Decoder : Vue Configuration des services - onglet Général

Document created by RSA Information Design and Development on Feb 3, 2017
Version 1Show Document
  • View in full screen mode
  

Cette rubrique présente les fonctions de la vue Configuration des services > onglet Général pour les Decoders et Log Decoders. 

L'onglet Général de Decoder dans la vue Configuration des services vous permet de gérer la configuration de base des services, de configurer la capture des données et de sélectionner les parsers appliqués aux données capturées.

Les paramètres de configuration et d'ajustement de la capture des données sont les suivants :

  • sélection d'adaptateur ;
  • spécification du cache ;
  • démarrage automatique et autres paramètres de capture affectant le cache, les sessions et les expirations du délai ;
  • tailles des fichiers de base de données ;
  • emplacement du répertoire de hachage.

La première figure est un exemple d'onglet Général pour un Decoder. La seconde est un exemple d'onglet Général pour un Log Decoder.

ParsConDeTran.png

Vue Configuration des services - Log Decoder

Fonctions

Voici les quatre sections principales de l'onglet Général pour les Decoders et les Log Decoders :

  • Configuration système
  • Configuration des Decoder
  • Configuration des analyseurs
  • Configuration des analyseurs de servicess (Log Decoders uniquement)

Configuration système

La section Configuration système gère la configuration de service d'un Decoder. Lorsqu'un service est ajouté pour la première fois, les valeurs par défaut s'appliquent. Vous pouvez modifier ces valeurs pour optimiser les performances.

DecSysCfgSec.png

La Configuration système dispose des paramètres suivants.

                                 
ParamètreDescription :
Compression Le nombre minimum d'octets devant être transmis par réponse avant la compression. Le paramètre 0 désactive la compression. La valeur par défaut est 0.
La modification d'une valeur prend effet immédiatement pour toutes les connexions suivantes.
Port Détermine le port utilisé par le service.

Remarque : Si vous modifiez le numéro de port, assurez-vous de redémarrer le service.

Mode FIPS SSL En cas d'activation, toutes les données transférées dans le réseau seront chiffrées via SSL.
Port SSL Désigne le port utilisé pour le chiffrement SSL.
Intervalle de mise à jour des statistiques Nombre de millisecondes entre les mises à jour statistiques sur le système. Les petites valeurs engendrent des mises à jour plus fréquentes et peuvent ralentir d'autres processus. La valeur par défaut est 1 000.
La modification de la valeur prend effet immédiatement.
Threads Nombre de threads dans le pool de threads permettant de gérer les requêtes entrantes. Le paramètre 0 laisse le système décider.
Les modifications prendront effet au redémarrage du service.

Configuration des Decoder

La section Configuration des Decoder vous permet de visualiser et modifier les paramètres de configuration de service pour un Decoder ou un Log Decoder. Lorsqu'un service est ajouté pour la première fois, les valeurs par défaut s'appliquent. Vous pouvez modifier ces valeurs pour gérer la capture du trafic.
DecCfgTop.png

Faites défiler la fenêtre vers le bas de la section pour afficher les paramètres de configuration supplémentaires de Decoder.

DecCfgBottom.png

Adaptateur

Les paramètres d'adaptateur vous permettent de configurer l'interface réseau de la capture. Le tableau cidessous décrit les paramètres d'adaptateur Decoder. Les adaptateurs réseau par défaut sont définis lors de l'installation. Consultez votre administrateur système pour plus d'informations.

                 
Paramètre d'adaptateurDescription :
Berkley Packet Filter Les filtres BPF (Berkeley Packet Filters) sont appliqués au flux des paquets avant que ces derniers ne soient copiés vers l'adaptateur Decoder à des fins d'analyse. Cela permet d'abandonner efficacement le trafic indésirable. Toutefois, les paquets ignorés ne sont pas comptabilisés dans les statistiques de Decoder (taux de capture, paquets abandonnés, paquets filtrés et total des paquets).
Interface de capture sélectionnée Sélectionnez l'adaptateur utilisé par Decoder pour capturer les paquets. Pour l'interface de capture interne à vitesse réduite, utilisez l'adaptateur packet_mmap_,7,eth1, qui correspond au port du moniteur situé sur la carte mère. Il existe six ports de capture supplémentaires :
  • packet_mmap_,1,lo (bpf)
  • packet_mmap_,2,eth2 (bpf)
  • packet_mmap_,3,eth3 (bpf)
  • packet_mmap_,4,eth4 (bpf)
  • packet_mmap_,5,eth5 (bpf)
  • packet_mmap_,8,ALL (bpf)
Trois services de capture sans fil sont disponibles :
  • packet_netmon_ (Microsoft Netmon)
  • packet_mac80211_ (Linux mac80211)
  • packet_airport_ (Mac OS X AirPort)

Decoder prend également en charge le filtrage des paquets au niveau système, défini à l'aide de la syntaxe tcpdump/libpcap. En spécifiant un filtre Libpcap, vous pouvez réduire efficacement le volume des paquets en fonction des attributs de la couche 2 à la couche 4. Un filtre Libpcap s'avère approprié lorsqu'un Decoder reçoit un volume de trafic qui augmente la charge des ressources physiques de la plateforme. Dans ce scénario, le Decoder peut abandonner les paquets de manière régulière et disposer d'un grand nombre de pages de capture (/decoder/stats/capture.pagefree est élevé).
Ce qui suit est un exemple de filtre Libpcap qui garde uniquement les paquets n'ayant pas à la fois une adresse source et une adresse de destination dans le sousréseau 10.21.0.0/16.
not (src net 10.21.0.0/16 and dst net 10.21.0.0/16)
Pour une référence complète de la syntaxe du filtre Libpcap, consultez les pages principales :

Cache

Les paramètres du cache vous permettent de configurer le répertoire cache et la taille des fichiers du cache de session. Le tableau suivant décrit les paramètres du cache.

                 
Paramètre du cacheDescription :
Répertoire cache Répertoire où sont stockés les fichiers du cache de session. La valeur par défaut est /var/netwitness/decoder/cache. La modification prend effet immédiatement.
Cache Size Taille maximale, en mégaoctets (Mo), que tous les fichiers du répertoire cache peuvent atteindre avant la suppression des fichiers les plus anciens. Une fois le seuil atteint, la taille du cache est réduite de 10 %. La valeur par défaut est 4 Go. La modification prend effet immédiatement.

Paramètres de capture

La section Paramètres de capture vous permet de configurer les paramètres de capture opérationnels.

Remarque : Par défaut, aucune règle n'est définie lors de la première installation de Security Analytics. À moins que des règles ne soient spécifiées, les paquets ne sont pas filtrés. Vous pouvez définir des règles de capture avant de commencer à capturer les données (voir Configurer des règles réseau, Configurer des règles d'application et Configurer des règles de corrélation).

Ce tableau décrit les paramètres de capture.

                                                     
Paramètres de captureDescription :
Taille maximale de l'assembleur Spécifie la valeur maximale (en octets) que la taille des données de paquets dune session peut atteindre. La valeur par défaut est 32 Mo. La modification prend effet immédiatement.
Taille minimale de l'assembleur Spécifie la taille minimale (en octets) qu'une session doit avoir pour générer des métadonnées. La valeur 0 signifie que chaque session génère des métadonnées. La valeur par défaut est 0. La modification prend effet immédiatement.
Vidage de session de l'assembleur Spécifie si une session est supprimée de l'assembleur lorsque la dernière chaîne de la session est supprimée de lassembleur. La valeur par défaut est 1.
  • 2 = si le délai du premier paquet d'une session expire de l'assembleur, la session est supprimée de l'assembleur à la fin de l'analyse. Tous les paquets suivants de cette session créent une nouvelle session dans l'assembleur.
  • 1 = si le délai de la dernière chaîne d'une session expire de l'assembleur, la session est supprimée de l'assembleur. Tous les paquets suivants de cette session créent une nouvelle session dans l'assembleur.
  • 0 = si le délai de la dernière chaîne d'une session expire de l'assembleur, la session est laissée dans l'assembleur jusqu'à ce qu'elle expire. Tous les paquets suivants de cette session sont filtrés
Les modifications prendront effet au redémarrage du service.
Pool de sessions de l'assembleur Spécifie le nombre d'entrées dans le pool de sessions. La valeur par défaut est 350 000. Les modifications prendront effet au redémarrage du service.
Expiration du délai des paquets de l'assembleur Spécifie le nombre de secondes avant l'expiration du délai d'un paquet ou d'une chaîne. La valeur par défaut est 60. La modification prend effet immédiatement.
Expiration du délai de session de l'assembleur Spécifie le nombre de secondes avant l'expiration du délai d'une session. La valeur par défaut est 60. La modification prend effet immédiatement.
Démarrage automatique de la capture Spécifie si la capture commence automatiquement chaque fois que Decoder démarre. Lorsque ce paramètre est activé, la valeur est oui. Lorsque cette option est désactivée, la valeur = no. La valeur par défaut est no. La modification prend effet immédiatement.
Taille du tampon de capture Taille allouée à la mémoire tampon de capture en mégaoctets. La valeur par défaut est 64 Mo. Les modifications prendront effet au redémarrage du service.
Nombre maximal d'octets à analyser Nombre maximal d'octets à analyser pour rechercher des jetons supplémentaires dans un flux. Lorsque le premier jeton est trouvé, le flux est analysé à hauteur du nombre d'octets défini, mais pas audelà. Le paramètre 0 supprime l'achèvement anticipé et tout le flux est scanné, quelle que soit sa taille. La valeur par défaut est 128 Ko. La modification prend effet immédiatement.
Nombre minimal d'octets à analyser Nombre minimal d'octets à analyser pour rechercher le premier jeton dans un flux. Si aucun jeton n'est trouvé dans le nombre d'octets défini, l'analyse prend fin. Le paramètre 0 supprime l'achèvement anticipé et tout le flux est scanné, quelle que soit sa taille. La valeur par défaut est 1 Ko. La modification prend effet immédiatement.
Threads d'analyse Nombre de threads d'analyse à utiliser pour l'analyse de session. La valeur 0 signifie que la décision revient au serveur. La valeur par défaut est 0. Les modifications prendront effet au redémarrage du service.

Tailles de fichier maximales de la base de données

La section Tailles de fichier maximales de la base de données vous permet de contrôler la taille maximale des fichiers des diverses bases de données. Le tableau suivant décrit les paramètres.

                     
Paramètre de taille des fichiersDescription :
Taille des fichiers méta Taille maximale des fichiers de base de données méta en mégaoctets. La valeur par défaut est 10 Mo. Les modifications prendront effet au redémarrage du service.
Taille des fichiers de paquets Taille maximale des fichiers de base de données des paquets en mégaoctets. La valeur par défaut est 10 Mo. Les modifications prendront effet au redémarrage du service.
Taille des fichiers de session Taille maximale des fichiers de base de données de session en mégaoctets. La valeur par défaut est 100 Mo. Les modifications prendront effet au redémarrage du service.

Hachage

Contrôle les options de hachage des fichiers de base de données. Il y a une petite pénalité de performance lors du hachage. Le tableau suivant décrit les options de hachage.

             
Paramètre de hachageDescription :
Répertoire de hachage Répertoire du serveur où sont écrits tous les fichiers de hachage. En l'absence de valeur, chaque fichier de hachage est écrit dans le même répertoire que le fichier en cours de hachage. La valeur par défaut est vide. Les modifications prendront effet au redémarrage du service.

Configuration des analyseurs

Le panneau Configuration des analyseurs vous permet de sélectionner les parsers à utiliser dans Decoder. Dans certains parsers, vous pouvez également configurer les métadonnées créées par le parser. 

Security Analytics offre la possibilité de configurer des parsers individuels qui ne stockent pas les métadonnées générées sur disque (option Transitoire). Cela permet aux administrateurs de protéger certaines données. Elle est généralement mise en œuvre dans le cadre d'un plan de confidentialité des données (reportezvous à Gestion de la confidentialité des données).

DecParsCfgSec.png

Le tableau suivant décrit les fonctions de la section Configuration des analyseurs.

                     
FonctionnalitéDescription :
Activer toutes
Désactiver toutes
Ces options donnent la possibilité de sélectionner rapidement la totalité des parsers ou aucun d'entre eux.
Name Noms des parsers disponibles pour Decoder. Le signe plus indique que les métadonnées générées par l'analyseur sont configurables. Lorsque vous cliquez sur le signe plus, les métadonnées que l'analyseur peut créer s'affichent. Dans l'exemple cidessus, CMS_windows_executable a trois métadonnées sélectionnables que le parser peut créer : alert.id, error et filetype.
Valeur de configuration Une liste déroulante vous permet de modifier la configuration du parser ou des métadonnées via les options Activé, Désactivé ou Transitoire.
  • Lorsque l'option est Activé, le Decoder utilise le parser pour filtrer le trafic.
  • Lorsque l'option est Transitoire, le Decoder utilise le parser pour filtrer le trafic. Les métadonnées générées ne sont pas stockées sur disque. Les métadonnées transitoires sont disponibles en mémoire pour le contenu supplémentaire (parsers, flux et règles d'application) sur ce Decoder.
  • Lorsque l'option est Désactivé, le Decoder n'utilise pas le parser.
Si les métadonnées générées pour le parser sont configurables, le fait de cliquer sur le signe plus pour développer les parsers entraîne l'affichage des clés méta configurables. La même liste déroulante sélectionne la clé méta que le parser va créer.

Configuration de parsers de services supplémentaires pour Log Decoder

La section Configuration des analyseurs de services vous permet de sélectionner les parsers de services à utiliser dans Log Decoder.

LDSvcParsCfgSec.png

You are here
Table of Contents > Références > Vue Configuration des services - onglet Général

Attachments

    Outcomes