Служба EtherSensor Transfer отвечает за доставку результатов работы EtherSensor Analyser внешним системам-потребителям.
Основной идеей службы EtherSensor Transfer является понятие заранее определенного транспортного профиля (профиля доставки результатов) для доставки извлечённого из трафика объекта.
Транспортный профиль содержит данные о сервере и аутентификации на нем, если система-потребитель перехваченных объектов является сервером, или же путь к локальной директории, а также требования к сохраняемым объектам, если речь идет о профилях группы ARCHIVING.
В правилах фильтрации сообщений службы EtherSensor Analyser один профиль в случае необходимости может быть мгновенно заменен другим, а так как профили созданы администратором заранее и тщательно проверены, вероятность ошибок в этой части настроек минимальна.
Результаты анализа одного и того же перехваченного объекта могут быть одновременно доставлены многими способами многим потребителям с использованием многих транспортных профилей.
Например: Контент и метаданные сообщения доставляются одновременно в DLP-систему и в eDiscovery-систему, метаданные – в SIEM-систему, работающую в SOC внешнего MSSP, а файл аттачмента – в sandbox. |
|---|
Типы транспортных профилей:
Профили группы ARCHIVING служат для доставки контента перехваченных объектов и их метаданных системам типа eDiscovery, Enterprise Archiving, Enterprise Search и многим DLP-системам. При этом используются методы доставки SMTP/SMTPS, FTP/FTPS, SFTP, IMAP, FILEDROP (локальная файловая система) и SMB/CIFS (сетевой каталог).
Профили группы DLP служат для доставки DLP-системам контента перехваченных объектов и их метаданных. Все поддерживаемые DLP-системы имеют свой архив, и именно в него EtherSensor напрямую доставляет перехваченные объекты с использованием их проприетарных протоколов передачи данных.
Профили группы SIEM служат для доставки в SIEM-системы по протоколу SYSLOG данных о перехваченном объекте. Если необходимо, доставляется также и контент объекта.
Профили группы SANDBOX служат для доставки в решения класса sandbox подозрительных на вредоносность перехваченных объектов для дальнейшего анализа.
Профили группы STATS служат для доставки статистических данных на NetFlow-коллекторы, в частности, на NetFlow-коллекторы SIEM-систем.
Групповые профили служат для балансировки нагрузки между системами-потребителями, включают в себя перечисленные выше транспортные профили с заранее установленными весами.
Транспортный профиль перехваченному объекту назначается в фильтре сообщений. Если в процессе анализа объекта выяснилось, что ему не был назначен ни один транспортный профиль, то он доставляется профилем по умолчанию. После успешной доставки объект удаляется из кэша перехваченных объектов, вся имеющаяся информация о нём уничтожается.
Основной формат, в котором EtherSensor поставляет контент реконструированных объектов системам-потребителям – EML-конверт. Также служба EtherSensor Transfer способна передавать данные в собственном внутреннем XML и/или JSON форматах в тех случаях, когда EML-конверт не является обязательным форматом доставки (копирование данных в директории или использование FTP-протокола).
Архитектура системы при использовании незащищённых протоколов передачи данных:
Рис.40. Схема работы службы EtherSensor Transfer.
Архитектура системы при использовании защищённых протоколов передачи данных:
Рис.41. Работа службы EtherSensor Transfer с защищенными протоколами
Конфигурационный файл службы EtherSensor Transfer
Конфигурация службы EtherSensor Transfer содержится в XML-файле transfer.xml, расположенном в общей директории конфигураций Microolap EtherSensor [INSTALLDIR]\config.
Параметры командной строки
Служба EtherSensor Transfer в ходе процедуры установки Microolap EtherSensor устанавливается как служба Windows, настроенная на автоматический запуск. Однако, она также может быть запущена как приложение Windows sensor_transfer.exe и имеет следующие параметры командной строки:
/process
Запустить процесс sensor_transfer.exe как обычный Windows Win32-процесс (возможно использовать для отладки).
/service
Запустить как службу Windows.
/config
Сохранить конфигурацию службы по умолчанию.