Kaspersky Anti Targeted Attack Platform

Ограничения

Для Kaspersky Anti Targeted Attack Platform 7.0.3 известны следующие ограничения:

1. Не поддерживаются Sigma-правила, ориентированные на источники данных, отличные от System Monitor (Sysmon) и Журнала событий Windows.
2. Не поддерживаются корреляционные Sigma-правила.
3. В рамках интеграции с функциональным блоком NDR к одному компоненту Central Node можно подключить до 1000 компонентов Endpoint Agent. Если вы хотите подключить большее количество компонентов, обратитесь в Службу технической поддержки.
4. В файловом алерте, созданном по результатам проверки копии веб-трафика, не заполняется поле Имя пользователя, если пользователь аутентифицировался на прокси-сервере с базовой аутентификацией.
5. Не отображается информация о компоненте Endpoint Agent на виджете Обработано раздела Мониторинг.
6. После обновления Central Node, развернутого в виде кластера, в таблице алертов могут не отображаться новые алерты, созданные в результате проверки технологией IDS. Вы можете проверить наличие ограничения и при необходимости устранить его. См. подробнее раздел Обновление Kaspersky Anti Targeted Attack Platform с версии 7.0.1 до версии 7.0.3.
7. Обновление компонента Central Node с версии 6.1 завершается ошибкой, если на обновляемой версии компонента выключена обработка зеркалированного SPAN-трафика. Чтобы устранить ограничение, настоятельно рекомендуется выполнить шаг 1 инструкции Обновление Central Node, установленного в виде кластера и шаг 4 инструкции Обновление Central Node, установленного на сервере.
8. В редких случаях обновление с версии 7.0.1 на версию 7.0.3 Central Node, развернутого в виде кластера на базе операционной системы Astra Linux, может прерываться с ошибкой "Upgrade has failed on task UpdateSizing".

   Порядок действий при возникновении ошибки "Upgrade has failed on task UpdateSizing"

   Если процесс обновления Central Node, развернутого в виде кластера на базе операционной системы Astra Linux, с версии 7.0.1 до версии 7.0.3 прервался с ошибкой "Upgrade has failed on task UpdateSizing", выполните описанные ниже шаги.

   Все описанные ниже действия выполняются на серверах в режиме Technical Support Mode, после повышения привилегий пользователя с помощью команды sudo -i.

   Чтобы устранить ошибку "Upgrade has failed on task UpdateSizing":

   1. Зайдите на любой из серверов хранения кластера Central Node и убедитесь в работоспособности Ceph-хранилища. Для этого выполните команду:

      ceph -s | grep health:

      Ceph-хранилище работоспособно, если возвращено следующее значение:

      health: HEALTH_OK

      Если значение отличается от health: HEALTH_OK, обратитесь в Службу технической поддержки.

   2. Определите, каким из серверов кластера присвоена роль manager в Docker swarm. Для этого на любом из серверов кластера выполните команду:

      docker node ls

      Отобразится список серверов кластера. В списке серверов роль manager присвоена тем из них, у которых в столбце MANAGER STATUS указано Leader или Reachable.

   3. Зайдите на сервер с ролью manager в Docker swarm и перезагрузите сервис ZooKeeper следующей командой:

      docker service update kata_product_main_1_zookeeper --force

   4. Подождите 10 минут и проверьте состояние сервиса Kafka:
      1. Выполните команду:

         docker service ps kata_product_main_1_schema_registry

         По значению в столбце NODE определите, на каком сервере находится Schema Registry. 

      2. Зайдите на сервер с Schema Registry и выполните команду:

         docker exec -it $(docker ps | grep schema_registry | awk '{ print $1 }') curl http://127.0.0.1:8081/subjects

         Сервис Kafka работоспособен, если был возвращен JSON со списком subject. В этом случае перейдите к шагу 6.

   5. Если сервис Kafka неработоспособен, перезагрузите его с помощью следующей команды:

      docker service update kata_product_main_1_kafka --force

      После этого повторите действия, описанные в шаге 4. Если и после этого работоспособность сервиса Kafka восстановить не удастся, обратитесь в Службу технической поддержки.

   6. Продолжите обновление с помощью следующих команд:

      source /opt/upgrade_venv/bin/activate

      kata-upgrade params --data-dir /data/upgrade/ --user admin --password '<pass>' --ndr-language '<language>' --current-task-index 15

      В приведенной выше команде вместо  <language> укажите тот язык, который был выбран в начале обновления. Доступны значения: English, Russian.

9. После обновления с версии 6.1 на версию 7.0.3 Central Node, развернутого в виде кластера на базе операционной системы Astra Linux, может не работать поиск телеметрии в разделе Поиск угроз.

   Порядок действий при возникновении ошибки "Internal error" во время поиска данных о событиях

   Если после обновления Central Node, развернутого в виде кластера на базе операционной системы Astra Linux, с версии 6.1 на версию 7.0.3, не работает поиск данных о событиях (телеметрия) в разделе Поиск угроз, выполните описанные ниже шаги.

   Все описанные ниже действия выполняются на серверах в режиме Technical Support Mode, после повышения привилегий пользователя с помощью команды sudo -i.

   Чтобы устранить ошибку поиска данных о событиях:

   1. Определите, каким из серверов кластера присвоена роль manager в Docker swarm. Для этого на любом из серверов кластера выполните команду:

      docker node ls

      Отобразится список серверов кластера. В списке серверов роль manager присвоена тем из них, у которых в столбце MANAGER STATUS указано Leader или Reachable.

   2. Зайдите на сервер с ролью manager в Docker swarm и выполните команду:

      docker service ps kata_product_main_1_elasticsearch_data

      По значению в столбце NODE определите, на каких серверах кластера запущен процесс elasticsearch_data.

   3. На каждом из серверов кластера, где запущен процесс elasticsearch_data, выполните следующие действия:
      1. Получите ID контейнера, в котором запущен процесс elasticsearch_data, с помощью следующей команды:

         docker ps | grep elasticsearch_data | awk '{ print $1 }')

      2. Проверьте лог контейнера с помощью команды:

         docker logs <ID контейнера> | grep "this node is unhealthy: health check failed due to broken node lock"

      3. Если в логах сервера обнаруживается строка "this node is unhealthy: health check failed due to broken node lock", завершите процесс, выполнив команду:

         docker kill <ID контейнера>

   4. В веб-интерфейсе приложения перейдите в раздел Поиск угроз и выполните произвольный поиск по данным о событиях. Если ошибка "Internal error" снова воспроизводится, обратитесь в Службу технической поддержки.

10. При установке компонента Central Node версии 7.0.3 на сервере Kaspersky Anti Targeted Attack Platform может не принимать на обработку сообщения электронной почты, поступившие по протоколу SMTP. Для отправляющей стороны при этом может отображаться ошибка "Connection refused". Вы можете устранить ограничение. См. подробнее раздел Настройка интеграции с почтовым сервером по протоколу SMTP.

Для Kaspersky Anti Targeted Attack Platform 7.0 известны следующие ограничения:

1. Не поддерживаются Sigma-правила, ориентированные на источники данных, отличные от System Monitor (Sysmon) и Журнала событий Windows.
2. Не поддерживаются корреляционные Sigma-правила.
3. В рамках интеграции с функциональным блоком NDR к одному компоненту Central Node можно подключить до 1000 компонентов Endpoint Agent. Если вы хотите подключить большее количество компонентов, обратитесь в Службу технической поддержки.
4. Возможна ошибка выгрузки зеркалированного трафика, если пользователь не дождался окончания уже запущенного процесса выгрузки.
5. При поиске по сетевым пакетам за последний час отображается не более 200 записей, даже если в системе есть большее количество записей, удовлетворяющих условиям поиска. Рекомендуется уточнить поисковый запрос для получения выборки с меньшим количеством сессий.

   Выгрузка дампов трафика работает без ограничений.

6. Для кластерной конфигурации при интеграции с почтовым сервером может возникать ошибка отправки сообщений электронной почты "451 4.3.0 Error: queue file write error". Для устранения ограничения см. подробнее раздел Настройка интеграции с почтовым сервером по протоколу SMTP.
7. После обновления компонента Central Node, который использовался в режиме распределенного решения или мультитенантности, до версии 7.0 может отсутствовать встроенный Sensor (Embedded Sensor). Для устранения ограничения см. подробнее раздел Обновление Central Node, установленного на сервере.
8. В файловом алерте, созданном по результатам проверки копии веб-трафика, не заполняется поле Имя пользователя, если пользователь аутентифицировался на прокси-сервере с базовой аутентификацией.
9. Не устанавливается соединение между компонентами Endpoint Agent и PCN, если для соединения в качестве прокси-сервера используется компонент Sensor, установленный на отдельном сервере.
10. Переключатель Игнорировать MAC-адреса для правил NIC не влияет на работу приложения.
11. Если на хосте с компонентом Endpoint Agent установлена операционная система Windows Server версии 2016 или ниже, компонент не передает данные о событии Внедрение кода. Чтобы компонент передавал данные об этом событии, на хосте должна быть установлена операционная система Windows Server 2019 и выше.

Ограничения, действующие при развертывании компонента Central Node в виде кластера:

1. Кластер Central Node должен включать минимум 4 сервера: 2 сервера хранения и 2 обрабатывающих сервера. Вы можете масштабировать кластер для увеличения количества обрабатываемого трафика или количества подключенных хостов в соответствии с Руководством по масштабированию.
2. Рекомендуется добавлять в кластер серверы с одинаковой аппаратной конфигурацией. В противном случае пропорциональное увеличение производительности не гарантируется.
3. Добавление в кластер дополнительного сервера не ускоряет обработку объектов, которые уже находятся в очереди на проверку.
4. Веб-интерфейс приложения может быть недоступен некоторое время при отказе сервера, на котором он расположен.
5. При отказе обрабатывающего сервера возможна потеря полученных по протоколам ICAP, POP3 и SMTP данных трафика и копий сообщений электронной почты, которые ждут обработки, и обнаружений, связанных с ними.
6. Если для обрабатывающего сервера настроено получение зеркалированного трафика со SPAN-портов, то при выходе из строя этого сервера SPAN-трафик не обрабатывается.
7. Возможна временная рассинхронизация данных в базе событий при отказе одного из серверов кластера или временной потере связи между сервером и компонентом Endpoint Agent.
8. При изменении конфигурации серверов кластера возможно временное замедление обработки трафика и событий с компьютеров, на которых установлен компонент Endpoint Agent.
9. При установке Kaspersky Anti Targeted Attack Platform в виде кластера или при обновлении кластерной конфигурации возможна ситуация, когда не запускается встроенный Sensor (Embedded Sensor).

   В этом случае рекомендуем сделать следующее:

   • Если Sensor не подключен, необходимо удалить его через веб-интерфейс, затем в режиме Technical Support Mode выполнить команду kata-sensor-tool fix-cluster-sensor.
   • Если Sensor не запущен, необходимо в режиме Technical Support Mode выполнить команду kata-sensor-tool fix-cluster-sensor.

   Через некоторое время Sensor должен появиться в веб-интерфейсе.

10. Возможны задержки при получении электронной почты по SMTP. Для решения проблемы рекомендуется следующее:
    1. Подключиться к Central Node или Sensor в режиме Technical Support Mode.
    2. Включить логирование уровня DEBUG для SMTP-интеграции следующей командой:

       console-settings-updater set --merge /kata/configuration/product/preprocessor_smtp '{"logging":{"level":{"root":"DEBUG"}}}'

    3. Подождать примерно 30 секунд, пока синхронизируются настройки.
    4. Вернуть уровень логирования ERROR для SMTP-интеграции следующей командой:

       console-settings-updater set --merge /kata/configuration/product/preprocessor_smtp '{"logging":{"level":{"root":"ERROR"}}}'

Ограничения, действующие при использовании приложения в режиме распределенного решения и мультитенантности:

1. На сервере PCN на вкладке Активы → Устройства отображаются только те хосты, которые подключены к этому серверу PCN.
2. Смена пароля для учетных записей доступна только на сервере PCN.

Ограничения, действующие для компонента Sensor:

1. Для захвата сетевого трафика на максимальной скорости 10 Гбит/с могут использоваться только компоненты Sensor, установленные на отдельных серверах.
2. При захвате FTP-трафика на максимальной скорости 10 Гбит/с возможен высокий уровень потерь.
3. При добавлении или удалении сетевых интерфейсов, которые отправляют SPAN-трафик в Kaspersky Anti Targeted Attack Platform, выгрузка дампов сырого сетевого трафика, возможно, будет произведена не с выбранного вами сетевого интерфейса.

Ограничения, действующие для компонента Sandbox:

1. Поддерживается установка пользовательских образов операционных систем следующих версий:
   • Windows 7.
   • Windows 8.1 64-разрядная.
   • Windows 10 64-разрядная (до версии 1909).
2. Для пользовательских образов операционных систем полностью поддерживаются только русская и английская локализации.
3. Лицензионные ключи для активации операционных систем и программного обеспечения не предоставляются.
4. Если в наборе операционных систем на сервере с компонентом Central Node выбраны операционные системы, не установленные на сервере с компонентом Sandbox, Kaspersky Anti Targeted Attack Platform не отправляет объекты на проверку компоненту Sandbox. При подключении к компоненту Central Node нескольких серверов с компонентом Sandbox приложение отправляет объекты на проверку тем серверам, на которых установлены операционные системы, соответствующие выбранному на Central Node набору.

Ограничения приложения, действующие при интеграции с Kaspersky Endpoint Agent для Windows и Kaspersky Endpoint Security для Windows:

1. Задачи получения дампа оперативной памяти и образа диска могут быть назначены только на компьютеры с приложениями Kaspersky Endpoint Agent для Windows версии 3.14 и выше и Kaspersky Endpoint Security для Windows версии 12.1 и выше.
2. Задачи получения дампа памяти процесса, метафайлов NTFS и ключа реестра могут быть назначены только на компьютеры с приложениями Kaspersky Endpoint Agent для Windows версии 3.14 и выше и Kaspersky Endpoint Security для Windows версии 12.1 и выше.
3. Задача проверки хостов с помощью правил YARA может быть назначена только на компьютеры с приложениями Kaspersky Endpoint Agent для Windows версии 3.14 и выше и Kaspersky Endpoint Security для Windows версии 12.1 и выше. При одновременном назначении задачи компьютеры с Kaspersky Endpoint Agent версии 3.14 и выше, а также на компьютеры с более ранними версиями этого приложения задача выполняется только на компьютерах с Kaspersky Endpoint Agent 3.14 и выше.
4. Если в качестве области проверки выбраны точки автозапуска, задача выполняется только на компьютерах с Kaspersky Endpoint Agent 3.14 и выше и Kaspersky Endpoint Security для Windows версии 12.1 и выше.
5. События Внедрение кода, Именованный канал, WMI, LDAP, DNS, Доступ к процессу доступны только при интеграции с Kaspersky Endpoint Security для Windows версии 12.7 и выше.

Ограничения, действующие при интеграции с приложением Kaspersky Endpoint Security для Linux:

1. Для компьютеров с приложениями Kaspersky Endpoint Security для Linux 11.4 недоступны следующие функции:
   • Сетевая изоляция хоста.
   • Создание правил запрета.

     Приложение не создает уведомления о неуспешном применении правила запрета на компьютерах с приложениями Kaspersky Endpoint Security для Linux 11.4.

   • Поиск индикаторов компрометации на компьютерах с помощью IOC-файлов.

     Приложение не создает уведомления о неуспешном поиске индикаторов компрометации на компьютерах с приложениями Kaspersky Endpoint Security для Linux 11.4.

2. Для компьютеров с приложениями Kaspersky Endpoint Security для Linux 12 недоступны следующие функции:
   • Создание правил запрета.

     Приложение не создает уведомления о неуспешном применении правила запрета на компьютерах с приложениями Kaspersky Endpoint Security для Linux 12.

3. Список событий, которые Kaspersky Endpoint Security для Linux 11.4 и 12 записывают в базу событий, ограничен следующими типами:
   • Изменен файл.
   • Запущен процесс.
   • Завершен процесс.
   • Журнал событий ОС.
   • Обнаружение.
   • Результат обработки обнаружения.
4. Список задач, которые вы можете создать на компьютерах с Kaspersky Endpoint Security для Linux 11.4 ограничен следующими типами:
   • Получить файл.

     Приложение не проверяет на корректность указанный при создании задачи путь к исполняемому файлу или файлу, который вы хотите получить.

   • Выполнить приложение.
5. Список задач, которые вы можете создать на компьютерах с Kaspersky Endpoint Security для Linux 12 ограничен следующими типами:
   • Получить файл.

     Приложение не проверяет на корректность указанный при создании задачи путь к исполняемому файлу или файлу, который вы хотите получить.

   • Выполнить приложение.
   • Удалить файл.
   • Завершить процесс.
6. Список задач, которые вы можете создать на компьютерах с Kaspersky Endpoint Security для Linux 12.2 ограничен следующими типами:
   • Получить файл.

     Приложение не проверяет на корректность указанный при создании задачи путь к исполняемому файлу или файлу, который вы хотите получить.

   • Выполнить приложение.
   • Удалить файл.
   • Завершить процесс.
   • Поместить файл на карантин.
7. В информации о событиях, записанных в базу событий Kaspersky Endpoint Security для Linux 11.4 и 12, в поле Время создания отображается время изменения файла.
8. События Удаленное соединение, Прослушан порт, Загружен модуль, DNS, Доступ к процессу доступны при интеграции с Kaspersky Endpoint Security для Linux 12.2 и выше.

Ограничения, действующие при интеграции с приложением Kaspersky Endpoint Security для Mac 12:

1. Для компьютеров с приложениями Kaspersky Endpoint Security для Mac 12 недоступны следующие функции:
   • Сетевая изоляция хоста.
   • Создание правил запрета.

     Приложение не создает уведомления о неуспешном применении правила запрета на компьютерах с приложениями Kaspersky Endpoint Security для Mac 12.

   • Поиск индикаторов компрометации на компьютерах с помощью IOC-файлов.

     Приложение не создает уведомления о неуспешном поиске индикаторов компрометации на компьютерах с приложениями Kaspersky Endpoint Security для Mac 12.

2. Список событий, которые Kaspersky Endpoint Security для Mac 12 записывают в базу событий, ограничен следующими типами:
   • Изменен файл.
   • Запущен процесс.
   • Завершен процесс.
   • Обнаружение.
   • Результат обработки обнаружения.
3. Список задач, которые вы можете создать на компьютерах с Kaspersky Endpoint Security для Mac 12 ограничен следующими типами:
   • Получить файл.

     Приложение не проверяет на корректность указанный при создании задачи путь к исполняемому файлу или файлу, который вы хотите получить.

   • Выполнить приложение.
4. В информации о событиях, записанных в базу событий Kaspersky Endpoint Security для Mac 12, в поле Время создания отображается время изменения файла.

Ограничения в Kaspersky Endpoint Agent 3.16 для Windows:

Вы можете посмотреть список ограничений в Kaspersky Endpoint Agent 3.16 для Windows в справке Kaspersky Endpoint Agent для Windows.

Ограничения в Kaspersky Endpoint Security 12.5 для Windows:

Вы можете посмотреть список ограничений в Kaspersky Endpoint Security 12.5 для Windows в справке Kaspersky Endpoint Security для Windows.

Ограничения в Kaspersky Endpoint Security 12 для Linux:

Вы можете посмотреть список ограничений в Kaspersky Endpoint Security 12 для Linux в документе Kaspersky Endpoint Security для Linux Release Notes.

Ограничения в Kaspersky Endpoint Security 12 для Mac:

Вы можете посмотреть список ограничений в Kaspersky Endpoint Security 12 для Mac в справке Kaspersky Endpoint Security для Mac.