Captures de paquets

Le système stocke des fichiers contenant des captures de paquets complets d'activités sur le réseau. Les données sont stockées dans des fichiers PCAP qui peuvent être analysés à l'aide d'outils d'analyse de protocole réseau (par exemple, Wireshark, etc.). Cela permet une analyse approfondie des événements critiques. Lorsque la capacité de stockage du système est dépassée (1,8 To), le système supprime les anciens fichiers.

L'écran Captures de paquets affiche tous les fichiers de capture de paquets du système. L'onglet Terminé affiche des listes pour chaque fichier terminé disponible au téléchargement. L'onglet En cours affiche des détails sur la capture de paquets en cours dans le système.

La barre d'en-tête affiche le plus ancien fichier capturé encore disponible dans le système. Elle contient également une option pour télécharger des fichiers et pour arrêter manuellement la capture de paquets en cours.

Dans le tableau des listes de fichiers, vous pouvez afficher ou masquer les colonnes, trier et filtrer les listes d'assets et rechercher des mots-clés. Pour une explication des fonctionnalités de personnalisation, voir Éléments de l'interface utilisateur de la console de gestion.

Remarque : vous pouvez également télécharger le fichier PCAP d'un événement à partir de l'écran Événements. Voir Télécharger des fichiers.

Paramètres de capture de paquets

La liste Capture de paquet affiche les détails suivants :

Paramètre Description
Date/heure de début La date et l'heure auxquelles la capture de paquets a commencé.
Date/heure de fin La date et l'heure auxquelles la capture de paquets a pris fin.
Statut Le statut de la capture. Valeurs possibles : Terminé ou En cours.
Capteur Le capteur Tenable OT Security qui a capturé le paquet. Pour les paquets capturés directement par l'appliance Tenable OT Security, la valeur est fournie comme local.
Nom du fichier Le nom du fichier.
Taille du fichier La taille du fichier, donnée en Ko/Mo.

Filtrer l'affichage de la capture de paquets

Vous pouvez filtrer l'affichage de la capture de paquets pour rechercher un fichier PCAP en saisissant les paramètres d'heure de début et/ou d'heure de fin.

Pour filtrer les captures de paquets :

  1. Accédez à Réseau > Captures de paquets.

  2. Pour filtrer par date/heure de début, survolez Date/heure de début et cliquez sur l'icône qui apparaît.

    Un menu déroulant apparaît.

    Réglez le filtre comme suit :

    1. Sélectionnez le filtre requis. Les options sont : N'importe quand (par défaut), Début antérieur à ou Début postérieur à.

    2. Si vous sélectionnez Début antérieur à ou Début postérieur à, une fenêtre apparaît avec les champs Date et Heure, vous permettant de choisir la date et l'heure souhaitées.

    3. Cliquez sur Appliquer.

  3. Pour filtrer en fonction de la date/l'heure de fin, cliquez sur l'icône à côté de Date/heure de fin.

    Un menu déroulant apparaît. Réglez le filtre comme suit :

    1. Sélectionnez le filtre requis. Les options sont : N'importe quand (par défaut), Début antérieur à ou Début postérieur à.

    2. Si vous sélectionnez Début antérieur à ou Début postérieur à, une fenêtre apparaît avec les champs Date et Heure pour choisir la date et l'heure souhaitées.

    3. Cliquez sur Appliquer.

      Tenable OT Security applique le filtre, et seuls les fichiers générés dans la période sélectionnée sont affichés.

Activer/désactiver les captures de paquets

La capture de paquets peut être activée ou désactivée dans Paramètres locaux > Configuration système  > Appareil . Voir Captures de paquets.

Si la fonction Capture de paquets est désactivée, l'écran Captures de paquets affiche un message vous informant qu'elle est désactivée.

Vous pouvez activer (mais pas désactiver) la capture de paquets à partir de l'écran Réseau > Capture de paquets.

Pour activer la capture de paquets à partir de l'écran Capture de paquets :

  1. Accédez à Réseau > Captures de paquets.

  2. Dans la barre d'en-tête, cliquez sur Activer.

    Le système commence la capture de paquets.

Télécharger des fichiers

Vous pouvez télécharger n'importe lequel des fichiers PCAP terminés sur votre ordinateur local. Les fichiers PCAP peuvent alors être analysés à l'aide d'outils d'analyse de protocole réseau (par exemple Wireshark, etc.).

Les captures de fichiers qui sont toujours en cours ne sont pas encore disponibles au téléchargement. Vous pouvez fermer manuellement une capture en cours afin de fermer le fichier en cours et commencer à capturer des informations pour un nouveau fichier.

Pour télécharger un fichier terminé :

  1. Accédez à Réseau > Captures de paquets.

  2. Sélectionnez le fichier souhaité dans les listes de capture de paquets.

  3. Dans la barre d'en-tête, cliquez sur Télécharger.

    Tenable OT Security télécharge le fichier PCAP compressé sur votre ordinateur local.

Pour fermer manuellement la capture de paquets en cours :

  1. Accédez à Réseau > Captures de paquets.

  2. Dans la barre d'en-tête, cliquez sur Fermer la capture en cours.

    Tenable OT Security arrête la capture en cours ; le fichier devient disponible pour le téléchargement. Une nouvelle capture de paquets est automatiquement lancée.