利用 OMS 線路傳輸資料方案進行簡易網路分析

概要： 學習如何利用 OMS 線路傳輸資料方案來分析網路協定、子網路、電腦、和潛在的威脅。

從方案庫加入線路傳輸資料方案(WireData Solution)後，在 OMS 概觀中可以看到此方案，並顯示出過去24小時的代理程式數、區域子網路數、應用程式層級通訊協定數。如以下範例：

接著點選此方案磚便能看到更詳細的資料。在此範例您可以看到擷取網路流量的 agent 有7個，並看到4個子網路的概觀，13個應用程式層級通訊協定，和一些常用的搜尋指令。如下圖：

若點選擷取網路流量的 agent 的磚，便會執行以下指令：

Type:WireData | measure Sum(TotalBytes) by Computer | top 500000

執行後在畫面的左側也能看到 protocol name、IP version 等等。如下圖：

您也可以再點選任意電腦，點選後會自動執行搜尋指令，並列出該電腦與線路傳輸資料相關的所有事件。如下圖：