Настройка приёма SPAN-трафика на Central Node/Sensor и Sensor

Руководство по настройке KATA/KEDR/NDR 7.1

Информация: Приведенная на данной странице инфомрация, является разработкой команды pre-sales и/или AntiAPT Community и НЕ является официальной рекомендацией вендора.

Версия решения: 7.1
Тип инструкции: Настройка источников данных SPAN

1. Подготовка

1.1. Обязательные условия

Перед настройкой приёма SPAN-трафика убедитесь, что:

- ✅ Установлен и настроен **Central Node**

- ✅ Активирована одна из лицензий: **KATA**, **NDR** или **KATA/NDR**

- ✅ Добавлен **дополнительный сетевой интерфейс** (кроме Management)

- ✅ Интерфейс находится в состоянии **«Не инициализирован»**

- ✅ Имеется доступ к веб-интерфейсу под учётной записью `admin`

1.2. Лицензии и функциональность

Лицензия	Требуется для
KATA	Анализ периметра сети: сетевая песочница (Network Sandbox), пограничный IDS, анализ SMTP/ICAP-трафика
NDR	Защита внутренней сети: NTA-анализ, ретроспективный поиск, выявление горизонтального перемещения, запись и хранение SPAN-трафика
KATA/NDR	Комбинированный функционал: защита периметра + внутренней сети

🔎 Подробное описание функционала

🔹KATA

- Обеспечивает защиту периметра IT-инфраструктуры

- Включает сетевую песочницу (Network Sandbox) — автоматическую проверку подозрительных объектов

- Реализует функции пограничного IDS

- Поддерживает анализ трафика от почтовых шлюзов (SMTP), прокси и NGFW (ICAP)

- Позволяет анализировать трафик на границе сети

🔹NDR (Network Detection and Response)

- Предназначен для обнаружения сложных атак во внутренней сети

- Выполняет глубокий анализ сетевого трафика (NTA):

- Построение карты сетевой активности

- Выявление скрытых C2-каналов

- Обнаружение горизонтального перемещения злоумышленника

- Ретроспективный анализ событий за весь период хранения данных

- Записывает и хранит обрабатываемый SPAN-трафик

- Использует правила IDS для детектирования аномалий во внутреннем трафике

- Интегрируется с EDR-агентами для корреляции событий

🔹KATA/NDR

- Объединяет возможности KATA и NDR

- Позволяет одновременно защищать периметр и внутреннюю сеть

- Центральный узел может принимать данные как от периметровых источников, так и от Sensor, анализирующих внутренний трафик

- Поддерживает единый интерфейс управления, корреляцию событий между периметром и внутренней сетью

> ⚠️ **ВАЖНО:**

> Без активации соответствующей лицензии функционал **приёма и обработки SPAN-трафика будет недоступен**.

> Для записи и хранения сырого трафика требуется **лицензия NDR или KATA/NDR**.

> 💡 **Рекомендация:**

> Для полной защиты рекомендуется использовать комбинированную лицензию **KATA/NDR**, обеспечивающую покрытие как периметра, так и внутренней сети.

1.3. Сетевые требования

Данный пункт описывает процесс настройки Central Node для анализа копии трафика, поданного с внутреннего или внешнего сегмента сети.

> ⚠️ **ВАЖНО:**

> Для включения анализа сетевого трафика обязательно должен быть добавлен дополнительный интерфейс.

> ℹ️ **Примечание:**

> В версию KATA 7.1 добавлена возможность записи, хранения и выгрузки копий сырого сетевого трафика. В данном документе этот функционал описан не будет, только настройка приема SPAN. Детально по данному функционалу можно ознакомиться в [онлайн документации](https://support.kaspersky.com/help/KATA/7.1/ru-RU/228435.htm).

---

<summary>ℹ️ Примечание: Ограничения производительности и масштабирование</summary>

### 🔹 Минимальные и максимальные требования к объёму SPAN-трафика

| Конфигурация | Минимальный объём SPAN-трафика | Максимальный объём SPAN-трафика |

|--------------|-------------------------------|----------------------------------|

| Физический сервер + выделенный Sensor | 100 Мбит/с | 10 000 Мбит/с |

| Виртуальная платформа + выделенный Sensor | 100 Мбит/с | 4 000 Мбит/с |

| Central Node со встроенным Sensor (Embedded Sensor) | 100 Мбит/с | 1 000 Мбит/с |

> ℹ️ **Пояснение:**

> - Значение **100 Мбит/с** указано как **рекомендуемый порог**, используемый при са́йзинге и проектировании.

> - Система **стабильно работает при объёмах ниже 100 Мбит/с**, например, в пилотных или тестовых средах.

> - Это значение **не является жёстким ограничением**, а служит ориентиром для расчёта ресурсов.

> - При объёмах ниже 100 Мбит/с **са́йзинг не изменяется** — аппаратные требования остаются теми же.

---

### 🔹 Масштабирование через распределённую архитектуру

Если объём SPAN-трафика превышает возможности одной инсталляции:

- На виртуальной платформе: максимум **4000 Мбит/с на одну Central Node с Sensor**

- На физической платформе: максимум **10 000 Мбит/с на один Sensor**

При необходимости обработать больший объём:

1. **Разделите трафик между несколькими независимыми инсталляциями**

2. **Используйте физическую платформу**

3. **Объедините инсталляции в иерархическую структуру (PCN + SCN)**

> 📘 Подробнее: [Распределённое решение и мультитенантность](https://support.kaspersky.com/help/KATA/7.1/ru-RU/247445.htm)

</details>

2. Настройка SPAN-источника

<summary>👉 Развернуть: Настройка точки мониторинга</summary>

### 2.1. Добавление дополнительного интерфейса

1. Войдите в веб-интерфейс Central Node под учётной записью `admin`.

2. Перейдите: **Параметры → Сетевые параметры → Сетевые интерфейсы**.

3. Убедитесь, что добавлен дополнительный интерфейс и он находится в состоянии **«Не инициализирован»**.

> 📸 **Скриншот 1:**

> *Экран "Сетевые интерфейсы"*

---

### 2.2. Создание точки мониторинга

> 🔍 Цель: создать точку мониторинга для приёма SPAN-трафика.

#### Шаги:

1. Перейдите: **Серверы Sensor**.

2. Найдите интерфейс в состоянии **«Не инициализирован»**, предназначенный для приёма SPAN.

3. Нажмите **«Добавить точку мониторинга»** на этом интерфейсе.

> 📸 **Скриншот 2:**

> *Кнопка "Добавить точку мониторинга"*

4. В открывшемся окне укажите:

- **Имя точки мониторинга** (например, `SPAN_Internal`)

5. Нажмите **«Добавить точку мониторинга»**.

> 📌 **Примечание:**

> Точки мониторинга можно **включать и выключать** для временного прекращения наблюдения за сегментом сети.

</details>

---

### 2.3. Включение обработки трафика

1. После создания точки мониторинга откроется её экран.

2. Убедитесь, что в разделе **«Режим»** указано состояние **«Выключен»**.

3. Нажмите кнопку **«Включить»**.

> 📸 **Скриншот 3:**

> *Окно точки мониторинга с кнопкой "Включить"*

✅ Режим обработки SPAN-трафика перейдёт в **активное состояние**.

---

### 2.4. Проверка поступления трафика

1. Перейдите: **Мониторинг → Обработано**.

2. Выберите источник: **SPAN**.

3. Укажите тип отображения:

- **Текущая загрузка**

- **Выбранный период** (настраивается в правом верхнем углу)

> 📸 **Скриншот 4:**

> *График нагрузки по SPAN-трафику*

> ✅ Если SPAN-трафик подаётся на интерфейс, вы увидите график по нагрузке.

> 💡 **Примечание:**

> Данные по обнаруженным аномалиям и угрозам будут отображаться в веб-интерфейсе **только под учётной записью «Офицера безопасности»**.

</details>

---

## 3. Настройка параметров хранения SPAN

<summary>👉 Развернуть: Настройка через консоль</summary>

### 3.1. Настройка объёма обрабатываемого трафика

> ⚠️ **Обязательно выполните эти настройки**, если на узле (CN или Sensor) получен SPAN.

#### Через SSH-консоль:

1. Подключитесь к Central Node **или Sensor** по SSH под учётной записью `admin`.

2. Запустите меню настроек:

```bash

```

3. Перейдите: **Program settings → Configure storage**.

4. Установите значение, соответствующее вашему объёму SPAN-трафика, согласно таблице:

| Объём SPAN-трафика | File storage, MB | Hot ring, MB |

|--------------------|------------------|--------------|

| 10000 Мбит/с | 96000 | 10240 |

| 7000 Мбит/с | 72000 | 8192 |

| 4000 Мбит/с | 48000 | 4096 |

| 2000 Мбит/с | 24000 | 2048 |

| 1000 Мбит/с | 12000 | 1024 |

> 📌 **Примечание:**

> - Если объём данных меньше указанного в таблице — выбирайте минимальное значение.

> - Если объём находится между двумя значениями — выбирайте **максимальное**.

> 💡 **ВАЖНО:**

> Эти настройки **обязательны** для **Central Node** и **выделенного Sensor**, независимо от того, где был подан SPAN-трафик.

---

### 3.2. Выбор протоколов для анализа

> 🔍 Цель: настроить получение трафика только по нужным протоколам.

#### Через SSH-консоль:

1. Подключитесь к узлу (Central Node или Sensor) по SSH.

2. Введите:

```bash

```

3. Перейдите: **Program settings → Configure traffic capture → Setup capture protocols**.

4. Выберите протоколы, которые нужно анализировать:

- По умолчанию включены все, кроме HTTP2.

- Чтобы включить/отключить протокол — нажмите **Enter** на строке.

5. Нажмите **Apply and Exit**.

> ✅ Сетевые протоколы для получения SPAN-трафика будут выбраны.

</details>

---

## 4. Настройка записи и выгрузки трафика с Central Node

<summary>👉 Развернуть: Настройка записи и выгрузки трафика</summary>

> 🔍 Цель: включить функционал записи, хранения и выгрузки копий сырого сетевого трафика.

> ⚠️ **ВАЖНО:**

> Эта функция доступна начиная с версии **KATA 7.1**.

> В данной инструкции она описана только в контексте настройки приёма SPAN — подробное описание см. в [онлайн документации](https://support.kaspersky.com/help/KATA/7.1/ru-RU/228435.htm).

---

### 4.1. Включение функционала

1. Перейдите в веб-интерфейс Central Node под учётной записью `admin`.

2. Перейдите: **Конфигурация серверов**.

3. Убедитесь, что активирована лицензия **NDR** или **KATA/NDR**.

4. В поле **«SPAN-трафик, Мбит/с»** укажите планируемое количество трафика со SPAN-портов.

> 📌 **Примечание:**

> - Если лицензия **KATA** не активирована — укажите `0`.

> - В этом поле указывается **общий объём SPAN-трафика**, который обрабатывается как на Central Node, так и на вынесенных отдельно Sensor.

> 📸 **Скриншот 5:**

> *Экран "Конфигурация серверов" с полями: Количество Endpoint Agents, Почтовый трафик, SPAN-трафик*

---

### 4.2. Пример заполнения

**Сценарий:**

На Central Node подается SPAN на выделенный интерфейс с объемом **500 Mbps** и есть выделенный Sensor, который получает SPAN объемом **1.5 Gbps**.

**Настройка:**

В поле **«SPAN-трафик, Мбит/с»** укажите: **2000**

> ✅ Это суммарный объём трафика, обрабатываемый всей системой.

---

### 4.3. Настройка внешнего хранилища

> 🔍 Цель: настроить хранение дампов трафика на внешнем хранилище.

#### Шаги:

1. На узле с Sensor (Central Node или выделенный сервер) подключите диск **≥100 ГБ**.

2. Подключитесь по SSH и выполните:

```bash

sudo -i

fdisk -l # убедитесь, что диск виден (например, /dev/sdb)

mke2fs -t ext4 -L DATA -m 0 /dev/sdb

echo "/dev/sdb /data/volumes/dumps/ ext4 defaults 0 0" >> /etc/fstab

mount /dev/sdb /data/volumes/dumps/

rm -rf /data/volumes/dumps/*

chown kluser:klusers /data/volumes/dumps/

```

3. Перезапустите контейнер захвата:

```bash

docker stop $(docker ps | grep preprocessor_span | awk '{print $1}')

```

4. В веб-интерфейсе: **Серверы Sensor → Изменить → Внешнее хранилище**

5. Включите: **«Подключить внешнее хранилище для файлов дампа трафика»**

6. Укажите:

- Максимальный объём (в ГБ)

- Ограничение времени хранения (в днях)

- BPF-фильтр (например: `tcp port 102 or tcp port 502`)

7. Нажмите **«Сохранить»**.

> 📌 **Примечание:**

> Сырой трафик записывается в `/mnt/kaspersky/nta/dumps`, но **просматривается и выгружается из `/data/volumes/dumps`**.

---

### 4.4. Выгрузка дампов трафика

> 🔍 Цель: скачать дамп трафика для анализа.

#### Шаги:

1. Авторизуйтесь под УЗ **«Офицера безопасности»**.

2. Перейдите: **Серверы Sensor → Выбрать Sensor → Скачать трафик**.

3. Укажите:

- Период

- Максимальный размер дампа

- Точки мониторинга

- BPF-фильтр

- Регулярное выражение (например: `^test.+xABxCD`)

4. Нажмите **«Скачать»** → файл в формате **PCAP** начнёт загрузку.

> 📸 **Скриншот 6:**

> *Экран выгрузки дампа трафика*

</details>

---

## 5. Дополнительные требования и диагностика ← **НОВЫЙ РАЗДЕЛ**

<summary>👉 Развернуть: Виртуализация, проверка трафика, типичные ошибки</summary>

### 5.1. Особенности виртуальной среды

Если Central Node или Sensor развёрнуты в **VMware / KVM / Hyper-V**, необходимо:

- Включить **Promiscuous Mode** на виртуальном коммутаторе

- Разрешить **MAC Address Changes = Accept**

- Разрешить **Forged Transmits = Accept**

> ❌ Без этого трафик не будет захватываться, даже если интерфейс в состоянии «Не инициализирован».

---

### 5.2. Проверка поступления трафика на уровне ОС

Подключитесь по SSH к узлу и выполните:

```bash

tcpdump -i <интерфейс> -n -c 10

```

> ✅ Если пакеты отображаются — трафик поступает.

> ❌ Если пусто — проверьте конфигурацию SPAN на коммутаторе.

Также проверьте ошибки интерфейса:

```bash

ethtool -S <интерфейс> | grep -E "drop|error|over"

```

Рост счётчиков указывает на перегрузку или ошибки на стороне источника.

---

### 5.3. Проверка монтирования хранилища

Убедитесь, что диск примонтирован:

```bash

df -h /data/volumes/dumps

lsblk | grep dumps

```

Проверьте, что контейнер видит точку монтирования:

```bash

docker exec -it $(docker ps | grep preprocessor_span | awk '{print $1}') lsblk

```

→ Должна отображаться строка: `/dev/sdb → /mnt/kaspersky/nta/dumps`

---

### 5.4. Где искать логи

- Логи захвата трафика:

`/var/log/kaspersky/preprocessor_span.log`

- Системные логи:

`journalctl -u docker`

</details>

---

📌 Полезные ссылки

- [Официальная документация Kaspersky](https://support.kaspersky.com/KATA/7.1/ru-RU/246841.htm)
- [Настройка SPAN-трафика (онлайн)](https://support.kaspersky.com/help/KATA/7.1/ru-RU/228435.htm)
- [Распределённое решение и мультитенантность](https://support.kaspersky.com/help/KATA/7.1/ru-RU/247445.htm)
- [Kaspersky на YouTube](https://www.youtube.com/@KasperskyTechRussia)
- [Kaspersky на Rutube](https://rutube.ru/channel/43034214/)
- [Полная инструкция по NDR и Sensor](https://box.kaspersky.com/d/594f6df3692e4675afc8/?p=%2F&mode=list)

✅ Настройка приёма SPAN-трафика завершена!

Теперь Central Node и/или Sensor:

Принимает зеркалированный трафик
Анализирует выбранные протоколы
Отображает статистику в реальном времени
Готов к детектированию угроз во внутренней сети
При необходимости — записывает и позволяет выгружать дампы