Работа с сервисом psg.mitigator.ru

В правом верхнем углу находятся иконки для:

• вызова данной справки. В зависимости от того, в каком разделе находится пользователь открывается соответствующий раздел документации;
• редактирования профиля пользователя;
• завершения пользовательской сессии.

Загрузка файлов

В первую очередь следует загрузить в сервис файл с данными, для чего требуется нажать на иконку с символом + в верхней части страницы и выбрать пункт «Upload file».

В появившемся окне указать путь к локально расположенному файлу. Это может быть дамп трафика в форматах PCAP или PCAPNG, а также текстовый файл, содержащий IP-адреса, префиксы, JA3 hash, JA3 fulltext, User-Agent.

Также можно загрузить файл прямо на странице анализа при помощи иконки с символом + рядом с полем выбора файла.

Предусмотрен ручной ввод значений: IP-адресов, префиксов, JA3 hash, JA3 fulltext, User-Agent. В этом случае из введенных значений будет сформирован текстовый файл.

При необходимости можно указать комментарий к файлу.

Флаг «Visible to company» позволяет указать, будет ли загруженный файл доступен другим пользователям вашей компании. Если флаг не установлен, файл будет доступен только загрузившему его пользователю.

Загруженные файлы отображаются в общем списке на странице «Uploads». Предусмотрена фильтрация по всем полям, а также сортировка по дате добавления. На странице есть пагинация. Количество отображаемых на странице файлов настраивается.

Анализ

После того как файл загружен, его можно выбрать для анализа одним из следующих механизмов:

• Payload Analyzer
• Multipurpose Analyzer
• TLS Analyzer
• IP Analyzer
• ACL Rules Generator
• Service Analyzer
• Log analyzer
• Goaccess log analyzer

По клику на поля для выбора файлов отображается список всех доступных файлов. Работает фильтрация по имени. Отображаются дата и время загрузки каждого файла на сервис.

Новый анализ создается либо нажатием на иконку с символом + в верхней части страницы, пункт «Run analysis», либо нажатием на иконку с пробиркой в строке ранее загруженного файла.

Флаг «Visible to company» позволяет указать, будет ли итоговый отчет доступен другим пользователям вашей компании. Если флаг не установлен, файл отчет доступен только пользователю, запустившему анализ.

После настройки фильтров и выбора режима нужно поставить обработку файла в очередь, нажав кнопку «Analyze». Если заданы фильтры, то будут обрабатываться только пакеты, соответствующие фильтрам. Это нужно, если дамп «загрязнен» трафиком других приложений, или необходимо проанализировать конкретный поток.

Фильтрация

Доступна фильтрация по:

• протоколу (tcp, udp, icmp);
• IP-адресу источника (src IP);
• порту источника (src port);
• IP-адресу назначения (dst IP);
• порту назначения (dst port);
• BPF⁽¹⁾. Произвольный фильтр, синтаксис tcpdump.

Отчеты

На странице «Reports» отображаются готовые отчеты и отчеты, анализ по которым выполняется в текущий момент. При запуске анализа в таблице появится новая строка. Когда анализ закончится, прозвучит звуковой сигнал, изменится фавикон. Подробный отчет с результатами анализа открывается нажатием на «ID».

Тегами помечаются название анализируемого файла, его хеш, а также параметры, с которыми анализ был запущен. Подробное описание отчётов в статьях о механизмах анализа. На странице есть пагинация. Количество отображаемых на странице отчетов настраивается.

(1) В «Multipurpose Analyser» если задан произвольный BPF-фильтр, то другие фильтры не применяются.