Приветствую всех на второй статье про систему глубокого анализа трафика от компании Positive Technologies - Network Attack Discovery. В прошлой статье я упоминал про фильтрацию сессий PT NAD, но не стал на этом останавливаться; в рамках же этой статьи предлагаю подробно рассмотреть данный функционал продукта. Фильтрация вам пригодится, чтобы найти подозрительную активность, нарушения регламентов ИБ и расследовать атаки. В конце статьи я приведу пример расследования цепочки атаки, используя фильтры PT NAD.
PT Network Attack Discovery хранит 1200 параметров сессий без ограничений по времени, и для того, чтобы стало проще сортировать сессии по этим параметрам, разработчики сделали строку фильтрации. Примеры хранимых параметров: ip адреса участников сессии, их сетевые группы, страны, порты отправителя и получателя, прикладной и транспортный протоколы и т.д.
Используя данную технологию, оператор PT NAD может легко отсеять все ненужные ему в данный момент сетевые соединения, чтобы заострить свое внимание на самых важных.