Настройка записи сырого сетевого трафика

Kaspersky Anti Targeted Attack Platform позволяет сохранять сырой сетевой трафик для проведения расследования и расширяет возможности по выявлению злонамеренной активности внутри периметра локальной сети организации. Благодаря записи сырого сетевого трафика вы можете проводить ретроспективный анализ сетевых событий и расследовать действия злоумышленников. Сырой сетевой трафик сохраняется в виде дампов в формате PCAP.

Для того чтобы сохранять сырой сетевой трафик, вам необходимо включить сохранение сырого сетевого трафика и настроить параметры записи.

Включение и настройка параметров записи сырого сетевого трафика на сервере с установленными компонентами Sensor и Central Node

Если вы используете

режим распределенного решения

Двухуровневая иерархия серверов с установленными компонентами Central Node, в которой выделяется главный сервер управления – Primary Central Node (PCN) и подчиненные серверы – Secondary Central Node (SCN).

мультитенантности

Режим работы, при котором Kaspersky Anti Targeted Attack Platform используется для защиты инфраструктуры нескольких организаций или филиалов одной организации одновременно.

Чтобы включить и настроить запись сырого сетевого трафика на сервере с установленными компонентами Central Node и Sensor:

1. Подключите и настройте внешнее хранилище.
2. В окне веб-интерфейса приложения выберите раздел Серверы Sensor.

   Отобразится таблица Список серверов.

3. Выберите компонент Sensor с именем localhost.

   Откроется страница с параметрами компонента Sensor.

4. Выберите раздел Обработка SPAN-трафика.

   Отобразится таблица Сетевые интерфейсы.

5. Откройте вкладку Запись трафика.
6. В поле Записывать трафик переведите переключатель в положение Включено.

   По умолчанию переключатель находится в положении Выключено.

   Запись сырого сетевого трафика на сервере с установленными компонентами Central Node и Sensor будет включена. Отобразятся параметры настройки записи сырого трафика.

   По умолчанию сырой сетевой трафик записывается в директорию /mnt/kaspersky/nta/dumps. Вы не можете изменить директорию для записи сырого сетевого трафика. Вы можете просмотреть дампы сырого сетевого трафика в директории /data/volumes/dumps.

7. При необходимости настройте параметры записи сырого сетевого трафика:
   1. В блоке параметров Размер хранилища дампов в поле Максимальный размер хранилища укажите максимальный размер дампов сырого трафика, который будет храниться в хранилище.

      Минимальное значение, которое установлено по умолчанию – 100 ГБ. Максимальное значение – 1000000 ТБ. Для корректной работы объем свободного пространства на подключенном диске не должен быть меньше указанного значения.

      Если размер дампов, которые хранятся в хранилище, превысит значение, указанное в поле Максимальный размер хранилища, то будут удалены ранние дампы, суммарный размер которых равен размеру новых дампов.

      Если вы уменьшите максимальный размер хранилища, то будут удалены ранние дампы, суммарный размер которых равен изменению параметра Максимальный размер хранилища.

   2. Если вы хотите ограничить захват данных в сыром сетевом трафике, в блоке параметров Фильтрация трафика при сохранении в поле Состояние переведите переключатель в положение Включено. Фильтрация трафика может уменьшить размер дампов, сохраняющихся в хранилище и упростить процесс анализ трафика.

      Если вы перевели переключатель в поле Состояние в положение Включено, то введите в поле Правило фильтрации BPF правило фильтрации. Для написания правила фильтрации BPF используется формат libpcap. Подробнее об описании синтаксиса см. в Руководстве pcap-filter.

      Пример выражения для фильтрации:

      tcp port 102 or tcp port 502

   3. Если вы хотите назначить срок хранения дампов сырого сетевого трафика, в блоке параметров Срок хранения дампов в поле Состояние переведите переключатель в положение Включено. В поле Хранить введите количество дней хранения дампов сырого сетевого трафика. Если дампы сырого сетевого трафика хранятся больше заданного значения хранения, они будут удалены из хранилища.
   4. Нажмите на Применить.

Запись сырого сетевого трафика на сервере с установленными компонентами Sensor и Central Node будет выполняться в соответствии с настроенными параметрами.

В поле Первый сохраняемый дамп отображается дата и время первого сохраненного дампа сырого сетевого трафика, а в поле Последний сохраняемый дамп отображается дата и время последнего сохраненного дампа сырого сетевого трафика.

Включение и настройка параметров записи сырого сетевого трафика на отдельном сервере с компонентом Sensor

Чтобы включить запись сырого сетевого трафика на отдельном сервере с компонентом Sensor:

1. Подключите и настройте внешнее хранилище.
2. Войдите в консоль управления сервера Sensor по протоколу SSH или через терминал.
3. В ответ на приглашение системы введите имя учетной записи администратора и пароль, заданный при установке приложения.

   Откроется меню параметров компонента Sensor. Если меню не открылось, введите команду kata-admin-menu и нажмите на клавишу Enter.

4. Перейдите в раздел Program settings → Configure traffic capture.

   Для выбора строки вы можете использовать клавиши ↑, ↓ и Enter. Выбранная строка подсвечивается красным.

5. В открывшемся окне выберите строку Enable traffic storage нажмите на клавишу Enter.

   Справа от названия строки отобразится значение [x].

   Запись сырого сетевого трафика на отдельном сервере с компонентом Sensor будет включена.

6. При необходимости настройте параметры записи сырого сетевого трафика:
   1. Выберите строку Traffic storage size и нажмите Enter. В открывшемся окне укажите максимальный размер дампов сырого трафика в терабайтах, который будет храниться в хранилище.

      Минимальное значение, которое установлено по умолчанию – 100 ГБ. Максимальное значение – 1000000 ТБ. Для корректной работы объем свободного пространства на подключенном диске не должен быть меньше указанного значения. Если вы укажете в поле число, которое больше объема свободного пространства на подключенном диске, отобразится ошибка.

   2. Выберите кнопку OK и нажмите Enter.
   3. Выберите строку Traffic capture BPF-filter и нажмите Enter. В открывшемся окне введите правило фильтрации. Для написания правила фильтрации BPF используется формат libpcap. Подробнее об описании синтаксиса см. в Руководстве pcap-filter.

      Пример выражения для фильтрации:

      tcp port 102 or tcp port 502.

   4. Выберите кнопку OK и нажмите Enter.
   5. Выберите строку Traffic storage duration (in days) и нажмите Enter. В открывшемся окне введите количество дней хранения дампов сырого сетевого трафика в хранилище.
   6. Выберите кнопку OK и нажмите Enter.

Запись сырого сетевого трафика на отдельном сервере с установленным компонентом Sensor будет выполняться в соответствии с настроенными параметрами.