📦 Подключение источников на Central Node
Руководство по настройке KATA/KEDR/NDR 7.1
> **Версия решения:** 7.1
> **Тип инструкции:** Настройка источников данных (SPAN, SMTP, ICAP, EDR)
> **Формат:** Markdown с аккордеонами
> **Автор:** Служба информационной безопасности
---
## 🗺️ Содержание
- [1. Подготовка](#1-подготовка)
- [1.1. Обязательные условия](#11-обязательные-условия)
- [1.2. Лицензии и функциональность](#12-лицензии-и-функциональность)
- [1.3. Сетевые требования](#13-сетевые-требования)
- [2. Настройка источников](#2-настройка-источников)
- [2.1. SPAN-трафик (NDR)](#21-span-трафик-ndr)
- [2.2. SMTP-трафик (KATA)](#22-smtp-трафик-kata)
- [2.3. ICAP-интеграция](#23-icap-интеграция)
- [2.4. Клиенты NDR](#24-клиенты-ndr)
- [2.5. Пользовательские образы в Sandbox](#25-пользовательские-образы-в-sandbox)
- [3. Внешние хранилища и фильтрация](#3-внешние-хранилища-и-фильтрация)
- [3.1. Включение внешнего хранилища](#31-включение-внешнего-хранилища)
- [3.2. BPF-фильтрация трафика](#32-bpf-фильтрация-трафика)
- [3.3. Выгрузка дампов трафика](#33-выгрузка-дампов-трафика)
- [📌 Полезные ссылки](#-полезные-ссылки)
---
## 1. Подготовка
<details>
<summary>👉 Развернуть: Подготовка к настройке источников</summary>
### 1.1. Обязательные условия
Перед подключением источников убедитесь, что выполнены следующие действия:
- ✅ Установлен и настроен **Central Node** (или Sensor)
- ✅ Добавлены **лицензионные ключи** KATA, NDR, KEDR
- ✅ Доступны **сетевые интерфейсы** для приёма SPAN/SMTP-трафика
- ✅ Настроено время (**NTP**) и имя сервера
- ✅ Создана учётная запись **Офицера безопасности**
> ⚠️ Без лицензий соответствующий функционал **не будет доступен**.
---
### 1.2. Лицензии и функциональность
| Лицензия | Отвечает за |
|--------|------------|
| **KATA** | Анализ периметров, обработка сетевых источников (SMTP, SPAN, ICAP) |
| **NDR** | Защита внутренней сети, построение карты сети, ретроспективный анализ |
| **KEDR** | Работа агентов EDR, сбор телеметрии с конечных точек |
> 💡 **Примечание:**
> Перед подключением источников убедитесь, что нужные лицензии активированы.
---
### 1.3. Сетевые требования
#### 🔹 Порты для получения трафика
| Интерфейс | Назначение | Порт / Протокол |
|----------|----------|------------------|
| Management | Управление, веб-интерфейс | TCP 8443 |
| SPAN | Приём зеркалированного трафика | TCP/UDP любой (зависит от протокола) |
| SMTP | Приём почтового трафика | TCP 25, 587, 465 |
| ICAP | Интеграция с прокси/NGFW | TCP 1344 |
> ⚠️ **ВАЖНО:**
> Для анализа сетевого трафика **обязательно должен быть добавлен дополнительный сетевой интерфейс** (кроме Management).
#### 🔹 Требования к объёму трафика
| Объём SPAN-трафика | Минимальное значение параметра |
|--------------------|-------------------------------|
| До 500 Мбит/с | 500 |
| 500–1000 Мбит/с | 1000 |
| Более 1000 Мбит/с | 1500 |
> 💡 Если объём находится между значениями — выбирайте **ближайшее большее**.
</details>
---
## 2. Настройка источников
<details>
<summary>👉 Развернуть: Настройка источников данных</summary>
### 2.1. SPAN-трафик (NDR)
> 🔍 Цель: настроить приём зеркалированного трафика для анализа внутренней сети.
#### Шаги:
1. Войдите в веб-интерфейс Central Node.
2. Перейдите: **Конфигурация → Источники данных → SPAN**.
3. Включите режим приёма SPAN-трафика.
4. Укажите сетевой интерфейс для приёма трафика.
5. Укажите объём трафика (в Мбит/с).
6. Нажмите **«Сохранить»**.
> 📸 **Скриншот 1:**
> *Экран настройки SPAN-источника*
> ⚠️ После сохранения перезапустите сервисы или перезагрузите Sensor.
---
### 2.2. SMTP-трафик (KATA)
> 🔍 Цель: настроить приём почтового трафика для анализа угроз.
#### Шаги:
1. Перейдите: **Конфигурация → Источники данных → SMTP**.
2. Включите источник.
3. Укажите:
- IP-адрес почтового шлюза
- Порт (обычно 25, 587, 465)
- Протокол (STARTTLS, SSL/TLS)
4. Выберите тип отображения:
- Текущая загрузка
- Выбранный период
5. Нажмите **«Сохранить»**.
> 📸 **Скриншот 2:**
> *Настройка SMTP-источника*
> ✅ После настройки и подачи трафика вы увидите график нагрузки.
---
### 2.3. ICAP-интеграция
> 🔍 Цель: интеграция с прокси-сервером или NGFW для проверки файлов и URL.
#### Шаги:
1. Перейдите: **Конфигурация → Серверы интеграции → ICAP**.
2. Включите ICAP-сервер.
3. Запомните:
- **Хост:** `<IP Central Node>`
- **Порт:** `1344`
- **Путь:** `/icap`
4. Настройте ICAP-клиент (прокси/NGFW) на отправку запросов на этот адрес.
> 📌 **Примечание:**
> Central Node/Sensor поддерживает интеграцию по ICAP со всеми решениями, где это заявлено.
> 📸 **Скриншот 3:**
> *Экран настройки ICAP-сервера*
> 🔐 Подробнее: [Интеграция с NGFW и прокси](https://box.kaspersky.com/d/594f6df3692e4675afc8/?p=%2F&mode=list)
---
### 2.4. Клиенты NDR
> 🔍 Цель: подключить клиентов NDR для мониторинга внутренней сети.
#### Шаги:
1. Убедитесь, что лицензия **NDR** активирована.
2. Настройте клиентов NDR (Windows, Linux) по отдельной инструкции.
3. Убедитесь, что клиенты могут подключиться к Central Node по портам:
- **TCP 7423**
- **TCP 13520**
- **UDP 53**
4. Проверьте статус подключения в разделе **Мониторинг → Клиенты NDR**.
> 📸 **Скриншот 4:**
> *Список подключённых клиентов NDR*
> 📘 Подробнее: [Установка клиентов NDR](https://box.kaspersky.com/d/594f6df3692e4675afc8/?p=%2F&mode=list)
---
### 2.5. Пользовательские образы в Sandbox
> 🔍 Цель: настроить проверку файлов в пользовательских средах.
#### Шаги:
1. Перейдите: **Конфигурация → Пользовательские образы**.
2. Нажмите **«Добавить»**.
3. Укажите:
- Имя образа
- Тип ОС
- Категории файлов для анализа (например, `.exe`, `.docx`)
4. Нажмите **«Сохранить»**.
#### Создание правила запуска:
1. Перейдите: **Правила → Пользовательские правила**.
2. Нажмите **«Добавить»**.
3. Укажите:
- Категорию файла
- URL-адрес (если нужно)
- Целевой образ
4. Нажмите **«Добавить»**.
> 📸 **Скриншот 5:**
> *Создание правила для пользовательского образа*
> 💡 Только пользователи с ролью **«Старший сотрудник службы безопасности»** или **«Администратор»** могут создавать правила.
</details>
---
## 3. Внешние хранилища и фильтрация
<details>
<summary>👉 Развернуть: Хранение и фильтрация трафика</summary>
### 3.1. Включение внешнего хранилища
> 🔍 Цель: настроить хранение дампов сырого трафика на внешнем хранилище.
#### Шаги:
1. Перейдите: **Конфигурация → Внешнее хранилище**.
2. Включите режим: **«Подключить внешнее хранилище для файлов дампа трафика»**.
3. Укажите:
- Максимальный объём (в ГБ)
- Ограничение времени хранения (в днях)
4. Нажмите **«Сохранить»**.
> ⚠️ Хранение дампов доступно только в версии **KATA 7.1**.
---
### 3.2. BPF-фильтрация трафика
> 🔍 Цель: ограничить объём сохраняемого трафика с помощью фильтров.
#### Шаги:
1. В разделе **«Внешнее хранилище»** включите **фильтрацию с использованием BPF**.
2. Укажите выражение в формате **libpcap**.
##### ✅ Примеры:
```text
tcp port 102 or tcp port 502
host 192.168.1.100
port 53 and src net 10.0.0.0/8
```
> 📘 Подробнее о синтаксисе: [pcap-filter](https://www.tcpdump.org/manpages/pcap-filter.7.html)
---
### 3.3. Выгрузка дампов трафика
> 🔍 Цель: скачать дамп трафика для анализа.
#### Шаги:
1. Перейдите: **Мониторинг → Трафик**.
2. Выберите временной диапазон.
3. Укажите фильтры (BPF, IP, порт).
4. Нажмите **«Скачать»**.
5. Сохраните файл в формате **PCAP**.
> 💡 Можно дополнительно ограничить выгрузку по регулярным выражениям, например:
> `^test.+xABxCD`
> 📸 **Скриншот 6:**
> *Экран выгрузки дампа трафика*
</details>
---
## 📌 Полезные ссылки
- [Официальная документация Kaspersky](https://support.kaspersky.com/KATA/7.1/ru-RU/246841.htm)
- [Инструкция по LDAP/SSO](http://62.113.113.15/books/integracii-s-vnesnimi-sistema/page/process-podkliuceniia-kata-po-ldap-sso)
- [Создание keytab-файла](https://support.kaspersky.com/help/KATA/7.1/ru-RU/228435.htm)
- [Полная инструкция по ICAP и NDR](https://box.kaspersky.com/d/594f6df3692e4675afc8/?p=%2F&mode=list)
- [Kaspersky на YouTube](https://www.youtube.com/@KasperskyTechRussia)
- [Kaspersky на Rutube](https://rutube.ru/channel/43034214/)
---
✅ **Настройка источников завершена!**
Теперь вы можете:
- Мониторить SPAN-трафик
- Анализировать SMTP-письма
- Интегрировать с NGFW через ICAP
- Проверять файлы в пользовательских образах
- Архивировать и выгружать дампы трафика
---
Если хотите, я могу:
- Подготовить **PDF** этой статьи
- Создать **шаблон Word**
- Преобразовать в **Confluence-страницу**
- Добавить **чек-лист в Excel**
Напишите:
👉 *"Подготовь PDF"*