Decoder : Configurer des règles d'application

Document created by RSA Information Design and Development Employee on Apr 28, 2019
Version 1Show Document
  • View in full screen mode
 

Les règles de la couche application sont appliquées au niveau de la session. Voici des exemples de règles d’application.

Pour tronquer des paquets transportés via le protocole SMB (Server Message Block), créez une règle comme suit :

  • Nom de la règle : Tronquer SMB
  • Condition : service=139
  • Action de règle : Tout tronquer

Pour conserver l'e-mail spécifique d'un expéditeur et d'un destinataire, créez une règle comme suit :

Ajouter ou modifier une règle d'application :

  1. Accédez à ADMIN > Services.

  2. Sélectionnez un service Decoder ou Log Decoder, puis Actions menu cropped > Vue > Config.

    La vue Configuration des systèmes pour le service sélectionné s'affiche.

  3. Sélectionnez l’onglet Règles d'application.

    This is an example of the App Rules tab.

  4. Exécutez l'une des opérations suivantes :

    • Pour ajouter une nouvelle règle, cliquez sur The add icon
    • Si vous modifiez une règle, sélectionnez la règle dans la grille des règles et cliquez sur The edit icon
  5. La boîte de dialogue Éditeur de règles s'affiche avec les paramètres de la règle d'application.

    Truncate Options

    1. Dans le champ Nom de la règle, saisissez le nom de la règle. Par exemple, pour une règle qui tronque tous les SMB, saisissez Tronquer SMB.
    2. Dans le champ Condition, élaborez la condition de règle qui déclenche une action lorsqu'elle est remplie. Vous pouvez effectuer votre saisie directement dans le champ ou élaborer la condition dans ce champ à l'aide des métadonnées de la fenêtre Actions. Lors de l'élaboration de la définition de règle, NetWitness Platform affiche des erreurs et avertissements de syntaxe. Par exemple, pour tronquer tous les SMB, saisissez service=139.

      Tous les horodatages et valeurs littérales de la chaîne doivent être entre guillemets. Ne mettez pas les valeurs de nombre et adresses IP entre guillemets. Configurer les règles de Decoder fournit des détails supplémentaires.

    3. Si vous souhaitez mettre fin à l'évaluation de cette règle, activez la case à cocher Arrêter le traitement des règles.
    4. Dans la section Données de session, choisissez l'une des actions suivantes à appliquer lorsqu'un paquet correspondant est trouvé :

      • Conserver : La charge du paquet et les métadonnées associées sont enregistrées lorsqu'elles correspondent à la règle.
      • Filtrer : Le paquet n'est pas enregistré lorsqu'il correspond à la règle.
      • Tronquer : Sélectionnez une option de troncation à exécuter lorsqu'un paquet correspond à la règle. L'exemple utilise l'option Tout.
      • Tronquer tout pour enregistrer les en-têtes de paquet et les métadonnées associées, et ne pas enregistrer la charge utile du paquet.
      • Tronquer après les <n> premiers octets pour enregistrer les en-têtes de paquet et les métadonnées associées, et ne pas enregistrer la charge utile du paquet après les <n> premiers octets spécifiés, <n> étant un nombre d'octets.
      • Tronquer le handshake SSL/TLS pour tronquer la charge utile de toutes les sessions, sauf dans le cas d'une session SSL/TLS, où l'échange SSL est conservé, mais le reste de la charge utile n'est pas enregistré. Cette option est utilisée avec les analyseurs SSL.
    5. Dans la section Options de session, effectuez l’une des tâches suivantes :

      • Pour générer une alerte personnalisée lorsque des métadonnées de session correspondent à la règle, activez la balise Alerte et sélectionnez le nom des métadonnées d'alerte dans la liste déroulante Alerte activée.
      • Pour effectuer un transfert Syslog lorsque le log correspond à la règle, activez la balise Transférer. Vérifiez que :

        • Vous avez activé à la fois les balises Alerte et Transférer pour effectuer le transfert Syslog.
        • Le nom de la règle mentionnée dans la boîte de dialogue Éditeur de règles correspond bien au nom de la destination du transfert Syslog spécifié dans Log Decoder > Vue > Explorer > paramètre /decoder/config/logs.forwarding.destination.
      • Pour éviter que les métadonnées de l'alerte qui est créée soient écrites sur le disque, activez la balise Transitoire.
  6. Pour enregistrer la règle et l'ajouter à la grille, cliquez sur OK.

    La règle est ajoutée à la fin de la grille ou insérée à l'endroit que vous avez indiqué dans le menu contextuel. Le signe plus s'affiche dans la colonne En attente.

  7. Vérifiez que la séquence d'exécution de la règle est correcte par rapport aux autres règles de la grille. Si nécessaire, déplacez la règle.
  8. Pour appliquer la règle mise à jour au Decoder ou Log Decoder, cliquez sur Appliquer.

NetWitness Platform enregistre un snapshot des règles en cours d'application, puis applique l'ensemble mis à jour au Decoder et supprime le voyant En attente des règles qui étaient en attente.

Surveiller les règles d'application

Decoder et Log Decoder gardent une trace du nombre de correspondances entre une règle d'application et une session. Ces statistiques peuvent être affichées en se connectant à la vue Explorer de Decoder ou Log Decoder et en affichant les propriétés du dossier /decoder/config/rules/application. Ensuite, envoyez la commande "statdump" à ce dossier. La sortie de ce message est une liste du nombre d’adéquations avec chacune des règles d'application. La liste est triée dans le même ordre que le contenu des définitions de règle du dossier /decoder/config/rules/application. Par exemple, sur un système avec trois règles d'application :

0001: hits=6543 loaded=true
0002: hits=9294 loaded=true
0003: hits=43 loaded=true

Les compteurs de « hits » des règles d'application sont réinitialisés à chaque fois que les analyseurs sont rechargés.

You are here
Table of Contents > Configurer les règles de Decoder > Configurer des règles d'application

Attachments

    Outcomes