管理 SPAN 連接埠的映像流量

管理 Web 介面時，具有“資深安全員”角色的使用者可以從 Sensor 元件伺服器的 SPAN 連接埠下載 PCAP 格式的映像流量傾印，並進行調查以偵測可疑活動。

如果您使用分佈式解決方案和多租戶模式，請在具有 Sensor 元件的伺服器所連線的 PCN 或 SCN 伺服器上執行相關步驟。

若要從 SPAN 連接埠下載映像流量：

1. 在應用程式 Web 介面視窗中，選擇“Sensor 伺服器”區域。
2. 點擊相關 Sensor 元件的卡片。

   這將開啟一個視窗，其中包含有關元件的資訊。

3. 點擊“下載流量”。

   顯示下載選項視窗。

   在“內部儲存”部分，“最舊的封包”欄位顯示內部儲存中第一次儲存的傾印的日期和時間。在“已使用/最大”欄位中，第一個數字表示內部儲存的已佔用空間，第二個數字表示內部儲存的總大小。“外部儲存”部分顯示儲存狀態：“已連線”或“未連線”。

4. 執行以下操作：
   • 在“要下載的流量週期”中，設定要下載流量傾印的期限範圍。

     如果您選擇的時間段內不存在記錄的流量，則當您點擊“下載流量”時，Kaspersky Anti Targeted Attack Platform 會建議選擇從第一次記錄的網路流量傾印到最後一次記錄的時間段。如果根本不存在記錄的傾印，則會顯示警告，指示指定時間內缺少資料。

   • 在“下載量限制”欄位中，您可以指定要下載的最大流量。

     如果下載的流量超過指定的限制，則會丟棄最新的流量。

   • 如果需要，請在“按監控點篩選”下啟用篩選，並指定要從中取得流量的監控點。
   • 如有必要，請在“使用 BPF 篩選”部分啟用篩選，並輸入使用 Berkeley Packet Filter (BPF) 技術的篩選表達式。BPF 濾波表達式的寫入格式為libpcap。有關語法的更多詳細資訊，請參閱 pcap-filter 手冊頁。

     篩選表達式的範例
     ：tcp port 102 or tcp port 502

   • 如有必要，請在“使用正規表達式篩選”部分啟用篩選，並輸入基於流量中的有效負載資料進行篩選的表達式。

     篩選表達式範例
     ：^test.+xABxCD

5. 點擊“下載流量”。

來自 SPAN 連接埠的映像流量傾印以 PCAP 格式下載。

順序流量下載請求的建議

我們建議在傳送新的流量下載請求時考慮處理先前的流量下載請求所需的時間。

如果下一個流量下載請求在前一個流量下載請求完成之前到達，則傾印檔案下載可能會失敗，並且不會出現任何錯誤訊息。

請求處理時間取決於各種因素：搜尋範圍、要下載的流量大小以及 Sensor、伺服器和用戶端電腦之間的連線速度。

要下載的流量大小取決於客戶的要求；少量流量可以在幾秒鐘內下載。如果使用者嘗試下載所有可用流量，則下載速度限制為 50 Mbps。這個限制可以防護系統不會因為下載大量流量而導致過載。在 50 Mbps 的速度下，下載 1 GB 的流量大約需要 20 秒，下載1 TB 的流量大約需要 5.5 小時。

頁面頂部