ГлавнаяКонтактыКарта сайта
ЕПОС
О компанииКомпьютерная криминалистикаВосстановление информацииЗащита информацииПроизводство и ITСервисНаши разработки

Расследование инцидентов, компьютерная криминалистика, информационная безопасность

Книжная серия Взгляд на жесткий диск изнутри




E-Detective Decoding Centre (EDDC)

Центр извлечения данных из сетевых пакетов для расследования ИТ-инцидентов

Назначение

E-Detective Decoding Centre (EDDC) – система централизованного декодирования и восстановления в исходный вид данных из ранее перехваченных «сырых» сетевых пакетов.

EDDC предназначен для централизованной расшифровки образов сетевого трафика в формате PCAP (Packet CAPture) в случае, когда перехват сетевых пакетов происходит без возможности расшифровки в реальном времени, либо когда одно расследование включает анализ нескольких сетей.

Приобретение EDDC позволяет сократить затраты за счет использования централизованной обработки и более простых агентов сбора «сырых» данных.

Принцип работы

Пользователи могут загружать захваченные «сырые» данные в формате PCAP через FTP-соединение, а результаты и статистические отчеты смотреть при помощи Интернет-обозревателя. Система способна расшифровывать образы сетевого трафика в формате PCAP (Packet CAPture), перехваченные не только с помощью продуктов Decision Group, но и другими системами или программами-анализаторами, такими как Ethereal, Wireshark, tcpdump, WinDump и др. Следовательно, для перехвата можно использовать более простое оборудование, без функций анализа.

Администратор EDDC может создавать множество индивидуальных учетных записей (для судебных специалистов, следователей, работников отделов безопасности и т.д.), распределять их по группам, или индивидуально назначать права на конкретные расследования. Это дает возможность использовать EDDC для параллельного ведения различных расследований.


Применение EDDC в качестве единого центра обработки

Особенности

  1. Универсальность – поддержка формата PCAP;
  2. Единый центр обработки для параллельного ведения расследований – расширенное управление учетными записями пользователей;
  3. Доступная отчетность – просмотр сводных отчетов с возможностью углубления в подробности;
  4. Просмотр переданных по сети данных в изначальном формате;
  5. Широкие возможности поиска – по содержимому, или по параметрам, в т. ч. ассоциативный поиск.

Основные характеристики

  • Программно-аппаратный комплекс на основе ОС Debian Linux;
  • Пропускная способность расшифровки: до 500 Мбит/с;
  • Оболочка: Интернет-обозреватель;
  • Сетевое соединение: Ethernet 10/100/1000 Мбит/с;
  • Поддерживаемые протоколы: E-mail, Webmail, Instant Messaging, HTTP, File Transfer (FTP, P2P), Online Games, VoIP, Webcam (дополнительный программный модуль для HTTPS/SSL).

Варианты и области применения

EDDC ориентирован на использование в государственной службе разведки, службе национальной безопасности, силовых структурах, судебных органах, отделах безопасности крупных предприятий, банков, корпораций  и т.п., а также поставщиками телекоммуникационных услуг для отслеживания незаконной активности пользователей в корпоративной сети, выявления утечек информации и сбора доказательств правонарушений.

Комплекс также может использоваться компаниями, занимающимися компьютерной экспертизой для оказания услуг малым и средним предприятиям, учебным заведениям и др.



Поделиться информацией