パケットキャプチャ

システムは、ネットワーク内の完全なアクティビティのネットワークパケットキャプチャを含むファイルを保存します。データは PCAP ファイルとして保存され、ネットワークプロトコル分析ツール (Wireshark など) を使用して分析できます。これにより、重要なイベントの詳細なフォレンジック分析が可能になります。システムのストレージ容量が 1.8 TB を超えると、システムは古いファイルを削除します。

[パケットキャプチャ] 画面に、システム内のすべてのパケットキャプチャファイルが表示されます。[完了] タブには、ダウンロード可能な各完了ファイルのリストが表示されます。[進行中] タブには、システムで現在進行中のパケットキャプチャに関する詳細が表示されます。

ヘッダーバーには、システムでまだ利用可能な最も古いキャプチャ済みファイルが表示されます。また、ファイルをダウンロードしたり、現在のパケットキャプチャを手動で閉じたりするためのオプションも含まれています。

ファイルリストテーブルでは、列の表示 / 非表示、並べ替え、リストのフィルタリング、キーワードの検索ができます。カスタマイズ機能の説明については、管理コンソールのユーザーインターフェース要素を参照してください。

注意: [イベント] 画面から個々のイベントの PCAP ファイルをダウンロードすることもできます。ファイルのダウンロードを参照してください。

パケットキャプチャパラメーター

[パケットキャプチャ] リストには次の詳細が表示されます。

パラメーター 説明
開始時刻 パケットキャプチャが開始した日時。
終了時刻 パケットキャプチャが終了した日時。
ステータス キャプチャのステータス。可能な値: 完了または進行中
センサー パケットをキャプチャした OT Security センサー。OT Security アプライアンスによって直接キャプチャされたパケットの場合、値はローカルになります。
File Name ファイルの名前。
ファイルサイズ KB/MB 単位のファイルのサイズ。

パケットキャプチャ表示のフィルタリング

開始時刻や終了時刻のパラメーターを入力してパケットキャプチャの表示をフィルタリングし、特定の PCAP を見つけることができます。

パケットキャプチャのフィルタリング手順

  1. [ネットワーク] > [パケットキャプチャ] に移動します。

  2. 開始時刻でフィルターするには、[開始時刻] にカーソルを合わせ、表示される アイコンをクリックします。

    ドロップダウンメニューが開きます。

    フィルターを次のように設定します。

    1. 目的のフィルターを選択します。オプションは [日時指定なし] (デフォルト)、[次の時点より前に開始]、または [次の時点より後に開始] です。

    2. [次の時点より前に開始] または [次の時点より後に開始] が選択された場合、[日付] および [時刻] フィールドのあるウィンドウが開き、希望の日付と時刻を選択できます。

    3. [適用] をクリックします。

  3. 終了時刻でフィルタリングするには、[終了時刻] の横にある アイコンをクリックします。

    ドロップダウンメニューが開きます。フィルターを次のように設定します。

    1. 目的のフィルターを選択します。オプションは [日時指定なし] (デフォルト)、[次の時点より前に開始]、または [次の時点より後に開始] です。

    2. [次の時点より前に開始] または [次の時点より後に開始] が選択された場合、[日付] および [時刻] フィールドのあるウィンドウが開き、希望の日付と時刻を選択できます。

    3. [適用] をクリックします。

      OT Security によりフィルターが適用され、選択したタイムフレーム内に生成されたファイルのみが表示されます。

パケットキャプチャのアクティブ化 / アクティブ化解除

パケットキャプチャは、[ローカル設定] > [システム設定] > [デバイス] でアクティブ化または非アクティブ化できます。パケットキャプチャを参照してください。

パケットキャプチャ機能がオフの場合、[パケットキャプチャ] 画面にオフであることを通知するメッセージが表示されます。

[ネットワーク] > [パケットキャプチャ] からパケットキャプチャをアクティブ化できます (ただし、アクティブ化解除はできません)。

パケットキャプチャ画面からパケットキャプチャをアクティブ化する手順

  1. [ネットワーク] > [パケットキャプチャ] に移動します。

  2. ヘッダーバーで、[オンにする] をクリックします。

    システムはパケットキャプチャを開始します。

ファイルのダウンロード

任意の完成した PCAP ファイルをローカルマシンにダウンロードできます。PCAP ファイルはネットワークプロトコル分析ツール (Wireshark など) を使用して分析できます。

まだ進行中のファイルキャプチャはダウンロードできません。進行中のキャプチャを手動で閉じ、現在のファイルを閉じることで、新しいファイルの情報のキャプチャを開始することができます。

完成したファイルのダウンロード手順

  1. [ネットワーク] > [パケットキャプチャ] に移動します。

  2. パケットキャプチャリストから目的のファイルを選択します。

  3. ヘッダーバーで、[ダウンロード] をクリックします。

    OT Security により zip 圧縮された PCAP ファイルがローカルマシンにダウンロードされます。

現在のパケットキャプチャを手動で閉じる手順

  1. [ネットワーク] > [パケットキャプチャ] に移動します。

  2. ヘッダーバーで、[進行中のキャプチャを閉じる] をクリックします。

    OT Security により現在のキャプチャが停止され、ファイルをダウンロードできるようになります。新しいパケットキャプチャが自動的に開始されます。