監控網路工作階段

Kaspersky Anti Targeted Attack Platform 可以掃描流量以偵測裝置所建立的用於連線其他裝置的網路工作階段。應用程式註冊偵測到的網路工作階段並儲存資訊，可協助您分析裝置的網路活動並從流量傾印檔案下載傳輸的網路封包的資料。與網路互動圖上的連結不同，註冊的網路工作階段允許您獲得有關裝置互動的更細粒度的資訊，部分原因是對用於互動的不同連接埠和協議的工作階段進行了獨立註冊。

如果對資產管理技術啟用了網路工作階段偵測方法，則應用程式會偵測網路工作階段。在分析到達監控點的流量時以及接收來自 Endpoint Agent 元件的資訊時可以執行網路工作階段偵測。

每個註冊的網路工作階段都包含有關參與互動的兩個裝置之間的連線的資訊。網路工作階段的特徵在於互動方的位址資訊（MAC 和/或 IP 位址）、連接埠號以及用於連線的應用程式協定。網路工作階段中的第一個裝置通常是發起向其他裝置傳送網路封包的裝置。

您可以在“Kaspersky Anti Targeted Attack Platform 偵測到的協定”部分中檢視 Kaspersky Anti Targeted Attack Platform 偵測到的完整協定清單。

如果一分鐘內沒有傳送任何網路封包，或相關節點或監控點上的網路工作階段偵測技術已停用，則認為網路工作階段已關閉。

當偵測到過多的網路工作階段時，應用程式將應用以下工作階段註冊限制：

• 使用同一應用程式協定的兩方互動方之間註冊的工作階段數每分鐘不得超過 1000 個。
• 雙方註冊的工作階段總數每分鐘不得超過5000次。

該應用程式將有關網路工作階段的資訊儲存在 Central Node 伺服器上的資料庫中。儲存記錄的總量不能超出配置的限制。如果數量超出限制，應用程式會自動刪除 10% 的最舊記錄。

在分佈式解決方案和多租戶模式下，SCN 伺服器的網路工作階段資訊不會顯示在 PCN 上。

本節內容 網路工作階段表 檢視網路工作階段詳細資訊 下載網路工作階段流量 搜尋網路封包 預先配置網路包搜尋規則 Kaspersky Anti Targeted Attack Platform 偵測到的協定

頁面頂部