管理 SPAN 端口的镜像流量

管理 Web 界面时，具有“高级安全官”角色的用户可以从 Sensor 组件服务器的 SPAN 端口下载 PCAP 格式的镜像流量转储，并进行调查以检测可疑活动。

如果您使用分布式解决方案和多租户模式，请在带有 Sensor 组件的服务器所连接的 PCN 或 SCN 服务器上执行相关步骤。

要从 SPAN 端口下载镜像流量：

1. 在应用程序 Web 界面窗口中选择Sensor 服务器部分。
2. 单击相关 Sensor 组件的卡片。

   这将打开一个窗口，其中包含有关组件的信息。

3. 单击“下载流量”。

   显示下载选项窗口。

   在“内部存储”部分，“最旧的数据包”字段显示内部存储中第一次保存的转储的日期和时间。在“已使用/最大”字段中，第一个数字表示内部存储的已占用空间，第二个数字表示内部存储的总大小。“外部存储”部分显示存储状态：“已连接”或“未连接”。

4. 执行以下操作：
   • 在“要下载的流量周期”中，设置要下载流量转储的期限范围。

     如果您选择的时间段内不存在记录的流量，则当您单击“下载流量”时，Kaspersky Anti Targeted Attack Platform 会建议选择从第一次记录的网络流量转储到最后一次记录的时间段。如果根本不存在记录的转储，则会显示一条警告，指示指定时间段内缺少数据。

   • 在“下载量限制”字段中，您可以指定要下载的最大流量。

     如果下载的流量超过指定的限制，则会丢弃最新的流量。

   • 如果需要，请在“按监控点过滤”下启用过滤，并指定要从中获取流量的监控点。
   • 如有必要，请在“使用 BPF 过滤”部分启用过滤，并输入使用 Berkeley Packet Filter (BPF) 技术的过滤表达式。BPF 过滤表达式的写入格式为 libpcap。有关语法的更多详细信息，请参阅 pcap-filter 手册页。

     过滤表达式的示例：
     tcp port 102 or tcp port 502

   • 如有必要，请在“使用正则表达式过滤”部分启用过滤，并输入基于流量中的有效负载数据进行过滤的表达式。

     过滤表达式示例：
     ^test.+xABxCD

5. 单击“下载流量”。

来自 SPAN 端口的镜像流量转储以 PCAP 格式下载。

顺序流量下载请求的建议

我们建议在发送新的流量下载请求时考虑处理之前的流量下载请求所需的时间。

如果下一个流量下载请求在前一个流量下载请求完成之前到达，则转储文件下载可能会失败，并且不会出现任何错误消息。

请求处理时间取决于各种因素：搜索范围、要下载的流量大小以及 Sensor、服务器和客户端计算机之间的连接速度。

要下载的流量大小取决于客户的要求；少量流量可以在几秒钟内下载。如果用户尝试下载所有可用流量，则下载速度限制为 50 Mbps。这个限制可以保护系统不因下载大量流量而导致过载。在 50 Mbps 的速度下，下载 1 GB 的流量大约需要 20 秒，下载 1 TB 的流量大约需要 5.5 小时。

页面顶部