Captures de paquets

Tenable OT Security stocke des fichiers contenant des captures de paquets d'activités sur le réseau. Les données sont stockées sous forme de fichiers PCAP (capture de paquet) qui peuvent être analysés à l'aide d'outils d'analyse de protocole réseau tels que Wireshark. Cela permet une analyse approfondie des événements critiques. Lorsque la capacité de stockage du système est dépassée (1,8 To), le système supprime les anciens fichiers.

La page Captures de paquets affiche tous les fichiers PCAP du système. La section Terminé dresse la liste de tous les fichiers terminés disponibles au téléchargement. La section En cours affiche des détails sur la capture de paquets en cours.

La barre d'en-tête affiche le plus ancien fichier capturé encore disponible. Elle propose également une option pour télécharger des fichiers et pour arrêter manuellement la capture de paquets en cours.

Dans le tableau des captures de paquets, vous pouvez afficher ou masquer les colonnes, trier et filtrer les listes et rechercher des mots-clés. Pour plus d'informations sur la personnalisation des tableaux, voir Personnaliser les tableaux.

Remarque : vous pouvez également télécharger le fichier PCAP d'un événement à partir de la page Événements. Voir Télécharger des fichiers.

Paramètres de capture de paquets

La liste Capture de paquet affiche les détails suivants :

ParamètreDescription
Date/heure de débutLa date et l'heure auxquelles la capture de paquets a commencé.
Date/heure de finLa date et l'heure auxquelles la capture de paquets a pris fin.
StatutLe statut de la capture : Terminé ou En cours.
CapteurLe capteur Tenable OT Security qui a capturé le paquet. Pour les paquets capturés directement par l'appliance Tenable OT Security, la valeur affichée est local.
Nom du fichierLe nom du fichier.
Taille du fichierLa taille du fichier, donnée en Ko/Mo.

Filtrer l'affichage de la capture de paquets

Vous pouvez filtrer l'affichage de la capture de paquets pour rechercher un fichier PCAP en fournissant les paramètres d'heure de début et/ou d'heure de fin.

Pour filtrer les captures de paquets :

  1. Accédez à Réseau > Captures de paquets.

  2. Pour filtrer par heure de début, survolez Heure de début et cliquez sur l'icône .

    Un menu déroulant apparaît.

    1. Pour définir le filtre :

      1. Dans le menu déroulant, sélectionnez le filtre requis : N'importe quand (par défaut), Début antérieur à ou Début postérieur à.

      2. Si vous sélectionnez Début antérieur à ou Début postérieur à, une fenêtre contenant les zones Date et Heure apparaît pour vous permettre de choisir la date et l'heure souhaitées.

      3. Cliquez sur Appliquer.

  3. Pour filtrer par heure de fin, survolez Heure de fin et cliquez sur l'icône .

    Un menu déroulant apparaît.

    1. Pour définir le filtre :

      1. Sélectionnez le filtre requis : N'importe quand (par défaut), Fin antérieure à ou Fin postérieure à.

      2. Si vous sélectionnez Fin antérieure à ou Fin postérieure à, une fenêtre contenant les zones Date et Heure apparaît pour vous permettre de choisir la date et l'heure souhaitées.

      3. Cliquez sur Appliquer.

        Tenable OT Security applique le filtre et affiche uniquement les fichiers générés dans la période spécifiée.

Activer ou désactiver les captures de paquets

Vous pouvez activer ou désactiver la fonction de capture de paquets dans Paramètres locaux > Configuration système > Appareil.

Si la fonction Capture de paquets est désactivée, l'écran Captures de paquets affiche un message vous informant qu'elle est désactivée.

Important : vous pouvez activer (mais pas désactiver) la capture de paquets à partir de l'écran Réseau > Capture de paquets.

Pour activer la capture de paquets :

  1. Accédez à Réseau > Captures de paquets.

  2. Dans la barre d'en-tête, cliquez sur Activer.

    Tenable OT Security lance la capture de paquets.

Télécharger des fichiers

Vous pouvez télécharger n'importe lequel des fichiers PCAP terminés sur votre ordinateur local. Vous pouvez ensuite l'analyser à l'aide d'outils d'analyse de protocole réseau tels que Wireshark.

Les captures de fichiers qui sont toujours en cours ne sont pas encore disponibles au téléchargement. Vous pouvez fermer manuellement une capture en cours pour fermer le fichier en cours et commencer à capturer des informations sur un nouveau fichier.

Pour télécharger un fichier terminé :

  1. Accédez à Réseau > Captures de paquets.

  2. Sélectionnez le fichier requis dans les listes de capture de paquets.

  3. Dans la barre d'en-tête, cliquez sur Télécharger.

    Tenable OT Security télécharge le fichier PCAP au format zip sur votre ordinateur local.

Pour fermer manuellement la capture de paquets en cours :

  1. Accédez à Réseau > Captures de paquets.

  2. Dans la barre d'en-tête, cliquez sur Fermer les captures en cours.

    Tenable OT Security arrête la capture en cours et le fichier devient disponible au téléchargement. Tenable OT Security lance automatiquement une nouvelle capture de paquets.