Decoder : Configurer la gestion des transactions sur un Decoder

Document created by RSA Information Design and Development Employee on Apr 28, 2019
Version 1Show Document
  • View in full screen mode
 

À partir de la version 11.0, les administrateurs peuvent configurer un Decoder afin de subdiviser les sessions entrantes dans des sessions de transactions plus petites lors de l’utilisation d’analyseurs LUA conçus pour créer des transactions. Cette fonction permet aux analystes d’effectuer une analytique sur les sessions fractionnées dans les services en aval comme Investigate.

Gestion des transactions

Le nœud de configuration du service Decoder dispose d’un nouveau paramètre pour la configuration de la gestion des transactions : /decoder/parsers/config/parser.transaction.mode. Ce nœud contrôle le comportement du Decoder lorsqu’un analyseur définit une transaction dans une session réseau.

Les valeurs de parser.transaction.mode correspondent aux modes de fonctionnement :

  • off (transactions désactivées)
  • meta (transactions représentées sous forme de métaéléments)
  • split (sessions fractionnées de transactions)

Transactions désactivées

Lorsque le mode Transactions est désactivé, toutes les transactions au niveau des applications créées par les analyseurs sont ignorées, et rien n’est stocké dans la collection pour représenter la transaction.

Transactions représentées sous forme de métaéléments

Dans ce mode de fonctionnement, lorsqu’un analyseur génère une transaction au niveau des applications, un nouveau métaélément de type {{trans}} est ajouté à la session dans laquelle la transaction s’est produite. Le métaélément {{trans}} contient une liste d’autres métaéléments qui constituent la transaction.

Sessions fractionnées de transactions

Dans ce mode de fonctionnement, lorsqu’un analyseur génère une transaction au niveau des applications, la session est fractionnée. Le fractionnement de la session est effectué par :

  1. Un nouvel élément de session est créé.
  2. Les métaéléments réseau sont copiés à partir de la session analysée dans la nouvelle session.
  3. Les métaéléments de la transaction sont déplacés à partir de la session d’origine vers la nouvelle session.

Les métaéléments suivants sont dupliqués dans la session fractionnée à partir de la session qui a été analysée :

  • time
  • medium
  • eth.src
  • eth.dst
  • eth.type
  • ip.proto
  • ip.src
  • ip.dst
  • ipv6.src
  • ipv6.dst
  • ipv6.proto
  • tcp.srcport
  • tcp.dstport
  • tcp.flags
  • udp.srcport
  • udp.dstport
  • service
  • udp.srcport
  • udp.srcport
  • tls.premaster
You are here
Table of Contents > Procédures supplémentaires de Decoder et Log Decoder > Configurer la gestion des transactions sur un Decoder

Attachments

    Outcomes