Kaspersky Anti Targeted Attack Platform 可以扫描流量以检测设备创建的用于连接其他设备的网络会话。应用程序注册检测到的网络会话并保存信息,可帮助您分析设备的网络活动并从流量转储文件下载有关传输的网络数据包的数据。与网络交互图上的链接不同,注册的网络会话允许您获得有关设备交互的更细粒度的信息,部分原因是对用于交互的不同端口和协议的会话进行了独立注册。
如果对资产管理技术启用了网络会话检测方法,则应用程序会检测网络会话。在分析到达监控点的流量时以及接收来自 Endpoint Agent 组件的信息时可以执行网络会话检测。
每个注册的网络会话都包含有关参与交互的两个设备之间的连接的信息。网络会话的特征在于交互方的地址信息(MAC 和/或 IP 地址)、端口号以及用于连接的应用程序协议。网络会话中的第一个设备通常是发起向其他设备发送网络数据包的设备。
您可以在“Kaspersky Anti Targeted Attack Platform 检测到的协议”部分查看 Kaspersky Anti Targeted Attack Platform 检测到的完整协议列表。
如果一分钟内没有发送任何网络数据包,或者相关节点或监控点上的网络会话检测技术被禁用,则认为网络会话已关闭。
当检测到过多的网络会话时,应用程序将应用以下会话注册限制:
该应用程序将有关网络会话的信息存储在 Central Node 服务器上的数据库中。存储记录的总量不能超出配置的限制。如果数量超出限制,应用程序会自动删除 10% 的最旧记录。
在分布式解决方案和多租户模式下,SCN 服务器的网络会话信息不会显示在 PCN 上。