Decoder : Configurer les feeds et les parsers

Document created by RSA Information Design and Development on Feb 3, 2017
Version 1Show Document
  • View in full screen mode
  

Cette rubrique présente les feeds et les parsers, et propose des procédures pour travailler avec les feeds et les parsers de Decoder et Log Decoder.

Les feeds et les analyseurs sont responsables de l'analyse des paquets et des logs lors de la capture ou de l'import dans un Decoder ou Log Decoder. Généralement, ils sont utilisés pour l'extraction de métadonnées statiques et l'identification des services. La définition flexible permet l'extension personnalisée des services définis par le Core pour fournir une identification du type de service supplémentaire et une extraction des métadonnées. Elle est importante à cause du volume d'applications personnalisées qui sont utilisées sur les réseaux.

Remarque : Sauf indication contraire, toutes les références aux Decoders s'appliquent également aux Log Decoders.

Procédures

Configurer les analyseurs

Security Analytics dispose d'un ensemble d'analyseurs de base qui sont définis par le système, et offre la possibilité d'ajouter des analyseurs supplémentaires. Chaque analyseur est configurable dans la Vue Configuration des services - onglet Général. Le panneau Configuration des analyseurs permet d'activer ou de désactiver les analyseurs à utiliser sur le Decoder en plus de limiter les métadonnées créées par l'analyseur.

Il existe plusieurs types d'analyseurs personnalisés configurables :

  • GeoIP : cet analyseur associe les adresses IP aux emplacements géographiques réels.
  • Search : cet analyseur est configuré par l'utilisateur pour générer des métadonnées par analyse des mots clés prédéfinis et des expressions régulières.
  • FLEXPARSE : il s'agit d'un langage de définition d'analyseur générique pour étendre la prise en charge du protocole de l'application actuelle du Decoder.
  • Lua : cet analyseur est défini à l'aide du langage de script Lua pour étendre la prise en charge du protocole d'application en cours du Decoder.
  • enVision : cet analyseur d'application prend en charge le Log Decoder et est configuré pour générer des métadonnées en analysant les fichiers logs.
  • SNORT® : cet analyseur prend en charge les capacités de détection de la charge utile des règles Snort® IDS.

Sous l'onglet Parsers de la vue Configuration des services, vous pouvez afficher les parsers déployés sur un Decoder, télécharger des parsers et supprimer les parsers déployés. L'interface utilisateur comprend un indicateur si l'analyseur provient de Live, qui est installé par Security Analytics ou téléchargé manuellement. Les parsers peuvent être ajoutés et supprimés alors qu'un Decoder est en cours d'exécution sans que cela ait d'impact sur la capture.

De plus, vous pouvez télécharger les analyseurs à l'aide de Security Analytics Live.

Configurer les feeds

Security Analytics utilise des feeds pour créer les métadonnées en fonction des valeurs de métadonnées définies en externe. Un feed est une liste de données qui sont comparées à des sessions au fur et à mesure de leur capture ou de leur traitement. Pour chaque correspondance, des métadonnées supplémentaires sont créées. Ces données pourraient identifier et classer les adresses IP malveillantes ou intégrer des informations supplémentaires telles que le département et l'emplacement en fonction des affectations du réseau interne. Certains exemples de feeds comprennent les feeds de menaces pour identifier les BOTNets, les mappages DHCP ou même des informations Active Directory comme les emplacements physiques ou les départements logiques.

Vous pouvez utiliser le module Live dans Security Analytics pour obtenir des feeds de sources extérieures. La rubrique Contenu Live dans Security Analytics de Gestion des services Live fournit une présentation de l'outil de gestion de contenu Live.

L'interface utilisateur de Security Analytics vous permet de consulter la liste des feeds actuellement déployés, avec un indicateur si le feed provenant de Security Analytics Live a été installé via Security Analytics, ou manuellement. Les feeds peuvent être ajoutés, supprimés et mis à jour alors qu'un Decoder est en cours d'exécution sans que cela ait d'impact sur la capture.

Security Analytics dispose d'un assistant Feed personnalisé, qui rationalise la tâche de création et de gestion des feeds personnalisés, ainsi que le renseignement des feeds pour les Decoders et Log Decoders sélectionnés. Par ailleurs, vous pouvez télécharger et modifier les fichiers de feeds existants, puis modifier le feed ou en créer un nouveau à l'aide du fichier modifié.

 

 

Topics

You are here
Table of Contents > Procédures supplémentaires > Configurer les feeds et les parsers

Attachments

    Outcomes