管理原始网络流量

管理 Web 界面时,具有高级安全官角色的用户可以从具有传感器组件的服务器下载 PCAP 格式的原始网络流量转储,并进行调查以检测可疑活动。

如果您使用分布式解决方案多租户模式,请在带有传感器组件的服务器所连接的 PCN 或 SCN 服务器上执行相关步骤。

要下载从网络接口捕获的原始网络流量:

  1. 在应用程序 Web 界面窗口中选择传感器服务器部分。

    服务器列表表格将会显示。

  2. 选择要从其下载原始网络流量的传感器组件。

    这将打开传感器组件设置页面。

  3. 通过选择网络接口名称左侧的复选框,选择要为其下载原始网络流量的网络接口。

    默认选择所有网络接口。

    如果在SPAN 流量扫描列中,网络接口名称右侧的切换开关被设置为已禁用,则您无法从该网络接口下载原始网络流量转储。

  4. 单击下载流量

    这将打开原始网络流量下载设置窗口。

    在该窗口中,第一个保存的转储字段将显示第一次保存的原始网络流量转储的日期和时间,最后保存的转储字段显示上次原始网络流量转储的日期和时间。在可用转储存储空间字段中,第一个数字表示转储存储中的可用空间,第二个数字表示转储存储的总大小。

  5. 选择时期字段并执行以下操作:
    1. 在日历中,指定要下载原始网络流量的时间段的开始日期和时间以及结束日期和时间。默认情况下,当前日期和时间被选为时间段的结束时间,当天和前一小时被选为时间段的开始时间。
    2. 单击应用

    如果您选择的时间段内不存在记录的流量,则当您单击下载时,Kaspersky Anti Targeted Attack Platform 会建议选择从第一次记录的网络流量转储到最后一次记录的时间段。如果根本不存在记录的原始网络流量转储,则会显示一条警告,指示指定时间段内缺少数据。

  6. 最大转储大小字段中,指定下载的原始网络流量转储的最大大小。

    默认值为 100 MB。最小值为 1 MB,最大值为 1000000 TB。下载的指定大小的原始网络流量转储包含从所选时间段的最后一条记录开始的数据。

  7. 如果您想限制原始网络流量数据的下载,请在BPF 流量过滤字段中将切换开关设置为已启用

    默认情况下,切换开关位于已禁用位置。

  8. 如果您已将BPF 流量过滤字段中的切换开关设置为已启用,请在过滤规则字段中输入筛选规则。BPF 筛选规则以 libpcap 格式编写。有关语法的更多详细信息,请参阅pcap-filter 手册页。下载的原始网络流量转储包含与输入的筛选规则匹配的数据。

    筛选表达式示例:

    TCP 端口 102 或 TCP 端口 502

  9. 如果您想限制原始网络流量数据的下载,请在正则表达式流量过滤器字段中将切换开关设置为已启用

    默认情况下,切换开关位于已禁用位置。

  10. 如果您已将正则表达式流量过滤器字段中的切换开关设置为已启用,请在过滤规则字段中输入筛选规则下载的原始网络流量转储包含与输入的筛选规则匹配的数据。

    筛选表达式示例:

    ^test.+xABxCD

  11. 单击下载

原始网络流量转储以 PCAP 格式下载。

页面顶部