ALERT: Some images may not load properly within the Knowledge Base Article. If you see a broken image, please right-click and select 'Open image in a new tab'. We apologize for this inconvenience.

SEDR アプライアンスのネットワークトラフィックを記録する

book

Article ID: 241116

calendar_today

Updated On:

Products

Endpoint Detection and Response

Issue/Introduction

Symantec Endpoint Detection and Response (SEDR) アプライアンスに関連するネットワーク関連の事象を診断するための証拠として、ネットワークトラフィックを記録する必要がある。

Resolution

SEDR CLI には標準の tcpdump コマンドのほか、/home/admin/ にある .pcap 拡張子を持つすべてのファイルを FTP または SCP サーバーにアップロードするカスタム ATP コマンド "getpcap" が用意されています。SEDR 4.2 からは Web インターフェースから pcap をダウンロードすることができるようになりました。

SEDR アプライアンスの tcp ストリームをキャプチャするには、どのインターフェイスを記録するかを知る必要があります。以下は、アプライアンスモデルに基づくさまざまなポートを示す表です。

アプライアンスモデル ハードウェアバージョン 管理ポート Monitor 1 / WAN 1 Monitor 2 / LAN 1 Monitor 3 / WAN 2 Monitor 4 / LAN 2
8880 R730 eth0 eth7 eth6 eth5 eth4
8880 R720 eth0 eth7 eth6 eth5 eth4
8840 R330 eth0 eth3 eth2 N/A N/A
8840 R220 eth0 eth2 eth3 N/A N/A
VM N/A eth0 eth1 eth2 N/A N/A

キャプチャするイーサネットポートを決定したら tcpdump コマンドを実行します。すべてのネットワークトラフィックをキャプチャしたい場合は "--interface all" 引数を使用します。以下はその例です。

tcpdump -i eth0 -w /home/admin/capture.pcap

このコマンドで、当該のイーサネットポートを通過するすべてのパケットのキャプチャを開始します。問題を再現したり、必要なテストを実行した後、Ctrl + C を押してキャプチャを停止します。他の CLI コマンドを実行する必要がある場合は、キャプチャの実行中に別の SSH セッションを開いて、そのセッションで実行することができます。

キャプチャを自社環境のローカル SCP サーバーにコピーするには、管理者ガイドやオンラインヘルプに記載のように getpcap コマンドを使用することができます。

getpcap コマンド:

説明: EDR アプライアンス上の /home/admin から sshd を実行しているリモートホストに *.pcap ファイルをコピーします。.pcap ファイルは tcpdump コマンドから出力されるテキストファイルであり、TCP/IP トラフィックを分析するために使用することができます。

オプション 説明
$ <user>   リモートホストのユーザーを指定します。そのユーザーのパスワードの入力を求めるプロンプトが表示されます。
$ <host>   リモートホストのホスト名、FQDN、IP アドレスのいずれかを指定します.
$ <path>   .pcap ファイルを保存するリモートホスト上のパスを指定します。
例:getpcap [email protected]$10.0.4.55:$/pcaps/

ファイルは入力したサーバーにアップロードされます。Wireshark などのパケットキャプチャ解析ツールで開くことができます。

SEDR 4.2 以降:

SEDR 4.2 以降では、pcapファイルを /home/admin/transfers フォルダに保存することができるようになりました。以下は tcpdump コマンドの例です。

tcpdump -i eth4 -w /home/admin/transfers/capture.pcap

キャプチャが終了したら [Settings] - [Global] でファイルをダウンロードできます。一番下までスクロールして [File Transfer] の [Download] を選択し、pcap ファイル名 (上記の例では capture.pcap) を指定します。

Additional Information

[英語文書] Record network traffic on the Endpoint Detection and Response (SEDR) appliance