合法的拦截
联邦解决方案
挑战:如何提供经过认证的取证数据包捕获数据?
合法的拦截(Li)是一个用于描述一个方案的术语政府执法机构(LEA)授予法律手段,以便根据合法权限获取通信网络数据,以便分析或证据。
挑战出现了如何提供认证的取证数据包捕获数据。为了确保证据质量,该机构必须遵守特定的法规,提供对所有数据的明确访问,而不会有任何信息损失或对被监控网络的影响,同时遵守保证参数,包括时间跨度,通信类型,以及许多更多的。
在这些情况下,利用跨度的网络数据包捕获设备不会因这些简单的原因而不是在法庭上保持:
•由于跨度端口超额认购,监控工具可能会错过丢弃的数据包
•不会通过腐败的数据包或错误(坏报文)并被删除
•跨度可以改变帧交互的定时,改变响应时间
•时间戳可以读取不同但数据包内容是相同的
•如果使用多个VLAN可以重复数据包
解决方案
回头取证
For inline deployments, Garland’s EdgeLens Inline security packet brokers, not only offers bypass resilience but also additional use cases like “Look-back Forensics” which provides visibility to out-of-band packet capture, storage and analysis tools for inspecting the traffic from your inline IPS, Firewalls and WAFs tools. If active blocking failed to stop a threat, you have traffic storage for post breach forensics.
•100%全双工数据包捕获,无损失,全线速率
•通过IPS / NGFW PCAP数据产生易于相关的事件
•促进安全事件响应的时间关键工作流程。
•启用日期/周/月的法医时间表
•提取的PCAP数据可以作为“监护链”中的法庭上作为证据呈现为证据