E-Detective Decoding Centre (EDDC)
Центр извлечения данных из сетевых пакетов для расследования ИТ-инцидентов
Назначение
E-Detective Decoding Centre (EDDC) – система централизованного декодирования и восстановления в исходный вид данных из ранее перехваченных «сырых» сетевых пакетов.
EDDC предназначен для централизованной расшифровки образов сетевого трафика в формате PCAP (Packet CAPture) в случае, когда перехват сетевых пакетов происходит без возможности расшифровки в реальном времени, либо когда одно расследование включает анализ нескольких сетей.
Приобретение EDDC позволяет сократить затраты за счет использования централизованной обработки и более простых агентов сбора «сырых» данных.
Принцип работы
Пользователи могут загружать захваченные «сырые» данные в формате PCAP через FTP-соединение, а результаты и статистические отчеты смотреть при помощи Интернет-обозревателя. Система способна расшифровывать образы сетевого трафика в формате PCAP (Packet CAPture), перехваченные не только с помощью продуктов Decision Group, но и другими системами или программами-анализаторами, такими как Ethereal, Wireshark, tcpdump, WinDump и др. Следовательно, для перехвата можно использовать более простое оборудование, без функций анализа.
Администратор EDDC может создавать множество индивидуальных учетных записей (для судебных специалистов, следователей, работников отделов безопасности и т.д.), распределять их по группам, или индивидуально назначать права на конкретные расследования. Это дает возможность использовать EDDC для параллельного ведения различных расследований.

Особенности
- Универсальность – поддержка формата PCAP;
- Единый центр обработки для параллельного ведения расследований – расширенное управление учетными записями пользователей;
- Доступная отчетность – просмотр сводных отчетов с возможностью углубления в подробности;
- Просмотр переданных по сети данных в изначальном формате;
- Широкие возможности поиска – по содержимому, или по параметрам, в т. ч. ассоциативный поиск.
Основные характеристики
- Программно-аппаратный комплекс на основе ОС Debian Linux;
- Пропускная способность расшифровки: до 500 Мбит/с;
- Оболочка: Интернет-обозреватель;
- Сетевое соединение: Ethernet 10/100/1000 Мбит/с;
- Поддерживаемые протоколы: E-mail, Webmail, Instant Messaging, HTTP, File Transfer (FTP, P2P), Online Games, VoIP, Webcam (дополнительный программный модуль для HTTPS/SSL).
Варианты и области применения
EDDC ориентирован на использование в государственной службе разведки, службе национальной безопасности, силовых структурах, судебных органах, отделах безопасности крупных предприятий, банков, корпораций и т.п., а также поставщиками телекоммуникационных услуг для отслеживания незаконной активности пользователей в корпоративной сети, выявления утечек информации и сбора доказательств правонарушений.
Комплекс также может использоваться компаниями, занимающимися компьютерной экспертизой для оказания услуг малым и средним предприятиям, учебным заведениям и др.