滴定-法医和警报

由于Tetration在端点内部和流经网络的流量均具有可见性,因此它为我们提供了惊人的法医分析功能。在本文中,我们将回顾其中一些强大的功能,但这与Tetration中的所有取证功能相去甚远。

当Tetration看到前所未有的命令时,它会发出警报,特权升级,侧通道攻击,崩溃等。我们可以在“取证配置”下为某些事件或更广泛的警报创建特定警报:

在取证分析仪表板中,我们可以使用顶部的栏开始特定日期,时间或范围内的分析。

我们还可以根据事件类型的选择进行过滤,如下所示。

假设我们选择了特权升级事件类型,并看到了如下所示的特定事件。


然后,我们可以单击它以更详细地查看该安全事件。

当我们将鼠标移到时间轴上并选择事件时,Tetration将提供有关发生了什么,用户做了什么的更多信息,并详细描绘了该图片:

另一个示例可能是登录事件失败,如下所示。 滴定可以显示用户如何尝试通过SSH登录以及他们成功登录后所做的一切。


滴定有一个名为Lookout Annotations List的仪表板,用于Tetration可以下载并发出警报的列表。 滴定已经随附了一个用于IPv4的Bogon列表,但是任何人都可以手动添加自己的IP地址或供稿列表。添加它们之后,Tetration将查找去往或来自那些IP地址的流,并在发现任何内容时发出警报。

如果我们使用Tetration创建和推送白名单策略,则应该已经阻止了到这些IP地址的流量,但是通过Lookout,无论服务器是否被阻止,服务器都可以尝试警告我们。

滴定还具有一个流程搜索仪表板。 滴定可以使用此搜索将在链接上发生的对话进行汇总。

在流搜索中,我们还可以搜索其他详细信息,例如SRTT,然后单击流,就可以获取更多详细信息:


流程详细信息还显示了流程图,并且我们正在使用ACI,我们可以深入了解通过ACI架构的流程路径。

通过单击流路径,Tetration将说明通过该ACI结构的流的路径。