Decoder : Activer et configurer du parser Entropy

Document created by RSA Information Design and Development Employee on Apr 28, 2019
Version 1Show Document
  • View in full screen mode
 

À partir de la version NetWitness Platform 11.0, l’administrateur peut configurer un Decoder pour utiliser un analyseur natif NetWitness, appelé l’analyseur Entropy. Lorsque l’analyseur Entropy est activé, les analystes ont une visibilité sur les canaux qui tentent de se fondre dans le reste du trafic, mais ne suivent pas le comportement normal du protocole. Cela permet d’identifier les canaux qui ne sont pas conformes à la référence du trafic normal de l’environnement et peuvent faire l’objet d’une procédure d’enquête.

L’analyseur crée des clés méta, basées sur les statistiques collectées par l’analyseur natif NetWitness Platform, qui permettent d’identifier le comportement de tous les canaux qui génèrent beaucoup de trafic réseau. Lorsque l’analyseur est activé pour la première fois, l’analyste doit se familiariser avec le comportement global des différents canaux apparaissant dans une session capturée pour comprendre la fréquence des octets et la charge utile normale du client et du serveur. Dès lors que le comportement normal est connu, les analystes peuvent utiliser les clés méta pour trouver le comportement qui sort de la normale.

Par défaut, l’analyseur Entropy génère 10 clés méta supplémentaires qui n’ajoutent pas de charge significative au Decoder et qui sont utiles pour ce cas particulier. Par défaut, l’analyseur est désactivé.

Activez l’indexation si vous souhaitez explorer certaines sessions en fonction de l’analyse des octets de charge utile des paquets. Par défaut, pour faciliter l’indexation, la valeur Float32 normale pour entropy.req et entropy.res est multipliée par 10 000 et stockée dans un UInt16 (ce qui donne quatre chiffres de précision, entre 0 et 10 000).

Toutefois, si vous définissez les champs entropy.* dans le langage du Decoder sur Float32, le Decoder le stockera en tant que valeur flottante dans une plage comprise entre 0,0 et 1,0. Veillez à modifier le langage à tous les emplacements si vous décidez de conserver Float32.

RSA ne recommande pas l’indexation avec Float32 en raison du nombre élevé de décomptes uniques dû aux changements de minutes dans la précision.

Voici les nouvelles clés méta générées par le parser Entropy par défaut :

  • entropy.req et entropy.res : ces clés méta capturent Entropy à l’aide de l’équation Entropy Shannon qui présente une valeur à virgule flottante comme résultat. La valeur à virgule flottante de 0 à 1 000 est multipliée par 10 000 et écrite dans NetWitness Platform en tant que UInt 16, un entier non signé compris entre 0 et 10 000.
  • mcb.req et mcb.res : l’octet le plus courant est simplement celui qui a été le plus rencontré pour chaque côté (entre 0 et 255).
  • mcbc.req et mcbc.res : le nombre d’octets le plus courant est le nombre de fois où l’octet le plus courant (ci-dessus) a été rencontré dans les flux de session.
  • ubc.req et ubc.res : - Le nombre unique d’octets est le nombre d’octets uniques rencontrés dans chaque flux. 256 signifie que toutes les valeurs d’octets entre 0 et 255 ont été rencontrées au moins une fois.

Pour activer et configurer le parser Entropy sur un Decoder :

  1. Connectez-vous à RSA NetWitness et sélectionnez ADMIN > Services dans le menu NetWitness Platform.
  2. Dans la vue Services, sélectionnez le Decoder que vous souhaitez configurer, puis Actions icon Vue > Config.
    La vue Configuration des services s’affiche pour le Decoder sélectionné.
  3. Par défaut, l’analyseur Entropy est désactivé. Cliquez sur la liste déroulante sous Valeur de configuration et sélectionnez Activé. Si vous souhaitez désactiver certaines des clés méta, cliquez sur la liste déroulante et sélectionnez Désactivé en regard de la clé méta.
    Services configuration view for the Decoder with Entropy parser highlighted.
  4. Cliquez sur Appliquer.
    Le parser Entropy est activé et commence à créer les nouvelles clés méta, tel que configuré dans le fichier d’index personnalisé du Concentrator.
  5. Dans la vue Configuration des services, sélectionnez le Concentrator qui agrège le trafic à partir de ce Decoder. Sélectionnez Vue > Fichiers et ouvrez le fichier d’index personnalisé pour le Concentrator. Recherchez les clés méta de l’analyseur Entropy pour voir si elles sont inclues et non commentées.
    Par défaut, les clés sont commentées et donc non activées. Pour activer cette partie du langage, l’administrateur doit copier cette partie du fichier d’index dans le index-concentrator-custom.xml et supprimer le commentaire de la ligne key description pour chaque clé méta. Vous trouverez ci-dessous un exemple de fichier d’index personnalisé avec les clés et instructions de l’analyseur Entropy.
  6. Lorsque les clés méta Entropy sont activées, elles sont disponibles aux analystes dans Investigate mais masquées par défaut. Pour afficher les clés méta dans la vue Valeurs Investigate, modifiez les clés méta par défaut dans la boîte de dialogue Clés méta par défaut afin qu’elles soient ouvertes et non masquées. Vous pouvez gérer ces clés méta de la même manière que les autres clés méta.
    This is an example of the Manage Default Meta Keys dialog.

 

Configuration de l’analyseur Entropy dans le fichier d’index personnalisé Concentrator

Voici un extrait des lignes du fichier d’index Concentrator que l’administrateur doit copier dans le fichier d’index personnalisé. Les commentaires fournissent des informations sur la configuration de l’analyseur.

<!-- This section is commented out because it's only used by the Entropy parser which is disabled by default. To enable this part of the language, copy to index-concentrator-custom.xml and uncomment the keys. HOWEVER, take note that depending on how the Entropy parser is configured, the entropy.req and entropy.res format might be a Float32 instead of a UInt16. So make sure to change to the correct type if necessary.-->

<!-- Entropy parser meta - enable indexing if you have interest in exploring this for interesting sessions based on payload byte analysis of the packets. By default, to make indexing easier, the normal Float32 value for entropy.req and entropy.res is multiplied by 10k and stored in a UInt16 (thus giving 4 digits of precision, 0 to 10,000). However, if you define the entropy.* fields in the Decoder language to be Float32, it will store it as a float with a range of 0.0 to 1.0. Take care to change the language everywhere if you decide to keep it as a Float32. We do not recommend indexing as a Float32 because of the high unique counts due to minute changes in precision. -->

<!--

<key description="Entropy Request (Client)" format="UInt16" level="IndexNone" name="entropy.req" valueMax="10001"/>

<key description="Entropy Response (Server)" format="UInt16" level="IndexNone" name="entropy.res" valueMax="10001"/>

-->

<!-- The most common byte is simply which byte for each side (0 thru 255) was seen the most -->

<!--

<key description="Most Common Byte Request" format="UInt8" level="IndexNone" name="mcb.req"/>

<key description="Most Common Byte Response" format="UInt8" level="IndexNone" name="mcb.res"/>

-->

<!-- The most common byte count is the number of times the most common byte (above) was seen in the session streams -->

<!--

<key description="Most Common Byte Count Request" format="UInt32" level="IndexNone" name="mcbc.req" valueMax="500000"/>

<key description="Most Common Byte Count Response" format="UInt32" level="IndexNone" name="mcbc.res" valueMax="500000"/>

-->

<!-- Unique byte count is the number of unique bytes seen in each stream. 256 would mean all byte values of 0 thru 255 were seen at least once -->

<!--

<key description="Unique Byte Count Request" format="UInt16" level="IndexNone" name="ubc.req"/>

<key description="Unique Byte Count Response" format="UInt16" level="IndexNone" name="ubc.res"/>

-->

<!-- The payload size metrics are the payload sizes of each session side at the time of parsing. However, in order to keep indexing from having high unique counts (bad for performance), the two payload size metas below are indexed in buckets. -->

<!--

<key description="Payload Size Request" format="UInt32" level="IndexNone" bucket="true" name="payload.req" valueMax="500000"/>

<key description="Payload Size Response" format="UInt32" level="IndexNone" bucket="true" name="payload.res" valueMax="500000"/>

-->

 
You are here
Table of Contents > Configurer les feeds et les parsers > Activer et configurer du parser Entropy

Attachments

    Outcomes