Paketerfassungen

Das System speichert Dateien mit vollständigen Netzwerk-Paketerfassungen von Aktivitäten im Netzwerk. Die Daten werden als PCAP-Dateien gespeichert, die mit Tools zur Analyse von Netzwerkprotokollen (z. B. Wireshark usw.) analysiert werden können. Dies ermöglicht eine umfassende forensische Analyse kritischer Ereignisse. Wenn die Speicherkapazität des Systems 1,8 TB überschreitet, löscht das System ältere Dateien.

Der Bildschirm Paketerfassungen zeigt alle Paketerfassungsdateien im System an. Die Registerkarte Abgeschlossen enthält Listen für jede abgeschlossene Datei, die zum Herunterladen verfügbar ist. Die Registerkarte „Laufend“ enthält Details zu der Paketerfassung, die derzeit im System ausgeführt wird.

Die Kopfleiste zeigt die älteste noch im System verfügbare erfasste Datei. Außerdem enthält sie eine Option zum Herunterladen von Dateien sowie zum manuellen Schließen der aktuellen Paketerfassung.

In der Tabelle mit Dateilisten können Sie Spalten ein- und ausblenden und die Listen sortieren und filtern sowie nach Schlüsselwörtern suchen. Eine Erläuterung der Anpassungsfunktionen finden Sie unter Elemente in der Benutzeroberfläche der Verwaltungskonsole.

Hinweis: Sie können die PCAP-Datei für ein einzelnes Ereignis auch über den Bildschirm Ereignisse herunterladen, siehe Dateien herunterladen.

Paketerfassungsparameter

Die Liste der Paketerfassungen enthält die folgenden Details:

Parameter Beschreibung
Startzeit Das Datum und die Uhrzeit des Beginns der Paketerfassung.
Endzeit Das Datum und die Uhrzeit des Endes der Paketerfassung.
Status Der Status der Erfassung. Mögliche Werte: Abgeschlossen oder Laufend.
Sensor Der OT Security Sensor, der das Paket erfasst hat. Für Pakete, die direkt von der OT Security Appliance erfasst wurden, wird der Wert „lokal“ angegeben.
Dateiname Der Name der Datei.
Dateigröße Die Größe der Datei, angegeben in KB/MB.

Anzeige der Paketerfassungen filtern

Sie können die Anzeige der Paketerfassungen filtern, um nach einer bestimmten PCAP-Datei zu suchen. Geben Sie hierzu die Parameter für Start- und/oder Endzeit ein.

So filtern Sie Paketerfassungen:

  1. Gehen Sie zu Netzwerk> Paketerfassungen.

  2. Um nach der Startzeit zu filtern, bewegen Sie den Mauszeiger über Startzeit und klicken Sie auf das angezeigte Symbol .

    Ein Dropdown-Menü wird geöffnet.

    Legen Sie den Filter wie folgt fest:

    1. Wählen Sie den gewünschten Filter aus. Verfügbare Optionen: Jederzeit (Standardeinstellung), Begonnen vor oder Begonnen nach.

    2. Wenn Sie Begonnen vor oder Begonnen nach auswählen, wird ein Fenster mit den Feldern Datum und Uhrzeit geöffnet, in denen Sie das gewünschte Datum und die gewünschte Uhrzeit wählen können.

    3. Klicken Sie auf Anwenden.

  3. Um nach der Endzeit zu filtern, klicken Sie auf das Symbol  neben Endzeit.

    Ein Dropdown-Menü wird geöffnet. Legen Sie den Filter wie folgt fest:

    1. Wählen Sie den gewünschten Filter aus. Verfügbare Optionen: Jederzeit (Standardeinstellung), Begonnen vor oder Begonnen nach.

    2. Wenn Sie Begonnen vor oder Begonnen nach auswählen, wird ein Fenster mit den Feldern Datum und Uhrzeit geöffnet, in denen Sie das gewünschte Datum und die gewünschte Uhrzeit wählen können.

    3. Klicken Sie auf Anwenden.

      OT Security wendet den Filter an, und nur die innerhalb des ausgewählten Zeitraums generierten Dateien werden angezeigt.

Paketerfassungen aktivieren/deaktivieren

Die Paketerfassung kann unter Lokale Einstellungen > Systemkonfiguration > Gerät aktiviert oder deaktiviert werden, siehe Paketerfassungen.

Wenn die Funktion Paketerfassung deaktiviert ist, wird im Bildschirm Paketerfassungen eine entsprechende Informationsmeldung angezeigt.

Sie können die Paketerfassung unter Netzwerk > Paketerfassungen aktivieren (aber nicht deaktivieren).

So aktivieren Sie die Paketerfassung über den Bildschirm „Paketerfassungen“:

  1. Gehen Sie zu Netzwerk> Paketerfassungen.

  2. Klicken Sie in der Kopfleiste auf Aktivieren.

    Das System startet die Paketerfassung.

Dateien herunterladen

Sie können alle abgeschlossenen PCAP-Dateien auf Ihren lokalen Computer herunterladen. Die PCAP-Dateien können anschließend mit Tools zur Analyse von Netzwerkprotokollen (z. B. Wireshark usw.) analysiert werden.

Noch laufende Dateierfassungen stehen noch nicht zum Herunterladen zur Verfügung. Sie können eine laufende Erfassung manuell schließen, um die aktuelle Datei zu schließen und mit der Erfassung von Informationen für eine neue Datei zu beginnen.

So laden Sie eine abgeschlossene Datei herunter:

  1. Gehen Sie zu Netzwerk > Paketerfassungen.

  2. Wählen Sie die gewünschte Datei in den Paketerfassungslisten aus.

  3. Klicken Sie in der Kopfleiste auf Herunterladen.

    OT Security lädt die gezippte PCAP-Datei auf Ihren lokalen Computer herunter.

So schließen Sie die aktuelle Paketerfassung manuell:

  1. Gehen Sie zu Netzwerk > Paketerfassungen.

  2. Klicken Sie in der Kopfleiste auf Laufende Erfassungen schließen.

    OT Security beendet die aktuelle Erfassung, und die Datei steht zum Herunterladen zur Verfügung. Es wird automatisch eine neue Paketerfassung gestartet.