パケットキャプチャ

OT Security は、ネットワーク内のアクティビティのネットワークパケットキャプチャを含むファイルを保存します。データは PCAP (パケットキャプチャ) ファイルとして保存されます。これは、ネットワークプロトコル分析ツール (Wireshark など) を使用して分析することができます。これにより、重大なイベントの詳細なフォレンジック分析が可能になります。システムのストレージ容量が 1.8 TB を超えると、システムは古いファイルを削除します。

[パケットキャプチャ] ページに、システム内のすべての PCAP ファイルが表示されます。[完了] セクションには、ダウンロード可能なすべて完了ファイルがリストされます。[進行中] セクションには、現在進行中のパケットキャプチャに関する詳細が表示されます。

ヘッダーバーには、まだ利用可能な最も古いキャプチャ済みファイルが表示されます。また、ファイルをダウンロードしたり、現在のパケットキャプチャを手動で閉じたりするオプションもあります。

パケットキャプチャテーブルでは、列の表示/非表示、並べ替え、リストのフィルタリング、キーワードの検索ができます。テーブルのカスタマイズについては、表のカスタマイズを参照してください。

注意: [イベント] ページから個々のイベントの PCAP ファイルをダウンロードすることもできます。ファイルのダウンロードを参照してください。

パケットキャプチャパラメーター

[パケットキャプチャ] リストには次の詳細が表示されます。

パラメーター説明
開始時刻パケットキャプチャが開始した日時。
終了時刻パケットキャプチャが終了した日時。
ステータスキャプチャのステータス: [完了] または [進行中]
センサーパケットをキャプチャした OT Security センサー。OT Security アプライアンスによって直接キャプチャされたパケットの場合、値はローカルとして表示されます。
ファイル名ファイルの名前。
ファイルサイズKB/MB 単位のファイルのサイズ。

パケットキャプチャ表示のフィルタリング

開始時刻や終了時刻のパラメーターを入力することにより、パケットキャプチャの表示をフィルタリングし、特定の PCAP を見つけることができます。

パケットキャプチャのフィルタリング手順

  1. [ネットワーク] > [パケットキャプチャ] に移動します。

  2. 開始時刻でフィルタリングするには、[開始時刻] にカーソルを合わせ、 アイコンをクリックします。

    ドロップダウンメニューが表示されます。

    1. フィルターを設定する方法

      1. ドロップダウンメニューから、必要なフィルター ([日時指定なし] (デフォルト)[次の時点より前に開始]、または [次の時点より後に開始]) を選択します。

      2. [次の時点より前に開始] または [次の時点より後に開始] を選択した場合、[日付] および [時刻] ボックスのあるウィンドウが開き、そこで日付と時刻を選択できます。

      3. [適用] をクリックします。

  3. 終了時刻でフィルタリングするには、[終了時刻] にカーソルを合わせ、 アイコンをクリックします。

    ドロップダウンメニューが表示されます。

    1. フィルターを設定する方法

      1. 必要なフィルターを [日時指定なし] (デフォルト)[次の時点より前に終了]、または [次の時点より後に終了] から選択します。

      2. [次の時点より前に終了] または [次の時点より後に終了] を選択した場合、[日付] および [時刻] ボックスのあるウィンドウが開き、そこで日付と時刻を選択できます。

      3. [適用] をクリックします。

        OT Security によりフィルターが適用され、指定したタイムフレーム内で生成されたファイルのみが表示されます。

パケットキャプチャのオンまたはオフ

パケットキャプチャ機能は、[ローカル設定] > [システム設定] > [デバイス] からオンまたはオフにできます。

パケットキャプチャ機能がオフになると、オフになったことを通知するメッセージが [パケットキャプチャ] 画面に表示されます。

重要: [ネットワーク] > [パケットキャプチャ] からパケットキャプチャをオンにできますが、オフにはできません。

パケットキャプチャをオンにする方法

  1. [ネットワーク] > [パケットキャプチャ] に移動します。

  2. ヘッダーバーで、[オンにする] をクリックします。

    OT Security によりパケットキャプチャが開始されす。

ファイルのダウンロード

完了した PCAP ファイルをローカルマシンにダウンロードできます。その後、Wireshark などのネットワークプロトコル分析ツールを使用して分析できます。

まだ進行中のファイルキャプチャはダウンロードできません。進行中のキャプチャを手動で閉じ、現在のファイルを閉じることで、新しいファイルでの情報キャプチャを開始することができます。

完了したファイルのダウンロード手順

  1. [ネットワーク] > [パケットキャプチャ] に移動します。

  2. パケットキャプチャリストから必要なファイルを選択します。

  3. ヘッダーバーで、[ダウンロード] をクリックします。

    OT Security により zip 形式の PCAP ファイルがローカルマシンにダウンロードされます。

現在のパケットキャプチャを手動で閉じる方法

  1. [ネットワーク] > [パケットキャプチャ] に移動します。

  2. [ヘッダー] バーで、[進行中のキャプチャを閉じる] をクリックします。

    OT Security により現在のキャプチャが停止され、ファイルをダウンロードできるようになります。OT Security により新しいパケットキャプチャが自動的に開始されます。