Подготовка к установке компонентов приложения

В этом разделе представлена информация о том, как подготовить IT-инфраструктуру вашей организации к установке компонентов Kaspersky Anti Targeted Attack Platform.

Подготовка IT-инфраструктуры к установке компонентов приложения

Перед установкой приложения подготовьте IT-инфраструктуру вашей организации к установке компонентов Kaspersky Anti Targeted Attack Platform:

1. Убедитесь, что серверы, а также компьютер, предназначенный для работы с веб-интерфейсом приложения, и компьютеры, на которых устанавливается компонент Endpoint Agent, удовлетворяют аппаратным и программным требованиям.
2. Произведите следующую предварительную подготовку IT-инфраструктуры организации к установке компонента Sandbox:
   1. Для обоих сетевых интерфейсов запретите доступ сервера с компонентом Sandbox в локальную сеть организации для обеспечения безопасности сети от анализируемых объектов.
   2. Для первого сетевого интерфейса разрешите доступ сервера с компонентом Sandbox в интернет для анализа поведения объектов.
   3. Для второго сетевого интерфейса разрешите входящее соединение сервера с компонентом Sandbox на следующие порты:
      • TCP 22 для подключения к серверу по протоколу SSH.
      • TCP 443 для получения объектов на проверку от компонента Central Node.
      • TCP 8443 для использования веб-интерфейса приложения.
   4. Для второго сетевого интерфейса разрешите исходящее соединение сервера с компонентом Sandbox на следующие порты:
      • TCP 80, 443 для связи с серверами обновлений "Лаборатории Касперского".
3. Произведите следующую предварительную подготовку IT-инфраструктуры организации к установке компонента Central Node:
   1. Разрешите входящие соединения к серверу с компонентом Central Node на следующие порты:
      • TCP 22 для подключения к серверу по SSH.
      • TCP 443 для получения данных от компьютеров с компонентом Endpoint Agent.
      • TCP 8443 для просмотра результатов проверки в веб-интерфейсе приложения.
      • UDP 53 для связи с сервером с компонентом Sensor.
      • TCP 9081 для получения данных от компонентов Sensor, установленных на отдельных серверах.
   2. Разрешите исходящее соединение сервера с компонентом Central Node на следующие порты:
      • TCP 80, 443 и 1443 для связи с серверами службы KSN и серверами обновлений "Лаборатории Касперского".
      • TCP 443 для передачи объектов на проверку компоненту Sandbox.
      • TCP 601 для отправки сообщений в SIEM-систему.
      • UDP 53 для связи с сервером с компонентом Sensor.
4. Произведите следующую предварительную подготовку IT-инфраструктуры организации к установке компонента Sensor:
   1. Для сетевого интерфейса, используемого для интеграции с прокси-сервером и почтовым сервером, разрешите входящее соединение сервера с компонентом Sensor на следующие порты:
      • TCP 22 для подключения к серверу по SSH.
      • TCP 1344 для получения трафика от прокси-сервера.
      • TCP 25 для получения SMTP-трафика от почтового сервера.
      • TCP 443 при перенаправлении трафика от компьютеров с компонентом Endpoint Agent на сервер с компонентом Central Node.
      • UDP 53 для связи с сервером с компонентом Central Node.
   2. Разрешите исходящее соединение сервера с компонентом Sensor на следующие порты:
      • TCP 80 и 443 для связи с серверами службы KSN и серверами обновлений "Лаборатории Касперского".
      • TCP 995 (или TCP 110 для незащищенных соединений) для интеграции с почтовым сервером.
      • TCP 9081 для перенаправления трафика на сервер с компонентом Central Node.
      • UDP 53 для связи с сервером с компонентом Central Node.

      При установке дополнительного сетевого интерфейса, принимающего только зеркалированный трафик, в виртуальной среде VMware ESXi используйте сетевой адаптер E1000 или отключите опцию LRO (large receive offload) на сетевом адаптере VMXNET3.

5. Разрешите на сетевом оборудовании шифрованный канал связи между серверами с компонентами Central Node и Sensor.

   Соединение между серверами с компонентами Central Node и Sensor происходит внутри шифрованного канала связи на базе IPSec с использованием протоколов ESP, AH, IKEv1 и IKEv2.

6. Если вы используете режим распределенного решения и мультитенантности, произведите следующую предварительную подготовку IT-инфраструктуры организации к установке компонентов Central Node:
   1. Разрешите входящее соединение сервера с ролью PCN на порты 8443.
   2. Разрешите на сетевом оборудовании установку шифрованного канала связи между серверами PCN и SCN.

      Соединение между серверами с ролью PCN и SCN происходит внутри шифрованного канала связи на базе IPSec с использованием протокола ESP.

При необходимости вы можете назначить другие порты для работы компонентов приложения в меню администратора сервера с компонентом Central Node. При изменении портов в меню администратора вам нужно разрешить соединения на эти порты внутри IT-инфраструктуры вашей организации.

Подготовка IT-инфраструктуры к интеграции с почтовым сервером для приема сообщений по протоколу POP3

Если в качестве почтового сервера вы используете почтовый сервер Microsoft Exchange и отправитель настроил запрос уведомления о прочтении сообщения электронной почты, то необходимо отключить отправку уведомлений о прочтении. В противном случае уведомления о прочтении будут отправляться с того адреса электронной почты, который вы настроили в качестве адреса электронной почты для приема сообщений Kaspersky Anti Targeted Attack Platform. Также необходимо отключить автоматическую обработку приглашений на встречи для предотвращения заполнения почтового ящика для приема сообщений Kaspersky Anti Targeted Attack Platform.

Чтобы отключить отправку уведомлений о прочтении с адреса электронной почты для приема сообщений Kaspersky Anti Targeted Attack Platform:

1. На сервере Microsoft Exchange проверьте, включена ли отправка уведомлений. Для этого выполните команду:

   Get-MailboxMessageConfiguration -Identity <адрес электронной почты для приема сообщений Kaspersky Anti Targeted Attack Platform> | fl

2. Если отправка уведомлений включена, выполните команду:

   Set-MailboxMessageConfiguration -Identity <адрес электронной почты для приема сообщений Kaspersky Anti Targeted Attack Platform> -ReadReceiptResponse NeverSend

Отправка уведомлений о прочтении с адреса электронной почты для приема сообщений Kaspersky Anti Targeted Attack Platform будет отключена.

Чтобы отключить автоматическую обработку приглашений на встречи:

1. На сервере Microsoft Exchange проверьте, включена ли отправка уведомлений. Для этого выполните команду:

   Get-CalendarProcessing -Identity <адрес электронной почты для приема сообщений Kaspersky Anti Targeted Attack Platform> | fl

2. Если автоматическая обработка приглашений на встречи включена, выполните команду:

   Set-CalendarProcessing -Identity <адрес электронной почты для приема сообщений Kaspersky Anti Targeted Attack Platform> -AutomateProcessing:None

Автоматическая обработка приглашений на встречи будет отключена.

Подготовка IT-инфраструктуры к интеграции с почтовым сервером для отправки сообщений по протоколу SMTP

Чтобы подготовить IT-инфраструктуру вашей организации к интеграции Kaspersky Anti Targeted Attack Platform с почтовым сервером по протоколу SMTP:

1. На внешнем почтовом сервере настройте правила пересылки копий тех сообщений, которые вы хотите отправлять на проверку Kaspersky Anti Targeted Attack Platform на адреса, указанные в Kaspersky Anti Targeted Attack Platform.
2. Укажите маршрут для пересылки сообщений электронной почты на сервер с компонентом Sensor.

   Рекомендуется указать статический маршрут – IP-адрес сервера с компонентом Sensor.

3. На сетевом экране вашей организации разрешите входящие соединения сервера с компонентом Sensor на порт 25 от почтовых серверов, пересылающих копии сообщений электронной почты.

Вы также можете увеличить безопасность интеграции Kaspersky Anti Targeted Attack Platform с почтовым сервером по протоколу SMTP.

Чтобы увеличить безопасность интеграции Kaspersky Anti Targeted Attack Platform с почтовым сервером по протоколу SMTP:

1. Настройте аутентификацию сервера Kaspersky Anti Targeted Attack Platform на стороне почтовых серверов, передающих сообщения электронной почты для Kaspersky Anti Targeted Attack Platform.
2. Настройте обязательное шифрование трафика на почтовых серверах, передающих сообщения электронной почты для Kaspersky Anti Targeted Attack Platform.
3. Настройте аутентификацию почтовых серверов, передающих сообщения электронной почты для Kaspersky Anti Targeted Attack Platform, на стороне Kaspersky Anti Targeted Attack Platform.

Подготовка виртуальной машины к установке компонента Sandbox

Чтобы подготовить виртуальную машину к установке компонента Sandbox:

1. Запустите гипервизор VMware ESXi.
2. Откройте консоль для управления виртуальными машинами.
3. В контекстном меню виртуальной машины, на которой вы хотите установить компонент Sandbox, выберите пункт Edit Settings.

   Откроется окно свойств виртуальной машины.

4. На закладке Virtual Hardware раскройте блок параметров CPU и установите флажок Expose hardware-assisted virtualization to guest OS.
5. На закладке VM Options в раскрывающемся списке Latency Sensitivity выберите High.
6. Нажмите на кнопку OK.

Виртуальная машина будет готова к установке компонента Sandbox.

Подготовка установочного образа диска с компонентами Central Node, Sensor и Sandbox

Перед установкой приложения вам необходимо подготовить установочный iso-образ диска с компонентами Central Node, Sensor и Sandbox на базе операционной системы Astra Linux.

Минимальные аппаратные требования к устройству, на котором будет происходить создание iso-образа:

• Процессор: 4 ядра, частота от 2500 МГц.
• Оперативная память: 8 ГБ.
• Объем свободного места на диске: 100 ГБ.

Требования к программному обеспечению:

• Операционная система на базе актуального ядра Linux.
• Docker версии 20 и выше.
• Наличие iso-образа операционной системы Astra Linux Special Edition версии 1.7.4. UU1.

  Kaspersky Anti Targeted Attack Platform не поддерживает работу с другими версиями операционной системы Astra Linux.

Чтобы смонтировать iso-образ на базе операционной системы Astra Linux компонентов Central Node и Sensor или Sandbox:

1. Загрузите из комплекта поставки дистрибутив компонента Central Node и Sensor с именем kata-cn-distribution-6.0.4-13-x86_64_en-ru.tar.gz, дистрибутив компонента Sandbox с именем kata-sb-distribution-6.0.4-13-x86_64_en-ru.tar.gz и файл с именем iso-builder-6.0.4-13-x86_64_en-ru.tar.
2. Создайте файл iso_builder.sh со следующим содержимым.

   # $1 - absolute source_iso_host_path

   # $2 - absolute distribution_host_path

   # $3 - absolute iso_builder_image_host_path

   # $4 - absolute build_host_path

   # $5 - absolute target_iso_name

   docker load -i $3

   docker run -v $1:$1 -v $2:$2 -v $4:/build kaspersky/kata/deployment/iso_builder:6.0 --source-iso-uri file://$1 --kata-distribution-uri file://$2 --target-iso-name $5

3. Выполните команду mkdir /var/kata_builder.
4. Поместите в созданный каталог по пути /var/kata_builder файлы, указанные в шаге 1. Убедитесь, что iso-образ Astra Linux Special Edition версии 1.7.4. UU1 имеет имя installation-1.7.4.11-23.06.23_17.13.iso. Если имя iso-образа отличается, вам необходимо его переименовать.
5. Выполните команду:
   • Если вы подготавливаете образ диска с компонентами Central Node и Sensor: sudo ./iso_builder.sh /var/kata_builder/installation-1.7.4.11-23.06.23_17.13.iso /var/kata_builder/kata-cn-distribution-6.0.4-13-x86_64_en-ru.tar.gz /var/kata_builder/iso-builder-6.0.4-13-x86_64_en-ru.tar /var/kata_builder buildCNSensorAstra.iso
   • Если вы подготавливаете образ диска с компонентом Sandbox: sudo ./iso_builder.sh /var/kata_builder/installation-1.7.4.11-23.06.23_17.13.iso /var/kata_builder/kata-sb-distribution-6.0.4-13-x86_64_en-ru.tar.gz /var/kata_builder/iso-builder-6.0.4-13-x86_64_en-ru.tar /var/kata_builder buildSandboxAstra.iso

После выполнения команд установочный образ диска с компонентами Central Node и Sensor с именем buildCNSensorAstra.iso и buildSandboxAstra.iso будут размещены по пути /var/kata_builder.

Если вы используете другие директории для хранения файлов, вы можете выполнить команду: sudo ./iso_builder.sh <source_iso_host_path> <distribution_host_path> <iso_builder_image_host_path> <build_host_path> <target_iso_name>, где:

• source_iso_host_path – путь к дистрибутиву Astra Linux Special Edition 1.7.4. UU1.
• distribution_host_path – путь к дистрибутиву kata-cn-distribution-6.0.4-13-x86_64_en-ru.tar.gz или kata-sb-distribution-6.0.4-13-x86_64_en-ru.tar.gz.
• iso_builder_image_host_path – путь к файлу iso-builder-6.0.4-13-x86_64_en-ru.tar.
• build_host_path – путь, где будет размещен смонтированный iso-образ без указания присваиваемого имени iso-образа.
• target_iso_name – присваиваемое имя iso-образу.