Ретроспективный анализ трафика

Ретроспективный анализ трафика позволяет анализировать собранные ранее сетевые данные с учетом новых сигнатур, индикаторов и правил.

Kaspersky Anti Targeted Attack Platform предоставляет результаты ретроспективного анализа трафика в следующем виде:

• Алерты.
• События NDR.
• Сетевые сеансы.
• Карта сетевых взаимодействий.
• Топологическая карта.
• Список устройств.
• Список исполняемых файлов на устройствах.
• Список пользователей на устройствах.

При работе с полученными данными вам нужно учитывать следующие особенности их отображения:

• Результаты анализа трафика появляются сразу после запуска его воспроизведения.
• Время записи данных берется из сетевого пакета.
• При повторном воспроизведении трафика возможно некорректное отображение данных (если с момента первого воспроизведения прошло менее 10 минут) или дублирование данных (если с момента первого воспроизведения прошло более 10 минут). Чтобы этого избежать, вам нужно очистить результаты анализа перед повторным воспроизведением.

Для ретроспективного анализа вам требуется развернуть отдельный компонент Central Node в режиме Retrospective analysis mode. Аппаратные требования к компоненту приведены в разделе Расчеты для компонента Central Node → Аппаратные требования к серверу Central Node, выполняющему ретроспективный анализ трафика. Этот компонент используется только для ретроспективного анализа трафика. Изменить роль сервера после установки невозможно. Вы можете подключить к этому компоненту Sandbox.

Для компонента, который используется для рестроспективного анализа трафика, действуют следующие ограничения:

• Максимальная скорость автоматической загрузки PCAP-файлов не должна превышать 200 Мбит/сек.

  Команда для автоматизации загрузки файлов с заданной скоростью приведена в разделе Сценарии запуска ретроспективного анализа трафика.

• Максимальная скорость воспроизведения трафика – 200 Мбит/сек.
• Если вы хотите использовать Sandbox для ретроспективного анализа трафика, этот компонент должен быть подключен только к Central Node, выполняющему анализ.
• В режиме автоматического анализа PCAP-файлы должны поступать в Kaspersky Anti Targeted Attack Platform в порядке записи и с учетом сегментов сети, иначе возможно искажение результатов анализа трафика.
• Не допускается одновременное воспроизведение трафика из разных PCAP-файлов несколькими пользователями.
• Недоступен следующий функционал приложения:
  • Добавление нового компонента Sensor.
  • Удаление встроенного Sensor (Embedded Sensor).
  • Использование распределенного решения и мультитенантности.
  • Развертывание компонента в виде кластера.
  • Настройка интеграций:
    • С почтовым сервером по протоколам SMTP и POP3.
    • С прокси-сервером по протоколу ICAP.
    • С компонентом Endpoint Agent.
    • С почтовыми сенсорами.
    • С Kaspersky Managed Detection and Response.

Перед началом работы с этим функционалом мы рекомендуем ознакомиться со сценариями запуска ретроспективного анализа трафика.

Пользователи с ролью Старший сотрудник службы безопасности могут вручную загружать PCAP-файлы в систему, удалять PCAP-файлы, просматривать таблицу PCAP-файлов, информацию о выбранном PCAP-файле, запускать воспроизведение трафика, очищать результаты анализа, включать и отключать автоматический анализ трафика.

Пользователи с ролью Администратор могут настраивать параметры хранилища PCAP-файлов.

Пользователи с ролями Сотрудник службы безопасности и Аудитор могут просматривать таблицу PCAP-файлов, информацию о выбранном PCAP-файле, параметры автоматического анализа трафика.

Функция доступна при наличии действующего лицензионного ключа KATA+NDR. После истечения срока действия лицензионного ключа результаты анализа трафика остаются доступными для просмотра. Воспроизведение трафика не запускается. Активация возможна только с помощью файла ключа.

При необходимости вы можете создать резервную копию приложения. Процедура резервного копирования и восстановления аналогична процедуре для компонета Central Node, развернутого в стандартном режиме.

В начало