局限性
Kaspersky Anti Targeted Attack Platform 7.0.3 具有以下已知限制:
- 不支持依赖系统监控 (Sysmon) 和 Windows 事件日志以外的数据源的 Sigma 规则。
- 不支持相关 Sigma 规则。
- 作为与 NDR 功能块集成的一部分,最多 1000 个 Endpoint Agent 组件可以连接到单个 Central Node 组件。
- 在根据扫描 Web 流量副本的结果创建的文件警报中,如果用户在具有基本身份验证的代理服务器上进行身份验证,“用户名称”字段为空。
- 有关 Endpoint Agent 组件的信息未显示在“已处理”小部件的“控制板”上。
- 升级作为集群部署的 Central Node 后,警报表可能不会显示由 IDS 技术生成的新警报。您可以检查该限制是否适用于您,并在必要时采取措施修复它。关于详细信息,请参见“将 Kaspersky Anti Targeted Attack Platform 从 7.0.1 版更新至 7.0.3 版”部分
- 如果正在升级的组件版本中禁用镜像 SPAN 镜像流量的处理,则从版本 6.1 升级Central Node组件将会失败。为了解决此限制,我们强烈建议按照“更新作为集群安装的 Central Node”的步骤 1 和“升级安装在服务器上的 Central Node”说明中的步骤 4 进行操作。
- 在极少数情况下,基于Astra Linux操作系统作为集群部署的Central Node从 7.0.1 版本升级到 7.0.3 版本可能会失败,并出现错误“升级任务 UpdateSizing 失败”。
解决“任务 UpdateSizing 升级失败”错误
如果在将基于 Astra Linux 部署为集群的 Central Node 从版本 7.0.1 升级到版本 7.0.3 时收到“任务 UpdateSizing 升级失败”信息,请按照以下步骤操作。
下面描述的所有步骤都必须在使用 sudo -i 命令提升用户权限后在技术支持模式
下的服务器上执行。
要解决“任务 UpdateSizing 升级失败”错误,请执行以下操作:
- 登录到 Central Node 集群中的任何一台存储服务器,并检查 Ceph 存储是否正常工作。为此,请执行以下命令:
ceph -s | grep health:
如果返回以下值,则表示 Ceph 存储健康:
health: HEALTH_OK
如果该值与“health: HEALTH_OK
”不同,请联系技术支持。
- 找出集群中哪些服务器在 Docker Swarm 中具有“管理员”角色。为此,请在任意集群服务器上运行以下命令:
docker node ls
显示集群服务器的列表。查看列表中的 MANAGER STATUS
列:如果服务器在该列中有 Leader
或 Reachable
,则表示它具有“管理者”角色。
- 以 Docker Swarm 中的“管理员”角色登录服务器,并使用以下命令重新启动 ZooKeeper 服务:
docker service update kata_product_main_1_zookeeper --force
- 等待 10 分钟,检查 Kafka 服务的状态:
- 运行以下命令:
docker service ps kata_product_main_1_schema_registry
查看“NODE
”列中的值以确定哪个服务器具有 Schema Registry。
- 登录到具有 Schema Registry 的服务器并运行以下命令:
docker exec -it $(docker ps | grep schema_registry | awk '{ print $1 }') curl http://127.0.0.1:8081/subjects
如果您获得包含主题列表的 JSON,则表示 Kafka 服务正在运行。在这种情况下,请转到步骤 6。
- 如果 Kafka 服务不工作,请使用以下命令重新启动它:
docker service update kata_product_main_1_kafka --force
此后,再次执行步骤 4。如果此后 Kafka 服务仍然无法正常工作,请联系技术支持。
- 使用以下命令继续升级:
source /opt/upgrade_venv/bin/activate
kata-upgrade params --data-dir /data/upgrade/ --user admin --password '<pass>' --ndr-language '<language>' --current-task-index 15
在上面的命令中,将<语言>
替换成升级过程开始时选择的语言。可能的值:English
、Russian
。
- 将基于 Astra Linux 操作系统作为集群部署的 Central Node 从 6.1 版升级到 7.0.3 版后,“威胁搜索”部分中的遥测搜索可能无法正常工作。
解决搜索事件数据时发生的“内部错误”
如果在将基于 Astra Linux 部署为集群的 Central Node 从版本 6.1 升级到版本 7.0.3 后,“威胁搜索”部分中的搜索事件数据(遥测)不起作用,请按照以下步骤操作。
下面描述的所有步骤都必须在使用 sudo -i 命令提升用户权限后在技术支持模式
下的服务器上执行。
要解决事件数据搜索错误:
- 找出集群中哪些服务器在 Docker Swarm 中具有“管理员”角色。为此,请在任意集群服务器上运行以下命令:
docker node ls
显示集群服务器的列表。查看列表中的 MANAGER STATUS
列:如果服务器在该列中有 Leader
或 Reachable
,则表示它具有“管理者”角色。
- 以 Docker Swarm 中的“管理员”角色登录服务器并运行以下命令:
docker service ps kata_product_main_1_elasticsearch_data
查看 NODE
列中的值以确定集群中的哪些服务器正在运行 elasticsearch_data 进程。
- 在集群中运行 elasticsearch_data 进程的每台服务器上:
- 使用以下命令获取正在运行 elasticsearch_data 进程的容器的 ID:
docker ps | grep elasticsearch_data | awk '{ print $1 }')
- 使用以下命令检查容器日志:
docker logs<container ID> | grep "此节点不健康:由于节点锁损坏导致健康检查失败"
- 如果在服务器日志中发现
“此节点不健康:由于节点锁损坏导致健康检查失败”
字符串,请运行以下命令终止该进程:docker kill <容器 ID>
- 在应用程序 Web 界面中,转到“威胁搜索”部分并在事件数据中执行自定义搜索。如果再次收到“内部错误”错误,请联系技术支持。
- 在服务器上安装 7.0.3 版本的 Central Node 组件时,Kaspersky Anti Targeted Attack Platform 可能会拒绝通过 SMTP 接收的电子邮件。发送者可能会收到“连接被拒绝”错误。您可以去除这个限制。有关详细信息,请参阅通过 SMTP 配置与邮件服务器的集成部分。
- Sensor 组件只能连接到 Central Node 集群中的一个处理服务器。必须配置此服务器以从 SPAN 端口接收镜像流量。
您可以在安装组件时启用镜像流量的接收。如果您在安装阶段禁用了流量接收:
- 通过 SSH 或使用终端进入服务器的任何处理服务器的管理控制台。
- 运行以下命令:
kata-enable-span
将启用从 SPAN 端口接收镜像流量。
- Kaspersky Anti Targeted Attack Platform 可正确处理通过虚拟接口接收的 ERSPAN 流量,速率高达 2 Gbps。ERSPAN 流量速率较高会导致数据丢失。
Kaspersky Anti Targeted Attack Platform 7.0 具有以下已知限制:
- 不支持依赖系统监控 (Sysmon) 和 Windows 事件日志以外的数据源的 Sigma 规则。
- 不支持相关 Sigma 规则。
- 作为与 NDR 功能块集成的一部分,最多 1000 个 Endpoint Agent 组件可以连接到单个 Central Node 组件。如果您想连接更多组件,请联系技术支持。
- 如果用户没有等待已经开始的下载过程结束,则下载镜像流量时可能会出现错误。
- 在搜索最近一小时的网络数据包时,即使系统有更多匹配的记录,也不会显示超过 200 条记录。我们建议优化搜索查询以获得具有更少会话的选择。
限制不适用于流量转储下载。
- 对于与邮件服务器集成的集群配置,发送电子邮件消息时可能会出现错误:“451 4.3.0 错误:队列文件写入错误”。有关如何消除限制的信息,请参阅“通过 SMTP 配置与邮件服务器的集成”部分。
- Sensor 组件只能连接到 Central Node 集群中的一个处理服务器。必须配置此服务器以从 SPAN 端口接收镜像流量。
您可以在安装组件时启用镜像流量的接收。如果您在安装阶段禁用了流量接收:
- 通过 SSH 或使用终端进入服务器的任何处理服务器的管理控制台。
- 运行以下命令:
kata-enable-span
将启用从 SPAN 端口接收镜像流量。
- 升级到 7.0 版本后,分布式解决方案或多租户模式中使用的 Central Node 组件可能会丢失嵌入式 Sensor。有关如何消除限制的信息,请参阅“升级安装在服务器上的 Central Node”部分。
- 在根据扫描 Web 流量副本的结果创建的文件警报中,如果用户在具有基本身份验证的代理服务器上进行身份验证,“用户名称”字段为空。
- 如果将安装在独立服务器上的 Sensor 组件用作代理服务器,则 Endpoint Agent 组件和 PCN 之间不会建立连接。
- 忽略 NIC 规则的 MAC 地址切换开关对应用程序没有影响。
- 如果 Endpoint Agent 主机运行的是 Windows Server 2016 或更早版本,则 Endpoint Agent 不会发送有关代码注入事件的信息。仅当主机运行 Windows Server 2019 或更高版本时,该组件才会发送有关此事件的信息。
- Kaspersky Anti Targeted Attack Platform 可正确处理通过虚拟接口接收的 ERSPAN 流量,速率高达 2 Gbps。ERSPAN 流量速率较高会导致数据丢失。
将 Central Node 组件部署为集群时适用的限制:
- Central Node 集群必须至少包含 4 台服务器:2 台存储服务器和 2 台处理服务器。您可以根据规模调整指南扩展集群以增加被处理的流量或连接的主机数量。
- 建议将硬件配置相同的服务器添加到集群中。否则,无法保证性能按比例提高。
- 向集群添加额外服务器不会加快处理扫描队列中已有的对象。
- 如果托管应用程序的服务器出现故障,应用程序的 Web 界面可能会暂时不可用。
- 如果处理服务器发生故障,您可能会丢失 ICAP、POP3 和 SMTP 流量数据以及等待处理的电子邮件副本以及与其关联的检测。
- 如果处理服务器被配置为从 SPAN 端口接收镜像流量,则如果该服务器发生故障的话不会处理 SPAN 流量。
- 如果其中一台集群服务器发生故障或该服务器与 Endpoint Agent 组件之间的连接暂时丢失,事件数据库中的数据可能会暂时无法同步。
- 如果集群服务器的配置被更改,来自具有 Endpoint Agent 组件的计算机的流量和事件的处理可能会暂时减慢。
- 将 Kaspersky Anti Targeted Attack Platform 安装为集群或更新集群配置时,嵌入式 Sensor 可能无法启动。
在这种情况下,我们建议执行以下操作:
- 如果 Sensor 未连接,请使用 Web 界面将其移除,然后在技术支持模式下运行
kata-sensor-tool fix-cluster-sensor
命令。 - 如果 Sensor 未运行,请在技术支持模式下运行
kata-sensor-tool fix-cluster-sensor
命令。
过一段时间后,Sensor 应该会出现在 Web 界面中。
- 通过 SMTP 接收电子邮件可能会出现延迟。为了解决这个问题,我们建议采取以下步骤:
- 以技术支持模式连接到 Central Node 或 Sensor。
- 使用以下命令为 SMTP 集成启用
DEBUG
日志记录级别:console-settings-updater set --merge /kata/configuration/product/preprocessor_smtp '{"logging":{"level":{"root":"DEBUG"}}}'
- 等待大约 30 秒以使设置同步。
- 使用以下命令返回 SMTP 集成的
ERROR
日志记录级别:console-settings-updater set --merge /kata/configuration/product/preprocessor_smtp '{"logging":{"level":{"root":"ERROR"}}}'
在分布式解决方案和多租户模式下使用该应用程序时适用的限制:
- 在 PCN 服务器上,“资产” → “设备”选项卡仅显示连接到该 PCN 服务器的主机。
- 只能在 PCN 服务器上更改用户账户密码。
适用于 Sensor 组件的限制:
- 只有安装在独立服务器上的 Sensor 组件才能被用来以最大 10 Gbps 的速度捕获网络流量。
- 以 10 Gbps 的最大速度捕获 FTP 流量可能会导致严重丢失。
- 如果您添加或删除向 Kaspersky Anti Targeted Attack Platform 发送 SPAN 流量的网络接口,则可能会从与您选择的网络接口不同的网络接口下载原始网络流量转储。
适用于 Sandbox 组件的限制:
- 自定义镜像支持以下操作系统版本:
- Windows 7
- Windows 8.1 64 位
- Windows 10 64 位(最高版本 1909)
- 自定义操作系统镜像仅完全支持英语和俄语本地化。
- 不提供用于激活操作系统和软件的授权许可密钥。
- 如果 Sandbox 服务器上未安装 Central Node 服务器上操作系统集合中选择的某些操作系统,Kaspersky Anti Targeted Attack Platform 不会将对象发送到 Sandbox 组件进行扫描。如果具有 Sandbox 组件的多个服务器连接到具有 Central Node 组件的服务器,则应用程序会将对象发送到其安装的操作系统与 Central Node 上所选集匹配的服务器。
与 Kaspersky Endpoint Agent for Windows 和 Kaspersky Endpoint Security for Windows 集成时适用的限制:
- 获取RAM 转储和磁盘镜像的任务只能分配给安装有 Kaspersky Endpoint Agent 3.14 或更高版本(适用于 Windows)和 Kaspersky Endpoint Security 12.1 或更高版本(适用于 Windows)的计算机。
- 获取进程内存转储、NTFS 元文件和注册表项的任务只能分配给安装有 Kaspersky Endpoint Agent 3.14 或更高版本(适用于 Windows)或 Kaspersky Endpoint Security 12.1 或更高版本(适用于 Windows)的计算机。
- 使用 YARA 规则扫描主机的任务只能分配给安装有 Kaspersky Endpoint Agent 3.14 或更高版本(适用于 Windows)和 Kaspersky Endpoint Security 12.1 或更高版本(适用于 Windows)的计算机。如果您同时将任务分配给安装有 Kaspersky Endpoint Agent 3.14 或更高版本的计算机以及安装有该应用程序早期版本的计算机,则该任务仅在安装有 Kaspersky Endpoint Agent 3.14 或更高版本的计算机上运行。
- 如果选择自动运行点作为扫描范围,则任务仅在安装有 Kaspersky Endpoint Agent 3.14 或更高版本以及 Kaspersky Endpoint Security 12.1 或更高版本(适用于 Windows)的计算机上运行。
- 代码注入、命名管道、WMI、LDAP、DNS、进程访问事件仅在与 Kaspersky Endpoint Security for Windows 12.7 或更高版本集成时才可用。
与 Kaspersky Endpoint Security for Linux 集成时适用的限制:
- 以下功能不适用于运行 Kaspersky Endpoint Security for Linux 11.4 的计算机:
- 以下功能不适用于运行 Kaspersky Endpoint Security for Linux 12 的计算机:
- Kaspersky Endpoint Security 11.4 或 12 for Linux 在事件数据库中记录的事件列表仅限于以下类型:
- 您可以在运行 Kaspersky Endpoint Security 11.4 for Linux 的计算机上创建的任务列表限于以下类型:
- 您可以在运行 Kaspersky Endpoint Security 12 for Linux 的计算机上创建的任务列表限于以下类型:
- 您可以在运行 Kaspersky Endpoint Security 12.2 for Linux 的计算机上创建的任务列表限于以下类型:
- 在有关 Kaspersky Endpoint Security 11.4 或 12 for Linux 在事件数据库中注册的事件的信息中,“创建时间”字段会显示文件修改时间。
- 当与 Kaspersky Endpoint Security 12.2 for Linux 或更高版本集成时,到远程主机的连接、监听的端口、模块已加载、DNS、进程访问事件可用。
与 Kaspersky Endpoint Security 12 for Mac 集成时适用的限制:
- 以下功能不适用于运行 Kaspersky Endpoint Security 12 for Mac 的计算机:
- Kaspersky Endpoint Security 12 for Mac 在事件数据库中记录的事件列表限于以下类型:
- 您可以在运行 Kaspersky Endpoint Security 12 for Mac 的计算机上创建的任务列表限于以下类型:
- 在有关 Kaspersky Endpoint Security 12 for Mac 在事件数据库中注册的事件的信息中,创建时间字段会显示文件修改时间。
Kaspersky Endpoint Agent 3.16 for Windows 的限制:
您可以在 Kaspersky Endpoint Agent for Windows 在线帮助中查看 Kaspersky Endpoint Agent 3.16 for Windows 的限制列表。
Kaspersky Endpoint Security 12.5 for Windows 的限制:
您可以在 Kaspersky Endpoint Agent for Windows 在线帮助中查看 Kaspersky Endpoint Agent 12.5 for Windows 的限制列表。
Kaspersky Endpoint Security 12 for Linux 的限制:
您可以在 Kaspersky Endpoint Security for Linux 发行备注中查看 Kaspersky Endpoint Security 12 for Linux 中的限制列表。
Kaspersky Endpoint Security 12 for Mac 的限制:
您可以在 Kaspersky Endpoint Agent for Windows 在线帮助中查看 Kaspersky Endpoint Agent 12 for Mac 的限制列表。
页面顶部