Decoder : Configurer des règles réseau

Document created by RSA Information Design and Development Employee on Apr 28, 2019
Version 1Show Document
  • View in full screen mode
 

Les règles réseau sont appliquées au niveau des paquets sur un Decoder. Elles sont constituées des groupes de règles de la couche 2, la couche 3 et la couche 4. Vous pouvez appliquer plusieurs règles au niveau des paquets à un Decoder. Les règles réseau peuvent s'appliquer à plusieurs couches (par exemple, lorsqu'une règle réseau filtre des ports spécifiques pour une adresse IP spécifique). Les règles réseau ne s'appliquent pas aux services Log Decoder, mais uniquement aux Network Decoders. 

Vous pouvez créer et gérer des règles réseau dans la vue Configuration des services > onglet Règles réseau.

Clés méta prises en charge dans les conditions de règles réseau

Le tableau suivant décrit les clés méta dont NetWitness Platform prend en charge l'utilisation dans les conditions de règle réseau. 

                                                                                     
Clé métaDescription
eth.addr Adresse Ethernet source ou de destination. Communément appelée adresse MAC.
eth.dst Adresse Ethernet de destination. Cette adresse est identique à celle du champ d'adresse Ethernet, sauf qu'elle sélectionne uniquement les paquets dont l'adresse de destination correspond à la valeur ou aux valeurs sélectionnées.
eth.src Identique à l'adresse Ethernet de destination, sauf qu'elle se concentre sur l'adresse source.
eth.type Type de frames Ethernet. 
hdlc.type  Type de frames du frame HDLC.
ip.addr  Adresse IPv4 source ou de destination au format standard. Vous pouvez saisir les adresses IP en notation CIDR pour les sousréseaux.
ip.dst Adresse IPv4 de destination au format standard. Vous pouvez saisir les adresses IP en notation CIDR pour les sousréseaux.
ip.proto Champ du protocole IPv4. 
ip.src Adresse IPv4 source au format standard. Vous pouvez saisir les adresses IP en notation CIDR pour les sousréseaux.
ipv6.addr Adresse IPv6 source ou de destination au format hexadécimal. En règle générale, les adresses IPv6
sont écrites sous forme de huit groupes de quatre chiffres hexadécimaux, reflétant
ainsi la longueur totale d'une adresse 128 bits. Prend en charge la notation pour représenter
plusieurs blocs de 0000 dans une adresse. Ne prend pas en charge la notation CIDR.
ipv6.dst Adresse IPv6 de destination au format hexadécimal.
ipv6.proto champ du protocole IPv6. Il est mappé au champ d'entête suivant dans l'entête IPv6
et utilise les mêmes valeurs que le champ du protocole IPv4. 
ipv6.src Adresse IPv6 source au format hexadécimal.
tcp.dstport Port TCP de destination. 
tcp.port Port TCP source ou de destination.
tcp.srcport Port TCP source.
udp.dstport Port UDP de destination. 
udp.port Port UDP source ou de destination.
udp.srcport Port UDP source.

Voici des exemples de règles réseau.

Pour tronquer tous les SSL du port, créez une règle comme suit :

  • Nom de la règle : Tronquer SSL
  • Condition : tcp.srcport=443
  • Action de règle : Truncate

Pour filtrer le trafic du sous-réseau, créez une règle de la manière suivante :

  • Nom de la règle : Filtre sous-réseau
  • Condition : ip.addr=192.168.2.0/24
  • Action de règle : Filtrer

Les méta-entités, qui fournissent un moyen de travailler avec plusieurs méta-clés en même temps, peuvent être utilisées dans les règles d'application, mais ne sont pas prises en charge dans les règles de réseau, car les métadonnées disponibles sont trop limitées. Pour plus d'informations sur les méta-entités, reportez-vous au Guide de réglage de base de données principale.

 

Ajouter ou modifier une règle réseau :

  1. Accédez à ADMIN > Services, sélectionnez un service Decoder, puis The actions drop-down menu > Vue > Config
    La vue Configuration des services pour le service sélectionné s'affiche.

  2. Sélectionnez l'onglet Règles réseau.
    L'onglet Règles réseau s’affiche.
    This is an example of the Network Rules tab.
  3. Sous l'onglet Règles réseau, procédez de l'une des façons suivantes :
  • Pour ajouter une nouvelle règle, cliquez sur The add icon.
  • Si vous modifiez une règle, sélectionnez la règle dans la grille de règles, puis cliquez sur The edit icon.
    La boîte de dialogue Éditeur de règles s’affiche.
    This is an example of the Rule Editor dialog.
  1. Dans le champ Nom de la règle, saisissez le nom de la règle. Par exemple, pour une règle qui tronque tous les SSL du port source, saisissez Tronquer SSL.
  2. Dans le champ Condition, élaborez la condition de règle qui déclenche une action lorsqu'elle est remplie. Vous pouvez effectuer votre saisie directement dans le champ ou élaborer la condition dans ce champ à l'aide des métadonnées de la fenêtre Actions. Lors de l'élaboration de la définition de règle, NetWitness Platform affiche des erreurs et avertissements de syntaxe. Par exemple, pour tronquer tous les SSL à partir du port source, tcp.srcport=443.
    Tous les horodatages et valeurs littérales de la chaîne doivent être entre guillemets. N’utilisez pas de guillemets avec les valeurs numériques et les adresses IP. Configurer les règles de Decoder fournit des informations supplémentaires. Clés méta prises en charge dans les conditions de règles réseau décrit les clés méta dont NetWitness Platform prend en charge l'utilisation dans les conditions de règle réseau.
  3. Si vous souhaitez mettre fin à l'évaluation de cette règle, activez la case à cocher Arrêter le traitement des règles.
  4. Dans la section Données de session, choisissez l'une des actions suivantes à appliquer lorsqu'un paquet correspondant est trouvé :
  • Conserver : La charge du paquet et les métadonnées associées sont enregistrées lorsqu'elles correspondent à la règle.
  • Filtrer : Le paquet n'est pas enregistré lorsqu'il correspond à la règle.
  • Tronquer : La charge du paquet n'est pas enregistrée lorsqu'elle correspond à la règle, mais les en-têtes des paquets et autres métadonnées associées sont conservées.
  1. Dans la section Options de session, sélectionnez toutes les options liées à ce qui suit :
  • Assembler : L'assembleur assemble la chaîne de paquets lorsqu'elle correspond à la règle.
  • Méta réseau : Le paquet génère des métadonnées réseau lorsqu'il correspond à la règle.
  • Méta application : Le paquet génère des métadonnées d'application lorsqu'il correspond à la règle.
  • Alerte : Le paquet génère une alerte personnalisée lorsque les métadonnées correspondent à la règle.
  1. Pour enregistrer la règle et l'ajouter à la grille, cliquez sur OK.
    La règle est ajoutée à la fin de la liste ou insérée à l'endroit que vous avez indiqué dans le menu contextuel.
  2. Vérifiez que la séquence d'exécution de la règle est correcte par rapport aux autres règles de la liste. Si nécessaire, déplacez la règle.
  3. Pour appliquer la règle mise à jour au Decoder, cliquez sur Appliquer.
    NetWitness Platform enregistre un snapshot des règles actuellement appliquées, puis applique l’ensemble mis à jour au Decoder et supprime l’indicateur en attente des règles qui étaient en attente.

 

You are here
Table of Contents > Configurer les règles de Decoder > Configurer des règles réseau

Attachments

    Outcomes