Описание функционирования

<< Кликните, чтобы показать Содержание >>

Руководство Администратора | CHM EPUB PDF A4/Letter   

Описание функционирования

Microolap EtherSensor состоит из набора служб, работающих на отдельном аппаратном или виртуальном сервере ("сенсоре").

Сенсор подключен к Ethernet-порту активного сетевого устройства, на котором настроено дублирование сетевого трафика (mirroring, RX и TX пакеты) с заданных портов, либо к сетевому ответвителю (network tap). Для захвата трафика с нулевыми потерями пакетов при нагрузке в 50Gbps и выше используется технология захвата трафика, разработанная в Общество с ограниченной ответственностью Микроолап Текнолоджис.

Сенсор – это сервер с несколькими сетевыми интерфейсами, один из которых является административным, а другие используются для приема копии сетевого трафика. Сетевой стек ОС на сенсоре сконфигурирован только на административном сетевом интерфейсе, который служит также для передачи перехваченных сообщений внешним системам-потребителям по протоколам, установленным в профилях доставки результатов.

Политика сенсора хранится в его конфигурационных файлах и является набором правил, определяющих захват IP пакетов, анализ контента перехваченных сообщений уровня приложения, и, в зависимости от результата, формат, способ доставки и направление транспортировки результата перехвата.

На сенсоре работают следующие службы:

Службы, работающие с источниками данных.

Служба извлечения сообщений уровня приложения из PCAP-файлов (EtherSensor PCAP, sensor_pcap.exe)

Предназначена для анализа PCAP-файлов в форматах tcpdump/libpcap/pcapng. Служба EtherSensor EtherCAP извлекает из обрабатываемых файлов объекты уровня приложения (L7 согласно модели OSI), и передаёт эти объекты для дальнейшей обработки в службу EtherSensor Analyser.

Служба извлечения сообщений уровня приложения из Ethernet-трафика (EtherSensor EtherCAP, sensor_ethercap.exe)

Предназначена для пассивного перехвата трафика на одном или нескольких Ethernet-адаптерах. Служба EtherSensor EtherCAP извлекает из обрабатываемого трафика сообщения, события и другие объекты уровня приложения, и затем передаёт эти объекты для дальнейшей обработки в службу анализа сообщений EtherSensor Analyser.

Служба извлечения сообщений уровня приложения из данных, предоставляемых ICAP клиентами (EtherSensor ICAP, sensor_icap.exe)

Предназначена для получения трафика по протоколу ICAP в режиме REQMOD+RESPMOD от любых ICAP-клиентов (Squid, Blue Coat Proxy SG, Cisco WSA и т.п.). Полученные от ICAP-клиентов объекты EtherSensor ICAP передаёт службе EtherSensor Analyser для дальнейшего анализа.

Служба извлечения сообщений из Lotus Notes Transaction Log (EtherSensor LotusTXN, sensor_lotustxn.exe)

Предназначена для мониторинга и реконструкции сообщений системы Lotus Notes методом извлечения их из Lotus Notes Transaction Log (журнала транзакций Lotus Notes). EtherSensor LotusTXN извлекает сообщения из файлов Lotus Notes Transaction Log, и затем передаёт эти сообщения для дальнейшей обработки в службу EtherSensor Analyser.

Служба накопления метаданных для обогащения сетевых событий (EtherSensor Identity, sensor_identity.exe)

Предназначена для накопления и обработки метаданных, которые используются в EtherSensor для решения задачи безагентной привязки перехваченного объекта сетевого трафика к конкретному хосту или пользователю.

Служба анализа сообщений, извлеченных из Ethernet-трафика (EtherSensor Analyser, sensor_analyser.exe )

Предназначена для детектирования, анализа и фильтрации перехваченных сообщений и сетевых событий. EtherSensor Analyser анализирует объекты протоколов уровня приложения, полученные от служб EtherSensor PCAP, EtherSensor EtherCAP, EtherSensor ICAP и EtherSensor LotusTXN с целью детектирования сетевых событий и сообщений, передаваемых по сети.

Затем на основе настраиваемых пользователем правил фильтрующий механизм службы EtherSensor Analyser принимает решение:

1. О прекращении обработки сообщения

2. О доставке сообщения системе-потребителю (DLP, U(E)BA, архив, eDiscovery-система, Enterprise Search и т.п.)

3. О формировании строки с заранее заданной структурой на основе данных, извлечённых из сообщения и его метаданных. Для SIEM-систем это, как правило, syslog-строка в формате CEF.

Также служба EtherSensor Analyser отвечает за взаимодействие с экземплярами EtherSensor Agent, маркирующими сессии для привязки к конкретной рабочей станции в случае использования NAT, терминальных сервисов и т.п.

Служба доставки результатов анализа трафика (EtherSensor Transfer, sensor_transfer.exe)

EtherSensor Transfer является подсистемой EtherSensor, предназначенной для доставки результатов анализа перехваченных объектов (само сообщение, либо заранее сконфигурированная syslog-строка) различным системам-потребителям по различным протоколам в соответствии с заранее определенными профилями доставки результатов.

Служба журналирования EtherSensor (EtherSensor Watcher, sensor_watcher.exe)

EtherSensor Watcher является подсистемой EtherSensor, предназначенной для логирования текущего состояния и событий самого EtherSensor.

Служба обновления EtherSensor (EtherSensor Updater, sensor_updater.exe)

Предназначена для загрузки и установки файлов обновлений и лицензий Microolap EtherSensor при выходе новых версий и/или исправлений.

Для просмотра статистики работы сенсора используйте Консоль управления EtherSensor (sensor_console.exe) из директории установки EtherSensor.

Для управления политикой сенсора также используйте Консоль управления EtherSensor, либо редактируйте конфигурационные файлы служб сенсора в директории [INSTALLDIR]\config.