Настройка приёма SPAN-трафика на Central Node/Sensor и Sensor
Руководство по настройке KATA/KEDR/NDR 7.1
Информация: Приведенная на данной странице инфомрация, является разработкой команды pre-sales и/или AntiAPT Community и НЕ является официальной рекомендацией вендора.
- Версия решения: 7.1
- Тип инструкции: Настройка источников данных
(SPAN, SMTP, ICAP, EDR)SPAN
## 🗺️ Содержание
- [1. Подготовка
](#1-подготовка)
- [1.1. Обязательные условия
](#11-обязательные-условия)
- [1.2. Лицензии и функциональность](#12-лицензии-и-функциональность)
- [1.3. Сетевые требования](#13-сетевые-требования)
- [2. Настройка SPAN-источника](#2-настройка-span-источника)
- [2.1. Добавление дополнительного интерфейса](#21-добавление-дополнительного-интерфейса)
- [2.2. Создание точки мониторинга](#22-создание-точки-мониторинга)
- [2.3. Включение обработки трафика](#23-включение-обработки-трафика)
- [2.4. Проверка поступления трафика](#24-проверка-поступления-трафика)
- [3. Настройка параметров хранения SPAN](#3-настройка-параметров-хранения-span)
- [3.1. Настройка объёма обрабатываемого трафика](#31-настройка-объёма-обрабатываемого-трафика)
- [3.2. Выбор протоколов для анализа](#32-выбор-протоколов-для-анализа)
- [📌 Полезные ссылки](#-полезные-ссылки)
## 1. Подготовка
<details>
<summary>👉 Развернуть: Подготовка к настройке SPAN</summary>
### 1.1. Обязательные условия
Перед настройкой приёма SPAN-трафика убедитесь, что:
- ✅ Установлен и настроен **Central Node**Node
- ✅ Активирована одна из лицензий: **KATA**KATA, **NDR**NDR или **KATA/NDR**NDR
- ✅ Добавлен **дополнительный сетевой интерфейс** (кроме Management)
- ✅ Интерфейс находится в состоянии **«Не инициализирован»**
- ✅ Имеется доступ к веб-интерфейсу под учётной записью `admin`admin`
---
###
1.2. Лицензии и функциональность
Лицензия | Требуется для |
| Анализ периметра сети: сетевая песочница (Network Sandbox), пограничный IDS, анализ SMTP/ICAP-трафика |
| Защита внутренней сети: NTA-анализ, ретроспективный поиск, выявление горизонтального перемещения, |
| Комбинированный функционал: защита периметра + внутренней сети |
<details>
<summary>
🔎 Подробное описание функционала (скрыто)</summary>
🔹KATA
#### 🔹 **KATA**
- Обеспечивает **защиту периметра IT-инфраструктуры**
- Включает **сетевую песочницу (Network Sandbox)** — автоматическую проверку подозрительных объектов
- Реализует функции **пограничного IDS**IDS
- Поддерживает анализ трафика от почтовых шлюзов (SMTP), прокси и NGFW
- Позволяет анализировать трафик на границе сети
####
🔹 **NDR (Network Detection and Response)**
- Предназначен для **обнаружения сложных атак во внутренней сети**
- Выполняет **глубокий анализ сетевого трафика (NTA)**:
- Построение карты сетевой активности
- Выявление скрытых C2-каналов
- Обнаружение **горизонтального перемещения** злоумышленника
- Ретроспективный анализ событий за весь период хранения данных
- **Записывает и хранит обрабатываемый SPAN-трафик**
- Использует правила IDS для детектирования аномалий во внутреннем трафике
- Интегрируется с EDR-агентами для корреляции событий
####
🔹 **KATA/NDR**NDR
- Объединяет возможности KATA и NDR
- Позволяет **одновременно защищать периметр и внутреннюю сеть**
- Центральный узел может принимать данные как от периметровых источников, так и от Sensor, анализирующих внутренний трафик
- Поддерживает единый интерфейс управления, корреляцию событий между периметром и внутренней сетью
> ⚠️ **ВАЖНО:**
> Без активации соответствующей лицензии функционал **приёма и обработки SPAN-трафика будет недоступен**.
> Для записи и хранения сырого трафика требуется **лицензия NDR или KATA/NDR**.
> 💡 **Рекомендация:**
> Для полной защиты рекомендуется использовать комбинированную лицензию **KATA/NDR**, обеспечивающую покрытие как периметра, так и внутренней сети.
</details>
---
### 1.3. Сетевые требования
Данный пункт описывает процесс настройки Central Node для анализа копии трафика, поданного с внутреннего или внешнего сегмента сети.
> ⚠️ **ВАЖНО:**
> Для включения анализа сетевого трафика обязательно должен быть добавлен дополнительный интерфейс.
> ℹ️ **Примечание:**
> В версию KATA 7.1 добавлена возможность записи, хранения и выгрузки копий сырого сетевого трафика. В данном документе этот функционал описан не будет, только настройка приема SPAN. Детально по данному функционалу можно ознакомиться в [онлайн документации](https://support.kaspersky.com/help/KATA/7.1/ru-RU/228435.htm).
---
<details>
<summary>ℹ️ Примечание: Ограничения производительности и масштабирование</summary>
### 🔹 Минимальные и максимальные требования к объёму SPAN-трафика
| Конфигурация | Минимальный объём SPAN-трафика | Максимальный объём SPAN-трафика |
|--------------|-------------------------------|----------------------------------|
| Физический сервер + выделенный Sensor | 100 Мбит/с | 10 000 Мбит/с |
| Виртуальная платформа + выделенный Sensor | 100 Мбит/с | 4 000 Мбит/с |
| Central Node со встроенным Sensor (Embedded Sensor) | 100 Мбит/с | 1 000 Мбит/с |
> ℹ️ **Пояснение:**
> - Значение **100 Мбит/с** указано как **рекомендуемый порог**, используемый при са́йзинге и проектировании.
> - Система **стабильно работает при объёмах ниже 100 Мбит/с**, например, в пилотных или тестовых средах.
> - Это значение **не является жёстким ограничением**, а служит ориентиром для расчёта ресурсов.
> - При объёмах ниже 100 Мбит/с **са́йзинг не изменяется** — аппаратные требования остаются теми же.
---
### 🔹 Масштабирование через распределённую архитектуру
Если объём SPAN-трафика превышает возможности одной инсталляции:
- На виртуальной платформе: максимум **4000 Мбит/с на одну Central Node с Sensor**
- На физической платформе: максимум **10 000 Мбит/с на один Sensor**
При необходимости обработать больший объём:
1. **Разделите трафик между несколькими независимыми инсталляциями**
2. **Используйте физическую платформу**
3. **Объедините инсталляции в иерархическую структуру (PCN + SCN)**
> 📘 Подробнее: [Распределённое решение и мультитенантность](https://support.kaspersky.com/help/KATA/7.1/ru-RU/247445.htm)
</details>
</details>
---
## 2. Настройка SPAN-источника
<details>
<summary>👉 Развернуть: Настройка точки мониторинга</summary>
### 2.1. Добавление дополнительного интерфейса
1. Войдите в веб-интерфейс Central Node под учётной записью `admin`.
2. Перейдите: **Параметры → Сетевые параметры → Сетевые интерфейсы**.
3. Убедитесь, что добавлен дополнительный интерфейс и он находится в состоянии **«Не инициализирован»**.
> 📸 **Скриншот 1:**
> *Экран "Сетевые интерфейсы"*
---
### 2.2. Создание точки мониторинга
> 🔍 Цель: создать точку мониторинга для приёма SPAN-трафика.
#### Шаги:
1. Перейдите: **Серверы Sensor**.
2. Найдите интерфейс в состоянии **«Не инициализирован»**, предназначенный для приёма SPAN.
3. Нажмите **«Добавить точку мониторинга»** на этом интерфейсе.
> 📸 **Скриншот 2:**
> *Кнопка "Добавить точку мониторинга"*
4. В открывшемся окне укажите:
- **Имя точки мониторинга** (например, `SPAN_Internal`)
5. Нажмите **«Добавить точку мониторинга»**.
> 📌 **Примечание:**
> Точки мониторинга можно **включать и выключать** для временного прекращения наблюдения за сегментом сети.
</details>
---
### 2.3. Включение обработки трафика
1. После создания точки мониторинга откроется её экран.
2. Убедитесь, что в разделе **«Режим»** указано состояние **«Выключен»**.
3. Нажмите кнопку **«Включить»**.
> 📸 **Скриншот 3:**
> *Окно точки мониторинга с кнопкой "Включить"*
✅ Режим обработки SPAN-трафика перейдёт в **активное состояние**.
---
### 2.4. Проверка поступления трафика
1. Перейдите: **Мониторинг → Обработано**.
2. Выберите источник: **SPAN**.
3. Укажите тип отображения:
- **Текущая загрузка**
- **Выбранный период** (настраивается в правом верхнем углу)
> 📸 **Скриншот 4:**
> *График нагрузки по SPAN-трафику*
> ✅ Если SPAN-трафик подаётся на интерфейс, вы увидите график по нагрузке.
> 💡 **Примечание:**
> Данные по обнаруженным аномалиям и угрозам будут отображаться в веб-интерфейсе **только под учётной записью «Офицера безопасности»**.
</details>
---
## 3. Настройка параметров хранения SPAN
<details>
<summary>👉 Развернуть: Настройка через консоль</summary>
### 3.1. Настройка объёма обрабатываемого трафика
> ⚠️ **Обязательно выполните эти настройки**, если на узле (CN или Sensor) получен SPAN.
#### Через SSH-консоль:
1. Подключитесь к Central Node по SSH под учётной записью `admin`.
2. Запустите меню настроек:
```bash
```
3. Перейдите: **Program settings → Configure storage**.
4. Установите значение, соответствующее вашему объёму SPAN-трафика, согласно таблице:
| Объём SPAN-трафика | File storage, MB | Hot ring, MB |
|--------------------|------------------|--------------|
| 10000 Мбит/с | 96000 | 10240 |
| 7000 Мбит/с | 72000 | 8192 |
| 4000 Мбит/с | 48000 | 4096 |
| 2000 Мбит/с | 24000 | 2048 |
| 1000 Мбит/с | 12000 | 1024 |
> 📌 **Примечание:**
> - Если объём данных меньше указанного в таблице — выбирайте минимальное значение.
> - Если объём находится между двумя значениями — выбирайте **максимальное**.
> 💡 **ВАЖНО:**
> Эти настройки **обязательны** для **Central Node** и **выделенного Sensor**, независимо от того, где был подан SPAN-трафик.
---
### 3.2. Выбор протоколов для анализа
> 🔍 Цель: настроить получение трафика только по нужным протоколам.
#### Через SSH-консоль:
1. Подключитесь к Central Node по SSH.
2. Введите:
```bash
```
3. Перейдите: **Program settings → Configure traffic capture → Setup capture protocols**.
4. Выберите протоколы, которые нужно анализировать:
- По умолчанию включены все, кроме HTTP2.
- Чтобы включить/отключить протокол — нажмите **Enter** на строке.
5. Нажмите **Apply and Exit**.
> ✅ Сетевые протоколы для получения SPAN-трафика будут выбраны.
</details>
---
## 📌 Полезные ссылки
- [Официальная документация Kaspersky](https://support.kaspersky.com/KATA/7.1/ru-RU/246841.htm)
- [Настройка SPAN-трафика (онлайн)](https://support.kaspersky.com/help/KATA/7.1/ru-RU/228435.htm)
- [Распределённое решение и мультитенантность](https://support.kaspersky.com/help/KATA/7.1/ru-RU/247445.htm)
- [Kaspersky на YouTube](https://www.youtube.com/@KasperskyTechRussia)
- [Kaspersky на Rutube](https://rutube.ru/channel/43034214/)
- [Полная инструкция по NDR и Sensor](https://box.kaspersky.com/d/594f6df3692e4675afc8/?p=%2F&mode=list)
---
✅ **Настройка приёма SPAN-трафика завершена!**
Теперь Central Node:
- Принимает зеркалированный трафик
- Анализирует выбранные протоколы
- Отображает статистику в реальном времени
- Готов к детектированию угроз во внутренней сети
---
Если хотите, я могу:
- Подготовить **PDF** этой статьи
- Создать **шаблон Word**
- Преобразовать в **Confluence-страницу**
- Добавить **чек-лист в Excel**
Напишите:
👉 *"Подготовь PDF"*