередное обновление 2.12).
• Альт 8 СП Сервер.
• Альт Сервер 9.
• Альт Рабочая станция 9.
• Гослинукс 7.17.
• РЕД ОС 7.3.

Аппаратные требования к компьютерам для установки программы Kaspersky Endpoint Agent 3.12 для Linux

Минимальные аппаратные требования:

• Процессор: 2 ГГц.
• Оперативная память: 512 МБ.
• Объем свободного места на диске: 1 ГБ.

Необходимое программное обеспечение

Для работы Kaspersky Endpoint Agent для Linux необходима программа Linux Audit Daemon 2.8 или выше. Устанавливается на хосты с Kaspersky Endpoint Agent.

Совместимость программы Kaspersky Endpoint Agent 3.12 для Linux с программами EPP "Лаборатории Касперского"

Программа Kaspersky Endpoint Agent 3.12 поддерживает интеграцию с Kaspersky Endpoint Security для Linux: 11.1, 11.2.

Совместимость программы Kaspersky Endpoint Agent 3.12 для Linux с другими программами "Лаборатории Касперского"

Программа Kaspersky Endpoint Agent 3.12 поддерживает интеграцию со следующими программами и решениями "Лаборатории Касперского":

• Kaspersky Security Center версий 13, 13.2.
• Плагин управления Kaspersky Endpoint Agent версии 3.10, 3.11, 3.12.
• Веб-плагин Kaspersky Endpoint Agent версии 3.10, 3.11, 3.12.

Совместимость версий Kaspersky Endpoint Agent для Linux с версиями Kaspersky Anti Targeted Attack Platform

Информация о совместимости версий программы Kaspersky Endpoint Agent с версиями Kaspersky Anti Targeted Attack Platform приведена в таблице ниже.

Совместимость версий Kaspersky Endpoint Agent для Linux с версиями Kaspersky Anti Targeted Attack Platform

Совместимость версий Kaspersky Endpoint Agent для Linux с программами EPP

Вы можете использовать только программу Kaspersky Endpoint Agent или настроить интеграцию Kaspersky Endpoint Agent с программой защиты рабочих станций (Endpoint Protection Platform, далее также "EPP") Kaspersky Endpoint Security для Linux. Если интеграция настроена, Kaspersky Endpoint Agent будет также передавать на сервер Central Node данные об угрозах, обнаруженных этой программой, и о результатах их обработки.

Версии Kaspersky Endpoint Agent 3.9 и 3.12 совместимы со следующими версиями Kaspersky Endpoint Security для Linux: 11.1, 11.2.

Подробнее об установке Kaspersky Endpoint Security см. в справке Kaspersky Endpoint Security для Linux.

Совместимость версий Kaspersky Endpoint Agent для Linux с другими программами

Совместимость программы Kaspersky Endpoint Agent 3.9 для Linux с другими программами "Лаборатории Касперского"

Программа Kaspersky Endpoint Agent 3.9 поддерживает интеграцию со следующими программами и решениями "Лаборатории Касперского":

• Kaspersky Security Center версий 12.1 и 12.2.
• Плагин управления Kaspersky Endpoint Agent версии 3.10.
• Веб-плагин Kaspersky Endpoint Agent версии 3.10.

Совместимость программы Kaspersky Endpoint Agent 3.12 для Linux с другими программами "Лаборатории Касперского"

Программа Kaspersky Endpoint Agent 3.12 поддерживает интеграцию со следующими программами и решениями "Лаборатории Касперского":

• Kaspersky Security Center версий 13, 13.2.
• Плагин управления Kaspersky Endpoint Agent версии 3.10, 3.11, 3.12.
• Веб-плагин Kaspersky Endpoint Agent версии 3.10, 3.11, 3.12.

Совместимость версий Kaspersky Endpoint Security для Windows с версиями Kaspersky Anti Targeted Attack Platform

Вы можете использовать Kaspersky Endpoint Security в качестве компонента Endpoint Agent.

Информация о совместимости версий Kaspersky Endpoint Security с версиями Kaspersky Anti Targeted Attack Platform приведена в таблице ниже.

Совместимость версий Kaspersky Endpoint Security для Windows с версиями Kaspersky Anti Targeted Attack Platform

Для интеграции Kaspersky Endpoint Security 12.1 и выше с Kaspersky Anti Targeted Attack Platform не требуется устанавливать Kaspersky Endpoint Agent.

Ограничения текущей версии программы

В Kaspersky Anti Targeted Attack Platform версии 5.0 известны следующие ограничения:

1. При обновлении программы до версии 5.0 устанавливается неотказоустойчивая версия программы. Данные программы в процессе обновления сохраняются.
2. Для обновления компонента Central Node на сервере с этим компонентом требуется предварительно запустить скрипт. Скрипт входит в комплект поставки программы.
3. Если компонент Central Node установлен на виртуальном сервере, перед обновлением программы вам нужно убедиться, что для виртуальной машины выбран режим загрузки BIOS. Если для виртуальной машины выбран режим загрузки EFI, при установке обновления произойдет ошибка.

Ограничения, действующие при развертывании компонента Central Node:

Пароль для учетной записи локального администратора предустановлен. Вы можете изменить пароль в веб-интерфейсе программы.

Ограничения, действующие при развертывании компонента Central Node в виде кластера:

1. Кластер Central Node должен включать минимум 4 сервера: 2 сервера хранения и 2 обрабатывающих сервера. Вы можете масштабировать кластер для увеличения количества обрабатываемого трафика или количества подключенных хостов в соответствии с Руководством по масштабированию.
2. Рекомендуется добавлять в кластер серверы с одинаковой аппаратной конфигурацией. В противном случае пропорциональное увеличение производительности не гарантируется.
3. Добавление в кластер дополнительного сервера не ускоряет обработку объектов, которые уже находятся в очереди на проверку.
4. Веб-интерфейс программы может быть недоступен некоторое время при отказе сервера, на котором он расположен.
5. При отказе обрабатывающего сервера возможна потеря полученных по протоколам ICAP, POP3 и SMTP данных трафика и копий сообщений электронной почты, которые ждут обработки, и обнаружений, связанных с ними.
6. Если для обрабатывающего сервера настроено получение зеркалированного трафика со SPAN-портов, то при выходе из строя этого сервера SPAN-трафик не обрабатывается.
7. Возможна временная рассинхронизация данных в базе событий при отказе одного из серверов кластера или временной потере связи между сервером и программой Kaspersky Endpoint Agent.
8. При изменении конфигурации серверов кластера возможно временное замедление обработки трафика и событий с хостов с Kaspersky Endpoint Agent.

Ограничения, действующие для компонента Sandbox:

Если набор операционных систем, установленных на сервере Sandbox, не совпадает с набором, выбранным на сервере Central Node, Kaspersky Anti Targeted Attack Platform не отправляет объекты на проверку серверу Sandbox. При подключении к серверу Central Node нескольких серверов Sandbox программа отправляет объекты на проверку тем серверам Sandbox, на которых установлены операционные системы, соответствующие выбранному на Central Node набору.

Ограничения программы, действующие при интеграции с Kaspersky Endpoint Agent для Windows:

1. Задачи получения дампа оперативной памяти и образа диска могут быть назначены только на хосты с программой Kaspersky Endpoint Agent для Windows версии 3.14.
2. Задачи получения дампа памяти процесса, метафайлов NTFS и ключа реестра могут быть назначены только на хосты с программой Kaspersky Endpoint Agent для Windows версии 3.13 и выше.
3. Задача проверки хостов с помощью правил YARA может быть назначена только на хосты с программой Kaspersky Endpoint Agent для Windows версии 3.12 и выше. При одновременном назначении задачи на хосты с Kaspersky Endpoint Agent 3.12 и выше, а также на хосты с более ранними версиями программы задача выполняется только на хостах с Kaspersky Endpoint Agent 3.12 и выше.

   Если в качестве области проверки выбраны точки автозапуска, задача выполняется только на хостах с Kaspersky Endpoint Agent 3.13 и выше.

Ограничения программы, действующие при интеграции с Kaspersky Endpoint Agent 3.12 для Linux:

1. Для хостов с установленной программой Kaspersky Endpoint Agent для Linux недоступны следующие функции:
   • Сетевая изоляция хоста.
   • Создание правил запрета.

     Программа не создает уведомления о неуспешном применении правила запрета на хостах с программой Kaspersky Endpoint Agent для Linux.

   • Поиск индикаторов компрометации на хостах с помощью IOC-файлов.

     Программа не создает уведомления о неуспешном поиске индикаторов компрометации на хостах с программой Kaspersky Endpoint Agent для Linux.

2. В результате поиска угроз по базе событий по критерию OSVersion отображаются только хосты с программой Kaspersky Endpoint Agent для Linux. Хосты с программой Kaspersky Endpoint Agent для Windows в результате поиска не отображаются.
3. Поле Версия ОС в информации о событии заполняется только для событий, записанных в базу событий Kaspersky Endpoint Agent для Linux. В информации о событиях, записанных в базу событий Kaspersky Endpoint Agent для Windows, поле не заполняется.
4. Список событий, которые Kaspersky Endpoint Agent для Linux записывает в базу событий, ограничен следующими типами:
   • Изменен файл;
   • Запущен процесс;
   • Журнал событий ОС;
   • Обнаружение;
   • Результат обработки обнаружения.
5. Список задач, которые вы можете создать на хостах с программой Kaspersky Endpoint Agent для Linux, ограничен следующими типами:
   • Получить файл.
   • Выполнить программу.

     Программа не проверяет на корректность указанный при создании задачи путь к исполняемому файлу или файлу, который вы хотите получить.

6. В информации о событиях, записанных в базу событий программой Kaspersky Endpoint Agent для Linux, в поле Время создания отображается время изменения файла.

В Kaspersky Endpoint Agent 3.14 для Windows известны следующие ограничения:

1. Для корректной работы Kaspersky Endpoint Agent необходима поддержка SHA-2 в Windows.
2. При создании инсталляционного пакета в Kaspersky Security Center версии 12 и выше для установки Kaspersky Endpoint Agent на устройства под управлением Windows XP необходимо использовать файл запуска установки (setup.exe) из инсталляционного пакета, созданного в Kaspersky Security Center версии 10.5.
3. В Kaspersky Security Center версии 13.2 и выше для установки Kaspersky Endpoint Agent на устройства под управлением Windows XP необходимо использовать стандартный дистрибутив Kaspersky Endpoint Agent версии 3.14, а не инсталляционный пакет, созданный в Kaspersky Security Center.
4. Установщик не может остановить службу soyuz до тех пор, пока не завершится инициализация службы. Например, установщик возвращает ошибку Неверный пароль при попытке удалить или изменить конфигурацию программы сразу после завершения установки, так как служба soyuz не завершила инициализацию и не может быть остановлена.
5. Невозможно восстановить или удалить Kaspersky Endpoint Agent с устройства, если нарушена целостность модуля agent.exe (утилита командной строки Kaspersky Endpoint Agent).
6. В Kaspersky Endpoint Agent реализована функция запуска и исполнения службы Kaspersky Endpoint Agent (soyuz.exe) с признаком PPL. Эта функция обеспечивается драйвером klelaml.sys. Нарушение целостности драйвера klelaml.sys приводит к сбою при загрузке операционной системы. В этом случае рекомендуется использовать системные утилиты восстановления Windows. Отсутствие драйвера klelaml.sys при включенном признаке PPL для процесса soyuz.exe не приводит к сбою операционной системы, но вызывает аварийное завершение Kaspersky Endpoint Agent. В этом случае рекомендуется запустить Установщик программы для выполнения восстановления в тихом режиме с ключом REINSTALL=Drivers.klelam.
7. После установки, восстановления, изменения набора компонентов или удаления Kaspersky Endpoint Agent, рекомендуется выполнить перезагрузку операционной системы в ближайшее доступное время, поскольку настройка некоторых параметров программы может быть завершена только в момент запуска операционной системы.
8. Невозможно запустить Установщик Kaspersky Endpoint Agent на устройстве с операционной системой, к которой применяется активная политика CodeIntegrity.
9. Компонент запрета открытия документов имеет следующее ограничение: правила блокирования открытия документов не применяются к объектам, которые открываются с использованием OLE-автоматизации.
10. Перед отправкой событий телеметрии на сервер KATA Central Node программа Kaspersky Endpoint Agent сохраняет данные в очередь событий. Если очередь событий превышает 10000 необработанных событий, Kaspersky Endpoint Agent не размещает события в очереди, пока в очереди не появятся места.
11. При работе программы Kaspersky Endpoint Agent на устройствах с операционной системой Windows 7 программа исключает из телеметрии данные о сетевых соединениях, относящихся к процессам с идентификаторами PID=4 и PID=0.
12. Если программа Kaspersky Endpoint Agent используется на одном устройстве с программой Kaspersky Endpoint Security, и в программе Kaspersky Endpoint Security установлен компонент, обеспечивающий файловое шифрование (FLE), программа Kaspersky Endpoint Agent не регистрирует события телеметрии о загрузке модулей (LoadImage) и не отправляет их компоненту KATA Central Node.
13. Если при настройке параметров исключения из сетевой изоляции для критерия Приложение указано больше одной программы, Kaspersky Endpoint Agent разрешит подключение только для первой программы из списка. Сетевые подключения для остальных указанных программ будут проигнорированы. Ограничение воспроизводится при изоляции устройств, работающих под управлением операционных систем Windows 7 и Windows Server 2008 R2.
14. При проверке индикаторов компрометации, поиск которых предполагает разбор текстовых строк, по условию is учитывается наличие пробелов, а также необходимость экранировать описание индикатора в IOC-файле символами CDATA. Например, чтобы обнаружить объект с копирайтом Copyright (C) 1998-2017 John Smith по условию is, необходимо указать описание индикатора в следующем формате: <Content type="string"><![CDATA[Copyright (C) 1998-2017 John Smith]]></Content>. Для упрощения описания индикаторов можно также использовать условие contains.
15. Для объектов, помещенных на карантин программой Kaspersky Endpoint Agent, не поддерживается отправка на анализ в "Лабораторию Касперского" из карантина Kaspersky Security Center.
16. В секциях параметров для управления доступом на основе ролей (RBAC) в Консоли администрирования, в разделе с правами управления плагином Kaspersky Endpoint Agent отображаются флажки, соответствующие правам "Чтение" и "Выполнение операций с выборками устройств", которые не применяются к блокам параметров в Kaspersky Security Center. Если вы установите эти флажки, права "Чтение" и "Выполнение операций с выборками устройств" не будут ограничены для указанных пользователей.
17. К некоторым событиям Kaspersky Endpoint Agent, которые публикуются в Консоли администрирования Kaspersky Security Center, не применяются фильтры при построении выборок событий.
18. Установщик Kaspersky Endpoint Agent и плагина управления Kaspersky Endpoint Agent автоматически выбирает локализацию программы на основе региональных параметров операционной системы на устройстве, где выполняется установка программы или плагина управления:
    • Если в операционной системе используется локаль RU-RU, устанавливается русская версия Kaspersky Endpoint Agent или плагина управления Kaspersky Endpoint Agent.
    • Если в операционной системе используется любая локаль, отличная от RU-RU, устанавливается английская версия Kaspersky Endpoint Agent или плагина управления Kaspersky Endpoint Agent.

    Локализация программы влияет на язык текстов, используемых при описании модулей программы в системе и при публикации событий работы программы в журнал событий Windows, и на отчеты Kaspersky Security Center. Локализация плагина управления Kaspersky Endpoint Agent влияет на язык текстов, используемых в интерфейсе программы в Консоли администрирования (интерфейс политик, групповых задач и свойств программы). Настройка локализации программы вручную не поддерживается.

    Обратите внимание, что при несовпадении региональных параметров на управляемых устройствах и на устройстве с установленным плагином управления Kaspersky Endpoint Agent, локализация интерфейса Kaspersky Endpoint Agent в Консоли администрирования и локализация событий, публикуемых программой в отчеты Kaspersky Security Center, могут отличаться. Также локализация интерфейса программы в Консоли администрирования и локализация событий, публикуемых программой в отчеты Kaspersky Security Center, могут отличаться от локализации интерфейса Консоли администрирования и интерфейса совместимых EPP в Консоли администрирования.

19. После установки, восстановления, изменения набора компонентов или удаления Kaspersky Endpoint Agent, рекомендуется выполнить перезагрузку операционной системы в ближайшее доступное время, поскольку настройка некоторых параметров программы может быть завершена только в момент запуска операционной системы.
20. Если при запуске групповых задач выставлено расписание запуска При запуске программы, в истории выполнения задачи статус выполнения задачи обновляется с отсрочкой. По этой причине в некоторых случаях в истории выполнения задачи не будут отображаться статусы выполнения задачи.
21. Если операционная система активирована по корпоративной лицензии (Volume License), то после установки Kaspersky Endpoint Agent из-за установки сетевых драйверов программы может потребоваться повторная активация операционной системы.
22. В операционных системах Windows XP и Windows Vista в событиях телеметрии, отправляемых на сервер сбора телеметрии, может отсутствовать некоторая информация о файлах. Это связано с тем, что возможность получения некоторой информации о файлах появилась в более поздних версиях операционных систем MS Windows.

В Kaspersky Endpoint Agent 3.12 для Linux известны следующие ограничения:

1. Kaspersky Endpoint Agent для Linux не поддерживает работу с системами принудительного контроля доступа AppArmor и SELinux в блокирующем режиме работы этих систем. Для корректной работы программы данные системы должны быть переведены в разрешающий режим работы.
2. Для работы Kaspersky Endpoint Agent для Linux на устройствах должен быть установлен компонент Linux Audit Daemon версии 2.8 или выше.
3. Для связи Kaspersky Endpoint Agent для Linux с программой Kaspersky Endpoint Security для Linux используется сервис rsyslog с загруженным модулем imuxsock. Чтобы проверить, загружен ли модуль imuxsock в конфигурации сервиса rsyslog, запустите следующую команду: grep -r imuxsock /etc/rsyslog*. Если строка загрузки модуля закомментирована, удалите знак комментирования # в начале строки и перезапустите сервис rsyslog для сохранения изменений.