Ретроспективный анализ трафика позволяет анализировать собранные ранее сетевые данные с учетом новых сигнатур, индикаторов и правил.
Kaspersky Anti Targeted Attack Platform предоставляет результаты ретроспективного анализа трафика в следующем виде:
При работе с полученными данными вам нужно учитывать следующие особенности их отображения:
Для ретроспективного анализа вам требуется развернуть отдельный компонент Central Node в режиме Retrospective analysis mode. Аппаратные требования к компоненту приведены в разделе Расчеты для компонента Central Node → Аппаратные требования к серверу Central Node, выполняющему ретроспективный анализ трафика. Этот компонент используется только для ретроспективного анализа трафика. Изменить роль сервера после установки невозможно. Вы можете подключить к этому компоненту Sandbox.
Для компонента, который используется для рестроспективного анализа трафика, действуют следующие ограничения:
Команда для автоматизации загрузки файлов с заданной скоростью приведена в разделе Сценарии запуска ретроспективного анализа трафика.
Перед началом работы с этим функционалом мы рекомендуем ознакомиться со сценариями запуска ретроспективного анализа трафика.
Пользователи с ролью Старший сотрудник службы безопасности могут вручную загружать PCAP-файлы в систему, удалять PCAP-файлы, просматривать таблицу PCAP-файлов, информацию о выбранном PCAP-файле, запускать воспроизведение трафика, очищать результаты анализа, включать и отключать автоматический анализ трафика.
Пользователи с ролью Администратор могут настраивать параметры хранилища PCAP-файлов.
Пользователи с ролями Сотрудник службы безопасности и Аудитор могут просматривать таблицу PCAP-файлов, информацию о выбранном PCAP-файле, параметры автоматического анализа трафика.
Функция доступна при наличии действующего лицензионного ключа KATA+NDR. После истечения срока действия лицензионного ключа результаты анализа трафика остаются доступными для просмотра. Воспроизведение трафика не запускается. Активация возможна только с помощью файла ключа.
При необходимости вы можете создать резервную копию приложения. Процедура резервного копирования и восстановления аналогична процедуре для компонета Central Node, развернутого в стандартном режиме.
В начало