SEDR アプライアンスのネットワークトラフィックを記録する
Article ID: 241116
Updated On:
Products
Issue/Introduction
Symantec Endpoint Detection and Response (SEDR) アプライアンスに関連するネットワーク関連の事象を診断するための証拠として、ネットワークトラフィックを記録する必要がある。
Resolution
SEDR CLI には標準の tcpdump コマンドのほか、/home/admin/ にある .pcap 拡張子を持つすべてのファイルを FTP または SCP サーバーにアップロードするカスタム ATP コマンド "getpcap" が用意されています。SEDR 4.2 からは Web インターフェースから pcap をダウンロードすることができるようになりました。
SEDR アプライアンスの tcp ストリームをキャプチャするには、どのインターフェイスを記録するかを知る必要があります。以下は、アプライアンスモデルに基づくさまざまなポートを示す表です。
| アプライアンスモデル | ハードウェアバージョン | 管理ポート | Monitor 1 / WAN 1 | Monitor 2 / LAN 1 | Monitor 3 / WAN 2 | Monitor 4 / LAN 2 |
| 8880 | R730 | eth0 | eth7 | eth6 | eth5 | eth4 |
| 8880 | R720 | eth0 | eth7 | eth6 | eth5 | eth4 |
| 8840 | R330 | eth0 | eth3 | eth2 | N/A | N/A |
| 8840 | R220 | eth0 | eth2 | eth3 | N/A | N/A |
| VM | N/A | eth0 | eth1 | eth2 | N/A | N/A |
キャプチャするイーサネットポートを決定したら tcpdump コマンドを実行します。すべてのネットワークトラフィックをキャプチャしたい場合は "--interface all" 引数を使用します。以下はその例です。
tcpdump -i eth0 -w /home/admin/capture.pcap
このコマンドで、当該のイーサネットポートを通過するすべてのパケットのキャプチャを開始します。問題を再現したり、必要なテストを実行した後、Ctrl + C を押してキャプチャを停止します。他の CLI コマンドを実行する必要がある場合は、キャプチャの実行中に別の SSH セッションを開いて、そのセッションで実行することができます。
キャプチャを自社環境のローカル SCP サーバーにコピーするには、管理者ガイドやオンラインヘルプに記載のように getpcap コマンドを使用することができます。
getpcap コマンド:
説明: EDR アプライアンス上の /home/admin から sshd を実行しているリモートホストに *.pcap ファイルをコピーします。.pcap ファイルは tcpdump コマンドから出力されるテキストファイルであり、TCP/IP トラフィックを分析するために使用することができます。
オプション 説明
$ <user> リモートホストのユーザーを指定します。そのユーザーのパスワードの入力を求めるプロンプトが表示されます。
$ <host> リモートホストのホスト名、FQDN、IP アドレスのいずれかを指定します.
$ <path> .pcap ファイルを保存するリモートホスト上のパスを指定します。
例:getpcap [email protected]$10.0.4.55:$/pcaps/
ファイルは入力したサーバーにアップロードされます。Wireshark などのパケットキャプチャ解析ツールで開くことができます。
SEDR 4.2 以降:
SEDR 4.2 以降では、pcapファイルを /home/admin/transfers フォルダに保存することができるようになりました。以下は tcpdump コマンドの例です。
tcpdump -i eth4 -w /home/admin/transfers/capture.pcap
キャプチャが終了したら [Settings] - [Global] でファイルをダウンロードできます。一番下までスクロールして [File Transfer] の [Download] を選択し、pcap ファイル名 (上記の例では capture.pcap) を指定します。
Additional Information
Feedback
