KATA
Защита периметра. Развертывание центрального узла

Приветствуем вас в новой статье из цикла «Kaspersky Symphony XDR»!

В этом материале мы продолжим изучать развертывание серверов платформы. И на этот раз перейдем к серверу Сенсора/Центрального узла.

В качестве среды виртуализации будем использовать VMware ESXi. Версия платформы KATA – 6.0.

Для определения аппаратных требований на портале онлайн-справки Лаборатории Касперского есть калькулятор масштабирования. Он помогает рассчитывать требования к процессору, ОЗУ и дисковым подсистемам для каждой роли. Но наиболее правильным вариантом является заполнение опросника и запрос вендору (специалисты разработчика рассчитают ресурсы под ваш сценарий использования платформы).

1. Подготовка инфраструктуры

Для начала подготовим виртуальную машину. Ресурсы выделяем по рекомендациям из онлайн-справки Лаборатории Касперского для вашей платформы (они будут сильно варьироваться от количества трафика, подаваемого в систему). При использовании совместно с платформой функционала KEDR требуемые ресурсы также будут сильно зависеть от количества EDR агентов и от ролей хостов, на которых эти агенты установлены.

В отличие от сервера песочницы, здесь особых требований к настройке гипервизора нет. Необходимо только убедиться, что указан режим загрузки BIOS. Рекомендуется (но не обязательно) зарезервировать всю частоту процессора и оперативную память, как мы сделали при создании виртуальной машины песочницы.

Если вы собираетесь обрабатывать сырой SPAN трафик, то для этого потребуется дополнительный сетевой интерфейс.

Не забудьте подключить ISO-образ с дистрибутивом Центрального угла к виртуальной машине. После создания виртуальной машины запускаем её.

2. Мастер установки
После запуска виртуальной машины и начала установки нас встретит загрузчик и предложит установить KATA 6.0 или запустить обновление с KATA 5.1.

Центральный узел — это единственный компонент, который можно обновить поверх предыдущей версии. Отдельно стоящий сенсор и сервер песочницы обновляются только через полную переустановку.

Нас интересует пункт Install KATA 6.0, поэтому либо ждем несколько секунд пока загрузка сама продолжится, либо можем нажать Enter.

Далее нас попросят принять лицензионное соглашение. Принимаем и двигаемся дальше.

Следующее меню предлагает выбрать режим, в котором будет установлен центральный узел. Storage и Processing — это узел хранения и узел обработки кластера KATA соответственно.

Далее идет Single (сервер сенсор/центральный узел).

И последний вариант – Sensor (это отдельно стоящий сервер с ролью «сенсор»).

Выбираем Single и нажимаем Ok.

Для развертывания KATA с функциональностью KEDR в производственной среде рекомендуется использовать две дисковых подсистемы. Одна – под систему и данные KATA, а вторая – под данные Targeted Attack Analyzer. Именно того компонента, который на основе индикаторов атак выполняет анализ телеметрии, поступающей с хостов организации.

Так как у нас тестовая среда, мы выделяем всего одну дисковую подсистему. Но в пилотных проектах и тем более производственной среде обязательно соблюдайте требования, рассчитанные для вашей инсталляции.

Если же вы собираетесь использовать только функциональность KATA, то вторая дисковая подсистема не потребуется.

Технологически платформа KATA основывается на Docker-контейнеризации (множестве сервисов, которые отделены друг от друга). Docker-контейнеры для связи между собой в инсталляции используют ip-адреса из определенных заранее подсетей.

Вполне может возникнуть ситуация, что локальные подсети, используемые в вашей инфраструктуре, могут пересекаться с подсетями Docker. Хотя на практике такое случается редко. Для недопущения конфликтов вам будет предложено переопределить подсети Docker. Если же подсети не пересекаются, то просто нажмите Enter.

Далее нам потребуется ввести данные основного сетевого интерфейса и пароль администратора. Если вы выделили дополнительный сетевой интерфейс для SPAN-трафика, то его настройка осуществляется уже в веб-интерфейсе после установки системы.

Также укажем DNS-сервера (каждый должен быть расположен на новой строке). Обратите внимание: должен быть указан хотя бы один DNS-сервер.

После ввода всех серверов просто 2 раза нажимаем Enter.

Далее нас спросят, хотим ли мы включить возможности захвата сетевого трафика. Если вы собираетесь обрабатывать SPAN-трафик, то выбор будет «y», а если нет, то «n».

Таким же образом, как и DNS-сервера, указываем NTP-сервера.

Сервера времени очень важны для работы платформы (все сервера платформы должны иметь минимальное расхождение во времени по UTC). В Active Directory среде обычно контроллеры домена являются, в том числе, NTP-серверами, поэтому можно использовать их.

Но можно воспользоваться и публичными серверами.

На этом предварительная настройка закончена. Далее сервер перезагрузится и будет доступен через веб-интерфейс.

Первым делом после перезагрузки нам необходимо произвести конфигурирование параметров масштабирования. Для этого совершим вход под той учётной записью администратора, которую мы задавали при установке. Обязательно необходимо поставить галочку, что мы входим под локальным администратором.

Нас попросят указать количество Endpoint-агентов, почтовых сообщений в секунду и SPAN-трафика в мбитах/с. В случае если вы не собираетесь использовать какой-то из этих типов трафика, то просто укажите «0» в соответствующей графе. При этом указать «0» во всех графах система не даст.

Важное примечание по заполнению количества Endpoint-агентов. Количество Endpoint-агентов рекомендуется указывать не менее 2000, даже если по факту у вас их меньше. Также стоит обратить внимание, что в этой графе указывается количество эффективных агентов.

Количество эффективных агентов можно получить по формуле:
K= A+3*B+20*C."A" – количество рабочих станций и пользователей терминальных серверов под управлением операционной системы Windows с установленным компонентом Endpoint Agent."B" – количество рабочих станций и пользователей терминальных серверов под управлением операционной системы Linux или macOS с установленным компонентом Endpoint Agent."C" – количество серверов.

Может возникнуть ситуация, когда вам будет необходимо обрабатывать трафик, полученный по протоколу ICAP или по API.

В таком случае для ICAP укажите в графе «SPAN» 1/5 часть проходящего через ваш шлюз трафика.

Пример: если у вас есть веб-шлюз, через который проходит 100 Мбит/с веб-трафика (и этот шлюз по протоколу ICAP отправляет в KATA объекты для проверки), то условно можно считать, что KATA обрабатывает 20 Мбит/с SPAN-трафика.

Для случая с API посчитайте количество файлов, которые будут отправляться в среднем за секунду в платформу KATA. Затем утройте это значение и добавьте в графу почтового трафика.

Теперь немного затронем тему заполнения раздела «Объем диска»:

• В том случае, если у вас не кластерная инсталляция, значения в графах База событий и Хранилище изменять не рекомендуется. Система автоматически рассчитает необходимый объем, исходя из размера диска при установке системы
• В случае с кластерным исполнением система рассчитает рекомендуемые значения, но вы сможете их изменить, ориентируясь на ваши задачи.

Нажмем «Настроить» и подтвердим в открывшемся окне наше действие. После этого начнётся настройка, которая займёт некоторое время. В этот момент система будет рассчитывать и устанавливать необходимые значения потребления ресурсов для всех компонентов.

После завершения конфигурирования будет произведен выход из учётной записи пользователя admin и внизу страницы появится сообщение.

3. Знакомство с интерфейсом
В системе есть 4 роли пользователей, и в зависимости от роли меняются и возможности в интерфейсе. Но об этом мы подробнее расскажем, когда будем создавать и настраивать пользователей.

Для начала давайте познакомимся с веб-интерфейсом под учетной записью администратора системы.

Для этого совершим вход под пользователем Administrator с паролем Administrator. Вход под данным пользователем становится возможен только после конфигурирования серверов на предыдущем этапе. При входе под Administrator надо также поставить галочку о том, что мы входим под локальным администратором.

Интерфейс главной страницы выглядит как доска мониторинга.

На данный момент на доске нет данных о трафике. Тут же мы можем увидеть предупреждения о работоспособности системы.

Предупреждение говорит, что нам надо обновить базы. Сделать это без лицензии нельзя, поэтому мы вернемся к задаче позднее.

В меню слева видим ещё 5 пунктов для администрирования установки (помимо Мониторинга):

1. Режим работы. Тут можно переключиться между автономным режимом и режимом распределенной установки

2. Пользовательские правила Sandbox

Настройка своих правил пересылки файлов на сервер песочницы для проверки. Обычно антивирусное ядро автоматически выбирает, на какой клиентской виртуальной машине песочницы проверять ссылки и файлы, полученные из трафика. Но если вы загрузили свой пользовательский образ системы в песочницу, то вам нужно указать, какие файлы и ссылки будут проверяться, используя этот образ. Что как раз можно сделать в этом разделе.

3. Параметры.

Изменение основных параметров инсталляции. К ним мы вернемся чуть позже.

4. Серверы Sensor.

В этом разделе можно авторизовать отдельные сервера с ролью сенсора, и они списком будут перечислены здесь.

На данный момент у нас в списке находится один сервер, выполняющий роль сенсора. Это сам центральный узел.

Указано также то, какой тип трафика разрешено принимать на этом сенсоре. Так как мы пока ещё это не настраивали, по умолчанию любой тип трафика не включен.

5. Серверы Sandbox.

Этот раздел, как и предыдущий, показывает все подключенные серверы с ролью песочницы. Но есть особенности. Если сенсоры подключаются со стороны самих сенсоров, то сервера песочницы подключаются со стороны центрального узла.

В параметрах можно выбрать операционные системы, которые будут использоваться для проверки. Список установленных образов на сервере песочницы должен быть идентичен выбранному здесь.

Сейчас центральный узел не может проверить то, какие образы установлены, и поэтому выдает предупреждение.

Не так давно вышло обновление 6.0.2 для KATA. Оно исправляет некоторые проблемы с работой ICAP и закрывает уязвимости.

Обновление мы рекомендуем к установке всем. Установка может осуществляться как поверх 6.0, так и поверх 6.0.1.

Подробную информацию по обновлению вы можете узнать в онлайн справке: https://support.kaspersky.com/KATA/6.0/ru-RU/271957.htm.

1. Обновление сенсора/центрального узла

1. Скопируйте пакет обновления kata-cn-upgrade-6.0.2-x86_64_en-ru.tar.gz на сервер. Можете использовать программу WinSCP или аналогичную для этого. Загрузите файл в каталог /home/admin/. Логин для доступа к ssh – admin, пароль – тот, что вы указывали при установке;
2. Подсоединитесь к ssh-консоли используя, например, программу Putty. Перейдите в режим Technical Support Mode;
3. Повысьте привилегии через sudo -i. Используйте пароль для admin;
4. Переместим файл kata-cn-upgrade-6.0.2-x86_64_en-ru.tar.gz в папку /data/:

mv /home/admin/kata-cn-upgrade-6.0.2-x86_64_en-ru.tar.gz /data/

• Проверим, что на нужном нам диске достаточно свободного места.

df -h | grep /dev/sda2

В выводе этой команды в 4 столбце (включая столбец с /dev/sda2) должно быть указано более 100Гб.

• Распакуем архив

tar xvf /data/kata-cn-upgrade-6.0.2-x86_64_en-ru.tar.gz -C /data/

• Установим пакет с обновлением

cd /data/upgrade/chmod +x ./install_kata_upgrade.sh.
/install_kata_upgrade.sh

• Установим обновление:

kata-upgrade --data-dir /data/upgrade/ --password <пароль пользователя admin>.

Если пароль содержит служебные символы, то переменная password должна быть указана в следующем формате: --password '<пароль>'.

Обновление может занять продолжительное время (ориентировочно 60-90 минут в зависимости от инфраструктуры).

По окончании обновления вам будет показано предупреждение: «Please close all current user sessions to complete the upgrade process».

Выйдете из всех сессий, введя несколько раз exit (и в конце Logout) в псевдографическом интерфейсе.

При входе в веб интерфейс и просмотре сведений о приложении у вас должна быть указана обновленная версия 6.0.2.

2. Обновление сервера песочницы

В обновлении сервера песочницы есть особенности. По умолчанию на сервер запрещено загружать файлы в целях безопасности, поэтому нам необходимо в первую очередь открыть эту возможность.

1. Подсоединитесь к ssh консоли используя, например, программу Putty. Перейдите в режим Technical Support Mode;
2. Повысьте привилегии через sudo -i. Используйте пароль для admin;
3. Откройте на редактирование файл /etc/ssh/sshd_config и закомментируйте (поставьте в начало символ хэштега) строку: ForceCommand /usr/bin/apt-restricted-ssh. Перезапустите службу sshd.

vi /etc/ssh/sshd_config

systemctl restart sshd

4. Теперь вы можете скопировать пакет обновления kata-sb-upgrade-6.0.2-x86_64_en-ru.tar на сервер. Можете использовать программу WinSCP или аналогичную для этого. Загрузите файл в каталог /tmp/. Логин для доступа к ssh – admin, пароль – тот, что вы указывали при установке;
5. После копирования пакета верните файл /etc/ssh/sshd_config в исходное состояние и снова перезапустите службу sshd;
6. Распакуем архив:
tar xzvf /tmp/kata-sb-upgrade-6.0.2-x86_64_en-ru.tar.gz -C /tmp/
7. Установим пакет обновления:
cd /tmp/kata-sb-upgrade-6.0.2-x86_64_en-ruchmod +x ./patch.sh.
/patch.sh
8. Ждем завершения. Обновление сервера песочницы происходит относительно быстро (в течение пары минут). В конце обновления вы увидите слово «Done».

Проверим версию в веб интерфейсе сервера песочницы. Как и в случае с центральным узлом она должна стать 6.0.2.