Skip to main content

Подключение источников на Central Node/Sensor

Руководство по настройке KATA/KEDR/NDR 7.1

Информация: Приведенная на данной странице инфомрация, является разработкой команды pre-sales и/или AntiAPT Community и НЕ является официальной рекомендацией вендора.

  • Версия решения: 7.1
  • Тип инструкции: Настройка источников данных (SPAN, SMTP, ICAP, EDR)

1. Подготовка

1.1. Обязательные условия

Перед подключением источников убедитесь, что выполнены следующие действия:

- ✅ Установлен и настроен **Central Node** (или Sensor)

- ✅ Добавлены **лицензионные ключи** KATA, NDR, KEDR

- ✅ Доступны **сетевые интерфейсы** для приёма SPAN/SMTP-трафика

- ✅ Настроено время (**NTP**) и имя сервера

- ✅ Создана учётная запись **Офицера безопасности**

⚠️ Без лицензий соответствующий функционал не будет доступен.

1.2. Лицензии и функциональность


| Лицензия | Отвечает за |

|--------|------------|

| **KATA** | Анализ периметров, обработка сетевых источников (SMTP, SPAN, ICAP) |

| **NDR** | Защита внутренней сети, построение карты сети, ретроспективный анализ |

| **KEDR** | Работа агентов EDR, сбор телеметрии с конечных точек |


> 💡 **Примечание:**

> Перед подключением источников убедитесь, что нужные лицензии активированы.


---


1.3. Сетевые требования


#### 🔹 Порты для получения трафика


| Интерфейс | Назначение | Порт / Протокол |

|----------|----------|------------------|

| Management | Управление, веб-интерфейс | TCP 8443 |

| SPAN | Приём зеркалированного трафика | TCP/UDP любой (зависит от протокола) |

| SMTP | Приём почтового трафика | TCP 25, 587, 465 |

| ICAP | Интеграция с прокси/NGFW | TCP 1344 |


> ⚠️ **ВАЖНО:**

> Для анализа сетевого трафика **обязательно должен быть добавлен дополнительный сетевой интерфейс** (кроме Management).


#### 🔹 Требования к объёму трафика


| Объём SPAN-трафика | Минимальное значение параметра |

|--------------------|-------------------------------|

| До 500 Мбит/с | 500 |

| 500–1000 Мбит/с | 1000 |

| Более 1000 Мбит/с | 1500 |


> 💡 Если объём находится между значениями — выбирайте **ближайшее большее**.


</details>


---


2. Настройка источников


<details>

<summary>👉 Развернуть: Настройка источников данных</summary>


2.1. SPAN-трафик (NDR)


> 🔍 Цель: настроить приём зеркалированного трафика для анализа внутренней сети.


#### Шаги:

1. Войдите в веб-интерфейс Central Node.

2. Перейдите: **Конфигурация → Источники данных → SPAN**.

3. Включите режим приёма SPAN-трафика.

4. Укажите сетевой интерфейс для приёма трафика.

5. Укажите объём трафика (в Мбит/с).

6. Нажмите **«Сохранить»**.


> 📸 **Скриншот 1:**

> *Экран настройки SPAN-источника*


> ⚠️ После сохранения перезапустите сервисы или перезагрузите Sensor.


---


2.2. SMTP-трафик (KATA)


> 🔍 Цель: настроить приём почтового трафика для анализа угроз.


#### Шаги:

1. Перейдите: **Конфигурация → Источники данных → SMTP**.

2. Включите источник.

3. Укажите:

- IP-адрес почтового шлюза

- Порт (обычно 25, 587, 465)

- Протокол (STARTTLS, SSL/TLS)

4. Выберите тип отображения:

- Текущая загрузка

- Выбранный период

5. Нажмите **«Сохранить»**.


> 📸 **Скриншот 2:**

> *Настройка SMTP-источника*


> ✅ После настройки и подачи трафика вы увидите график нагрузки.


---


2.3. ICAP-интеграция


> 🔍 Цель: интеграция с прокси-сервером или NGFW для проверки файлов и URL.


#### Шаги:

1. Перейдите: **Конфигурация → Серверы интеграции → ICAP**.

2. Включите ICAP-сервер.

3. Запомните:

- **Хост:** `<IP Central Node>`

- **Порт:** `1344`

- **Путь:** `/icap`

4. Настройте ICAP-клиент (прокси/NGFW) на отправку запросов на этот адрес.


> 📌 **Примечание:**

> Central Node/Sensor поддерживает интеграцию по ICAP со всеми решениями, где это заявлено.


> 📸 **Скриншот 3:**

> *Экран настройки ICAP-сервера*


> 🔐 Подробнее: [Интеграция с NGFW и прокси](https://box.kaspersky.com/d/594f6df3692e4675afc8/?p=%2F&mode=list)


---


### 2.4. Клиенты NDR


> 🔍 Цель: подключить клиентов NDR для мониторинга внутренней сети.


#### Шаги:

1. Убедитесь, что лицензия **NDR** активирована.

2. Настройте клиентов NDR (Windows, Linux) по отдельной инструкции.

3. Убедитесь, что клиенты могут подключиться к Central Node по портам:

- **TCP 7423**

- **TCP 13520**

- **UDP 53**

4. Проверьте статус подключения в разделе **Мониторинг → Клиенты NDR**.


> 📸 **Скриншот 4:**

> *Список подключённых клиентов NDR*


> 📘 Подробнее: [Установка клиентов NDR](https://box.kaspersky.com/d/594f6df3692e4675afc8/?p=%2F&mode=list)


---


### 2.5. Пользовательские образы в Sandbox


> 🔍 Цель: настроить проверку файлов в пользовательских средах.


#### Шаги:

1. Перейдите: **Конфигурация → Пользовательские образы**.

2. Нажмите **«Добавить»**.

3. Укажите:

- Имя образа

- Тип ОС

- Категории файлов для анализа (например, `.exe`, `.docx`)

4. Нажмите **«Сохранить»**.


#### Создание правила запуска:

1. Перейдите: **Правила → Пользовательские правила**.

2. Нажмите **«Добавить»**.

3. Укажите:

- Категорию файла

- URL-адрес (если нужно)

- Целевой образ

4. Нажмите **«Добавить»**.


> 📸 **Скриншот 5:**

> *Создание правила для пользовательского образа*


> 💡 Только пользователи с ролью **«Старший сотрудник службы безопасности»** или **«Администратор»** могут создавать правила.


</details>


---


## 3. Внешние хранилища и фильтрация


<details>

<summary>👉 Развернуть: Хранение и фильтрация трафика</summary>


### 3.1. Включение внешнего хранилища


> 🔍 Цель: настроить хранение дампов сырого трафика на внешнем хранилище.


#### Шаги:

1. Перейдите: **Конфигурация → Внешнее хранилище**.

2. Включите режим: **«Подключить внешнее хранилище для файлов дампа трафика»**.

3. Укажите:

- Максимальный объём (в ГБ)

- Ограничение времени хранения (в днях)

4. Нажмите **«Сохранить»**.


> ⚠️ Хранение дампов доступно только в версии **KATA 7.1**.


---


### 3.2. BPF-фильтрация трафика


> 🔍 Цель: ограничить объём сохраняемого трафика с помощью фильтров.


#### Шаги:

1. В разделе **«Внешнее хранилище»** включите **фильтрацию с использованием BPF**.

2. Укажите выражение в формате **libpcap**.


##### ✅ Примеры:

```text

tcp port 102 or tcp port 502

host 192.168.1.100

port 53 and src net 10.0.0.0/8

```


> 📘 Подробнее о синтаксисе: [pcap-filter](https://www.tcpdump.org/manpages/pcap-filter.7.html)


---


### 3.3. Выгрузка дампов трафика


> 🔍 Цель: скачать дамп трафика для анализа.


#### Шаги:

1. Перейдите: **Мониторинг → Трафик**.

2. Выберите временной диапазон.

3. Укажите фильтры (BPF, IP, порт).

4. Нажмите **«Скачать»**.

5. Сохраните файл в формате **PCAP**.


> 💡 Можно дополнительно ограничить выгрузку по регулярным выражениям, например:

> `^test.+xABxCD`


> 📸 **Скриншот 6:**

> *Экран выгрузки дампа трафика*


</details>


---


## 📌 Полезные ссылки


- [Официальная документация Kaspersky](https://support.kaspersky.com/KATA/7.1/ru-RU/246841.htm)

- [Инструкция по LDAP/SSO](http://62.113.113.15/books/integracii-s-vnesnimi-sistema/page/process-podkliuceniia-kata-po-ldap-sso)

- [Создание keytab-файла](https://support.kaspersky.com/help/KATA/7.1/ru-RU/228435.htm)

- [Полная инструкция по ICAP и NDR](https://box.kaspersky.com/d/594f6df3692e4675afc8/?p=%2F&mode=list)

- [Kaspersky на YouTube](https://www.youtube.com/@KasperskyTechRussia)

- [Kaspersky на Rutube](https://rutube.ru/channel/43034214/)


---


✅ **Настройка источников завершена!**

Теперь вы можете:

- Мониторить SPAN-трафик

- Анализировать SMTP-письма

- Интегрировать с NGFW через ICAP

- Проверять файлы в пользовательских образах

- Архивировать и выгружать дампы трафика


---


Если хотите, я могу:

- Подготовить **PDF** этой статьи

- Создать **шаблон Word**

- Преобразовать в **Confluence-страницу**

- Добавить **чек-лист в Excel**


Напишите:

👉 *"Подготовь PDF"*

Back to top