Работа с зеркалированным трафиком со SPAN-портов
При работе в веб-интерфейсе приложения пользователи с ролью Старший сотрудник службы безопасности могут выгружать дампы зеркалированного трафика со SPAN-портов в формате PCAP с серверов с компонентом Sensor и проводить расследование для обнаружения подозрительной активности.
Если вы используете режим распределенного решения и мультитенантности, выполняйте действия на том сервере PCN или SCN, к которому подключен сервер с компонентом Sensor.
Чтобы выгрузить зеркалированный трафик со SPAN-портов:
- В окне веб-интерфейса приложения выберите раздел Серверы Sensor.
- Наведите курсор мыши на карточку нужного компонента Sensor и нажмите на нее левой кнопкой мыши.
Откроется окно с информацией о компоненте.
- Нажмите на кнопку Скачать трафик.
Отобразится окно настройки параметров выгрузки.
В разделе Внутреннее хранилище в поле Самый старый пакет отображается дата и время первого сохраненного дампа во внутреннем хранилище. В поле Занято / максимально первое число обозначает занятое пространство во внутреннем хранилище, а второе число обозначает общий размер внутреннего хранилища. В разделе Внешнее хранилище отображается статус хранилища: Подключено или Не подключено.
- Выполните следующие действия:
- В поле Период трафика для скачивания задайте границы, в рамках которых вы хотите выгрузить дампы трафика.
Если вы выберете период, за который отсутствует записанный трафик, при нажатии кнопки Скачать трафик Kaspersky Anti Targeted Attack Platform предложит выбрать вам период всего от первого записанного дампа сетевого трафика до последнего. В случае, если записанные дампы отсутствуют, отобразится предупреждение об отсутствии данных за указанный период.
- В поле Ограничение объема скачивания вы можете указать максимальный объем для выгрузки трафика.
Если объем загружаемого трафика превысит заданное ограничение, будет отброшен более поздний трафик.
- При необходимости включите фильтрацию в блоке Фильтрация по точкам мониторинга и укажите точки мониторинга, с которых вы хотите получить трафик.
- При необходимости включите фильтрацию в блоке Фильтрация с использованием BPF и введите выражение для фильтрации с использованием технологии BPF (Berkley Packet Filter). Для написания выражения фильтрации BPF используется формат libpcap. Подробнее об описании синтаксиса см. в Руководстве pcap-filter.
Пример выражения для фильтрации:
tcp port 102 or tcp port 502 - При необходимости включите фильтрацию в блоке Фильтрация с использованием регулярных выражений и введите выражение для фильтрации по данным, составляющим полезную нагрузку в трафике.
Пример выражения для фильтрации:
^test.+xABxCD
- В поле Период трафика для скачивания задайте границы, в рамках которых вы хотите выгрузить дампы трафика.
- Нажмите на кнопку Скачать трафик.
Дампы зеркалированного трафика со SPAN-портов будут выгружены в формате PCAP.
Рекомендация по выполнению поочередных запросов на выгрузку трафика
Рекомендуется учитывать длительность выполнения предыдущего запроса на выгрузку трафика, прежде чем отправлять очередной запрос.
Если очередной запрос на выгрузку трафика поступает раньше, чем завершился предыдущий, может сложиться ситуация, когда файлы дампов не скачиваются, но сообщение об ошибке при этом не появляется.
Длительность запроса зависит от различных факторов: диапазон поиска, объем выгружаемого трафика, скорость связи между Sensor, сервером и компьютером клиента.
Объем выгружаемого трафика зависит от потребностей клиента; выгрузка небольших объемов выполняется за секунды. Если пользователь попытается загрузить весь доступный трафик, сработает ограничение на скорость выгрузки трафика в 50 Мбит/с. Такое ограничение предохраняет систему от перегрузки, вызванной выгрузкой большого объема трафика. На скорости 50 Мбит/с выгрузка 1 ГБ трафика занимает примерно 20 секунд, а 1 ТБ выгружается приблизительно за 5,5 часов.
