Сценарии запуска ретроспективного анализа трафика

Сценарий запуска ретроспективного анализа трафика вручную

Сценарий запуска ретроспективного анализа трафика вручную включает следующие этапы:

  1. Установка компонента Central Node для ретроспективного анализа трафика, если он не был установлен ранее.
  2. Добавление и включение точки мониторинга, если она не была добавлена и включена ранее.

    Точка мониторинга должна быть только одна.

  3. Загрузка PCAP-файла в веб-интерфейс Kaspersky Anti Targeted Attack Platform.
  4. Запуск воспроизведения трафика.
  5. Изучение результатов анализа трафика.
  6. Очистка результатов анализа трафика.

    Если вы хотите воспроизвести несколько PCAP-файлов подряд без очистки результатов, вам требуется загружать PCAP-файлы в порядке их записи с учетом сегментов сети, чтобы избежать искажения результатов анализа.

Сценарий автоматического запуска ретроспективного анализа трафика

Сценарий автоматического запуска ретроспективного анализа трафика включает следующие этапы:

  1. Установка компонента Central Node для ретроспективного анализа трафика, если он не был установлен ранее.
  2. Добавление и включение точки мониторинга, если она не была добавлена и включена ранее.

    Точка мониторинга должна быть только одна.

  3. Включение автоматического анализа трафика.
  4. Добавление коннектора типа Generic для загрузки PCAP-файлов из внешней системы в Kaspersky Anti Targeted Attack Platform.

    Этот коннектор используется для соединения с внешней системой, из которой передаются PCAP-файлы.

  5. Загрузка PCAP-файла в веб-интерфейс Kaspersky Anti Targeted Attack Platform с помощью NDR API.

    Максимальная скорость загрузки файлов – 200 Мбит/с.

    Пример команды для автоматизации загрузки файлов с заданной скоростью:

    curl -X POST --location {<URL-адрес>} -H “Authorization: Bearer {<токен>}" -F "fileName={<имя файла>}" -F "file=@<полный путь к файлу PCAP>" -s --limit-rate 20M --connect-timeout 30 --max-time 600 -k

    После загрузки в систему файлы помещаются в специальное хранилище. Вы можете настроить параметры этого хранилища.

  6. Изучение результатов анализа трафика.
  7. Очистка результатов анализа трафика.

    Если вы хотите воспроизвести несколько PCAP-файлов подряд без очистки результатов, вам требуется загружать PCAP-файлы в порядке их записи с учетом сегментов сети, чтобы избежать искажения результатов анализа.

В начало