Настройка параметров записи зеркалированного трафика со SPAN-портов с помощью веб-интерфейса

Вы можете включить запись зеркалированного трафика со SPAN-портов в веб-интерфейсе Kaspersky Anti Targeted Attack Platform или в меню администратора компонента Sensor.

Если вы используете режим распределенного решения и мультитенантности, выполняйте действия по настройке в веб-интерфейсе того сервера PCN или SCN, к которому подключен компонент Sensor.

Чтобы включить запись зеркалированного трафика со SPAN-портов в веб-интерфейсе Kaspersky Anti Targeted Attack Platform:

1. Подключите и настройте внешнее хранилище.
2. В окне веб-интерфейса приложения выберите раздел Серверы Sensor.
3. Наведите курсор мыши на карточку нужного компонента Sensor и нажмите на нее левой кнопкой мыши.

   Откроется окно с информацией о компоненте.

4. Нажмите на кнопку Изменить.
5. Перейдите на вкладку Внешнее хранилище.

   Вкладка не отображается, если внешнее хранилище не подключено.

   В разделе Внешнее хранилище в поле Самый старый пакет отображается дата и время первого сохраненного дампа во внешнем хранилище. В поле Последний пакет отображается дата и время последнего сохраненного дампа во внешнем хранилище.

6. Если вы хотите использовать внешнее хранилище, переведите переключатель Записывать трафик в положение Включено.

   По умолчанию переключатель находится в положении Выключено.

7. В поле Путь сохранения трафика укажите путь к директории, в которой приложение будет сохранять дампы трафика.
8. Выполните следующие действия:
   1. В блоке параметров Объем максимального хранения укажите максимальный размер дампов трафика, которые будут храниться в хранилище.

      Если размер дампов, которые хранятся в хранилище, превысит указанное значение, то будут удалены ранние дампы, суммарный размер которых равен размеру новых дампов.

      Если вы уменьшите максимальный размер хранилища, то будут удалены ранние дампы, суммарный размер которых равен изменению параметра.

   2. Если вы хотите ограничить захват данных в трафике, в блоке параметров Фильтрация трафика при захвате переведите переключатель BPF-фильтрация в положение Включено. Фильтрация трафика может уменьшить размер дампов, сохраняющихся в хранилище и упростить процесс анализ трафика.

      В поле Правила фильтрации BPF правило фильтрации. Для написания правила фильтрации BPF используется формат libpcap. Подробнее об описании синтаксиса см. в Руководстве pcap-filter.

      Пример выражения для фильтрации:

      tcp port 102 or tcp port 502

   3. Если вы хотите назначить срок хранения дампов трафика, в блоке параметров Срок хранения переведите переключатель Включить срок хранения в положение Включено. В поле Время хранения (дней) введите количество дней хранения дампов трафика. Если дампы трафика хранятся больше заданного значения хранения, они будут удалены из хранилища.
   4. Нажмите на кнопку Сохранить.

Запись зеркалированного трафика со SPAN-портов будет настроена.

Чтобы включить запись зеркалированного SPAN-трафика в меню администратора компонента Sensor:

1. Подключите и настройте внешнее хранилище.
2. Войдите в консоль управления сервера Sensor по протоколу SSH или через терминал.
3. В ответ на приглашение системы введите имя учетной записи администратора и пароль, заданный при установке приложения.

   Откроется меню параметров компонента Sensor. Если меню не открылось, введите команду kata-admin-menu и нажмите на клавишу Enter.

4. Перейдите в раздел Program settings → Configure traffic capture.

   Для выбора строки вы можете использовать клавиши ↑, ↓ и Enter. Выбранная строка подсвечивается красным.

5. В открывшемся окне выберите строку Enable traffic storage нажмите на клавишу Enter.

   Справа от названия строки отобразится значение [x].

   Запись сырого сетевого трафика на отдельном сервере с компонентом Sensor будет включена.

6. При необходимости настройте параметры записи сырого сетевого трафика:
   1. Выберите строку Traffic storage size и нажмите Enter. В открывшемся окне укажите максимальный размер дампов сырого трафика в терабайтах, который будет храниться в хранилище.

      Минимальное значение, которое установлено по умолчанию – 100 ГБ. Максимальное значение – 1000000 ТБ. Для корректной работы объем свободного пространства на подключенном диске не должен быть меньше указанного значения. Если вы укажете в поле число, которое больше объема свободного пространства на подключенном диске, отобразится ошибка.

   2. Выберите кнопку OK и нажмите Enter.
   3. Выберите строку Traffic capture BPF-filter и нажмите Enter. В открывшемся окне введите правило фильтрации. Для написания правила фильтрации BPF используется формат libpcap. Подробнее об описании синтаксиса см. в Руководстве pcap-filter.

      Пример выражения для фильтрации:

      tcp port 102 or tcp port 502.

   4. Выберите кнопку OK и нажмите Enter.
   5. Выберите строку Traffic storage duration (in days) и нажмите Enter. В открывшемся окне введите количество дней хранения дампов сырого сетевого трафика в хранилище.
   6. Выберите кнопку OK и нажмите Enter.

Запись зеркалированного SPAN-трафика будет настроена.

В начало