Аппаратные и программные требования

Операционные системы

Сервер BI.ZONE EDR


Компонент BI.ZONE EDR	Операционная система
Сервис лицензирования	Debian 12 и выше. CentOS 8 и выше. Red Hat Enterprise Linux (RHEL) 8 и выше. Ubuntu 22.04 и выше. ALT 9 SP и выше. Astra Linux Special Edition 1.8.0 и выше. Red OS 7.3 и выше.
Сервер управления
Обработчик триггеров
Компонент отправки телеметрии
Сервис обработки обнаружений
Компонент выявления уязвимостей

Примечание: Hyper-V второго поколения не рекомендуется использовать для развертывания Сервиса лицензирования. Его поддержка не предусмотрена.

Агент BI.ZONE EDR


Операционная система	Примечания
macOS 13 и выше	Используется архитектура x64, ARM
Linux Kernel 2.6.32 и выше	Используется архитектура x64. Агент также опирается на подсистемы инициализации systemd
Windows 7 и выше	Используется архитектура x86, x64. Для Windows 7 необходима поддержка набора инструкций SSE2. Операционная система Windows 10 32-bit поддерживается при отсутствии дополнительных настроек BСD, меняющих объем доступной kernel памяти (increaseuserva)

Программное обеспечение

Сервер BI.ZONE EDR

Для работы серверной части BI.ZONE EDR необходимы решения из таблицы ниже.


Решение	Версия	Примечание
PostgreSQL	17 +	Используется в качестве СУБД
Apache Kafka	2.11 +	Используется в качестве Сервера очередей
MinIO	—	Используется в качестве S3-хранилища, при этом возможно использовать любое другое решение, требования к версии не предъявляются

Сервис обработки обнаружений

Для работы Сервиса обработки обнаружений, как расширяющего функциональность компонента BI.ZONE EDR, необходимы дополнительные решения. Полная таблица с версиями ниже.


Решение	Версия	Примечание
PostgreSQL	17 +	Используется в качестве СУБД
TimescaleDB	2.17 +	Расширение PostgreSQL для функционирования Сервиса обработки обнаружений
PostGIS	3.6 +	Расширения PostgreSQL для функционирования Сервиса обработки обнаружений (для последующего использования CMDB)
Apache Kafka	2.11 +	Используется в качестве Сервера очередей
RabbitMQ	4.0 +	Используется в качестве брокера сообщений
Redis	5.0 +	Используется в качестве СУБД
Docker	27 +	Используется для развертывания сервисов в контейнере

Аппаратные требования

Примечания

Агент BI.ZONE EDR

Для агента необходима следующая минимальная конфигурация конечной точки:

Ядра CPU — 2.
Прим этом для CPU необходима тактовая частота не менее 2.5 ГГц.
RAM — 2 ГБ.
Диск — 2 ГБ.

Фактическое потребление ресурсов

Агент анализирует сетевую активность, файловые операции, процессы и другие события безопасности в реальном времени, что требует определенного объема ресурсов. Фактическое потребление ресурсов может быть большим и зависит от нескольких параметров:

Активности на конечной точке — чем выше интенсивность процессов, сетевого трафика и операций с файлами, тем больше данных необходимо анализировать.
Выбранной политики мониторинга — расширенные или агрессивные политики (например, с глубоким анализом поведения, детализированным логированием или частым сканированием) потребляют больше ресурсов.

Высоконагруженные серверы

На серверах с высокой интенсивностью операций (базы данных, высокопроизводительные приложения, файловые сервера или CI/CD-системы) нагрузка от агента EDR может быть более заметной — это важно учитывать, когда текущая загрузка уже достигает 95% и выше по CPU или I/O. В подобных условиях даже стандартный объем мониторинга может стать критичным и привести к:

Увеличению времени отклика приложений.
Замедлению обработки транзакций.
Росту общей латентности системы.
Риску деградации производительности сервисов.

Оптимальная производительность

Чтобы обеспечить оптимальную производительность:

Используйте готовые профили нагрузки для Linux систем. Они разработаны с учетом типовых сценариев эксплуатации.
Проводите тестирование и адаптацию политик под конкретную инфраструктуру, особенно для критичных или высоконагруженных серверов.
При необходимости снижайте уровень детализации мониторинга или исключайте отдельные директории/процессы, не влияющие на безопасность.
Выполняйте установку агента на серверах с критически высокой загрузкой только после предварительной оценки и тестирования.

Сервер BI.ZONE EDR

Требования описаны в разрезе количества агентов (конечных точек), используемых в вашей инфраструктуре.

Обратите внимание на следующее:

Значения параметров vCPU, RAM, SSD, HDD указаны на 1 хост.
Прим этом для CPU необходима тактовая частота не менее 2.5 ГГц.
Под Хранилищем телеметрии понимается сам компонент и его дополнительные составляющие: Apache Kafka, PostgreSQL, MinIO (S3), Envoy, ClickHouse. Они развертываются совместно в первом этапе.
Подробнее Развертывание сервера.
Под Серверной частью BI.ZONE EDR понимаются все оставшиеся компоненты.
Подробнее Архитектура, Развертывание сервера.
При количестве агентов > 10 000 Сервер очередей, СУБД и другие составляющие рекомендуется выносить на отдельные VM (подробнее в таблицах ниже).

100 агентов


Компонент	VM	vCPU	RAM	HDD
Серверная часть BI.ZONE EDR	1	8	24 ГБ	200 ГБ
Хранилище телеметрии	1	8	24 ГБ	300 ГБ
Серверная часть BI.ZONE EDR + Хранилище телеметрии (All-in-One/пилотная инсталляция)	1	16	32 ГБ	512 ГБ

500 агентов


Компонент	VM	vCPU	RAM	SSD	HDD
Серверная часть BI.ZONE EDR (в т.ч. PostgreSQL, Apache Kafka, S3)	1	12	24 ГБ	512 ГБ	—
Хранилище телеметрии (ETL, Clickhouse, Envoy)	1	12	24 ГБ	300 ГБ*	1 ТБ*

Примечание: данные указаны для 7 дней горячего и 23 дней теплого хранений. Если необходимо хранение сырых событий, необходимо умножить значение в два раза. Для расширения времени хранения необходимо увеличивать SDD и HDD Хранилища телеметрии.

1000 агентов


Компонент	VM	vCPU	RAM	SSD	HDD
Серверная часть BI.ZONE EDR (в т.ч. PostgreSQL, Apache Kafka, S3)	1	16	32 ГБ	600 ГБ	—
Хранилище телеметрии (ETL, Clickhouse, Envoy)	1	16	32 ГБ	500 ГБ*	1 ТБ*

2000 агентов


Компонент	VM	vCPU	RAM	SSD	HDD
Серверная часть BI.ZONE EDR (в т.ч. PostgreSQL, Apache Kafka, S3)	1	16	32 ГБ	1 ТБ	—
Хранилище телеметрии (ETL, Clickhouse, Envoy)	1	16	48 ГБ	700 ГБ*	2 ТБ*

4000 агентов


Компонент	VM	vCPU	RAM	SSD	HDD
Серверная часть BI.ZONE EDR (в т.ч. PostgreSQL, Apache Kafka, S3)	1	24	40 ГБ	1 ТБ	—
Хранилище телеметрии (ETL, Clickhouse, Envoy)	1	24	48 ГБ	1 ТБ*	3.5 ТБ*

5000 агентов


Компонент	VM	vCPU	RAM	SSD	HDD
Серверная часть BI.ZONE EDR (в т.ч. PostgreSQL, Apache Kafka, S3)	1	28	40 ГБ	1 ТБ	—
Хранилище телеметрии (ETL, Clickhouse, Envoy)	1	28	48 ГБ	1.5 ТБ*	5 ТБ*

10 тыс. агентов


Компонент	vCPU	RAM	SSD	HDD
Серверная часть BI.ZONE EDR VM базовая схема — 1 VM отказоустойчивая схема — 2	8	16 ГБ	500 ГБ	—
Сервер очередей (Apache Kafka + Zookeeper) VM базовая схема — 3 VM отказоустойчивая схема — 6	8	8 ГБ	1 ТБ	—
СУБД и доп. приложения (PostgreSQL, S3, Envoy) VM базовая схема — 1 VM отказоустойчивая схема — 3	8	16 ГБ	2 ТБ	—
Хранилище телеметрии 1 (ETL) VM базовая схема — 1 VM отказоустойчивая схема — 2	4	8 ГБ	100 ГБ	—
Хранилище телеметрии 2 (ClickHouse) VM базовая схема — 1 VM отказоустойчивая схема — 3	16	64 ГБ	3 ТБ*	9 ТБ*

Примечание: для Хранилища телеметрии 2 (ClickHouse) данные указаны для 7 дней горячего и 23 дней теплого хранений. Если необходимо хранение сырых событий, необходимо умножить значение в два раза. Для расширения времени горячего хранения необходимо увеличивать SSD. Для расширения времени теплого хранения необходимо увеличивать HDD.

15 тыс. агентов


Компонент	vCPU	RAM	SSD	HDD
Серверная часть BI.ZONE EDR VM базовая схема — 1 VM отказоустойчивая схема — 2	12	24 ГБ	500 ГБ	—
Сервер очередей (Apache Kafka + Zookeeper) VM базовая схема — 3 VM отказоустойчивая схема — 6	8	8 ГБ	1.5 ТБ	—
СУБД и доп. приложения (PostgreSQL, S3, Envoy) VM базовая схема — 1 VM отказоустойчивая схема — 3	12	24 ГБ	2 ТБ	—
Хранилище телеметрии 1 (ETL) VM базовая схема — 1 VM отказоустойчивая схема — 2	4	8 ГБ	100 ГБ	—
Хранилище телеметрии 2 (ClickHouse) VM базовая схема — 1 VM отказоустойчивая схема — 3	16	64 ГБ	4 ТБ*	13 ТБ*

20 тыс. агентов


Компонент	vCPU	RAM	SSD	HDD
Серверная часть BI.ZONE EDR VM базовая схема — 1 VM отказоустойчивая схема — 2	16	24 ГБ	500 ГБ	—
Сервер очередей (Apache Kafka + Zookeeper) VM базовая схема — 3 VM отказоустойчивая схема — 6	8	12 ГБ	2 ТБ	—
СУБД и доп. приложения (PostgreSQL, S3, Envoy) VM базовая схема — 1 VM отказоустойчивая схема — 3	12	32 ГБ	3 ТБ	—
Хранилище телеметрии 1 (ETL) VM базовая схема — 1 VM отказоустойчивая схема — 2	6	12 ГБ	200 ГБ	—
Хранилище телеметрии 2 (ClickHouse) VM базовая схема — 1 VM отказоустойчивая схема — 3	24	96 ГБ	5 ТБ*	17 ТБ*

30 тыс. агентов


Компонент	vCPU	RAM	SSD	HDD
Серверная часть BI.ZONE EDR VM базовая схема — 1 VM отказоустойчивая схема — 2	24	32 ГБ	500 ГБ	—
Сервер очередей (Apache Kafka + Zookeeper) VM базовая схема — 3 VM отказоустойчивая схема — 6	8	12 ГБ	2 ТБ	—
СУБД и доп. приложения (PostgreSQL, S3, Envoy) VM базовая схема — 1 VM отказоустойчивая схема — 3	16	32 ГБ	3 ТБ	—
Хранилище телеметрии 1 (ETL) VM базовая схема — 1 VM отказоустойчивая схема — 2	6	12 ГБ	200 ГБ	—
Хранилище телеметрии 2 (ClickHouse) VM базовая схема — 1 VM отказоустойчивая схема — 3	32	128 ГБ	5 ТБ*	17 ТБ*

40 тыс. агентов


Компонент	vCPU	RAM	SSD	HDD
Серверная часть BI.ZONE EDR VM базовая схема — 1 VM отказоустойчивая схема — 2	24	40 ГБ	550 ГБ	—
Сервер очередей (Apache Kafka + Zookeeper) VM базовая схема — 3 VM отказоустойчивая схема — 6	8	16 ГБ	4 ТБ	—
СУБД и доп. приложения (PostgreSQL, S3, Envoy) VM базовая схема — 1 VM отказоустойчивая схема — 3	16	32 ГБ	4 ТБ	—
Хранилище телеметрии 1 (ETL) VM базовая схема — 1 VM отказоустойчивая схема — 2	8	16 ГБ	500 ГБ	—
Хранилище телеметрии 2 (ClickHouse) VM базовая схема — 1 VM отказоустойчивая схема — 3	32	128 ГБ	5 ТБ*	17 ТБ*

50 тыс. агентов


Компонент	vCPU	RAM	SSD	HDD
Серверная часть BI.ZONE EDR VM базовая схема — 1 VM отказоустойчивая схема — 2	24	40 ГБ	550 ГБ	—
Сервер очередей (Apache Kafka + Zookeeper) VM базовая схема — 3 VM отказоустойчивая схема — 6	8	16 ГБ	4 ТБ	—
СУБД и доп. приложения (PostgreSQL, S3, Envoy) VM базовая схема — 1 VM отказоустойчивая схема — 3	16	32 ГБ	4 ТБ	—
Хранилище телеметрии 1 (ETL) VM базовая схема — 1 VM отказоустойчивая схема — 2	8	16 ГБ	500 ГБ	—
Хранилище телеметрии 2 (ClickHouse) VM базовая схема — 1 VM отказоустойчивая схема — 3	32	128 ГБ	7 ТБ*	21 ТБ*

Архитектура

Сетевое взаимодействие