Skip to main content

Подключение SPAN на Central Node/Sensor

Руководство по настройке KATA/KEDR/NDR 7.1

Информация: Приведенная на данной странице инфомрация, является разработкой команды pre-sales и/или AntiAPT Community и НЕ является официальной рекомендацией вендора.

  • Версия решения: 7.1
  • Тип инструкции: Настройка источников данных (SPAN, SMTP, ICAP, EDR)

## 🗺️ Содержание


- [1. Подготовка

](#1-подготовка)

- [1.1. Обязательные условия

](#11-обязательные-условия)

П - [1.2. Лицензии и функциональность](#12-лицензии-и-функциональность)

- [1.3. Сетевые требования](#13-сетевые-требования)

- [2. Настройка SPAN-источника](#2-настройка-span-источника)

- [2.1. Добавление дополнительного интерфейса](#21-д обавление-дополнительного-интерфейса)

- [2.2. Создание точки мониторинга](#22-создание-точки-мониторинга)

- [2.3. Включением обработки трафика](#23-включение-обработки-трафика)

- [2.4. Проверка посточупления трафика](#24-проверка-поступления-трафика)

- [3. Настройка параметров хранения SPAN](#3-настройка-параметров-хранения-span)

- [3.1. Настройка объёма обрабатываемого трафика](#31-настройка-объёма-обрабатываемого-трафика)

- [3.2. Выбор протоколов для анализа](#32-выбор-протоколов-для-анализа)

- [📌 Полезные ссылки](#-полезные-ссылки)


## 1. Подготовка


<details>

<summary>👉 Развернуть: Подготовка к настройке SPAN</summary>


### 1.1. Обязательные условия


Перед настройкой приёма SPAN-трафика убедитесь, что выполнены следующие действия:


- ✅ Установлен и настроен **Central Node**

- (✅ Активирована одна из лицензий: **KATA**, **NDR** или Sensor)**KATA/NDR**

- ✅ Добавлены **дополництензионльныей ключи** KATA, NDR, KEDR

- ✅ Доступны **сетевыеой интерфейсы** для(кроме приёма SPAN/SMTP-трафикаManagement)

- ✅ НИнтерфейс находится в состоянии **«Не инициализироевано время (»**NTP**) и имя сервера

- ✅ СИмеется дозступ к веб-интерфейсу подана учётнаяой записью **Офицера безопасности**`admin`

⚠️

---


### Без лицензий соответствующий функционал не будет доступен.

1.2. Лицензии и функциональность


| Лицензия | Отв

Тречабуется за |для

|--------|------------|

| **KATA** |

Анализ периметров,а обрабосеткаи: сетевыхая ипесточниковца (SMTP,Network SPAN,Sandbox), ICAP)пограничный |IDS, анализ SMTP/ICAP-трафика

| **NDR** |

Защита внутренней сети: NTA-анализ, ретроспективный поиск, выявление горизонтального перемещения, **запись и хранение SPAN-трафика**

**KATA/NDR**

Комбинированный функционал: защита периметра + внутренней сети


<details>

<summary>🔎 Подробное описание функционала (скрыто)</summary>


#### 🔹 **KATA**

- Обеспечивает **защиту периметра IT-инфраструктуры**

- Включает **сетевую песочницу (Network Sandbox)** — автоматическую проверку подозрительных объектов

- Реализует функции **пограничного IDS**

- Поддерживает анализ трафика от почтовых шлюзов (SMTP), прокси и NGFW

- Позволяет анализировать трафик на границе сети


#### 🔹 **NDR (Network Detection and Response)**

- Предназначен для **обнаружения сложных атак во внутренней сети**

- Выполняет **глубокий анализ сетевого трафика (NTA)**:

- Построение карты сетевой акти,вности

- Выявление скрытых C2-каналов

- Обнаружение **горизонтального перемещения** злоумышленника

- Ретроспективный анализ |событий за весь период хранения данных

|- **KEDR**Записывает |и Рхранит обрабатываемый SPAN-трафик**

- Использует правила IDS для детектирования аномалий во внутреннем трафике

- Интегрируется с EDR-агентами для корреляции событий


#### 🔹 **KATA/NDR**

- Объединяет возможности KATA и NDR

- Позволяет **одновременно EDR,защищать сбопер телеиметр и внутреннюю сеть**

- Центральный узел может принимать данные как от периметровых источников, так и от Sensor, анализирующих внутренний трафик

- Поддерживает единый интерфейс управления, корреляцию событий между периметром и внутренней сетью


> ⚠️ **ВАЖНО:**

> Без активации соответствующей лицензии функционал **приёма и обработки SPAN-трафика будечт недоступен**.

> Для записи и хранения сыхрого точрафика трекбуется |**лицензия NDR или KATA/NDR**.


> 💡 **ПриРекомечнданциея:**

> ПередДля подлной защиты реключоменидуемтся использовать кочмбиникров убедитесь, что аннужныею лицензию **KATA/NDR**, обеспечивающую покрытие как периметра, так и аквнутренней сетивированы.


</details>


---


### 1.3. Сетевые требования


####Данный 🔹пункт Пописывает процесс настыройки Central Node для анализа кополученияи трафика


| Интерфейс | Назначение | Порт / Протокол |

|----------|----------|------------------|

| Management | Управление, веб-интерфейс | TCP 8443 |

| SPAN | Приём зеркалирповданного с внутрафика | TCP/UDP любой (зависит от протокола) |

| SMTP | Приём почтовоеннего или внешнего сегментрафика | TCP 25, 587, 465 |

| ICAP | Инсетеграция с прокси/NGFW | TCP 1344 |.


> ⚠️ **ВАЖНО:**

> Для включения анализа сетевого трафика **обязательно должен быть добавлен дополнительный сетевой интерфейс** (кроме Management).


####> ℹ️ **Примечание:**

> В версию KATA 7.1 добавлена возможность записи, хранения и выгрузки копий сырого сетевого трафика. В данном документе этот функционал описан не будет, только настройка приема SPAN. Детально по данному функционалу можно ознакомиться в [онлайн документации](https://support.kaspersky.com/help/KATA/7.1/ru-RU/228435.htm).


---


<details>

<summary>ℹ️ Примечание: Ограничения производительности и масштабирование</summary>


### 🔹 ТМинимальные и максимальные требования к объёму SPAN-трафика


| ОКонфигурация | Минимальный объём SPAN-трафика | Минаксимальный оебъём значение паSPAN-траметрфика |

|--------------|-------------------------------|----------------------------------|

| ДоФизический 500сервер + выделенный Sensor | 100 Мбит/с | 50010 000 Мбит/с |

| 500–1000Виртуальная платформа + выделенный Sensor | 100 Мбит/с | 10004 000 Мбит/с |

| БCentral Node сол встроеенным 1000Sensor (Embedded Sensor) | 100 Мбит/с | 15001 000 Мбит/с |


> 💡ℹ️ **Пояснение:**

> - Значение **100 Мбит/с** указано как **рекомендуемый порог**, используемый при са́йзинге и проектировании.

> - Система **стабильно работает при объёмах ниже 100 Мбит/с**, например, в пилотных или тестовых средах.

> - Это значение **не является жёстким ограничением**, а служит ориентиром для расчёта ресурсов.

> - При объёмах ниже 100 Мбит/с **са́йзинг не изменяется** — аппаратные требования остаются теми же.


---

### 🔹 Масштабирование через распределённую архитектуру


Если объём SPAN-трафика превышает возможности одной инсталляции:


- На виртуальной платформе: максимум **4000 Мбит/с на одну Central Node с Sensor**

- На физической платформе: максимум **10 000 Мбит/с на один Sensor**


При необходимостсяи обработать больший объём:


1. **Разделите трафик между несколькими независимыми инстаченлляциями**

2. — выбира**Используйте физическую платформу**

3. **Объедините инсталляцижи в иерайрхическую структуру (PCN + SCN)**


> 📘 Подробнее: [Распределённое решение бои мульштитее**.нантность](https://support.kaspersky.com/help/KATA/7.1/ru-RU/247445.htm)


</details>


</details>


---


## 2. Настройка SPAN-источников

а


<details>

<summary>👉 Развернуть: Настройка источки мониктов дринганных</summary>


### 2.1. SPAN-Добавление дополнитрафик (NDR)


> 🔍 Цель: настроить приём зеркалированного интерафика для анализа внутренней сети.а


#### Шаги:

1. Войдите в веб-интерфейс Central Node.Node под учётной записью `admin`.

2. Перейдите: **КонфигуПарацияметрыИсСеточникиевые дпаннраметрыхSPAN*Сетевые интерфейсы**.

3. ВключУбедитесь, рчто добавлежимн доприёма SPAN-трафика.

4. Укажолните сетевольный интерфейс и он находлится приёма трафика.

5. Укажите объём трафика (в Мбсостоянит/с).

6. Нажмите **«СНе инициализирохрванить»**.


> 📸 **Скриншот 1:**

> *Экран нас"Сетройки SPAN-источника*


> ⚠️ Послевые сохраинения птерфезапустите сервийсы или перезагрузите Sensor."*


---


### 2.2. SMTP-Создание точки мониторингафик (KATA)


> 🔍 Цель: создать точку монастроитьоринга для приёма почтового SPAN-трафика для анализа угроз.


#### Шаги:

1. Перейдите: **КонфигуСерацияверы → Источники данных → SMTP*Sensor**.

2. ВключНайдите интерфейс в состочяник.

3.и Ук**«Не инициажлите:

зирован»**, - IP-адпрес подназначтового шлюза

- Порт (обычно 25, 587, 465)

- Протокол (STARTTLS, SSL/TLS)

4. Выберите тип отображения:

- Текущая загрузка

- Выбранный для периодёма SPAN.

5.3. Нажмите **«СДохрбавить точку монитьоринга»** на этом интерфейсе.


> 📸 **Скриншот 2:**

> *НастрКнойпка SMTP-"Добависть точку моникторинга"*


>4. В Поткрывшемсля окне настройки и подачи трафиука вы увидите график нагрузки.


---


2.3. ICAP-интеграция


> 🔍 Цель: интеграция с прокси-сервером или NGFW для проверки файлов и URL.


#### Шаги:

1. Перейдите: **Конфигурация → Серверы интеграции → ICAP**.

2. Включите ICAP-сервер.

3. Запомнжите:

- **ХИмя тосчки монит:оринга** (например, `<IP Central Node>`SPAN_Internal`)

5. -Нажмите **П«Дорт:** `1344`

- **Пубавить:** `/icap`

4. Настройте ICAP-клиент (прокси/NGFW) на отправчку запрмосов на эитот рингадрес»**.


> 📌 **Примечание:**

> CentralТочки Node/Sensorмониторинга можно **включать и выключать** для временного поддрерживает интегкрацию по ICAP со всеми решщения наблюдения за сегментом сети.


</details>


---


### 2.3. Включение обработки трафика


1. После создания точки мониторинга откроется её экран.

2. Убедитесь, где эчто в разделе **«Режим»** указано состоявние **«Выключен»**.

3. Нажмите кнопку **«Включить»**.


> 📸 **Скриншот 3:**

> *ЭОкрано настройчки ICAP-мониторинга сервера кнопкой "Включить"*


> 🔐Режим Подробнее: [Интеграцботкия SPAN-трафика перейдёт в **активное с NGFW остояни прокси](https://box.kaspersky.com/d/594f6df3692e4675afc8/?p=%2F&mode=list)е**.


---


### 2.4. Клиенты NDR


> 🔍 Цель: подключить клиентов NDR для мониторинга внутренней сети.


#### Шаги:

1. Убедитесь, что лицензия **NDR** активирована.

2. Настройте клиентов NDR (Windows, Linux) по отдельной инструкции.

3. Убедитесь, что клиенты могут подключиться к Central Node по портам:

- **TCP 7423**

- **TCP 13520**

- **UDP 53**

4. Проверьте сткатус подкступлючения в тразфика


1. Перейдителе: **Мониторинг → КлОбработано**.

2. Выберите источник: **SPAN**.

3. Укажите тип отображения:

- **Текущая загрузка**

- **Выбранный период** (настыраивается NDR**.в правом верхнем углу)


> 📸 **Скриншот 4:**

> *СпГрафисок нагрузки под SPAN-трафиключённых клиентов NDR*у*


> 📘 ПЕсли SPAN-трафик подробнее: [Уаётстановка клиентов NDR](https://box.kaspersky.com/d/594f6df3692e4675afc8/?p=%2F&mode=list)


---


### 2.5. Пользовательские образы в Sandbox


> 🔍 Цель:я нас интроить проверку фаейловс, вы пользоувательских средах.


#### Шаги:

1. Перейдите: **Конграфигурацияк по Пользовательские образы**.

2. Нажмите **«Добавить»**.

3. Укажите:

- Имя образа

- Тип ОС

- Категории файлов для аналигруза (напримкер, `.exe`, `.docx`)

4. Нажмите **«Сохранить»**.


#### Создание правила запуска:

1. Перейдите: **Правила → Пользовательские правила**.

2. Нажмите **«Добавить»**.

3. Укажите:

- Категорию файла

- URL-адрес (если нужно)

- Целевой образ

4. Нажмите **«Добавить»**.


> 📸💡 **СкПримечаншот 5:ие:**

> *СоздДаниные правила для пользовательского обнаруженным аномалиям и угрозам будут отобразжаться в веб-интерфейсе *


> 💡 Только польд учётной зователпи с ролью **«СтОфицерарший сотрудник службы безопасности»** или **«Администратор»** могут создавать правила.


</details>


---


## 3. ВнНастройка парамешниетров хранилища и фильтрацения SPAN


<details>

<summary>👉 Развернуть: ХНастройка через конение и фисольтрация трафика</summary>


### 3.1. ВНастройка объёма обрабатываемого трафика


> ⚠️ **Обязательно выполните эти настройки**, если на узле (CN или Sensor) получен SPAN.


#### Через SSH-консоль:

1. Подключитесь к Central Node по SSH под учётной записью `admin`.

2. Запустите меню настроек:

```bash

kata-admin-menu

```

3. Перейдите: **Program settings → Configure storage**.

4. Установите значение, соответствующее вашему объёму SPAN-трафика, согласно таблице:


| Объём SPAN-трафика | File storage, MB | Hot ring, MB |

|--------------------|------------------|--------------|

| 10000 Мбит/с | 96000 | 10240 |

| 7000 Мбит/с | 72000 | 8192 |

| 4000 Мбит/с | 48000 | 4096 |

| 2000 Мбит/с | 24000 | 2048 |

| 1000 Мбит/с | 12000 | 1024 |


> 📌 **Примечание:**

> - Если объём данных меньше указаненого хв таблице — выбирайте минимальное значение.

> - Еслищ объём находится между двумя значениями — выбирайте **максимальное**.


> 💡 **ВАЖНО:**

> Эти настройки **обязательны** для **Central Node** и **выделенного Sensor**, независимо от того, где был подан SPAN-трафик.


---


### 3.2. Выбор протоколов для анализа


> 🔍 Цель: настроить хранполучение дампов сырого трафика только по на вужнешнеым хпротоколанилищем.


#### ШагиЧерез SSH-консоль:

1. Подключитесь к Central Node по SSH.

2. Введите:

```bash

kata-admin-menu

```

3. Перейдите: **КонфигурацияProgram settingsВнешнееConfigure хранилище*traffic capture → Setup capture protocols**.

2.4. Выберите протоколы, которые нужно анализировать:

- По умолчанию включены все, кроме HTTP2.

- Чтобы включите режим: **«Пь/одтключить впротокол — нешнее хранилище для файлов дампа трафика»**.

3. Укажмите:

-**Enter** Мна строксимальный объём (в ГБ)е.

- Ограничение времени хранения (в днях)

4.5. Нажмите **«Сохранить»*Apply and Exit**.


> ⚠️ ХСетевые пранотоколы для получение дампов доступно только в версии **KATA 7.1**.


---


### 3.2. BPF-фильтрация трафика


> 🔍 Цель: ограничить объём сохраняемого SPAN-трафика сбудут помощью фильтров.


#### Шаги:

1. В разделе **«Внешнее хыбранилище»** включите **фильтрацию с использованием BPF**ы.

2. Укажите выражение в формате **libpcap**.


##### ✅ Примеры:

```text

tcp port 102 or tcp port 502

host 192.168.1.100

port 53 and src net 10.0.0.0/8

```


> 📘 Подробнее о синтаксисе: [pcap-filter](https://www.tcpdump.org/manpages/pcap-filter.7.html)


---


### 3.3. Выгрузка дампов трафика


> 🔍 Цель: скачать дамп трафика для анализа.


#### Шаги:

1. Перейдите: **Мониторинг → Трафик**.

2. Выберите временной диапазон.

3. Укажите фильтры (BPF, IP, порт).

4. Нажмите **«Скачать»**.

5. Сохраните файл в формате **PCAP**.


> 💡 Можно дополнительно ограничить выгрузку по регулярным выражениям, например:

> `^test.+xABxCD`


> 📸 **Скриншот 6:**

> *Экран выгрузки дампа трафика*


</details>


---


## 📌 Полезные ссылки


- [Официальная документация Kaspersky](https://support.kaspersky.com/KATA/7.1/ru-RU/246841.htm)

- [ИнНаструойкца SPAN-трафияка п(о LDAP/SSO](http://62.113.113.15/books/integracii-s-vnesnimi-sistema/page/process-podkliuceniia-kata-po-ldap-sso)

- [Создание keytab-флайлан)](https://support.kaspersky.com/help/KATA/7.1/ru-RU/228435.htm)

- [ПРаспределённоле решеная инструкция по ICAPе и NDR]мультитенантность](https://box.support.kaspersky.com/d/594f6df3692e4675afc8/?p=%2F&mode=list)help/KATA/7.1/ru-RU/247445.htm)

- [Kaspersky на YouTube](https://www.youtube.com/@KasperskyTechRussia)

- [Kaspersky на Rutube](https://rutube.ru/channel/43034214/)

- [Полная инструкция по NDR и Sensor](https://box.kaspersky.com/d/594f6df3692e4675afc8/?p=%2F&mode=list)


---


✅ **Настройка присёма SPAN-точнрафикова завершена!**

Теперь выCentral можете:Node:

- МоПринимает зеркалироритьванный SPAN-трафик

- Анализирует выбранные провать SMTP-письмаоколы

- ИОтображает статистику в реальном времени

- Готов к детегрктированию угроз во внутьренней с NGFW через ICAP

- Проверять файлы в пользовательских образах

- Архивировать и выгружать дампы трафика


---


Если хотите, я могу:

- Подготовить **PDF** этой статьи

- Создать **шаблон Word**

- Преобразовать в **Confluence-страницу**

- Добавить **чек-лист в Excel**


Напишите:

👉 *"Подготовь PDF"*

Back to top