<![CDATA[Советы и решения по Kaspersky Anti Targeted Attack & EDR Expert Latest Topics]]>https://forum.kaspersky.com/forum/%D1%81%D0%BE%D0%B2%D0%B5%D1%82%D1%8B-%D0%B8-%D1%80%D0%B5%D1%88%D0%B5%D0%BD%D0%B8%D1%8F-%D0%BF%D0%BE-kaspersky-anti-targeted-attack-edr-expert-226/enКак устранить ошибку подключения к KSN [KATA/KEDRE]https://forum.kaspersky.com/topic/%D0%BA%D0%B0%D0%BA-%D1%83%D1%81%D1%82%D1%80%D0%B0%D0%BD%D0%B8%D1%82%D1%8C-%D0%BE%D1%88%D0%B8%D0%B1%D0%BA%D1%83-%D0%BF%D0%BE%D0%B4%D0%BA%D0%BB%D1%8E%D1%87%D0%B5%D0%BD%D0%B8%D1%8F-%D0%BA-ksn-katakedre-37666/  

Дисклеймер. Обязательно к прочтению перед использованием материалов базы знаний Форума.

Проблема

В веб-интерфейсе KATA может появиться ошибка подключения к KSN.

Решение

Ошибку подключения к KSN можно исправить, если только нет других постоянных ошибок KSN. Это можно проверить на уровне DEBUG ksn_proxy.log. Ключевое слово — ErrCount. Если вы не видите Errcount: 0 в журнале, значит, у вас нет доступа к нашим серверам:

KATA 4.0/4.1

           Под root в центральном узле выполните:

apt-settings-manager set --merge /configuration/preprocessor '{"ksn": {"non_dl_formats": ["GeneralHtml", "GeneralTxt", "ExecutableJs", "ImageGif", "ImageJpeg", "ImagePng", "ArchiveCab"], "request_threads": 4, "timeout": "PT1.5S"}}'

            * PT1.5S означает 1,5 секунды, не нужно менять этот параметр

          Затем увеличьте значение "errors_increase_threshold": 100 (нужно проверить журнал отладки ksn_proxy, чтобы понять, сколько ошибок KSN-соединения у вас есть, и настроить этот параметр соответствующим образом)

apt-settings-manager set --merge /configuration/monitoring_prometheus '{"ksn_proxy": {"errors_increase_threshold": 100, "errors_window_period": "10m", "scraping_alert_for_interval": "1m", "scraping_evaluation_interval": "30s"}}'
         Можно сохранить это изменение следующим образом:

              vim /etc/opt/kaspersky/apt-swarm/swarm_config.json

 "ksn": {

                "non_dl_formats": [ Numbered list

                    "GeneralHtml",

                    "GeneralTxt",

                    "ExecutableJs",

                    "ImageGif",

                    "ImageJpeg",

                    "ImagePng",

                    "ArchiveCab"

                ],

                "request_threads": 4,

                "timeout": "PT0.5S"  <<<<< 1.5S

           Find

"ksn_proxy": {

                    "errors_increase_threshold": 2, <<<<< 100

                    "errors_window_period": "10m",

                    "scraping_alert_for_interval": "1m",

                    "scraping_evaluation_interval": "30s"

 

KATA 5.0/5.1

  • Под root в центральном узле выполните:

    console-settings-updater get /kata/configuration/product/monitoring_prometheus | python3 -m json.tool > /tmp/monitoring_prometheus
  • Внесите изменения в /tmp/monitoring_prometheus (с помощью vim или nano), найдя следующий блок

"ksn_proxy": {
            "errors_increase_threshold": 100, <<<<<< 100 вместо 2

  • Сохраните файл (ESC:wq!)
  • console-settings-updater set /kata/configuration/product/monitoring_prometheus @/tmp/monitoring_prometheus

Если значение 100 не помогает, вы можете увеличить его до 150-200.

]]>37666Sun, 03 Dec 2023 17:32:08 +0000Как узнать последнее время обновления баз сенсоров [KATA/KEDRE]https://forum.kaspersky.com/topic/%D0%BA%D0%B0%D0%BA-%D1%83%D0%B7%D0%BD%D0%B0%D1%82%D1%8C-%D0%BF%D0%BE%D1%81%D0%BB%D0%B5%D0%B4%D0%BD%D0%B5%D0%B5-%D0%B2%D1%80%D0%B5%D0%BC%D1%8F-%D0%BE%D0%B1%D0%BD%D0%BE%D0%B2%D0%BB%D0%B5%D0%BD%D0%B8%D1%8F-%D0%B1%D0%B0%D0%B7-%D1%81%D0%B5%D0%BD%D1%81%D0%BE%D1%80%D0%BE%D0%B2-katakedre-37663/ Дисклеймер. Обязательно к прочтению перед использованием материалов базы знаний Форума.

У сенсоров KATA есть файл aptsn.stt, который содержит время обновления.

echo "$(cd /; find / -name aptsn.stt 2>/dev/null | grep -v "bases_default" | while read line; do cat "$line"; done | sed 's/;//' | sort | uniq)"; echo "year-month-day-hour-minute"
]]>37663Sun, 03 Dec 2023 16:57:18 +0000Интеграция с MDR: ошибка "Content size exceeds limit 1048576" [KATA/KEDRE]https://forum.kaspersky.com/topic/%D0%B8%D0%BD%D1%82%D0%B5%D0%B3%D1%80%D0%B0%D1%86%D0%B8%D1%8F-%D1%81-mdr-%D0%BE%D1%88%D0%B8%D0%B1%D0%BA%D0%B0-content-size-exceeds-limit-1048576-katakedre-37661/ Дисклеймер. Обязательно к прочтению перед использованием материалов базы знаний Форума.

Проблема

Эта ошибка появляется, когда в KATA WebUI загружаются конфигурационные файлы MDR размером более 1 МБ.

https://support.kaspersky.com/KATA/3.7.2/ru-RU/201839.htm

image.png.248f79fb73bfacdad698696447ab4513.png

Решение

Увеличьте ограничение на размер файла zip-архива с 1 МБ до 2 МБ:

  1. Станьте root-пользователем:

    sudo su
  2. Откройте файл:  /opt/kaspersky/apt-request-utils/lib/request_utils/zip_checker.py

  3. Найдите следующую строку:

    def verify_zip(file_to_check, files=(), max_size=(1024 * 1024))

  4. Измените значение max_size на (1024 * 2048)

    def verify_zip(file_to_check, files=(), max_size=(1024 * 2048))
  5. Сохраните изменения.

  6. Перезапустите uwsgi:

    systemctl restart uwsgi
  7. Очистите кэш браузера, перезагрузите страницу и проверьте, устранена ли проблема.
]]>37661Sun, 03 Dec 2023 16:52:40 +0000Настройка интеграции KATA и KWTS [KATA/KEDRE]https://forum.kaspersky.com/topic/%D0%BD%D0%B0%D1%81%D1%82%D1%80%D0%BE%D0%B9%D0%BA%D0%B0-%D0%B8%D0%BD%D1%82%D0%B5%D0%B3%D1%80%D0%B0%D1%86%D0%B8%D0%B8-kata-%D0%B8-kwts-katakedre-37660/ Дисклеймер. Обязательно к прочтению перед использованием материалов базы знаний Форума.

https://support.kaspersky.com/KWTS/6.1/ru-RU/187067.htm

Вскоре после настройки вы можете заметить, что на стороне KWTS появилась ошибка отправки объектов в KATA, а дашборды выглядят так:

image.thumb.png.007698556490eaca375d1d6efa1a3475.pngimage.thumb.png.a880deede7fb4e92aaefddb8643bfbe6.png

 

Решение

Необходимым условием для успешной интеграции с KWTS является версия KATA 3.6.1.752 или выше.

KATA

Чтобы очистить задачи, застрявшие в состоянии обработки, выполните следующие действия:

1) Найдите KWTS ID:

sudo -u kluser psql antiapt -c "select id, sensor_type, sensor_name, ip from lms.client;"

На KATA4:

docker exec -it `docker ps | grep kedr_database| awk '{print $1}'` psql -U kluser antiapt -c "select id, sensor_type, sensor_name, ip from lms.client;"

Имя и IP KWTS будут такими же, как в разделе Внешние системы в веб-интерфейсе администратора.

Затем очистите задачи, которые могут застрять в "состоянии обработки":

sudo -u kluser psql antiapt -c "update lms.task set state = 'error', has_error = True where client_id = <KWTS ID> and state = 'processing' and update_time < now() - interval '1 hour';"

На KATA4:

docker exec -it `docker ps | grep kedr_database| awk '{print $1}'` psql -U kluser antiapt -c "update lms.task set state = 'error', has_error = True where client_id = <KWTS ID> and state = 'processing' and update_time < now() - interval '1 hour';"

Эта команда безопасна для выполнения, она не причинит вреда, даже если нет никаких застрявших задач.

Чтобы просмотреть все активные задачи из KSMG/KLMS/KWTS/других внешних систем, не изменяя их состояния, выполните команду:

docker exec -it `docker ps | grep kedr_database| awk '{print $1}'` psql -U kluser antiapt -c "select count(*) from lms.task where client_id=<KSMG ID>;"

Две приведенные выше команды можно использовать для удаления застрявших в обработке задач и из других типов внешних систем.

KWTS

На стороне KWTS важно исключить определенные типы объектов из проверки в KATA:

В файле /var/opt/kaspersky/kwts/kata-filters.json удалите строки, содержащие ключевые слова:

ArchiveGzip
 
ArchiveCab
 
ExecutableJs

После внесения изменений перезапустите службу KWTS:

systemctl restarts kwts

После этих изменений интеграция KWTS и KATA будут работать нормально.

]]>37660Sun, 03 Dec 2023 16:31:49 +0000Как принудительно запустить проверку KATA Sandbox [KATA/KEDRE]https://forum.kaspersky.com/topic/%D0%BA%D0%B0%D0%BA-%D0%BF%D1%80%D0%B8%D0%BD%D1%83%D0%B4%D0%B8%D1%82%D0%B5%D0%BB%D1%8C%D0%BD%D0%BE-%D0%B7%D0%B0%D0%BF%D1%83%D1%81%D1%82%D0%B8%D1%82%D1%8C-%D0%BF%D1%80%D0%BE%D0%B2%D0%B5%D1%80%D0%BA%D1%83-kata-sandbox-katakedre-36979/ Дисклеймер. Обязательно к прочтению перед использованием материалов базы знаний Форума.

KATA 3.7.2

Вы можете принудительно запустить проверку Sandbox.

Пошаговая инструкция

  1. Подключитесь к серверу Sandbox по ssh.

  2. Чтобы запустить checker, сначала нужно удалить файлы в /var/tmp/sbtest:

    rm /var/tmp/sbtest

  3. Запустите checker:

    /bin/su -c 'exec /opt/kaspersky/sandbox/libexec/utilities/checker.py -l /var/log/kaspersky/sandbox/checker/checker.log' -s /bin/sh kluser

  4. Затем на Центральном узле запустите скрипт update_sandbox_status.py:

    sudo -u kluser flock -w 1 /tmp/health_status_sandbox.lock python -B /opt/kaspersky/apt-base/libexec/health_status/update_sandbox_status.py

     

Для KATA 4+ / 5+

На Центральном узле с правами root выполните:

docker exec $(docker ps -q --filter name=kata_scanner) supervisorctl start update_sandbox_status

После выполнения команды через 10-15 минут файл из папки /var/tmp/sbtest можно отправить в Службу клиентской поддержки Лаборатории Касперского (если требуется).

]]>36979Tue, 31 Oct 2023 16:38:08 +0000Модули YARA доступные на Центральном узле KATA [KATA/KEDRE][KATA/KEDRE]https://forum.kaspersky.com/topic/%D0%BC%D0%BE%D0%B4%D1%83%D0%BB%D0%B8-yara-%D0%B4%D0%BE%D1%81%D1%82%D1%83%D0%BF%D0%BD%D1%8B%D0%B5-%D0%BD%D0%B0-%D1%86%D0%B5%D0%BD%D1%82%D1%80%D0%B0%D0%BB%D1%8C%D0%BD%D0%BE%D0%BC-%D1%83%D0%B7%D0%BB%D0%B5-kata-katakedrekatakedre-36978/ Дисклеймер. Обязательно к прочтению перед использованием материалов базы знаний Форума.

Если вы пишете собственные правила YARA на Центральном узле, то вам могут понадобиться доступные модули YARA и версия.

Версия 3.7-3.11 в КАТА 3.7.x

Версия 4.10 в КАТА 4.1 и КАТА 5.0

Список модулей:

  • tests
  • pe
  • elf
  • math
  • time
  • pe_utils
  • magic
  • hash
  • dotnet
  • dex

Более подробную информацию о модулях можно найти в документации YARA.

]]>36978Tue, 31 Oct 2023 16:13:28 +0000Обнаружена уязвимость CVE-2016-2183 в Центральном узле версии 4.0 [KATA/KEDRE]https://forum.kaspersky.com/topic/%D0%BE%D0%B1%D0%BD%D0%B0%D1%80%D1%83%D0%B6%D0%B5%D0%BD%D0%B0-%D1%83%D1%8F%D0%B7%D0%B2%D0%B8%D0%BC%D0%BE%D1%81%D1%82%D1%8C-cve-2016-2183-%D0%B2-%D1%86%D0%B5%D0%BD%D1%82%D1%80%D0%B0%D0%BB%D1%8C%D0%BD%D0%BE%D0%BC-%D1%83%D0%B7%D0%BB%D0%B5-%D0%B2%D0%B5%D1%80%D1%81%D0%B8%D0%B8-40-katakedre-36977/ Дисклеймер. Обязательно к прочтению перед использованием материалов базы знаний Форума.

Предупреждения об уязвимости CVE-2016-2183 можно получить при сканировании Центрального узла v4.0 со следующими небезопасными наборами шифров:

TLS 1.2: * TLS_RSA_WITH_3DES_EDE_CBC_SHA

Здесь приведены более подробные сведения о CVE-2016-2183.

Решение проблемы

1) docker load < /path/to/container/nginx_gateway-4.0-pf1

2) Измените версию контейнера /etc/opt/kaspersky/apt-swarm/image_versions.json
    "nginx_gateway": "registry.kata.avp.ru:5000/kaspersky/kata/web/nginx_gateway:aa48c91",

3) Загрузите новый контейнер:
docker service update kataedr_main_1_nginx_gateway --image "registry.kata.avp.ru:5000/kaspersky/kata/web/nginx_gateway:aa48c91"

]]>36977Tue, 31 Oct 2023 16:04:37 +0000Как следить за состоянием KATA [KATA/KEDRE]https://forum.kaspersky.com/topic/%D0%BA%D0%B0%D0%BA-%D1%81%D0%BB%D0%B5%D0%B4%D0%B8%D1%82%D1%8C-%D0%B7%D0%B0-%D1%81%D0%BE%D1%81%D1%82%D0%BE%D1%8F%D0%BD%D0%B8%D0%B5%D0%BC-kata-katakedre-36976/ Дисклеймер. Обязательно к прочтению перед использованием материалов базы знаний Форума.

Как отслеживать состояние KATA, например, использование процессора, жесткого диска, памяти, состояние служб и т.д.?

Локальный мониторинг работы продукта и состояния компонентов можно осуществлять на панели управления KATA. Показатели процессора, памяти и т.п. можно посмотреть с помощью встроенных средств Linux.

Доступны следующие варианты удаленного мониторинга:

  1. Использование SNMP
  2. Интеграция с SIEM
  3. Отправка уведомлений о состоянии системы.
  4. Для компонента Sandbox доступна только опция SSL-зондирования:
    1. echo "Q" | openssl s_client  -connect sandbox:443 
]]>36976Tue, 31 Oct 2023 15:56:10 +0000Дисклеймер. Обязательно к прочтению перед использованием материалов базы знаний форума.https://forum.kaspersky.com/topic/%D0%B4%D0%B8%D1%81%D0%BA%D0%BB%D0%B5%D0%B9%D0%BC%D0%B5%D1%80-%D0%BE%D0%B1%D1%8F%D0%B7%D0%B0%D1%82%D0%B5%D0%BB%D1%8C%D0%BD%D0%BE-%D0%BA-%D0%BF%D1%80%D0%BE%D1%87%D1%82%D0%B5%D0%BD%D0%B8%D1%8E-%D0%BF%D0%B5%D1%80%D0%B5%D0%B4-%D0%B8%D1%81%D0%BF%D0%BE%D0%BB%D1%8C%D0%B7%D0%BE%D0%B2%D0%B0%D0%BD%D0%B8%D0%B5%D0%BC-%D0%BC%D0%B0%D1%82%D0%B5%D1%80%D0%B8%D0%B0%D0%BB%D0%BE%D0%B2-%D0%B1%D0%B0%D0%B7%D1%8B-%D0%B7%D0%BD%D0%B0%D0%BD%D0%B8%D0%B9-%D1%84%D0%BE%D1%80%D1%83%D0%BC%D0%B0-36974/ Материалы, представленные в разделе Форума "Советы и решения" (База знаний Форума), являются результатом работы сотрудников Службы поддержки клиентов Лаборатории Касперского и участников сообщества Форума. Они размещены здесь для удобства использования, развертывания и настройки продуктов Касперского.

Пожалуйста, помните, что использование команд или рекомендаций из статей без четкого понимания их назначения может привести к ошибкам или сбоям в работе системы. Обращаем ваше внимание на то, что некоторые из представленных материалов не являются официальными, поэтому в ряде случаев техническая поддержка может отказать в поддержке конкретной неподдерживаемой конфигурации.

Также просим обязательно использовать официальную документацию, представленную по этой ссылке.

]]>36974Tue, 31 Oct 2023 15:42:34 +0000