Kaspersky Anti Targeted Attack Platform
- Справка Kaspersky Anti Targeted Attack Platform
- Kaspersky Anti Targeted Attack Platform
- Что нового
- О Kaspersky Threat Intelligence Portal
- Комплект поставки
- Аппаратные и программные требования
- Совместимость версий Kaspersky Endpoint Agent для Windows с версиями Kaspersky Anti Targeted Attack Platform
- Совместимость версий Kaspersky Endpoint Agent для Windows с приложениями EPP
- Совместимость версий Kaspersky Endpoint Security для Windows с версиями Kaspersky Anti Targeted Attack Platform
- Совместимость версий Kaspersky Endpoint Security для Linux с версиями Kaspersky Anti Targeted Attack Platform
- Совместимость Kaspersky Endpoint Security для Mac с версиями Kaspersky Anti Targeted Attack Platform
- Совместимость версий KUMA с версиями Kaspersky Anti Targeted Attack Platform
- Совместимость версий XDR с версиями Kaspersky Anti Targeted Attack Platform
- Совместимость версий KPSN с версиями Kaspersky Anti Targeted Attack Platform
- Совместимость Kaspersky Anti Targeted Attack Platform с VK Cloud
- Ограничения
- Предоставление данных
- Служебные данные приложения
- Данные компонентов Central Node и Sensor
- Данные компонента Sandbox
- Данные, пересылаемые между компонентами приложения
- Данные в файлах трассировки приложения
- Данные Kaspersky Endpoint Agent для Windows
- Данные Kaspersky Endpoint Security для Windows
- Данные Kaspersky Endpoint Security для Linux
- Данные Kaspersky Endpoint Security для Mac
- Лицензирование приложения
- О Лицензионном соглашении
- О лицензии
- О лицензионном сертификате
- О ключе
- О файле ключа
- Просмотр информации о лицензии и добавленных ключах в веб-интерфейсе Central Node
- Просмотр текста Лицензионного соглашения в веб-интерфейсе Central Node
- Просмотр текста Политики конфиденциальности в веб-интерфейсе Central Node
- Просмотр информации о стороннем коде, используемом в приложении
- Просмотр текста Лицензионного соглашения в веб-интерфейсе Sandbox
- Просмотр текста Лицензионного соглашения компонента Endpoint Agent
- Добавление ключа
- Замена ключа
- Удаление ключа
- Режимы работы приложения в соответствии с лицензией
- Архитектура приложения
- Принцип работы приложения
- Распределенное решение и мультитенантность
- Сценарий перехода в режим распределенного решения и мультитенантности
- Изменения в параметрах приложения при переходе в режим распределенного решения и мультитенантности
- Назначение серверу роли PCN
- Назначение серверу роли SCN
- Обработка запросов на подключение SCN к PCN
- Просмотр информации о тенантах, серверах PCN и SCN
- Добавление тенанта на сервере PCN
- Удаление тенанта на сервере PCN
- Изменение названия тенанта на сервере PCN
- Отключение SCN от PCN
- Изменения в параметрах приложения при отключении SCN от PCN
- Вывод сервера SCN из эксплуатации
- Руководство по масштабированию
- Установка и первоначальная настройка приложения
- Подготовка к установке компонентов приложения
- Подготовка IT-инфраструктуры к установке компонентов приложения
- Подготовка IT-инфраструктуры к интеграции с почтовым сервером для приема сообщений по протоколу POP3
- Подготовка IT-инфраструктуры к интеграции с почтовым сервером для отправки сообщений по протоколу SMTP
- Подготовка виртуальной машины к установке компонента Sandbox
- Подготовка установочного образа диска с компонентами Central Node, Sensor и Sandbox
- Порядок установки и настройки компонентов приложения
- Установка компонента Sandbox
- Шаг 1. Просмотр Лицензионного соглашения и Политики конфиденциальности
- Шаг 2. Выбор диска для установки компонента Sandbox
- Шаг 3. Назначение имени хоста
- Шаг 4. Выбор управляющего сетевого интерфейса в списке
- Шаг 5. Назначение адреса и маски сети управляющего интерфейса
- Шаг 6. Добавление адресов DNS-серверов
- Шаг 7. Настройка статического сетевого маршрута
- Шаг 8. Настройка минимальной длины пароля администратора Sandbox
- Шаг 9. Создание учетной записи администратора Sandbox
- Развертывание компонентов Central Node и Sensor в виде кластера
- Развертывание сервера хранения данных
- Шаг 1. Просмотр Лицензионного соглашения и Политики конфиденциальности
- Шаг 2. Выбор роли сервера
- Шаг 3. Выбор режима развертывания
- Шаг 4. Выбор диска для установки компонента
- Шаг 5. Выбор маски сети для адресации серверов
- Шаг 6. Выбор маски сети для адресации компонентов приложения
- Шаг 7. Выбор кластерного сетевого интерфейса
- Шаг 8. Выбор внешнего сетевого интерфейса
- Шаг 9. Выбор способа получения IP-адресов для сетевых интерфейсов
- Шаг 10. Создание учетной записи администратора и аутентификация сервера в кластере
- Шаг 11. Добавление адресов DNS-серверов
- Шаг 12. Выбор дисков для Ceph-хранилища
- Развертывание обрабатывающего сервера
- Шаг 1. Просмотр Лицензионного соглашения и Политики конфиденциальности
- Шаг 2. Выбор роли сервера
- Шаг 3. Выбор режима развертывания
- Шаг 4. Выбор диска для установки компонента
- Шаг 5. Выбор маски сети для адресации серверов
- Шаг 6. Выбор маски сети для адресации компонентов приложения
- Шаг 7. Выбор кластерного сетевого интерфейса
- Шаг 8. Выбор внешнего сетевого интерфейса
- Шаг 9. Выбор способа получения IP-адресов для сетевых интерфейсов
- Шаг 10. Аутентификация сервера в кластере
- Шаг 11. Настройка получения зеркалированного трафика со SPAN-портов
- Шаг 12. Добавление адресов DNS-серверов
- Развертывание сервера хранения данных
- Установка компонентов Central Node и Sensor на сервере
- Шаг 1. Просмотр Лицензионного соглашения и Политики конфиденциальности
- Шаг 2. Выбор роли сервера
- Шаг 3. Выбор диска для установки компонента
- Шаг 4. Выделение диска для базы данных компонента Targeted Attack Analyzer
- Шаг 5. Выбор маски сети для адресации серверов
- Шаг 6. Выбор маски сети для адресации компонентов приложения
- Шаг 7. Выбор внешнего сетевого интерфейса
- Шаг 8. Выбор способа получения IP-адресов для сетевых интерфейсов
- Шаг 9. Создание учетной записи администратора
- Шаг 10. Добавление адресов DNS-серверов
- Шаг 11. Настройка получения зеркалированного трафика со SPAN-портов
- Шаг 12. Настройка синхронизации времени с NTP-сервером
- Установка компонента Sensor на отдельном сервере
- Настройка Kaspersky Anti Targeted Attack Platform на базе операционной системы Astra Linux
- Оптимизация настроек сетевых интерфейсов для компонента Sensor
- Подключение и настройка внешнего хранилища для компонента Sensor
- Очистка жестких дисков на серверах хранения
- Подготовка к установке компонентов приложения
- Настройка параметров масштабирования приложения
- Настройка интеграции Kaspersky Anti Targeted Attack Platform с компонентом Endpoint Agent
- Настройка доверенного соединения Kaspersky Anti Targeted Attack Platform с приложением Kaspersky Endpoint Agent
- Скачивание TLS-сертификата сервера Central Node на компьютер
- Генерация TLS-сертификата сервера Central Node в веб-интерфейсе Kaspersky Anti Targeted Attack Platform
- Загрузка самостоятельно подготовленного TLS-сертификата сервера Central Node через веб-интерфейс Kaspersky Anti Targeted Attack Platform
- Загрузка TLS-сертификата сервера Central Node или Sensor в Kaspersky Endpoint Agent
- Включение проверки TLS-сертификата Kaspersky Endpoint Agent в веб-интерфейсе Kaspersky Anti Targeted Attack Platform
- Генерация TLS-сертификата Kaspersky Endpoint Agent в веб-интерфейсе Kaspersky Anti Targeted Attack Platform и скачивание криптоконтейнера
- Загрузка самостоятельно подготовленного TLS-сертификата Kaspersky Endpoint Agent через веб-интерфейс Kaspersky Anti Targeted Attack Platform
- Просмотр таблицы TLS-сертификатов Kaspersky Endpoint Agent в веб-интерфейсе Kaspersky Anti Targeted Attack Platform
- Фильтрация и поиск TLS-сертификатов Kaspersky Endpoint Agent в веб-интерфейсе Kaspersky Anti Targeted Attack Platform
- Удаление TLS-сертификатов Kaspersky Endpoint Agent в веб-интерфейсе Kaspersky Anti Targeted Attack Platform
- Настройка проверки TLS-сертификата Kaspersky Endpoint Agent сервером Central Node и загрузка криптоконтейнера в Kaspersky Endpoint Agent
- Настройка перенаправления трафика от Kaspersky Endpoint Agent на сервер Sensor
- Генерация TLS-сертификата сервера Sensor в меню администратора сервера Sensor
- Загрузка самостоятельно подготовленного TLS-сертификата сервера Sensor через меню администратора сервера Sensor
- Скачивание TLS-сертификата сервера Sensor на компьютер
- Настройка интеграции и доверенного соединения с Kaspersky Anti Targeted Attack Platform на стороне Kaspersky Endpoint Agent
- Настройка доверенного соединения Kaspersky Anti Targeted Attack Platform с приложением Kaspersky Endpoint Agent
- Начало работы с приложением
- Управление учетными записями администраторов и пользователей приложения
- Создание учетной записи администратора веб-интерфейса приложения
- Создание учетной записи пользователя веб-интерфейса приложения
- Настройка отображения таблицы учетных записей пользователей
- Просмотр таблицы учетных записей пользователей
- Фильтрация учетных записей
- Сброс фильтра учетных записей
- Изменение прав доступа учетной записи пользователя веб-интерфейса приложения
- Включение и отключение учетной записи администратора или пользователя веб-интерфейса приложения
- Изменение пароля учетной записи администратора или пользователя приложения
- Изменение пароля своей учетной записи
- Аутентификация с помощью доменных учетных записей
- Участие в Kaspersky Security Network и использование Kaspersky Private Security Network
- Работа с компонентом Sandbox через веб-интерфейс
- Обновление баз компонента Sandbox
- Настройка соединения компонентов Sandbox и Central Node
- Настройка сетевых интерфейсов компонента Sandbox
- Установка даты и времени системы Sandbox
- Установка и настройка образов операционных систем и приложений для работы компонента Sandbox
- Работа с образами операционных систем и приложений в Хранилище Sandbox
- Работа с шаблонами виртуальных машин
- Управление виртуальными машинами
- Установка максимального количества одновременно запускаемых виртуальных машин
- Изменение количества лицензионных ключей для виртуальной машины с пользовательским образом операционной системы
- Загрузка журнала системы Sandbox на жесткий диск
- Экспорт параметров Sandbox
- Импорт параметров Sandbox
- Перезагрузка сервера Sandbox
- Выключение сервера Sandbox
- Изменение пароля учетной записи администратора Sandbox
- Администратору: работа в веб-интерфейсе приложения
- Интерфейс Kaspersky Anti Targeted Attack Platform
- Мониторинг работы приложения
- О виджетах и схемах расположения виджетов
- Выбор тенанта и сервера для работы в разделе Мониторинг
- Добавление виджета на текущую схему расположения виджетов
- Перемещение виджета на текущей схеме расположения виджетов
- Удаление виджета с текущей схемы расположения виджетов
- Сохранение схемы расположения виджетов в PDF
- Настройка периода отображения данных на виджетах
- Мониторинг приема и обработки входящих данных
- Мониторинг очередей обработки данных модулями и компонентами приложения
- Мониторинг обработки данных компонентом Sandbox
- Просмотр состояния работоспособности модулей и компонентов приложения
- Управление серверами Central Node, PCN или SCN с помощью веб-интерфейса приложения
- Настройка даты и времени сервера
- Генерация или загрузка TLS-сертификата сервера
- Скачивание TLS-сертификата сервера на компьютер
- Назначение DNS-имени сервера
- Настройка параметров DNS
- Настройка параметров сетевого интерфейса
- Настройка сетевого маршрута для использования по умолчанию
- Настройка параметров соединения с прокси-сервером
- Настройка параметров соединения с почтовым сервером
- Выбор операционных систем для проверки объектов в Sandbox
- Управление компонентом Sensor
- Просмотр таблицы серверов с компонентом Sensor
- Обработка запроса на подключение от компонента Sensor
- Настройка максимального размера проверяемого файла
- Настройка получения зеркалированного трафика со SPAN-портов
- Выбор сетевых протоколов для получения зеркалированного трафика со SPAN-портов
- Настройка интеграции с почтовым сервером по протоколу SMTP
- Настройка TLS-шифрования соединений с почтовым сервером по протоколу SMTP
- Настройка интеграции с прокси-сервером по протоколу ICAP
- Настройка записи сырого сетевого трафика
- Настройка интеграции с почтовым сервером по протоколу POP3
- Управление кластером
- Уведомления о максимальной загрузке центрального процессора и оперативной памяти серверов Central Node и Sensor
- Настройка соединения с протоколом SNMP
- Работа с информацией о хостах с компонентом Endpoint Agent
- Выбор тенанта для работы в разделе Endpoint Agents
- Просмотр таблицы хостов c компонентом Endpoint Agent на отдельном сервере Central Node
- Просмотр информации о хосте
- Фильтрация и поиск хостов с компонентом Endpoint Agent по имени хоста
- Фильтрация и поиск хостов с компонентом Endpoint Agent, изолированных от сети
- Фильтрация и поиск хостов с компонентом Endpoint Agent по именам серверов PCN и SCN
- Фильтрация и поиск хостов с компонентом Endpoint Agent по IP-адресу компьютера
- Фильтрация и поиск хостов с компонентом Endpoint Agent по версии операционной системы на компьютере
- Фильтрация и поиск хостов с компонентом Endpoint Agent по версии компонента
- Фильтрация и поиск хостов с компонентом Endpoint Agent по их активности
- Быстрое создание фильтра хостов с компонентом Endpoint Agent
- Сброс фильтра хостов с компонентом Endpoint Agent
- Настройка показателей активности компонента Endpoint Agent
- Удаление хостов с компонентом Endpoint Agent
- Автоматическое удаление неактивных хостов
- Поддерживаемые интерпретаторы и процессы
- Настройка интеграции с компонентом Sandbox
- Настройка интеграции с внешними системами
- Настройка интеграции с Kaspersky Managed Detection and Response
- Настройка интеграции с SIEM-системой
- Управление журналом активности
- Обновление баз приложения
- Создание списка паролей для архивов
- Настройка интеграции с приложением ArtX TLSproxy 1.9.1
- Сотруднику службы безопасности: работа в веб-интерфейсе приложения
- Интерфейс Kaspersky Anti Targeted Attack Platform
- Выбор тенанта для работы в веб-интерфейсе приложения
- Мониторинг работы приложения
- О виджетах и схемах расположения виджетов
- Добавление виджета на текущую схему расположения виджетов
- Перемещение виджета на текущей схеме расположения виджетов
- Удаление виджета с текущей схемы расположения виджетов
- Сохранение схемы расположения виджетов в PDF
- Настройка периода отображения данных на виджетах
- Настройка масштаба отображения виджетов
- Основные принципы работы с виджетами типа "Обнаружения"
- Просмотр состояния работоспособности модулей и компонентов приложения
- Просмотр таблицы обнаружений
- Настройка отображения таблицы обнаружений
- Фильтрация, сортировка и поиск обнаружений
- Фильтрация обнаружений по наличию статуса VIP
- Фильтрация и поиск обнаружений по времени
- Фильтрация обнаружений по степени важности
- Фильтрация и поиск обнаружений по категориям обнаруженных объектов
- Фильтрация и поиск обнаружений по полученной информации
- Фильтрация и поиск обнаружений по адресу источника
- Фильтрация и поиск обнаружений по адресу назначения
- Фильтрация и поиск обнаружений по имени сервера
- Фильтрация и поиск обнаружений по названию технологии
- Фильтрация и поиск обнаружений по состоянию их обработки пользователем
- Сортировка обнаружений в таблице
- Быстрое создание фильтра обнаружений
- Сброс фильтра обнаружений
- Рекомендации по обработке обнаружений
- Просмотр обнаружений
- Просмотр информации об обнаружении
- Общая информация об обнаружении любого типа
- Информация в блоке Информация об объекте
- Информация в блоке Информация об обнаружении
- Информация в блоке Результаты проверки
- Информация в блоке Правило IDS
- Информация в блоке Сетевое событие
- Результаты проверки в Sandbox
- Результаты IOC-проверки
- Информация в блоке Хосты
- Информация в блоке Журнал изменений
- Отправка данных об обнаружении
- Просмотр информации об обнаружении
- Действия пользователей над обнаружениями
- Поиск угроз по базе событий
- Поиск событий в режиме конструктора
- Поиск событий в режиме исходного кода
- Сортировка событий в таблице
- Изменение условий поиска событий
- Поиск событий по результатам их обработки в приложениях EPP
- Загрузка IOC-файла и поиск событий по условиям, заданным в IOC-файле
- Создание правила TAA (IOA) на основе условий поиска событий
- Информация о событиях
- Рекомендации по обработке событий
- Информация о событиях в дереве событий
- Просмотр таблицы событий
- Настройка отображения таблицы событий
- Просмотр информации о событии
- Информация о событии Запущен процесс
- Информация о событии Завершен процесс
- Информация о событии Загружен модуль
- Информация о событии Удаленное соединение
- Информация о событии Правило запрета
- Информация о событии Заблокирован документ
- Информация о событии Изменен файл
- Информация о событии Журнал событий ОС
- Информация о событии Изменение в реестре
- Информация о событии Прослушан порт
- Информация о событии Загружен драйвер
- Информация о событии Обнаружение
- Информация о событии Результат обработки обнаружения
- Информация о событии Интерпретированный запуск файла
- Информация о событии AMSI-проверка
- Информация о событии Интерактивный ввод команд в консоли
- Работа с информацией о хостах с компонентом Endpoint Agent
- Просмотр таблицы хостов с компонентом Endpoint Agent
- Настройка отображения таблицы хостов с компонентом Endpoint Agent
- Просмотр информации о хосте
- Фильтрация и поиск хостов с компонентом Endpoint Agent по имени хоста
- Фильтрация и поиск хостов с компонентом Endpoint Agent, изолированных от сети
- Фильтрация и поиск хостов с компонентом Endpoint Agent по именам серверов PCN и SCN
- Фильтрация и поиск хостов с компонентом Endpoint Agent по IP-адресу компьютера
- Фильтрация и поиск хостов с компонентом Endpoint Agent по версии операционной системы на компьютере
- Фильтрация и поиск хостов с компонентом Endpoint Agent по версии компонента
- Фильтрация и поиск хостов с компонентом Endpoint Agent по их активности
- Быстрое создание фильтра хостов с компонентом Endpoint Agent
- Сброс фильтра хостов с компонентом Endpoint Agent
- Удаление хостов с компонентом Endpoint Agent
- Настройка показателей активности компонента Endpoint Agent
- Поддерживаемые интерпретаторы и процессы
- Сетевая изоляция хостов с компонентом Endpoint Agent
- Автоматическая отправка файлов с хостов с компонентом Endpoint Agent на проверку в Sandbox по правилам TAA (IOA) "Лаборатории Касперского"
- Выбор операционных систем для проверки объектов в Sandbox
- Работа с задачами
- Просмотр таблицы задач
- Просмотр информации о задаче
- Создание задачи получения файла
- Создание задачи сбора форензики
- Создание задачи получения ключа реестра
- Создание задачи получения метафайлов NTFS
- Создание задачи получения дампа памяти процесса
- Создание задачи получения образа диска
- Создание задачи получения дампа оперативной памяти
- Создание задачи завершения процесса
- Создание задачи проверки хостов с помощью правил YARA
- Создание задачи управления службами
- Создание задачи выполнения приложения
- Создание задачи удаления файла
- Создание задачи помещения файла на карантин
- Создание задачи восстановления файла из карантина
- Создание копии задачи
- Удаление задач
- Фильтрация задач по времени создания
- Фильтрация задач по типу
- Фильтрация задач по имени
- Фильтрация задач по имени и пути к файлу
- Фильтрация задач по описанию
- Фильтрация задач по имени сервера
- Фильтрация задач по имени пользователя, создавшего задачу
- Фильтрация задач по состоянию обработки
- Сброс фильтра задач
- Работа с политиками (правилами запрета)
- Просмотр таблицы правил запрета
- Настройка отображения таблицы правил запрета
- Просмотр правила запрета
- Создание правила запрета
- Импорт правил запрета
- Включение и отключение правила запрета
- Включение и отключение предустановок
- Удаление правил запрета
- Фильтрация правил запрета по имени
- Фильтрация правил запрета по типу
- Фильтрация правил запрета по хешу файла
- Фильтрация правил запрета по имени сервера
- Сброс фильтра правил запрета
- Работа с пользовательскими правилами
- Об использовании индикаторов компрометации (IOC) и атаки (IOA) для поиска угроз
- Работа с пользовательскими правилами TAA (IOA)
- Просмотр таблицы правил TAA (IOA)
- Создание правила TAA (IOA) на основе условий поиска событий
- Импорт правила TAA (IOA)
- Просмотр информации о правиле TAA (IOA)
- Поиск обнаружений и событий, в которых сработали правила TAA (IOA)
- Фильтрация и поиск правил TAA (IOA)
- Сброс фильтра правил TAA (IOA)
- Включение и отключение использования правил TAA (IOA)
- Изменение правила TAA (IOA)
- Удаление правил TAA (IOA)
- Работа с пользовательскими правилами IOC
- Просмотр таблицы IOC-файлов
- Просмотр информации об IOC-файле
- Загрузка IOC-файла
- Скачивание IOC-файла на компьютер
- Включение и отключение автоматического использования IOC-файла при проверке хостов
- Удаление IOC-файла
- Поиск обнаружений по результатам IOC-проверки
- Поиск событий по IOC-файлу
- Фильтрация и поиск IOC-файлов
- Сброс фильтра IOC-файлов
- Настройка расписания IOC-проверки
- Работа с пользовательскими правилами IDS
- Импорт пользовательского правила IDS
- Просмотр информации о пользовательском правиле IDS
- Включение и отключение использования правила IDS при проверке событий
- Настройка важности обнаружений, выполненных по пользовательскому правилу IDS
- Замена пользовательского правила IDS
- Экспорт файла пользовательского правила IDS на компьютер
- Удаление пользовательского правила IDS
- Работа с пользовательскими правилами YARA
- Работа с объектами в Хранилище и на карантине
- Просмотр таблицы объектов, помещенных в Хранилище
- Просмотр информации об объекте, загруженном в Хранилище через веб-интерфейс
- Просмотр информации об объекте, помещенном в Хранилище по задаче получения файла
- Просмотр информации об объекте, помещенном в Хранилище по задаче получения данных
- Скачивание объектов из Хранилища
- Загрузка объектов в Хранилище
- Отправка объектов из Хранилища на проверку
- Удаление объектов из Хранилища
- Фильтрация объектов в Хранилище по типу объекта
- Фильтрация объектов в Хранилище по описанию объекта
- Фильтрация объектов в Хранилище по результатам проверки
- Фильтрация объектов в Хранилище по имени сервера Central Node, PCN или SCN
- Фильтрация объектов в Хранилище по источнику объекта
- Фильтрация объектов по времени помещения в Хранилище
- Сброс фильтра объектов в Хранилище
- Просмотр таблицы объектов, помещенных на карантин на компьютерах с компонентом Endpoint Agent
- Просмотр информации об объекте на карантине
- Восстановление объекта из карантина
- Получение копии объекта на карантине на сервер Kaspersky Anti Targeted Attack Platform
- Удаление информации об объекте, помещенном на карантин, из таблицы
- Фильтрация информации об объектах, помещенных на карантин, по типу объекта
- Фильтрация информации об объектах, помещенных на карантин, по описанию объекта
- Фильтрация информации об объектах, помещенных на карантин, по имени хоста
- Фильтрация информации об объектах, помещенных на карантин, по времени
- Сброс фильтра информации об объектах на карантине
- Работа с отчетами
- Просмотр таблицы шаблонов и отчетов
- Создание шаблона
- Создание отчета по шаблону
- Просмотр отчета
- Скачивание отчета на локальный компьютер
- Изменение шаблона
- Фильтрация шаблонов по имени
- Фильтрация шаблонов по имени пользователя, создавшего шаблон
- Фильтрация шаблонов по времени создания
- Сброс фильтра шаблонов
- Удаление шаблона
- Фильтрация отчетов по времени создания
- Фильтрация отчетов по имени
- Фильтрация отчетов по имени сервера с компонентом Central Node
- Фильтрация отчетов по имени пользователя, создавшего отчет
- Сброс фильтра отчетов
- Удаление отчета
- Работа с правилами присвоения обнаружениям статуса VIP
- Просмотр таблицы правил присвоения статуса VIP
- Создание правила присвоения статуса VIP
- Удаление правила присвоения статуса VIP
- Изменение правила присвоения статуса VIP
- Импорт списка правил присвоения статуса VIP
- Экспорт списка данных, исключенных из проверки
- Фильтрация и поиск по типу правила присвоения статуса VIP
- Фильтрация и поиск по значению правила присвоения статуса VIP
- Фильтрация и поиск по описанию правила присвоения статуса VIP
- Сброс фильтра правил присвоения статуса VIP
- Работа со списком исключений из проверки
- Просмотр таблицы данных, исключенных из проверки
- Добавление правила исключения из проверки
- Удаление правила исключения из проверки
- Изменение правила, добавленного в исключения из проверки
- Экспорт списка данных, исключенных из проверки
- Фильтрация правил в списке исключений из проверки по критерию
- Поиск правил в списке исключений из проверки по значению
- Сброс фильтра правил в списке исключений из проверки
- Работа с IDS-исключениями
- Работа с TAA-исключениями
- Работа с ICAP-исключениями
- Просмотр таблицы ICAP-исключений
- Добавление правила в ICAP-исключения
- Удаление правил из ICAP-исключений
- Изменение и выключение правила в списке ICAP-исключений
- Фильтрация правил в списке ICAP-исключений по критерию
- Фильтрация правил в списке ICAP-исключений по значению
- Фильтрация правил в списке ICAP-исключений по состоянию
- Сброс условий фильтрации правил в списке ICAP-исключений
- Создание списка паролей для архивов
- Просмотр параметров сервера
- Просмотр таблицы серверов с компонентом Sandbox
- Просмотр параметров набора операционных систем для проверки объектов в Sandbox
- Просмотр таблицы серверов с компонентом Sensor
- Работа с сырым сетевым трафиком
- Просмотр таблицы внешних систем
- Работа с пользовательскими правилами Sandbox
- Просмотр таблицы пользовательских правил Sandbox
- Настройка отображения таблицы правил Sandbox
- Фильтрация и поиск правил Sandbox
- Сброс фильтра правил Sandbox
- Просмотр информации о пользовательском правиле Sandbox
- Создание пользовательского правила Sandbox для проверки файлов
- Создание пользовательского правила Sandbox для проверки URL-адреса
- Копирование пользовательского правила Sandbox
- Импорт пользовательских правил Sandbox для проверки файлов
- Изменение пользовательского правила Sandbox
- Включение и отключение пользовательских правил Sandbox
- Экспорт пользовательских правил Sandbox для проверки файлов
- Удаление пользовательских правил Sandbox
- Список расширений для категорий файлов
- Отправка уведомлений
- Просмотр таблицы правил для отправки уведомлений
- Создание правила для отправки уведомлений об обнаружениях
- Создание правила для отправки уведомлений о работе компонентов приложения
- Включение и отключение правила для отправки уведомлений
- Изменение правила для отправки уведомлений
- Удаление правила для отправки уведомлений
- Фильтрация и поиск правил отправки уведомлений по типу правила
- Фильтрация и поиск правил отправки уведомлений по теме уведомлений
- Фильтрация и поиск правил отправки уведомлений по адресу электронной почты
- Фильтрация и поиск правил отправки уведомлений по их состоянию
- Сброс фильтра правил отправки уведомлений
- Управление приложением Kaspersky Endpoint Agent для Windows
- Управление приложением Kaspersky Endpoint Security для Windows
- Управление приложением Kaspersky Endpoint Security для Linux
- Управление приложением Kaspersky Endpoint Security для Mac
- Создание резервной копии и восстановление приложения
- Создание резервной копии параметров сервера Central Node из меню администратора приложения
- Загрузка файла с резервной копией параметров сервера с сервера Central Node или PCN на жесткий диск компьютера
- Загрузка файла с резервной копией параметров сервера с вашего компьютера на сервер Central Node
- Восстановление параметров сервера из резервной копии через меню администратора приложения
- Создание резервной копии приложения в режиме Technical Support Mode
- Восстановление приложения из резервной копии в режиме Technical Support Mode
- Обновление Kaspersky Anti Targeted Attack Platform
- Обновление компонента Central Node, установленного на сервере
- Обновление компонента Central Node, установленного в виде кластера
- Установка пакета обновления приложения до версии 6.0.1
- Установка пакета обновления приложения до версии 6.0.2
- Установка пакета обновления приложения до версии 6.0.4
- Состав и объем данных, сохраняемых при обновлении приложения Kaspersky Anti Targeted Attack Platform
- Взаимодействие с внешними системами по API
- Интеграция внешней системы с Kaspersky Anti Targeted Attack Platform
- API для проверки объектов внешних систем
- API для получения внешними системами информации об обнаружениях приложения
- API для получения внешними системами информации о событиях приложения
- API для управления действиями по реагированию на угрозы
- Источники информации о приложении
- Обращение в Службу технической поддержки
- Глоссарий
- Advanced persistent threat (APT)
- Anti-Malware Engine
- Backdoor-программа
- Central Node
- CSRF-атака
- End User License Agreement
- ICAP-данные
- ICAP-клиент
- Intrusion Detection System
- IOA
- IOC
- IOC-файл
- Kaspersky Anti Targeted Attack Platform
- Kaspersky Private Security Network
- Kaspersky Secure Mail Gateway
- Kaspersky Security Network (KSN)
- Kaspersky Threat Intelligence Portal
- KATA
- KEDR
- Kerberos-аутентификация
- Keytab-файл
- MIB (Management Information Base)
- MITM-атака
- NTP-сервер
- OpenIOC
- Sandbox
- Sensor
- SIEM-система
- SPAN
- Syslog
- Targeted Attack Analyzer
- TLS-шифрование
- YARA
- Альтернативный поток данных
- Атака "нулевого дня"
- Вредоносные веб-адреса
- Дамп
- Зеркалированнный трафик
- Имя субъекта-службы (SPN)
- Компонент Endpoint Agent
- Локальная репутационная база KPSN
- Мультитенантность
- Правила YARA
- Правило TAA (IOA)
- Пропускная способность канала связи
- Распределенное решение
- Сигнатура
- Статус VIP
- Тенант
- Техника MITRE
- Трассировка
- Угрозы нового поколения
- Уязвимость "нулевого дня"
- Фишинговые URL-адреса
- Целевая атака
- Информация о стороннем коде
- Уведомления о товарных знаках
Руководство по масштабированию > Калькулятор масштабирования > Расчеты для компонента Sensor
Расчеты для компонента Sensor
Расчеты для компонента Sensor
Эти расчеты применимы также при развертывании приложения на виртуальной платформе.
При расчете аппаратных требований к компоненту Sensor требуется учитывать, что максимальный объем обрабатываемого трафика составляет 10 Гбит/с. Для обработки трафика максимального объема можно использовать как один Sensor, установленный на отдельном сервере, так и несколько Sensor, установленных на отдельных серверах, которые подключены к одному Central Node. Суммарный объем передаваемого трафика от всех Sensor, подключенных к одному серверу Central Node, не должен превышать 10 Гбит/с.
При наличии в сети более одного сегмента с пропускной способностью 10 Гбит/с и при необходимости обрабатывать трафик в этих сегментах, вам необходимо использовать режим распределенного решения.
Вы можете использовать сервер Sensor в качестве прокси-сервера при обмене данными между рабочими станциями с Endpoint Agent и Central Node, чтобы упростить настройку сетевых правил. Например, если рабочие станции с Endpoint Agent находятся в отдельном сегменте сети, то будет достаточно настроить соединение между серверами Central Node и Sensor.
При использовании Sensor в качестве прокси-сервера при обмене данными между компонентами Endpoint Agent и компонентом Central Node учитывайте следующие ограничения:
- Максимальное количество рабочих станций с компонентом Endpoint Agent, подключенных к одному компоненту Central Node, составляет 15 000 шт.
- Максимально допустимые потери пакетов, пересылаемых между серверами Sensor и Central Node, составляют 10% при задержке отправки пакетов до 100 мс.
Требуемая пропускная способность канала связи между серверами Central Node и Sensor зависит от объема обрабатываемого трафика и определяется по следующей формуле:
10% от трафика на SPAN-порте при обычной нагрузке или 20% от трафика на SPAN-порте при пиковой нагрузке + почтовый трафик + трафик по протоколу ICAP + требования к каналу связи между Central Node и Endpoint Agent
Аппаратные требования к серверу Sensor
Компонент Sensor может быть интегрирован с IT-инфраструктурой организации следующими способами:
- получение зеркалированного трафика от сетевых устройств со SPAN-портов;
- подключение к почтовому серверу по протоколу POP3;
- подключение к почтовому серверу по протоколу SMTP;
- получение трафика от прокси-сервера по протоколу ICAP.
Аппаратные требования к серверу Sensor приведены в таблице ниже. Расчеты приведены для случая, когда Sensor обрабатывает сообщения электронной почты и зеркалированный трафик со SPAN-портов. Если Sensor используется в качестве прокси-сервера при обмене данными между рабочим станциями с Endpoint Agent и Central Node, следует также учитывать требования к каналам связи.
Аппаратные требования к серверу Sensor в зависимости от объема обрабатываемого трафика со SPAN-портов
Количество компонентов Endpoint Agent |
Объем обрабатываемого трафика (Мбит/c) |
Минимальный объем оперативной памяти (ГБ) |
Минимальное количество логических ядер |
|---|---|---|---|
10000 |
100 |
16 |
4 |
15000 |
500 |
24 |
8 |
15000 |
1000 |
32 |
12 |
15000 |
2000 |
64 |
20 |
15000 |
4000 |
92 |
32 |
15000 |
7000 |
128 |
52 |
15000 |
10000 |
160 |
72 |
Центральный процессор должен поддерживать набор инструкций BMI2, AVX и AVX2.
Если вы хотите обрабатывать только сообщения электронной почты и не обрабатывать зеркалированный трафик со SPAN-портов, мы рекомендуем использовать Sensor, установленный на одном сервере с Central Node. Подробнее об аппаратных требованиях см. в разделе Расчеты для компонента Central Node → Аппаратные требования к серверу Central Node и Sensor.
Если один сервер Sensor обрабатывает трафик по нескольким протоколам, то для расчета конфигурации сервера необходимо учитывать, что при настроенной интеграции с почтовым сервером или почтовым сенсором необходимо выключить обработку трафика по протоколу SMTP.
Требования к дисковому пространству на сервере Sensor
Рекомендуется использовать дисковый массив RAID 1. Общий объем дискового пространства должен составлять не менее 500 ГБ.
Аппаратные требования к Sensor при использовании сохранения сырого сетевого трафика
Если вы используете функционал сохранения сырого сетевого трафика, вам необходимо дополнительно увеличить следующие аппаратные характеристики сервера Sensor:
- 0,5 CPU для каждого 1 Гбит/c сетевого трафика.
- 6 ГБ оперативной памяти, если скорость сетевого трафика менее 2 Гбит/с или 12 ГБ оперативной памяти, если скорость сетевого трафика 2 Гбит/с и более.
- Установить отдельное дисковое хранилище в виде пула RAID-массива или DAS с максимальной пропускной способностью, определяемой по формуле:
<пропускная способность дискового хранилища> = 3 * <максимальный объем записываемого трафика> - Емкость дискового хранилища определяется от желаемого времени хранения и максимального объема сохраняемого трафика с учетом фильтров. По примерным расчетам, для хранения записанного трафика максимальным объемом 10 Гбит/с в течении 7 дней, необходимо дисковое хранилище емкостью 750 ТиБ.
Идентификатор статьи: 211923, Последнее изменение: 6 сент. 2024 г.