Paketerfassungen

OT Security speichert Dateien mit Netzwerk-Paketerfassungen von Aktivitäten im Netzwerk. Die Daten werden als PCAP-Dateien (Packet Capture, Paketerfassung) gespeichert, die mit Tools zur Analyse von Netzwerkprotokollen (z. B. Wireshark) analysiert werden können. Dies ermöglicht eine umfassende forensische Analyse kritischer Ereignisse. Wenn die Speicherkapazität des Systems 1,8 TB überschreitet, löscht das System ältere Dateien.

Die Seite Paketerfassungen zeigt alle PCAP-Dateien im System an. Der Bereich Abgeschlossen enthält Listen aller abgeschlossenen Dateien, die zum Herunterladen verfügbar sind. Der Bereich Laufend enthält Details zu der Paketerfassung, die derzeit ausgeführt wird.

Die Kopfleiste zeigt die älteste noch verfügbare erfasste Datei. Außerdem enthält sie eine Option zum Herunterladen von Dateien sowie zum manuellen Schließen der aktuellen Paketerfassung.

In der Tabelle mit Paketerfassungen können Sie Spalten ein- und ausblenden und die Listen sortieren und filtern sowie nach Schlüsselwörtern suchen. Weitere Informationen zum Anpassen von Tabellen finden Sie unter Tabellen anpassen.

Hinweis: Sie können die PCAP-Datei für ein einzelnes Ereignis auch über die Seite Ereignisse herunterladen, siehe Dateien herunterladen.

Paketerfassungsparameter

Die Liste der Paketerfassungen enthält die folgenden Details:

ParameterBeschreibung
StartzeitDas Datum und die Uhrzeit des Beginns der Paketerfassung.
EndzeitDas Datum und die Uhrzeit des Endes der Paketerfassung.
StatusDer Status der Erfassung: Abgeschlossen oder Fortlaufend.
SensorDer OT Security Sensor, der das Paket erfasst hat. Für Pakete, die direkt von der OT Security Appliance erfasst wurden, wird der Wert lokal angezeigt.
DateinameDer Name der Datei.
DateigrößeDie Größe der Datei, angegeben in KB/MB.

Anzeige der Paketerfassungen filtern

Sie können die Anzeige der Paketerfassungen filtern, um nach einer bestimmten PCAP-Datei zu suchen. Geben Sie hierzu die Parameter für Start- und/oder Endzeit an.

So filtern Sie Paketerfassungen:

  1. Gehen Sie zu Netzwerk > Paketerfassungen.

  2. Um nach der Startzeit zu filtern, bewegen Sie den Mauszeiger über Startzeit und klicken Sie auf das Symbol .

    Ein Dropdown-Menü wird geöffnet.

    1. So legen Sie den Filter fest:

      1. Wählen Sie im Dropdown-Menü den gewünschten Filter aus: Jederzeit (Standardeinstellung), Begonnen vor oder Begonnen nach.

      2. Wenn Sie Begonnen vor oder Begonnen nach auswählen, wird ein Fenster mit den Feldern Datum und Uhrzeit angezeigt, in denen Sie das gewünschte Datum und die Uhrzeit wählen können.

      3. Klicken Sie auf Anwenden.

  3. Um nach der Endzeit zu filtern, bewegen Sie den Mauszeiger über Endzeit und klicken Sie auf das Symbol .

    Ein Dropdown-Menü wird geöffnet.

    1. So legen Sie den Filter fest:

      1. Wählen Sie den gewünschten Filter aus: Jederzeit (Standardeinstellung), Beendet vor oder Beendet nach.

      2. Wenn Sie Beendet vor oder Beendet nach auswählen, wird ein Fenster mit den Feldern Datum und Uhrzeit angezeigt, in denen Sie das gewünschte Datum und die Uhrzeit wählen können.

      3. Klicken Sie auf Anwenden.

        OT Security wendet den Filter an, und nur die innerhalb des festgelegten Zeitraums generierten Dateien werden angezeigt.

Paketerfassungen aktivieren oder deaktivieren

Sie können die Paketerfassungsfunktion unter Lokale Einstellungen > Systemkonfiguration > Gerät aktivieren oder deaktivieren.

Wenn die Funktion Paketerfassung deaktiviert ist, wird im Bildschirm Paketerfassungen eine entsprechende Informationsmeldung angezeigt.

Wichtig: Sie können die Paketerfassungsfunktion unter Netzwerk > Paketerfassungen aktivieren, aber nicht deaktivieren.

So aktivieren Sie die Paketerfassung:

  1. Gehen Sie zu Netzwerk > Paketerfassungen.

  2. Klicken Sie in der Kopfleiste auf Aktivieren.

    OT Security startet die Paketerfassung.

Dateien herunterladen

Sie können alle abgeschlossenen PCAP-Dateien auf Ihren lokalen Computer herunterladen. Anschließend können Sie die Dateien mit Tools zur Analyse von Netzwerkprotokollen wie Wireshark analysieren.

Noch laufende Dateierfassungen stehen noch nicht zum Herunterladen zur Verfügung. Sie können eine laufende Erfassung manuell schließen, um die aktuelle Datei zu schließen und mit der Erfassung von Informationen in einer neuen Datei zu beginnen.

So laden Sie eine abgeschlossene Datei herunter:

  1. Gehen Sie zu Netzwerk > Paketerfassungen.

  2. Wählen Sie die gewünschte Datei in den Paketerfassungslisten aus.

  3. Klicken Sie in der Kopfleiste auf Herunterladen.

    OT Security lädt die PCAP-Datei im ZIP-Format auf Ihren lokalen Computer herunter.

So schließen Sie die aktuelle Paketerfassung manuell:

  1. Gehen Sie zu Netzwerk > Paketerfassungen.

  2. Klicken Sie in der Kopfleiste auf Laufende Erfassungen schließen.

    OT Security beendet die aktuelle Erfassung, und die Datei steht zum Herunterladen zur Verfügung. OT Security startet automatisch eine neue Paketerfassung.