Skip to main content

Настройка приёма SPAN-трафика на Central Node/Sensor и Sensor

Руководство по настройке KATA/KEDR/NDR 7.1

Информация: Приведенная на данной странице инфомрация, является разработкой команды pre-sales и/или AntiAPT Community и НЕ является официальной рекомендацией вендора.

  • Версия решения: 7.1
  • Тип инструкции: Настройка источников данных SPAN
1. Подготовка

1.1. Обязательные условия

Перед настройкой приёма SPAN-трафика убедитесь, что:

- ✅ Установлен и настроен **Central NodeNode**

- ✅ Активирована одна из лицензий: KATA**KATA**, NDR**NDR** или **KATA/NDRNDR**

- ✅ Добавлен **дополнительный сетевой интерфейс** (кроме Management)

- ✅ Интерфейс находится в состоянии **«Не инициализирован»**

- ✅ Имеется доступ к веб-интерфейсу под учётной записью `admin`admin`

1.2. Лицензии и функциональность

Лицензия

Требуется для

KATA

Анализ периметра сети: сетевая песочница (Network Sandbox), пограничный IDS, анализ SMTP/ICAP-трафика

NDR

Защита внутренней сети: NTA-анализ, ретроспективный поиск, выявление горизонтального перемещения, **запись и хранение SPAN-трафика**

KATA/NDR

Комбинированный функционал: защита периметра + внутренней сети


🔎 Подробное описание функционала
🔹🔹KATA

- Обеспечивает защиту периметра IT-инфраструктуры

- Включает сетевую песочницу (Network Sandbox) — автоматическую проверку подозрительных объектов

- Реализует функции пограничного IDS

- Поддерживает анализ трафика от почтовых шлюзов (SMTP), прокси и NGFW (ICAP)

- Позволяет анализировать трафик на границе сети


🔹🔹NDR (Network Detection and Response)

- Предназначен для **обнаружения сложных атак во внутренней сети**

- Выполняет **глубокий анализ сетевого трафика (NTA)**:

- Построение карты сетевой активности

- Выявление скрытых C2-каналов

- Обнаружение **горизонтального перемещения** злоумышленника

- Ретроспективный анализ событий за весь период хранения данных

- **Записывает и хранит обрабатываемый SPAN-трафик**

- Использует правила IDS для детектирования аномалий во внутреннем трафике

- Интегрируется с EDR-агентами для корреляции событий


🔹KATA/NDR

- Объединяет возможности KATA и NDR

- Позволяет **одновременно защищать периметр и внутреннюю сеть**

- Центральный узел может принимать данные как от периметровых источников, так и от Sensor, анализирующих внутренний трафик

- Поддерживает единый интерфейс управления, корреляцию событий между периметром и внутренней сетью


> **ВАЖНО:
**

-> Без активации соответствующей лицензии функционал **приёма и обработки SPAN-трафика будет недоступен**.
-

> Для записи и хранения сырого трафика требуется **лицензия NDR или KATA/NDRNDR**.


> 💡 **Рекомендация:**
-

> Для полной защиты рекомендуется использовать комбинированную лицензию **KATA/NDR**, обеспечивающую покрытие как периметра, так и внутренней сети.



1.3. Сетевые требования


Данный пункт описывает процесс настройки Central Node для анализа копии трафика, поданного с внутреннего или внешнего сегмента сети.


> ⚠️ **ВАЖНО:**
-

> Для включения анализа сетевого трафика обязательно должен быть добавлен дополнительный интерфейс.


> ℹ️ **Примечание:
-**

> В версию KATA 7.1 добавлена возможность записи, хранения и выгрузки копий сырого сетевого трафика. В данном документе этот функционал описан не будет, только настройка приема SPAN. Детально по данному функционалу можно ознакомиться в [онлайн документации](https://support.kaspersky.com/help/KATA/7.1/ru-RU/228435.htm).

1.4.


---


<details>

<summary>ℹ️ Примечание: Ограничения производительности и масштабирование

</summary>


### 🔹 Минимальные и максимальные требования к объёму SPAN-трафика


| Конфигурация

 | Минимальный объём SPAN-трафика

 | Максимальный объём SPAN-трафика |

|--------------|-------------------------------|----------------------------------|

| Физический сервер + выделенный Sensor

 | 100 Мбит/с

 | 10 000 Мбит/с |

| Виртуальная платформа + выделенный Sensor

 | 100 Мбит/с

 | 4 000 Мбит/с |

| Central Node со встроенным Sensor (Embedded Sensor)

 | 100 Мбит/с

 | 1 000 Мбит/с |


> ℹ️ **Пояснение:
**

> - Значение **100 Мбит/с** указано как **рекомендуемый порог**, используемый при са́йзинге и проектировании.

> - Система **стабильно работает при объёмах ниже 100 Мбит/с**, например, в пилотных или тестовых средах.

> - Это значение **не является жёстким ограничением**, а служит ориентиром для расчёта ресурсов.

> - При объёмах ниже 100 Мбит/с **са́йзинг не изменяется** — аппаратные требования остаются теми же.


---

### 🔹 Масштабирование через распределённую архитектуру


Если объём SPAN-трафика превышает возможности одной инсталляции:


- На виртуальной платформе: максимум **4000 Мбит/с на одну Central Node с SensorSensor**

- На физической платформе: максимум **10 000 Мбит/с на одину Central Node c SensorSensor**


При необходимости обработать больший объём:


1. **Разделите трафик между несколькими независимыми инсталляциями
**

2. **Используйте физическую платформу
**

3. **Объедините инсталляции в иерархическую структуру (PCN + SCN)**


> 📘 Подробнее: [Распределённое решение и мультитенантность](https://support.kaspersky.com/help/KATA/7.1/ru-RU/247445.htm)


</details>


</details>

2. Настройка SPAN-источника


<details>

<summary>👉 Развернуть: Настройка точки мониторинга</summary>


### 2.1. Добавление дополнительного интерфейса


1. Войдите в веб-интерфейс Central Node под учётной записью `admin`admin`.

2. Перейдите: **Параметры → Сетевые параметры → Сетевые интерфейсы**.

3. Убедитесь, что добавлен дополнительный интерфейс и он находится в состоянии **«Не инициализирован»**.


> 📸 **Скриншот 1:**

> *Экран "Сетевые интерфейсы"*


---


### 2.2. Создание точки мониторинга


> 🔍 Цель: создать точку мониторинга для приёма SPAN-трафика.


#### Шаги:

1. Перейдите: **Серверы Sensor**.

2. Найдите интерфейс в состоянии **«Не инициализирован»**, предназначенный для приёма SPAN.

3. Нажмите **«Добавить точку мониторинга»** на этом интерфейсе.


> 📸 **Скриншот 2:**

> *Кнопка "Добавить точку мониторинга"*


4. В открывшемся окне укажите:

- **Имя точки мониторинга** (например, `SPAN_Internal`)

5. Нажмите **«Добавить точку мониторинга»**.


> 📌 **Примечание:**

> Точки мониторинга можно **включать и выключать** для временного прекращения наблюдения за сегментом сети.


</details>


---


### 2.3. Включение обработки трафика


1. После создания точки мониторинга откроется её экран.

2. Убедитесь, что в разделе **«Режим»** указано состояние **«Выключен»**.

3. Нажмите кнопку **«Включить»**.


> 📸 **Скриншот 3:**

> *Окно точки мониторинга с кнопкой "Включить"*


✅ Режим обработки SPAN-трафика перейдёт в **активное состояние**.


---


### 2.4. Проверка поступления трафика


1. Перейдите: **Мониторинг → Обработано**.

2. Выберите источник: **SPAN**.

3. Укажите тип отображения:

- **Текущая загрузка**

- **Выбранный период** (настраивается в правом верхнем углу)


> 📸 **Скриншот 4:**

> *График нагрузки по SPAN-трафику*


> ✅ Если SPAN-трафик подаётся на интерфейс, вы увидите график по нагрузке.


> 💡 **Примечание:**

> Данные по обнаруженным аномалиям и угрозам будут отображаться в веб-интерфейсе **только под учётной записью «Офицера безопасности»**.


</details>



---


## 3. Настройка параметров хранения SPAN


<details>

<summary>👉 Развернуть: Настройка через консоль</summary>


### 3.1. Настройка объёма обрабатываемого трафика


> ⚠️ **Обязательно выполните эти настройки**, если на узле (CN или Sensor) получен SPAN.


#### Через SSH-консоль:

1. Подключитесь к Central Node **или Sensor** по SSH под учётной записью `admin`.

2. Запустите меню настроек:

```bash

kata-admin-menu

```

3. Перейдите: **Program settings → Configure storage**.

4. Установите значение, соответствующее вашему объёму SPAN-трафика, согласно таблице:


| Объём SPAN-трафика | File storage, MB | Hot ring, MB |

|--------------------|------------------|--------------|

| 10000 Мбит/с | 96000 | 10240 |

| 7000 Мбит/с | 72000 | 8192 |

| 4000 Мбит/с | 48000 | 4096 |

| 2000 Мбит/с | 24000 | 2048 |

| 1000 Мбит/с | 12000 | 1024 |


> 📌 **Примечание:**

> - Если объём данных меньше указанного в таблице — выбирайте минимальное значение.

> - Если объём находится между двумя значениями — выбирайте **максимальное**.


> 💡 **ВАЖНО:**

> Эти настройки **обязательны** для **Central Node** и **выделенного Sensor**, независимо от того, где был подан SPAN-трафик.


---


### 3.2. Выбор протоколов для анализа


> 🔍 Цель: настроить получение трафика только по нужным протоколам.


#### Через SSH-консоль:

1. Подключитесь к узлу (Central Node или Sensor) по SSH.

2. Введите:

```bash

kata-admin-menu

```

3. Перейдите: **Program settings → Configure traffic capture → Setup capture protocols**.

4. Выберите протоколы, которые нужно анализировать:

- По умолчанию включены все, кроме HTTP2.

- Чтобы включить/отключить протокол — нажмите **Enter** на строке.

5. Нажмите **Apply and Exit**.


> ✅ Сетевые протоколы для получения SPAN-трафика будут выбраны.


</details>


---


## 4. Настройка записи и выгрузки трафика с Central Node


<details>

<summary>👉 Развернуть: Настройка записи и выгрузки трафика</summary>


> 🔍 Цель: включить функционал записи, хранения и выгрузки копий сырого сетевого трафика.


> ⚠️ **ВАЖНО:**

> Эта функция доступна начиная с версии **KATA 7.1**.

> В данной инструкции она описана только в контексте настройки приёма SPAN — подробное описание см. в [онлайн документации](https://support.kaspersky.com/help/KATA/7.1/ru-RU/228435.htm).


---


### 4.1. Включение функционала


1. Перейдите в веб-интерфейс Central Node под учётной записью `admin`.

2. Перейдите: **Конфигурация серверов**.

3. Убедитесь, что активирована лицензия **NDR** или **KATA/NDR**.

4. В поле **«SPAN-трафик, Мбит/с»** укажите планируемое количество трафика со SPAN-портов.


> 📌 **Примечание:**

> - Если лицензия **KATA** не активирована — укажите `0`.

> - В этом поле указывается **общий объём SPAN-трафика**, который обрабатывается как на Central Node, так и на вынесенных отдельно Sensor.


> 📸 **Скриншот 5:**

> *Экран "Конфигурация серверов" с полями: Количество Endpoint Agents, Почтовый трафик, SPAN-трафик*


---


### 4.2. Пример заполнения


**Сценарий:**

На Central Node подается SPAN на выделенный интерфейс с объемом **500 Mbps** и есть выделенный Sensor, который получает SPAN объемом **1.5 Gbps**.


**Настройка:**

В поле **«SPAN-трафик, Мбит/с»** укажите: **2000**


> ✅ Это суммарный объём трафика, обрабатываемый всей системой.


---


### 4.3. Настройка внешнего хранилища


> 🔍 Цель: настроить хранение дампов трафика на внешнем хранилище.


#### Шаги:

1. На узле с Sensor (Central Node или выделенный сервер) подключите диск **≥100 ГБ**.

2. Подключитесь по SSH и выполните:

```bash

sudo -i

fdisk -l # убедитесь, что диск виден (например, /dev/sdb)

mke2fs -t ext4 -L DATA -m 0 /dev/sdb

echo "/dev/sdb /data/volumes/dumps/ ext4 defaults 0 0" >> /etc/fstab

mount /dev/sdb /data/volumes/dumps/

rm -rf /data/volumes/dumps/*

chown kluser:klusers /data/volumes/dumps/

```

3. Перезапустите контейнер захвата:

```bash

docker stop $(docker ps | grep preprocessor_span | awk '{print $1}')

```

4. В веб-интерфейсе: **Серверы Sensor → Изменить → Внешнее хранилище**

5. Включите: **«Подключить внешнее хранилище для файлов дампа трафика»**

6. Укажите:

- Максимальный объём (в ГБ)

- Ограничение времени хранения (в днях)

- BPF-фильтр (например: `tcp port 102 or tcp port 502`)

7. Нажмите **«Сохранить»**.


> 📌 **Примечание:**

> Сырой трафик записывается в `/mnt/kaspersky/nta/dumps`, но **просматривается и выгружается из `/data/volumes/dumps`**.


---


### 4.4. Выгрузка дампов трафика


> 🔍 Цель: скачать дамп трафика для анализа.


#### Шаги:

1. Авторизуйтесь под УЗ **«Офицера безопасности»**.

2. Перейдите: **Серверы Sensor → Выбрать Sensor → Скачать трафик**.

3. Укажите:

- Период

- Максимальный размер дампа

- Точки мониторинга

- BPF-фильтр

- Регулярное выражение (например: `^test.+xABxCD`)

4. Нажмите **«Скачать»** → файл в формате **PCAP** начнёт загрузку.


> 📸 **Скриншот 6:**

> *Экран выгрузки дампа трафика*


</details>


---


## 5. Дополнительные требования и диагностика ← **НОВЫЙ РАЗДЕЛ**


<details>

<summary>👉 Развернуть: Виртуализация, проверка трафика, типичные ошибки</summary>


### 5.1. Особенности виртуальной среды


Если Central Node или Sensor развёрнуты в **VMware / KVM / Hyper-V**, необходимо:


- Включить **Promiscuous Mode** на виртуальном коммутаторе

- Разрешить **MAC Address Changes = Accept**

- Разрешить **Forged Transmits = Accept**


> ❌ Без этого трафик не будет захватываться, даже если интерфейс в состоянии «Не инициализирован».


---


### 5.2. Проверка поступления трафика на уровне ОС


Подключитесь по SSH к узлу и выполните:


```bash

tcpdump -i <интерфейс> -n -c 10

```


> ✅ Если пакеты отображаются — трафик поступает.

> ❌ Если пусто — проверьте конфигурацию SPAN на коммутаторе.


Также проверьте ошибки интерфейса:

```bash

ethtool -S <интерфейс> | grep -E "drop|error|over"

```

Рост счётчиков указывает на перегрузку или ошибки на стороне источника.


---


### 5.3. Проверка монтирования хранилища


Убедитесь, что диск примонтирован:

```bash

df -h /data/volumes/dumps

lsblk | grep dumps

```


Проверьте, что контейнер видит точку монтирования:

```bash

docker exec -it $(docker ps | grep preprocessor_span | awk '{print $1}') lsblk

```

→ Должна отображаться строка: `/dev/sdb → /mnt/kaspersky/nta/dumps`


---


### 5.4. Где искать логи


- Логи захвата трафика:

`/var/log/kaspersky/preprocessor_span.log`

- Системные логи:

`journalctl -u docker`


</details>


---


📌 Полезные ссылки

Настройка приёма SPAN-трафика завершена!

Теперь Central Node:Node и/или Sensor:

-

  • Принимает зеркалированный трафик

    -

  • Анализирует выбранные протоколы

    -

  • Отображает статистику в реальном времени

    -

  • Готов к детектированию угроз во внутренней сети

  • При необходимости — записывает и позволяет выгружать дампы
Back to top