# Настройка приёма SPAN-трафика на Central Node и Sensor ### ****Руководство по настройке KATA/NDR 7.1****

****Информация:**** Приведенная на данной странице информация, является разработкой команды ****pre-sales**** и/или ****AntiAPT Community**** и ****НЕ**** ****является**** официальной рекомендацией вендора.

- ****Версия решения:**** 7.1 - ****Тип инструкции:**** Настройка источников данных SPAN > ****Важно!**** > Интеграция в локальную сеть позволяет получать и анализировать зеркалированный трафик SPAN, ERSPAN и RSPAN. Извлекаются объекты и метаданные HTTP, HTTP2, FTP, SMTP, DNS, SMB и NFS протоколов. Зеркалируемый трафик перенаправляется с одного порта коммутатора на другой (локальное зеркалирование) или на удаленный коммутатор (удалённое зеркалирование). Администратор сети выбирает, какую часть трафика направлять в Kaspersky Anti Targeted Attack Platform. > > Kaspersky Anti Targeted Attack Platform принимает зеркалированный трафик от агрегирующих устройств, таких как брокеры сетевых пакетов и сетевые отводы (Network tap). Фильтрация трафика, поступающего через эти устройства, влияет на аппаратные требования платформы. Для точного определения этих требований рекомендуется провести пилотное тестирование. ---

1. Подготовка

#### ****1.1. Обязательные условия**** Перед настройкой приёма SPAN-трафика убедитесь, что: - ✅ Установлена и настроена ****Central Node**** - ✅ Активирована одна из лицензий: ****KATA****, ****NDR**** или ****KATA/NDR**** - ✅ Добавлен ****дополнительный сетевой интерфейс****, на который будет подан SPAN. (кроме Management) - ✅ Интерфейс находится в состоянии ****«Не инициализирован» (при подаче ESRPAN указывается IP адрес)**** \- ✅ Имеется доступ к веб-интерфейсу под учётной записью `****admin****` --- #### ****1.2. Лицензии и функциональность****

**Лицензия**	**Требуется для**
KATA	Анализ периметра сети: сетевая песочница (Network Sandbox), пограничный IDS, анализ SMTP/ICAP-трафика
NDR	Защита внутренней сети: NTA-анализ, ретроспективный поиск, выявление горизонтального перемещения, \\запись и хранение SPAN-трафика\\
KATA/NDR	Комбинированный функционал: защита периметра + внутренней сети

##### ****🔎 Подробное описание функционала**** ##### ****🔹KATA**** - Обеспечивает ****защиту периметра IT-инфраструктуры**** - Включает ****сетевую песочницу (Network Sandbox)**** — автоматическую проверку подозрительных объектов - Реализует функции ****пограничного IDS**** \- Поддерживает анализ трафика от почтовых шлюзов (SMTP), прокси и NGFW (ICAP) \- Позволяет анализировать трафик на границе сети ##### ****🔹NDR (Network Detection and Response)**** - Предназначен для ****обнаружения сложных атак во внутренней сети**** - Выполняет ****глубокий анализ сетевого трафика (NTA)****: - Построение карты сетевой активности - Выявление скрытых C2-каналов - Обнаружение ****горизонтального перемещения**** злоумышленника - Ретроспективный анализ событий за весь период хранения данных - ****Записывает и хранит обрабатываемый SPAN-трафик**** \- Использует правила IDS для детектирования аномалий во внутреннем трафике \- Интегрируется с EDR-агентами для корреляции событий ##### ****🔹KATA/NDR**** \- Объединяет возможности KATA и NDR - Позволяет ****одновременно защищать периметр и внутреннюю сеть**** \- Центральный узел может принимать данные как от периметровых источников, так и от Sensor, анализирующих внутренний трафик \- Поддерживает единый интерфейс управления, корреляцию событий между периметром и внутренней сетью

⚠️****ВАЖНО:**** - Без активации соответствующей лицензии функционал ****приёма и обработки SPAN-трафика будет недоступен****. - Для записи и хранения сырого трафика требуется ****лицензия NDR или KATA/NDR****.

💡****Рекомендация:**** - Для оптимальной работы лучше выбрать комбинированную лицензию ****KATA/NDR****. Она позволяет контролировать как периметр, так и внутреннюю сеть.

--- #### ****1.3. Сетевые требования**** Данный пункт описывает процесс настройки Central Node для анализа копии трафика, поданного с внутреннего или внешнего сегмента сети.

⚠️****ВАЖНО:**** - Для включения анализа сетевого трафика обязательно должен быть добавлен дополнительный интерфейс.

ℹ️****Примечание:**** - В версию KATA 7.1 добавлена возможность записи, хранения и выгрузки копий сырого сетевого трафика. В данном документе этот функционал описан не будет, только настройка приема SPAN. Детально по данному функционалу можно ознакомиться в [онлайн документации](https://support.kaspersky.com/help/KATA/7.1/ru-RU/228435.htm). Добавить!

--- ##### ****🔹Минимальные и максимальные требования к объёму SPAN-трафика****

Конфигурация	Минимальный объём SPAN-трафика	Максимальный объём SPAN-трафика
Физический сервер + выделенный Sensor	100 Мбит/с	10 000 Мбит/с
Виртуальная платформа + выделенный Sensor	100 Мбит/с	4 000 Мбит/с
Central Node со встроенным Sensor (Embedded Sensor)	100 Мбит/с	1 000 Мбит/с

ℹ️****Пояснение:**** - Значение ****100 Мбит/с**** указано как ****рекомендуемый порог****, используемый при сайзинге и проектировании. - Это значение ****не является жёстким ограничением****, а служит ориентиром для расчёта ресурсов. - При объёмах ниже 100 Мбит/с ****сайзинг не изменяется**** — аппаратные требования остаются теми же.

--- ##### ****🔹Масштабирование через распределённую архитектуру**** ****Если объём SPAN-трафика превышает возможности одной инсталляции:**** - На виртуальной платформе: максимум ****4000 Мбит/с на одну Central Node с Sensor**** - На физической платформе: максимум ****10 000 Мбит/с на одну Central Node с Sensor****

****Примечание:**** Количество сенсоров, подключенных к одному центральному узлу, ограничено только общим объемом поступающего на них трафика SPAN.

> ****При необходимости обработать больший объём:**** > 1. Разделите трафик между несколькими независимыми инсталляциями > 2. Используйте физическую платформу > 3. Объедините инсталляции в иерархическую структуру ****(PCN + SCN)****

📘****Подробнее:**** [Распределённое решение и мультитенантность](https://support.kaspersky.com/help/KATA/7.1/ru-RU/247445.htm)

--- ##### ****1.4. Проверка настройки функционала обработки SPAN-трафика**** 1\. Перейдите в веб-интерфейс Central Node под учётной записью `****admin****`. 2. Перейдите: ****Конфигурация серверов****. 3\. Проверьте, что в поле «****SPAN-трафик, Мбит/с****» указан ****общий объем**** планируемого к обработке трафика со SPAN-портов.

📌****ВАЖНО:**** - В этом поле указывается ****общий объём SPAN-трафика****, который обрабатывается как на ****Central Node****, так и на вынесенных отдельно ****Sensor****.

****Внимание:**** Если вы не собираетесь использовать KATA и/или NDR, все равно рекомендуется указать объем обрабатываемого SPAN-трафика. Минимальный объем — 10. Это обеспечит корректную работу и логическую связность микросервисов в системе.

[![image.png](https://antiapt-community.ru/uploads/images/gallery/2025-11/scaled-1680-/9dpZzIpNRsC0g1DE-image.png)](https://antiapt-community.ru/uploads/images/gallery/2025-11/9dpZzIpNRsC0g1DE-image.png) 📸****Скриншот 1:**** Экран "****Конфигурация серверов****" с полями: Количество Endpoint Agents, Почтовый трафик, SPAN-трафик ****Пример заполнения:**** На Central Node подается SPAN на выделенный интерфейс с объемом ****500 Mbps**** и есть выделенный Sensor, который получает SPAN объемом ****1.5 Gbps****. ****Настройка:**** В поле ****«SPAN-трафик, Мбит/с»**** укажите: ****2000**** ✅ Это суммарный объём трафика, обрабатываемый всей системой. 4. Перейдите в раздел “****Параметры**** ****→**** ****Лицензия****”. 5. Убедитесь, что активирована лицензия ****NDR**** или ****KATA/NDR****. [![image.png](https://antiapt-community.ru/uploads/images/gallery/2025-11/scaled-1680-/8Fks9oeSNq1leirg-image.png)](https://antiapt-community.ru/uploads/images/gallery/2025-11/8Fks9oeSNq1leirg-image.png) 📸****Скриншот 2:**** Экран "“****Параметры**** ****→**** ****Лицензия****”. --- #### ****1.5.** **Настройка объёма обрабатываемого трафика****

⚠️****Обязательно выполните эти настройки****, если на узле (CN или Sensor) получен SPAN.

****Через SSH-консоль:**** 1. Подключитесь к Central Node ****или Sensor**** по SSH под учётной записью `****admin****`. (в зависимости от того, куда подан SPAN) 2. Перейдите: ****Program settings → Configure storage****. 4\. Установите значение, соответствующее вашему объёму SPAN-трафика, согласно таблице:

**Объём SPAN-трафика**	**File storage, MB**	**Hot ring, MB**
10000 Мбит/с	80000	10240
7000 Мбит/с	64000	8192
4000 Мбит/с	32000	1024
2000 Мбит/с	16000	1024
1000 Мбит/с	8000	1024

> ****Примечание:**** это размер разделов ****tmpfs****, где обрабатывается и хранится трафик.

****ВАЖНО!**** Настройки хранилища на ****Central Node**** или ****Sensor**** учитывают только трафик, обрабатываемый ****Central Node**** или ****Sensor****, и выполняется на ****каждом узле**** отдельно. Однако настройки SPAN в конфигураторе сервера в ****веб-интерфейсе**** учитывают весь трафик, обрабатываемый ****Central Node****, и все подключенные ****внешние Sensor****.

> 📌****Примечание:**** > - Если объём данных меньше указанного в таблице — выбирайте минимальное значение. > - Если объём находится между двумя значениями — выбирайте ****максимальное****.

💡****ВАЖНО:**** Эти настройки ****обязательны**** для ****Central Node**** и ****выделенного Sensor****, независимо от того, где был подан SPAN-трафик.

--- #### ****1.6. Выбор протоколов для анализа**** ##### 🔍 Цель: настроить получение трафика только по нужным протоколам. ****Через SSH-консоль:**** 1\. Подключитесь к узлу (****Central Node**** или ****Sensor****) по ****SSH****. 2. Перейдите: ****Program settings → Configure traffic capture → Setup capture protocols****. 4\. Выберите протоколы, которые нужно анализировать: - По умолчанию включены все, кроме ****HTTP2****. - Чтобы включить/отключить протокол — нажмите ****Enter**** на строке. 5. Нажмите ****Apply and finish****. ✅ Сетевые протоколы для получения SPAN-трафика будут выбраны.

---

2. Включение функционала обработки SPAN

#### ****2.1. Добавление дополнительного интерфейса на Central Node**** 1\. Войдите в веб-интерфейс Central Node под учётной записью `****admin****`. 2. Перейдите: ****Параметры → Сетевые параметры → Сетевые интерфейсы****. 3. Убедитесь, что добавлен дополнительный интерфейс и он находится в состоянии ****«Не инициализирован»****. [![image.png](https://antiapt-community.ru/uploads/images/gallery/2025-11/scaled-1680-/ZuQ3PwSWzdiHY3WS-image.png)](https://antiapt-community.ru/uploads/images/gallery/2025-11/ZuQ3PwSWzdiHY3WS-image.png) 📸 ****Скриншот 3:**** Экран "****Сетевые интерфейсы****"

****Примечание:**** ****ERSPAN****-трафик передаётся исключительно на IP-адрес получателя (не на конкретный интерфейс), при этом тип принимающего интерфейса может быть любым. Важно правильно указать IP-адрес назначения, так как именно он определяет маршрут доставки зеркалированного трафика через GRE-туннель.

#### ****2.2. Добавление дополнительного интерфейса на Sensor**** ****Через SSH-консоль:**** 1. Подключитесь к узлу ****Sensor**** по ****SSH****. 2. Перейдите: ****Network settings → Interface configuration****. [![image.png](https://antiapt-community.ru/uploads/images/gallery/2025-11/scaled-1680-/j7Z2wh3BlpgzLgAH-image.png)](https://antiapt-community.ru/uploads/images/gallery/2025-11/j7Z2wh3BlpgzLgAH-image.png) [![image.png](https://antiapt-community.ru/uploads/images/gallery/2025-11/scaled-1680-/wfCEZN3ToZRQWhvH-image.png)](https://antiapt-community.ru/uploads/images/gallery/2025-11/wfCEZN3ToZRQWhvH-image.png) [![image.png](https://antiapt-community.ru/uploads/images/gallery/2025-11/scaled-1680-/sIDyIxNFJxCuxlNc-image.png)](https://antiapt-community.ru/uploads/images/gallery/2025-11/sIDyIxNFJxCuxlNc-image.png) 📸 ****Скриншот 4:**** Экран "****Сетевые интерфейсы****"

****Важно!**** Данная настройка относится к компоненту Sensor, используемого для обработки SPAN-трафика.

--- #### ****2.3. Настраиваем объем обрабатываемого SPAN непосредственно на Sensor****

****Пояснение:**** Данная настройка относится к компоненту Sensor, используемого для обработки SPAN-трафика.

****Через SSH-консоль:**** 1. Подключитесь к узлу ****Sensor**** по ****SSH****. 2. Перейдите: ****Program settings → Configure traffic capture****. 3\. Укажите объем анализируемого сетевого трафика в разделе "****Traffic capture bandwidth (Mbps)****". Объем должен быть указан в мегабитах в секунду. [![image.png](https://antiapt-community.ru/uploads/images/gallery/2025-11/scaled-1680-/GicHA892ZgrcnRgv-image.png)](https://antiapt-community.ru/uploads/images/gallery/2025-11/GicHA892ZgrcnRgv-image.png) [![image.png](https://antiapt-community.ru/uploads/images/gallery/2025-11/scaled-1680-/q8LZ9w1LBEJt8G00-image.png)](https://antiapt-community.ru/uploads/images/gallery/2025-11/q8LZ9w1LBEJt8G00-image.png) [![image.png](https://antiapt-community.ru/uploads/images/gallery/2025-11/scaled-1680-/ihpL22Hxu0JmMcHu-image.png)](https://antiapt-community.ru/uploads/images/gallery/2025-11/ihpL22Hxu0JmMcHu-image.png) 📸 ****Скриншот 5:**** Экран "****Сетевые интерфейсы****"

****Важно!**** В этом разделе показан общий объем SPAN-трафика, обработанного данным сенсором. ****Например:**** сенсор может получать SPAN-трафик с нескольких источников одновременно через разные интерфейсы, подключенные к нему.

--- #### ****2.4. Создание точки мониторинга**** ##### ****🔍 Цель: создать точку мониторинга для приёма SPAN-трафика.**** 1. Перейдите: ****Серверы Sensor****. 2. Найдите интерфейс в состоянии ****«Не инициализирован»****, предназначенный для приёма SPAN. 3. Нажмите ****«Добавить точку мониторинга»**** на этом интерфейсе. [![image.png](https://antiapt-community.ru/uploads/images/gallery/2025-11/scaled-1680-/qpN9MRtEJjaD1OQN-image.png)](https://antiapt-community.ru/uploads/images/gallery/2025-11/qpN9MRtEJjaD1OQN-image.png) [![image.png](https://antiapt-community.ru/uploads/images/gallery/2025-11/scaled-1680-/eTrUU8mPNHuoQNNQ-image.png)](https://antiapt-community.ru/uploads/images/gallery/2025-11/eTrUU8mPNHuoQNNQ-image.png) 📸 ****Скриншот 6:**** Кнопка "****Добавить точку мониторинга****" 4\. В открывшемся окне укажите: - ****Имя точки мониторинга**** (например, `****SPAN\_Internal****`) 5. Нажмите ****«Добавить точку мониторинга»****. > 📌****Примечание:**** > - Точки мониторинга можно ****включать и выключать**** для временного прекращения наблюдения за сегментом сети.

****Внимание:**** Эта настройка одинакова для ****Central Node**** и ****Sensor****.

--- #### ****2.5. Включение обработки трафика**** 1\. После создания точки мониторинга откроется её экран. 2. Убедитесь, что в разделе ****«Режим»**** указано состояние ****«Выключен»****. 3. Нажмите кнопку ****«Включить»****. [![image.png](https://antiapt-community.ru/uploads/images/gallery/2025-11/scaled-1680-/h4QS8tCbPmmqDv9s-image.png)](https://antiapt-community.ru/uploads/images/gallery/2025-11/h4QS8tCbPmmqDv9s-image.png) [![image.png](https://antiapt-community.ru/uploads/images/gallery/2025-11/scaled-1680-/sZyFj7v2S0IhqmrU-image.png)](https://antiapt-community.ru/uploads/images/gallery/2025-11/sZyFj7v2S0IhqmrU-image.png) 📸****Скриншот 7:**** Окно точки мониторинга с кнопкой "****Включить****" ✅ Режим обработки SPAN-трафика перейдёт в ****активное состояние****. --- #### ****2.6. Проверка поступления трафика**** 1. Перейдите: ****Мониторинг → Обработано****. 2. Выберите источник: ****SPAN****. 3\. Укажите тип отображения: - ****Текущая загрузка**** - ****Выбранный период**** (настраивается в правом верхнем углу) [![image.png](https://antiapt-community.ru/uploads/images/gallery/2025-11/scaled-1680-/CTyZukD1WVVZ39Oz-image.png)](https://antiapt-community.ru/uploads/images/gallery/2025-11/CTyZukD1WVVZ39Oz-image.png) [![image.png](https://antiapt-community.ru/uploads/images/gallery/2025-11/scaled-1680-/ix0oSjl5VD3ng985-image.png)](https://antiapt-community.ru/uploads/images/gallery/2025-11/ix0oSjl5VD3ng985-image.png) 📸****Скриншот 8:**** График нагрузки по SPAN-трафику ✅ Если SPAN-трафик подаётся на интерфейс, вы увидите график по нагрузке.

💡 ****Примечание:**** Данные по обнаруженным аномалиям и угрозам будут отображаться в веб-интерфейсе ****только под учётной записью «Офицера безопасности»****.

---

3. Подключение и настройка внешнего хранилища

#### ****3.1. Настройка внешнего хранилища на Central Node**** ##### 🔍Цель: настроить хранение дампов трафика на внешнем хранилище. 1. На узле с Central Node подключите диск ****≥100 ГБ****. 2\. Подключитесь по SSH и выполните: ```bash sudo -i fdisk -l # убедитесь, что диск виден (например, /dev/sdb) ``` [![image.png](https://antiapt-community.ru/uploads/images/gallery/2025-11/scaled-1680-/gwBg3SYjmjtqKbiD-image.png)](https://antiapt-community.ru/uploads/images/gallery/2025-11/gwBg3SYjmjtqKbiD-image.png)📸****Скриншот 9:**** Пример вывода команд ``` mke2fs -t ext4 -L DATA -m 0 /dev/sdb ``` [![image.png](https://antiapt-community.ru/uploads/images/gallery/2025-11/scaled-1680-/hZ8vfDWDy0XVNm8X-image.png)](https://antiapt-community.ru/uploads/images/gallery/2025-11/hZ8vfDWDy0XVNm8X-image.png) 📸****Скриншот 10:**** Пример вывода команд ``` echo "/dev/sdb /data/volumes/dumps/ ext4 defaults 0 0" >> /etc/fstab ``` [![image.png](https://antiapt-community.ru/uploads/images/gallery/2025-11/scaled-1680-/rpBnNr6khSGSlLBq-image.png)](https://antiapt-community.ru/uploads/images/gallery/2025-11/rpBnNr6khSGSlLBq-image.png) 📸****Скриншот 11:**** Пример вывода команд ``` mount rm -rf /data/volumes/dumps/* chown kluser:klusers /data/volumes/dumps/ ``` [![image.png](https://antiapt-community.ru/uploads/images/gallery/2025-11/scaled-1680-/9SqeTGGGn2CE8mqN-image.png)](https://antiapt-community.ru/uploads/images/gallery/2025-11/9SqeTGGGn2CE8mqN-image.png) 📸****Скриншот 12:**** Пример вывода команд 3. Убедитесь, что напротив имени подключенного диска в столбце ****MOUNTPOINTS**** отображается значение ****/data/volumes/dumps****. ``` chown kluser:klusers /data/volumes/dumps/ ls -lah /data/volumes/dumps/ lsblk ``` [![image.png](https://antiapt-community.ru/uploads/images/gallery/2025-11/scaled-1680-/OpAcSFwvPldQj2SS-image.png)](https://antiapt-community.ru/uploads/images/gallery/2025-11/OpAcSFwvPldQj2SS-image.png) [![image.png](https://antiapt-community.ru/uploads/images/gallery/2025-11/scaled-1680-/7RnVFMw2R12DX5gu-image.png)](https://antiapt-community.ru/uploads/images/gallery/2025-11/7RnVFMw2R12DX5gu-image.png) 📸****Скриншот 13:**** Пример вывода команд 4. Перезапустить работу контейнера ****preprocessor\_span****: ``` docker service update kata_product_main_1_preprocessor_span --force docker ps | grep preprocessor_span ``` 5. Убедитесь, что напротив имени подключенного диска в столбце ****MOUNTPOINTS**** отображается значение ****/mnt/kaspersky/nta/dumps****. ``` docker exec -it $(docker ps | grep preprocessor_span | awk '{print $1}') bash lsblk ``` [![image.png](https://antiapt-community.ru/uploads/images/gallery/2025-11/scaled-1680-/oQyZu78yb3ggXxYZ-image.png)](https://antiapt-community.ru/uploads/images/gallery/2025-11/oQyZu78yb3ggXxYZ-image.png) 📸****Скриншот 14:**** Пример вывода команд 6\. Войдите в веб-интерфейс приложения под учетной записью '****admin****'. [![image.png](https://antiapt-community.ru/uploads/images/gallery/2025-11/scaled-1680-/hexZM3HEGgBCRfjW-image.png)](https://antiapt-community.ru/uploads/images/gallery/2025-11/hexZM3HEGgBCRfjW-image.png) 📸****Скриншот 15:**** Раздел "****Серверы Sensor****" 7. В веб-интерфейсе: ****Серверы Sensor → Изменить → Внешнее хранилище**** 5. Включите: ****«Подключить внешнее хранилище для файлов дампа трафика»**** [![image.png](https://antiapt-community.ru/uploads/images/gallery/2025-11/scaled-1680-/qItZu3zHXUEbSO8Q-image.png)](https://antiapt-community.ru/uploads/images/gallery/2025-11/qItZu3zHXUEbSO8Q-image.png) [![image.png](https://antiapt-community.ru/uploads/images/gallery/2025-11/scaled-1680-/Vma9qtW11wYl5vNn-image.png)](https://antiapt-community.ru/uploads/images/gallery/2025-11/Vma9qtW11wYl5vNn-image.png) 📸****Скриншот 16:**** Раздел "****Серверы Sensor****" 6\. Укажите: - Максимальный объём (в ГБ) - Ограничение времени хранения (в днях) - BPF-фильтр (например: `tcp port 102 or tcp port 502`) 7. Нажмите ****«Сохранить»****. > 📌****Примечание:**** > Сырой трафик записывается в `****/mnt/kaspersky/nta/dumps****`, но ****просматривается и выгружается из `/data/volumes/dumps`****. --- #### ****3.2. Настройка внешнего хранилища на Sensor**** 1. На узле с Sensor подключите диск ****≥100 ГБ****. 2\. Подключитесь по SSH и выполните: ``` sudo -i fdisk -l # убедитесь, что диск виден (например, /dev/sdb) ``` [![image.png](https://antiapt-community.ru/uploads/images/gallery/2025-11/scaled-1680-/eCmcRyvw8MWYCSos-image.png)](https://antiapt-community.ru/uploads/images/gallery/2025-11/eCmcRyvw8MWYCSos-image.png) 📸****Скриншот 17:**** Пример вывода команд ``` mke2fs -t ext4 -L DATA -m 0 /dev/sdb ``` [![image.png](https://antiapt-community.ru/uploads/images/gallery/2025-11/scaled-1680-/A0pzkQmRcpPe5Q7z-image.png)](https://antiapt-community.ru/uploads/images/gallery/2025-11/A0pzkQmRcpPe5Q7z-image.png) 📸****Скриншот 18:**** Пример вывода команд ``` echo "/dev/sdb /data/volumes/dumps/ ext4 defaults 0 0" >> /etc/fstab ``` [![image.png](https://antiapt-community.ru/uploads/images/gallery/2025-11/scaled-1680-/rpBnNr6khSGSlLBq-image.png)](https://antiapt-community.ru/uploads/images/gallery/2025-11/rpBnNr6khSGSlLBq-image.png) 📸****Скриншот 19:**** Пример вывода команд 3\. Закройте текстовый редактор и выполните команду: ``` rm -r /data/volumes/dumps/* ``` [![image.png](https://antiapt-community.ru/uploads/images/gallery/2025-11/scaled-1680-/b4RHaeRBefce60EU-image.png)](https://antiapt-community.ru/uploads/images/gallery/2025-11/b4RHaeRBefce60EU-image.png) 📸****Скриншот 20:**** Пример вывода команд 6\. Войдите в веб-интерфейс приложения под учетной записью '****admin****'. [![image.png](https://antiapt-community.ru/uploads/images/gallery/2025-11/scaled-1680-/CWIY7cL5CAPuR3Ea-image.png)](https://antiapt-community.ru/uploads/images/gallery/2025-11/CWIY7cL5CAPuR3Ea-image.png) 📸****Скриншот 21:**** Раздел "****Серверы Sensor****" 7. В веб-интерфейсе: ****Серверы Sensor → Изменить → Внешнее хранилище**** [![image.png](https://antiapt-community.ru/uploads/images/gallery/2025-11/scaled-1680-/bSlRGlIYisINqpEW-image.png)](https://antiapt-community.ru/uploads/images/gallery/2025-11/bSlRGlIYisINqpEW-image.png) 📸****Скриншот 22:**** Раздел "****Серверы Sensor****" 5. Включите: ****«Подключить внешнее хранилище для файлов дампа трафика»**** 6\. Укажите: - Максимальный объём (в ГБ) - Ограничение времени хранения (в днях) - BPF-фильтр (например: `tcp port 102 or tcp port 502`) 7. Нажмите ****«Сохранить»****. > 📌****Примечание:**** > Сырой трафик записывается в `****/mnt/kaspersky/nta/dumps****`, но просматривается и выгружается из ****`/data/volumes/dumps`****.

---

4. Проверка работы выгрузки дампов трафика

#### ****4.1. Выгрузка дампов трафика**** ##### 🔍 Цель: скачать дамп трафика для анализа. 1. Авторизуйтесь под УЗ ****«Офицера безопасности»****. 2. Перейдите: ****Серверы Sensor → Выбрать Sensor → Скачать трафик****. [![image.png](https://antiapt-community.ru/uploads/images/gallery/2025-11/scaled-1680-/JuZqDBwdSOTVp8GH-image.png)](https://antiapt-community.ru/uploads/images/gallery/2025-11/JuZqDBwdSOTVp8GH-image.png) 📸****Скриншот 23:**** Раздел "****Серверы Sensor****" 3\. Укажите: - Период - Максимальный размер дампа - Точки мониторинга - BPF-фильтр - Регулярное выражение (например: `^test.+xABxCD`) [![image.png](https://antiapt-community.ru/uploads/images/gallery/2025-11/scaled-1680-/XI5kVOmBxbhdJo5q-image.png)](https://antiapt-community.ru/uploads/images/gallery/2025-11/XI5kVOmBxbhdJo5q-image.png) [![image.png](https://antiapt-community.ru/uploads/images/gallery/2025-11/scaled-1680-/sQfcDVwyhgjm1MgD-image.png)](https://antiapt-community.ru/uploads/images/gallery/2025-11/sQfcDVwyhgjm1MgD-image.png) 📸****Скриншот 24:**** Раздел "****Серверы Sensor****" 4. Нажмите ****«Скачать»**** → файл в формате ****PCAP**** начнёт загрузку.

--- #### ****📌 Полезные ссылки**** - [Официальная документация Kaspersky](https://support.kaspersky.com/KATA/7.1/ru-RU/246841.htm) - [Настройка SPAN-трафика (онлайн)](https://support.kaspersky.com/help/KATA/7.1/ru-RU/266038.htm) - [Распределённое решение и мультитенантность](https://support.kaspersky.com/help/KATA/7.1/ru-RU/247445.htm) - [Kaspersky на YouTube](https://www.youtube.com/@KasperskyTechRussia) - [Kaspersky на Rutube](https://rutube.ru/channel/43034214/) - [Полная инструкция по NDR и Sensor](https://box.kaspersky.com/d/594f6df3692e4675afc8/?p=%2FKATA%207.1&mode=list) --- #### ✅ ****Настройка приёма SPAN-трафика завершена!**** Теперь Central Node и/или Sensor: - Принимает зеркалированный трафик - Анализирует выбранные протоколы - Отображает статистику в реальном времени - Готов к детектированию угроз во внутренней сети - При необходимости — записывает и позволяет выгружать дампы