Мониторинг сетевых сеансов

Kaspersky Anti Targeted Attack Platform может обнаруживать в трафике сетевые сеансы, создаваемые устройствами для соединений с другими устройствами. Приложение регистрирует обнаруженные сетевые сеансы и сохраняет сведения, с помощью которых вы можете анализировать сетевую активность устройств и загружать данные о переданных сетевых пакетах из файлов дампа трафика. В отличие от соединений на карте сетевых взаимодействий, зарегистрированные сетевые сеансы позволяют получить более подробные сведения о взаимодействиях устройств, в том числе за счет раздельной регистрации сеансов для разных портов и протоколов, которые использовались при взаимодействиях.

Приложение обнаруживает сетевые сеансы, если включено применение метода Обнаружение сетевых сессий по технологии Контроль активов. Обнаружение сетевых сеансов может выполняться при анализе трафика, поступающего на точки мониторинга, а также при получении данных от EPP-приложений.

Каждый зарегистрированный сетевой сеанс содержит сведения о соединении между двумя устройствами, которые являются сторонами взаимодействия. Сетевой сеанс характеризуется адресной информацией сторон взаимодействия (MAC- и/или IP-адреса), номерами портов и прикладным протоколом, который использовался для соединения. Первым устройством в сетевом сеансе обычно считается устройство, которое инициировало отправку сетевых пакетов на другое устройство.

Сетевой сеанс считается завершенным, если в рамках этого сеанса не отправлялись сетевые пакеты в течение одной минуты или если технология обнаружения сетевых сессий была выключена на соответствующем узле или точке мониторинга.

При обнаружении чрезмерно большого количества сетевых сеансов в приложении применяются следующие ограничения для регистрации сеансов:

• количество регистрируемых сеансов между двумя сторонами взаимодействия с использованием одного и того же прикладного протокола – не более 1000 за одну минуту;
• общее количество регистрируемых сеансов между двумя сторонами взаимодействия – не более 5000 за одну минуту.

Приложение сохраняет данные о сетевых сеансах в базе данных на сервере Central Node. Суммарный объем сохраняемых записей не может превышать заданного ограничения. Если объем превышает заданное ограничение, приложение автоматически удаляет 10% самых старых записей.

В режиме распределенного решения и мультитенантности данные о сетевых сеансах серверов SCN не отображаются на PCN.

Режим работы, при котором Kaspersky Anti Targeted Attack Platform используется для защиты инфраструктуры нескольких организаций или филиалов одной организации одновременно.

Двухуровневая иерархия серверов с установленными компонентами Central Node, в которой выделяется главный сервер управления – Primary Central Node (PCN) и подчиненные серверы – Secondary Central Node (SCN).