|
|
Некоторые события можно проследить обратно вплоть до источника данных, указанных в событии. Подобно тому как детектив восстанавливает картину преступления, функция обратного прослеживания показывает все этапы, или транзитные узлы, через которые передавался входящий трафик. Транзитный узел - это точка сети Интернет (такая как маршрутизатор), через которую проходит пакет на пути от одного компьютера к другому. Функция обратного прослеживания следует по пути пакета от конца к началу, последовательно определяя маршрутизаторы, через которые данные попали на компьютер.
Некоторые записи журнала позволяют проследить путь пакета данных, применявшегося для атаки. У каждого маршрутизатора, через который передается пакет данных, есть IP-адрес. С помощью этой функции можно узнать IP-адрес и прочие сведения. С помощью показанной информации не всегда можно определить фактического злоумышленника. По IP-адресу последнего транзитного узла можно узнать владельца маршрутизатора, через который подключался злоумышленник, но этот владелец не всегда является злоумышленником.
Обратное прослеживание применимо к некоторым записям журнала безопасности и журнала трафика.
Как обратно проследить зарегистрированное в журнале событие
Нажмите Показать журналы справа от "Защиты от угроз из сети" или "Управления клиентом". После этого выберите журнал, содержащий необходимую запись.
В окне просмотра журнала выберите запись, которую необходимо проследить.
В окне "Информация обратного прослеживания" нажмите Кто >> для просмотра подробных сведений о каждом транзитном узле.
На отдельной панели будет показана подробная информация о владельце IP-адреса, с которого был отправлен трафик. С помощью клавиш Ctrl-C и Ctrl-V эту информацию можно скопировать и вставить в электронное письмо, адресованное администратору.