Настройка приёма SPAN-трафика на Central Node и Sensor

1.1. Обязательные условия

Перед настройкой приёма SPAN-трафика убедитесь, что:

- ✅ Установлена и настроена Central Node

- ✅ Активирована одна из лицензий: KATA, NDR или KATA/NDR

- ✅ Добавлен дополнительный сетевой интерфейс, на который будет подан SPAN. (кроме Management)

- ✅ Интерфейс находится в состоянии «Не инициализирован» (при подаче ESRPAN указываеться IP адрес)

- ✅ Имеется доступ к веб-интерфейсу под учётной записью `admin`

1.2. Лицензии и функциональность

🔎 Подробное описание функционала

🔹KATA

- Обеспечивает защиту периметра IT-инфраструктуры

- Включает сетевую песочницу (Network Sandbox) — автоматическую проверку подозрительных объектов

- Реализует функции пограничного IDS

- Поддерживает анализ трафика от почтовых шлюзов (SMTP), прокси и NGFW (ICAP)

- Позволяет анализировать трафик на границе сети

🔹NDR (Network Detection and Response)

- Предназначен для обнаружения сложных атак во внутренней сети

- Выполняет глубокий анализ сетевого трафика (NTA):

- Построение карты сетевой активности

- Выявление скрытых C2-каналов

- Обнаружение горизонтального перемещения злоумышленника

- Ретроспективный анализ событий за весь период хранения данных

- Записывает и хранит обрабатываемый SPAN-трафик

- Использует правила IDS для детектирования аномалий во внутреннем трафике

- Интегрируется с EDR-агентами для корреляции событий

🔹KATA/NDR

- Объединяет возможности KATA и NDR

- Позволяет одновременно защищать периметр и внутреннюю сеть

- Центральный узел может принимать данные как от периметровых источников, так и от Sensor, анализирующих внутренний трафик

- Поддерживает единый интерфейс управления, корреляцию событий между периметром и внутренней сетью

⚠️ВАЖНО:
- Без активации соответствующей лицензии функционал приёма и обработки SPAN-трафика будет недоступен.
- Для записи и хранения сырого трафика требуется лицензия NDR или KATA/NDR.

💡Рекомендация:
- Для оптимальной работы лучше выбрать комбинированную лицензию KATA/NDR. Она позволяет контролировать как периметр, так и внутреннюю сеть.

1.3. Сетевые требования

Данный пункт описывает процесс настройки Central Node для анализа копии трафика, поданного с внутреннего или внешнего сегмента сети.

⚠️ВАЖНО:
- Для включения анализа сетевого трафика обязательно должен быть добавлен дополнительный интерфейс.

ℹ️Примечание:
- В версию KATA 7.1 добавлена возможность записи, хранения и выгрузки копий сырого сетевого трафика. В данном документе этот функционал описан не будет, только настройка приема SPAN. Детально по данному функционалу можно ознакомиться в онлайн документации.

Добавить!

🔹Минимальные и максимальные требования к объёму SPAN-трафика

ℹ️Пояснение:
- Значение 100 Мбит/с указано как рекомендуемый порог, используемый при са́йзинге и проектировании.
- Это значение не является жёстким ограничением, а служит ориентиром для расчёта ресурсов.
- При объёмах ниже 100 Мбит/с са́йзинг не изменяется — аппаратные требования остаются теми же.

🔹Масштабирование через распределённую архитектуру

Если объём SPAN-трафика превышает возможности одной инсталляции:

- На виртуальной платформе: максимум 4000 Мбит/с на одну Central Node с Sensor

- На физической платформе: максимум 10 000 Мбит/с на одину Central Node с Sensor

Примечание: Количество сенсоров, подключенных к одному центральному узлу, ограничено только общим объемом поступающего на них трафика SPAN. 

При необходимости обработать больший объём:
1. Разделите трафик между несколькими независимыми инсталляциями
2. Используйте физическую платформу
3. Объедините инсталляции в иерархическую структуру (PCN + SCN)

📘Подробнее: Распределённое решение и мультитенантность

1.4. Проверка настройки функционала обработки SPAN-трафика

1. Перейдите в веб-интерфейс Central Node под учётной записью `admin`.

2. Перейдите: Конфигурация серверов.

3. Проверьте, что в поле «SPAN-трафик, Мбит/с» указан общий объем планируемого к обработке трафика со SPAN-портов.

📌ВАЖНО:
- В этом поле указывается общий объём SPAN-трафика, который обрабатывается как на Central Node, так и на вынесенных отдельно Sensor.

Внимание:
Если вы не собираетесь использовать KATA и/или NDR, все равно рекомендуется указать объем обрабатываемого SPAN-трафика. Минимальный объем — 10. Это обеспечит корректную работу и логическую связность микросервисов в системе.

📸Скриншот 1: Экран "Конфигурация серверов" с полями: Количество Endpoint Agents, Почтовый трафик, SPAN-трафик

Пример заполнения:
На Central Node подается SPAN на выделенный интерфейс с объемом 500 Mbps и есть выделенный Sensor, который получает SPAN объемом 1.5 Gbps.

Настройка:

В поле «SPAN-трафик, Мбит/с» укажите: 2000

✅ Это суммарный объём трафика, обрабатываемый всей системой.

4. Перейдите в раздел “Параметры → Лицензия”.

5. Убедитесь, что активирована лицензия NDR или KATA/NDR.

📸Скриншот 2: Экран "“Параметры → Лицензия”.

1.5. Настройка объёма обрабатываемого трафика

⚠️Обязательно выполните эти настройки, если на узле (CN или Sensor) получен SPAN.

Через SSH-консоль:

1. Подключитесь к Central Node или Sensor по SSH под учётной записью `admin`. (в зависимости от того, куда подан SPAN)

2. Перейдите: Program settings → Configure storage.

4. Установите значение, соответствующее вашему объёму SPAN-трафика, согласно таблице:

Примечаине: это размер разделов tmpfs, где обрабатывается и хранится трафик.

ВАЖНО!
Настройки хранилища на Central Node или Sensor учитывают только трафик, обрабатываемый Central Node или Sensor, и выполняется на каждом узле отдельно.
Однако настройки SPAN в конфигураторе сервера в веб-интерфейсе учитывают весь трафик, обрабатываемый центральным узлом, и все подключенные внешние Sensor.

📌Примечание:
- Если объём данных меньше указанного в таблице — выбирайте минимальное значение.
- Если объём находится между двумя значениями — выбирайте максимальное.

💡ВАЖНО:
Эти настройки обязательны для Central Node и выделенного Sensor, независимо от того, где был подан SPAN-трафик.

1.6. Выбор протоколов для анализа

🔍 Цель: настроить получение трафика только по нужным протоколам.

Через SSH-консоль:

1. Подключитесь к узлу (Central Node или Sensor) по SSH.

2. Перейдите: Program settings → Configure traffic capture → Setup capture protocols.

4. Выберите протоколы, которые нужно анализировать:

- По умолчанию включены все, кроме HTTP2.

- Чтобы включить/отключить протокол — нажмите Enter на строке.

5. Нажмите Apply and finish.

✅ Сетевые протоколы для получения SPAN-трафика будут выбраны.

2.1. Добавление дополнительного интерфейса на Central Node

1. Войдите в веб-интерфейс Central Node под учётной записью `admin`.

2. Перейдите: Параметры → Сетевые параметры → Сетевые интерфейсы.

3. Убедитесь, что добавлен дополнительный интерфейс и он находится в состоянии «Не инициализирован».

📸 Скриншот 3: Экран "Сетевые интерфейсы"

Примечание: ERSPAN-трафик передаётся исключительно на IP-адрес получателя (не на конкретный интерфейс), при этом тип принимающего интерфейса может быть любым. Важно правильно указать IP-адрес назначения, так как именно он определяет маршрут доставки зеркалированного трафика через GRE-туннель.

2.2. Добавление дополнительного интерфейса на Sensor

Через SSH-консоль:

1. Подключитесь к узлу Sensor по SSH.

2. Перейдите: Network settings → Interface configuration.

📸 Скриншот 4: Экран "Сетевые интерфейсы"

Важно!
Данная настройка относится к компоненту Sensor, используемого для обработки SPAN-трафика.

2.3. Настраиваем объем обрабатываемого SPAN непосредственно на Sensor

Пояснение:
Данная настройка относится к компоненту Sensor, используемого для обработки SPAN-трафика.

Через SSH-консоль:

1. Подключитесь к узлу Sensor по SSH.

2. Перейдите: Program settings → Configure traffic capture.

3. Укажите объем анализируемого сетевого трафика в разделе "Traffic capture bandwidth (Mbps)". Объем должен быть указан в мегабитах в секунду.

📸 Скриншот 5: Экран "Сетевые интерфейсы"

Важно!
В этом разделе показан общий объем SPAN-трафика, обработанного данным сенсором.
Например: сенсор может получать SPAN-трафик с нескольких источников одновременно через разные интерфейсы, подключенные к нему.

2.4. Создание точки мониторинга

🔍 Цель: создать точку мониторинга для приёма SPAN-трафика.

1. Перейдите: Серверы Sensor.

2. Найдите интерфейс в состоянии «Не инициализирован», предназначенный для приёма SPAN.

3. Нажмите «Добавить точку мониторинга» на этом интерфейсе.

📸 Скриншот 6: Кнопка "Добавить точку мониторинга"

4. В открывшемся окне укажите:

- Имя точки мониторинга (например, `SPAN_Internal`)

5. Нажмите «Добавить точку мониторинга».

📌Примечание:
- Точки мониторинга можно включать и выключать для временного прекращения наблюдения за сегментом сети.

Внимание: Эта настройка одинакова для Central Node и Sensor.

2.5. Включение обработки трафика

1. После создания точки мониторинга откроется её экран.

2. Убедитесь, что в разделе «Режим» указано состояние «Выключен».

3. Нажмите кнопку «Включить».

📸Скриншот 7: Окно точки мониторинга с кнопкой "Включить"

✅ Режим обработки SPAN-трафика перейдёт в активное состояние.

2.6. Проверка поступления трафика

1. Перейдите: Мониторинг → Обработано.

2. Выберите источник: SPAN.

3. Укажите тип отображения:

- Текущая загрузка

- Выбранный период (настраивается в правом верхнем углу)

📸Скриншот 8: График нагрузки по SPAN-трафику

✅ Если SPAN-трафик подаётся на интерфейс, вы увидите график по нагрузке.

💡 Примечание:
Данные по обнаруженным аномалиям и угрозам будут отображаться в веб-интерфейсе только под учётной записью «Офицера безопасности».