Decoder : Configurer les feeds et les parsers

Document created by RSA Information Design and Development Employee on Apr 28, 2019
Version 1Show Document
  • View in full screen mode
 

Les feeds et les analyseurs sont responsables de l'analyse des paquets et des logs lors de la capture ou de l'import dans un Decoder ou Log Decoder. Généralement, ils sont utilisés pour l'extraction de métadonnées statiques et l'identification des services. La définition flexible permet l'extension personnalisée des services définis par le Core pour fournir une identification du type de service supplémentaire et une extraction des métadonnées. Elle est importante à cause du volume d'applications personnalisées qui sont utilisées sur les réseaux.

Remarque : Sauf indication contraire, toutes les références aux Decoders s'appliquent également aux Log Decoders.

Configurer les analyseurs

NetWitness Platform dispose d'un ensemble d'analyseurs de base qui sont définis par le système, et offre la possibilité d'ajouter des analyseurs supplémentaires. Chaque analyseur est configurable dans la Vue Configuration des services - onglet Général. Le panneau Configuration des analyseurs permet d'activer ou de désactiver les analyseurs à utiliser sur le Decoder en plus de limiter les métadonnées créées par l'analyseur.

En outre, il existe plusieurs types d'analyseurs personnalisés configurables :

  • GeoIP ou GeoIP2 : cet analyseur associe les adresses IP aux emplacements géographiques. Pour les nouvelles installations et mises à niveau, l'analyseur GeoIP2 est activé par défaut. Un seul de ces analyseurs peut être activé à la fois. Pour plus d'informations sur ces analyseurs, voir Parsers GeoIP2 et GeoIP.
  • Search : cet analyseur est configuré par l'utilisateur pour générer des métadonnées par analyse des mots clés prédéfinis et des expressions régulières.
  • FLEXPARSE (obsolète) : il s'agit d'un langage de définition d'analyseur générique pour étendre la prise en charge du protocole de l'application actuelle du Decoder. Cet analyseur est désactivé par défaut (reportez-vous à la section Activer ou désactiver les systèmes d'analyse Lua et Flex).
  • Lua : cet analyseur est défini à l'aide du langage de script Lua pour étendre la prise en charge du protocole d'application en cours du Decoder.
  • enVision : cet analyseur d'application prend en charge le Log Decoder et est configuré pour générer des métadonnées en analysant les fichiers logs.
  • Snort® : cet analyseur prend en charge les capacités de détection de la charge utile des règles Snort IDS. Les règles et la configuration de Snort sont ajoutées au répertoire parsers/snort pour l'investigation et le décodeur (voir Parsers Snort).

Dans la vue Configuration des services > onglet Analyseurs, vous pouvez visualiser les analyseurs déployés sur un Decoder, télécharger les analyseurs et supprimer les analyseurs déployés. L'interface utilisateur comprend un indicateur si l'analyseur provient de Live Services, installé par NetWitness Platform ou téléchargé manuellement. Les parsers peuvent être ajoutés et supprimés alors qu'un Decoder est en cours d'exécution sans que cela ait d'impact sur la capture.

De plus, vous pouvez télécharger les analyseurs à l'aide de NetWitness Platform Live Services.

Configurer les feeds

NetWitness Platform utilise des feeds pour créer les métadonnées en fonction des valeurs de métadonnées définies en externe. Un feed est une liste de données qui sont comparées à des sessions au fur et à mesure de leur capture ou de leur traitement. Pour chaque correspondance, des métadonnées supplémentaires sont créées. Ces données pourraient identifier et classer les adresses IP malveillantes ou intégrer des informations supplémentaires telles que le département et l'emplacement en fonction des affectations du réseau interne. Certains exemples de feeds comprennent les feeds de menaces pour identifier les BOTNets, les mappages DHCP ou même des informations Active Directory comme les emplacements physiques ou les départements logiques.

Vous pouvez utiliser le module Live dans NetWitness Platform pour obtenir des feeds de sources extérieures. La rubrique « Contenu Live dans NetWitness Platform » du Guide de gestion des services Live fournit une présentation de l'outil de gestion du contenu Live.

L'interface utilisateur de NetWitness Platform vous permet de consulter la liste des feeds actuellement déployés, avec un indicateur si le feed provenant de Live a été installé via NetWitness Platform, ou manuellement. Les feeds peuvent être ajoutés, supprimés et mis à jour alors qu'un Decoder est en cours d'exécution sans que cela ait d'impact sur la capture.

L’assistant de feed personnalisé permet la création et le déploiement de feeds Decoder personnalisés en fonction d'une logique déterministe qui offre les clés métas spécifiques aux Decoders et Log Decoders sélectionnés. Bien que l'assistant guide les utilisateurs tout au long du processus pour créer à la fois des feeds à la demande et périodiques, il est utile de comprendre la forme et le contenu d'un fichier de feed lorsque vous créez un feed.

NetWitness Platform dispose d'un assistant Feed personnalisé, qui rationalise la tâche de création et de gestion des feeds personnalisés, ainsi que le renseignement des feeds pour les Decoders et Log Decoders sélectionnés. Par ailleurs, vous pouvez télécharger et modifier les fichiers de feeds existants, puis modifier le feed ou en créer un nouveau à l'aide du fichier modifié.

You are here
Table of Contents > Configurer les feeds et les parsers

Attachments

    Outcomes