局限性

Kaspersky Anti Targeted Attack Platform 7.0.3 具有以下已知限制:

  1. 不支持依赖系统监控 (Sysmon) 和 Windows 事件日志以外的数据源的 Sigma 规则。
  2. 不支持相关 Sigma 规则。
  3. 作为与 NDR 功能块集成的一部分,最多 1000 个 Endpoint Agent 组件可以连接到单个 Central Node 组件。
  4. 在根据扫描 Web 流量副本的结果创建的文件警报中,如果用户在具有基本身份验证的代理服务器上进行身份验证,“用户名称”字段为空。
  5. 有关 Endpoint Agent 组件的信息未显示在“已处理小部件的“控制板”上。
  6. 升级作为集群部署的 Central Node 后,警报表可能不会显示由 IDS 技术生成的新警报。您可以检查该限制是否适用于您,并在必要时采取措施修复它。关于详细信息,请参见“将 Kaspersky Anti Targeted Attack Platform 从 7.0.1 版更新至 7.0.3 版”部分
  7. 如果正在升级的组件版本中禁用镜像 SPAN 镜像流量的处理,则从版本 6.1 升级Central Node组件将会失败。为了解决此限制,我们强烈建议按照“更新作为集群安装的 Central Node”的步骤 1 和“升级安装在服务器上的 Central Node”说明中的步骤 4 进行操作。
  8. 在极少数情况下,基于Astra Linux操作系统作为集群部署的Central Node从 7.0.1 版本升级到 7.0.3 版本可能会失败,并出现错误“升级任务 UpdateSizing 失败”。

    解决“任务 UpdateSizing 升级失败”错误

  9. 将基于 Astra Linux 操作系统作为集群部署的 Central Node 从 6.1 版升级到 7.0.3 版后,“威胁搜索”部分中的遥测搜索可能无法正常工作。

    解决搜索事件数据时发生的“内部错误”

  10. 在服务器上安装 7.0.3 版本的 Central Node 组件时,Kaspersky Anti Targeted Attack Platform 可能会拒绝通过 SMTP 接收的电子邮件。发送者可能会收到“连接被拒绝”错误。您可以去除这个限制。有关详细信息,请参阅通过 SMTP 配置与邮件服务器的集成部分。
  11. Sensor 组件只能连接到 Central Node 集群中的一个处理服务器。必须配置此服务器以从 SPAN 端口接收镜像流量
  12. Kaspersky Anti Targeted Attack Platform 可正确处理通过虚拟接口接收的 ERSPAN 流量,速率高达 2 Gbps。ERSPAN 流量速率较高会导致数据丢失。

Kaspersky Anti Targeted Attack Platform 7.0 具有以下已知限制:

  1. 不支持依赖系统监控 (Sysmon) 和 Windows 事件日志以外的数据源的 Sigma 规则。
  2. 不支持相关 Sigma 规则。
  3. 作为与 NDR 功能块集成的一部分,最多 1000 个 Endpoint Agent 组件可以连接到单个 Central Node 组件。如果您想连接更多组件,请联系技术支持
  4. 如果用户没有等待已经开始的下载过程结束,则下载镜像流量时可能会出现错误。
  5. 搜索最近一小时的网络数据包时,即使系统有更多匹配的记录,也不会显示超过 200 条记录。我们建议优化搜索查询以获得具有更少会话的选择。

    限制不适用于流量转储下载。

  6. 对于与邮件服务器集成的集群配置,发送电子邮件消息时可能会出现错误:“451 4.3.0 错误:队列文件写入错误”。有关如何消除限制的信息,请参阅“通过 SMTP 配置与邮件服务器的集成”部分。
  7. Sensor 组件只能连接到 Central Node 集群中的一个处理服务器。必须配置此服务器以从 SPAN 端口接收镜像流量
  8. 升级到 7.0 版本后,分布式解决方案或多租户模式中使用的 Central Node 组件可能会丢失嵌入式 Sensor。有关如何消除限制的信息,请参阅“升级安装在服务器上的 Central Node”部分。
  9. 在根据扫描 Web 流量副本的结果创建的文件警报中,如果用户在具有基本身份验证的代理服务器上进行身份验证,“用户名称”字段为空。
  10. 如果将安装在独立服务器上的 Sensor 组件用作代理服务器,则 Endpoint Agent 组件和 PCN 之间不会建立连接。
  11. 忽略 NIC 规则的 MAC 地址切换开关对应用程序没有影响。
  12. 如果 Endpoint Agent 主机运行的是 Windows Server 2016 或更早版本,则 Endpoint Agent 不会发送有关代码注入事件的信息。仅当主机运行 Windows Server 2019 或更高版本时,该组件才会发送有关此事件的信息。
  13. Kaspersky Anti Targeted Attack Platform 可正确处理通过虚拟接口接收的 ERSPAN 流量,速率高达 2 Gbps。ERSPAN 流量速率较高会导致数据丢失。

将 Central Node 组件部署为集群时适用的限制:

  1. Central Node 集群必须至少包含 4 台服务器:2 台存储服务器和 2 台处理服务器。您可以根据规模调整指南扩展集群以增加被处理的流量或连接的主机数量。
  2. 建议将硬件配置相同的服务器添加到集群中。否则,无法保证性能按比例提高。
  3. 向集群添加额外服务器不会加快处理扫描队列中已有的对象。
  4. 如果托管应用程序的服务器出现故障,应用程序的 Web 界面可能会暂时不可用。
  5. 如果处理服务器发生故障,您可能会丢失 ICAP、POP3 和 SMTP 流量数据以及等待处理的电子邮件副本以及与其关联的检测。
  6. 如果处理服务器被配置为从 SPAN 端口接收镜像流量,则如果该服务器发生故障的话不会处理 SPAN 流量。
  7. 如果其中一台集群服务器发生故障或该服务器与 Endpoint Agent 组件之间的连接暂时丢失,事件数据库中的数据可能会暂时无法同步。
  8. 如果集群服务器的配置被更改,来自具有 Endpoint Agent 组件的计算机的流量和事件的处理可能会暂时减慢。
  9. 将 Kaspersky Anti Targeted Attack Platform 安装为集群或更新集群配置时,嵌入式 Sensor 可能无法启动。

    在这种情况下,我们建议执行以下操作:

    • 如果 Sensor 未连接,请使用 Web 界面将其移除,然后在技术支持模式下运行 kata-sensor-tool fix-cluster-sensor 命令。
    • 如果 Sensor 未运行,请在技术支持模式下运行 kata-sensor-tool fix-cluster-sensor 命令。

    过一段时间后,Sensor 应该会出现在 Web 界面中。

  10. 通过 SMTP 接收电子邮件可能会出现延迟。为了解决这个问题,我们建议采取以下步骤:
    1. 技术支持模式连接到 Central Node 或 Sensor。
    2. 使用以下命令为 SMTP 集成启用 DEBUG 日志记录级别:

      console-settings-updater set --merge /kata/configuration/product/preprocessor_smtp '{"logging":{"level":{"root":"DEBUG"}}}'

    3. 等待大约 30 秒以使设置同步。
    4. 使用以下命令返回 SMTP 集成的 ERROR 日志记录级别:

      console-settings-updater set --merge /kata/configuration/product/preprocessor_smtp '{"logging":{"level":{"root":"ERROR"}}}'

在分布式解决方案和多租户模式下使用该应用程序时适用的限制:

  1. 在 PCN 服务器上,“资产” → “设备”选项卡仅显示连接到该 PCN 服务器的主机。
  2. 只能在 PCN 服务器上更改用户账户密码。

适用于 Sensor 组件的限制:

  1. 只有安装在独立服务器上的 Sensor 组件才能被用来以最大 10 Gbps 的速度捕获网络流量。
  2. 以 10 Gbps 的最大速度捕获 FTP 流量可能会导致严重丢失。
  3. 如果您添加或删除向 Kaspersky Anti Targeted Attack Platform 发送 SPAN 流量的网络接口,则可能会从与您选择的网络接口不同的网络接口下载原始网络流量转储。

适用于 Sandbox 组件的限制:

  1. 自定义镜像支持以下操作系统版本:
    • Windows 7
    • Windows 8.1 64 位
    • Windows 10 64 位(最高版本 1909)
  2. 自定义操作系统镜像仅完全支持英语和俄语本地化。
  3. 不提供用于激活操作系统和软件的授权许可密钥。
  4. 如果 Sandbox 服务器上未安装 Central Node 服务器上操作系统集合中选择的某些操作系统,Kaspersky Anti Targeted Attack Platform 不会将对象发送到 Sandbox 组件进行扫描。如果具有 Sandbox 组件的多个服务器连接到具有 Central Node 组件的服务器,则应用程序会将对象发送到其安装的操作系统与 Central Node 上所选集匹配的服务器。

与 Kaspersky Endpoint Agent for Windows 和 Kaspersky Endpoint Security for Windows 集成时适用的限制:

  1. 获取RAM 转储磁盘镜像的任务只能分配给安装有 Kaspersky Endpoint Agent 3.14 或更高版本(适用于 Windows)和 Kaspersky Endpoint Security 12.1 或更高版本(适用于 Windows)的计算机。
  2. 获取进程内存转储NTFS 元文件注册表项的任务只能分配给安装有 Kaspersky Endpoint Agent 3.14 或更高版本(适用于 Windows)或 Kaspersky Endpoint Security 12.1 或更高版本(适用于 Windows)的计算机。
  3. 使用 YARA 规则扫描主机的任务只能分配给安装有 Kaspersky Endpoint Agent 3.14 或更高版本(适用于 Windows)和 Kaspersky Endpoint Security 12.1 或更高版本(适用于 Windows)的计算机。如果您同时将任务分配给安装有 Kaspersky Endpoint Agent 3.14 或更高版本的计算机以及安装有该应用程序早期版本的计算机,则该任务仅在安装有 Kaspersky Endpoint Agent 3.14 或更高版本的计算机上运行。
  4. 如果选择自动运行点作为扫描范围,则任务仅在安装有 Kaspersky Endpoint Agent 3.14 或更高版本以及 Kaspersky Endpoint Security 12.1 或更高版本(适用于 Windows)的计算机上运行。
  5. 代码注入命名管道WMILDAPDNS进程访问事件仅在与 Kaspersky Endpoint Security for Windows 12.7 或更高版本集成时才可用。

与 Kaspersky Endpoint Security for Linux 集成时适用的限制:

  1. 以下功能不适用于运行 Kaspersky Endpoint Security for Linux 11.4 的计算机:
    • 主机网络隔离。
    • 创建防御规则。

      在安装有 Kaspersky Endpoint Security 11.4 for Linux 应用程序的计算机上,不会创建有关防御规则应用不成功的通知。

    • 使用 IOC 文件查找计算机上的入侵指标。

      在安装有 Kaspersky Endpoint Security 11.4 for Linux 应用程序的计算机上,不会创建有关入侵指标搜索不成功的通知。

  2. 以下功能不适用于运行 Kaspersky Endpoint Security for Linux 12 的计算机:
    • 创建防御规则。

      在安装有 Kaspersky Endpoint Security 12 for Linux 应用程序的计算机上,不会创建有关防御规则应用失败的通知。

  3. Kaspersky Endpoint Security 11.4 或 12 for Linux 在事件数据库中记录的事件列表仅限于以下类型:
  4. 您可以在运行 Kaspersky Endpoint Security 11.4 for Linux 的计算机上创建的任务列表限于以下类型:
  5. 您可以在运行 Kaspersky Endpoint Security 12 for Linux 的计算机上创建的任务列表限于以下类型:
  6. 您可以在运行 Kaspersky Endpoint Security 12.2 for Linux 的计算机上创建的任务列表限于以下类型:
  7. 在有关 Kaspersky Endpoint Security 11.4 或 12 for Linux 在事件数据库中注册的事件的信息中,“创建时间”字段会显示文件修改时间。
  8. 当与 Kaspersky Endpoint Security 12.2 for Linux 或更高版本集成时,到远程主机的连接监听的端口模块已加载DNS进程访问事件可用。

与 Kaspersky Endpoint Security 12 for Mac 集成时适用的限制:

  1. 以下功能不适用于运行 Kaspersky Endpoint Security 12 for Mac 的计算机:
    • 主机网络隔离。
    • 创建防御规则。

      在安装有 Kaspersky Endpoint Security 12 for Mac 应用程序的计算机上,不会创建有关防御规则应用失败的通知。

    • 使用 IOC 文件查找计算机上的入侵指标。

      在安装有 Kaspersky Endpoint Security 12 for Mac 应用程序的计算机上,不会创建有关入侵指标搜索不成功的通知。

  2. Kaspersky Endpoint Security 12 for Mac 在事件数据库中记录的事件列表限于以下类型:
  3. 您可以在运行 Kaspersky Endpoint Security 12 for Mac 的计算机上创建的任务列表限于以下类型:
  4. 在有关 Kaspersky Endpoint Security 12 for Mac 在事件数据库中注册的事件的信息中,创建时间字段会显示文件修改时间。

Kaspersky Endpoint Agent 3.16 for Windows 的限制:

您可以在 Kaspersky Endpoint Agent for Windows 在线帮助中查看 Kaspersky Endpoint Agent 3.16 for Windows 的限制列表。

Kaspersky Endpoint Security 12.5 for Windows 的限制:

您可以在 Kaspersky Endpoint Agent for Windows 在线帮助中查看 Kaspersky Endpoint Agent 12.5 for Windows 的限制列表。

Kaspersky Endpoint Security 12 for Linux 的限制:

您可以在 Kaspersky Endpoint Security for Linux 发行备注中查看 Kaspersky Endpoint Security 12 for Linux 中的限制列表。

Kaspersky Endpoint Security 12 for Mac 的限制:

您可以在 Kaspersky Endpoint Agent for Windows 在线帮助中查看 Kaspersky Endpoint Agent 12 for Mac 的限制列表。

另请参阅

Kaspersky Anti Targeted Attack Platform

新功能

关于 Kaspersky Threat Intelligence Portal

分发包

硬件和软件要求

页面顶部