Работа с сырым сетевым трафиком

При работе в веб-интерфейсе приложения пользователи с ролью Старший сотрудник службы безопасности могут выгружать дампы сырого сетевого трафика в формате PCAP с серверов с компонентом Sensor и проводить расследование для обнаружения подозрительной активности.

Если вы используете режим распределенного решения и мультитенантности, выполняйте действия на том сервере PCN или SCN, к которому подключен сервер с компонентом Sensor.

Чтобы выгрузить сырой сетевой трафик, захваченный с сетевых интерфейсов:

  1. В окне веб-интерфейса приложения выберите раздел Серверы Sensor.

    Отобразится таблица Список серверов.

  2. Выберите компонент Sensor, с которого вы хотите выгрузить сырой сетевой трафик.

    Отобразится страница с параметрами компонента Sensor.

  3. Выберите сетевые интерфейсы, с которых вы хотите выгрузить сырой сетевой трафик, установив флажок слева от названия сетевого интерфейса.

    По умолчанию, выбраны все сетевые интерфейсы.

    Если в столбце Проверка SPAN-трафика переключатель справа от названия сетевого интерфейса установлен в положении Выключено, вы не сможете выгрузить с этого сетевого интерфейса дампы сырого сетевого трафика.

  4. Нажмите на кнопку Выгрузить трафик.

    Отобразится окно настройки параметров выгрузки сырого сетевого трафика.

    В открывшемся окне в поле Первый сохраняемый дамп отображается дата и время первого сохраненного дампа сырого сетевого трафика, в поле Последний сохраняемый дамп отображается дата и время последнего сохраненного дампа сырого сетевого трафика. В поле Доступно в хранилище дампов первое число обозначает свободное пространство в хранилище дампов, а второе число обозначает общий размер хранилища дампов.

  5. Выберите поле Период и выполните следующие действия:
    1. В открывшемся календаре укажите даты и время начала и конца периода, за который вы хотите выгрузить сырой сетевой трафик. По умолчанию в качестве конца периода выбран текущий день и время, а в качестве начала периода выбран текущий день и предыдущий час.
    2. Нажмите на кнопку Применить.

    Если вы выберете период, за который отсутствует записанный трафик, при нажатии кнопки Выгрузить Kaspersky Anti Targeted Attack Platform предложит выбрать вам период всего от первого записанного дампа сетевого трафика до последнего. В случае, если записанные дампы сырого сетевого трафика отсутствуют, отобразится предупреждение об отсутствии данных за указанный период.

  6. В поле Максимальный размер дампа укажите максимальный размер скачиваемого дампа сырого сетевого трафика.

    Значение по умолчанию: 100 МБ. Минимальное возможное значение – 1 МБ, максимальное – 1000000 ТБ. В скачиваемом дампе сырого сетевого трафика указанного размера будут содержаться данные, начиная с последней записи выбранного периода.

  7. Если вы хотите ограничить выгрузку данных в сыром сетевом трафике, в поле Фильтрация трафика BPF переведите переключатель в положение Включено.

    По умолчанию переключатель находится в положении Выключено.

  8. Если вы перевели переключатель в поле Фильтрация трафика BPF в положение Включено, введите в поле Правило фильтрации правило фильтрации. Для написания правила фильтрации BPF используется формат libpcap. Подробнее об описании синтаксиса см. в Руководстве pcap-filter. В скачиваемом дампе сырого сетевого трафика будут содержаться данные, соответствующие введенному правилу фильтрации.

    Пример выражения для фильтрации:

    tcp port 102 or tcp port 502

  9. Если вы хотите ограничить выгрузку данных в сыром сетевом трафике, в поле Фильтрация трафика Regexp переведите переключатель в положение Включено.

    По умолчанию переключатель находится в положении Выключено.

  10. Если вы перевели переключатель в поле Фильтрация трафика Regexp в положение Включено, введите в поле Правило фильтрации правило фильтрации. В скачиваемом дампе сырого сетевого трафика будут содержаться данные, соответствующие введенному правилу фильтрации.

    Пример выражения для фильтрации:

    ^test.+xABxCD

  11. Нажмите на кнопку Выгрузить.

Дампы сырого сетевого трафика будут выгружены в формате PCAP.

В начало