TLS Analyzer

TLS Analyzer принимает позволяет на входе получить PCAP или текстовый файл. Из PCAP выделяются JA3-отпечатки и по ним выводится дополнительная информация. Анализ текстовых файлов позволяет установить соответствие между JA3 hash, JA3 fullstring или User-Agent. Например, получить JA3 hash и список User-Agent, загрузив JA3 fullstring. А если введено значение User-Agent, то будет выполнен поиск записей, у которых в User-Agent есть такая подстрока.

Для данного механизма можно активировать следующие чекбоксы:

• Interactive — вместо текстового формируется интерактивный HTML-отчет;
• Search in JA3 fingerprint lists — добавить в отчет секцию, в которой выводятся результаты проверки JA3-отпечатков по репутационным спискам;
• Show all known User-Agents for JA3 fingerprints — добавить в отчет секцию, в которой содержится информация по всем наблюдаемым User-Agent для каждого JA3-отпечатка в файле.

Секции внутри отчета представлены в CSV формате, чтобы их было удобно анализировать в других средствах, от Excel до Jupyter.

Отчет может формироваться как текстовый файл или как интерактивная HTML-страница, если установлен чекбокс Interactive. Содержание отчета не зависит от формы представления, но интерактивная версия имеет ряд преимуществ и удобнее в использовании. Интерактивный отчет может быть экспортирован в HTML страницу или JSON для последующего использования вне PSG. Каждая секция отчета может быть свернута.

Если на вход подается текстовый файл, то общий вид отчета не изменяется, но заполнены будут не все его секции.