Decoder: Paso 4. Configurar reglas de Decoder

Document created by RSA Information Design and Development on Feb 9, 2017
Version 1Show Document
  • View in full screen mode
  

En este tema se proporcionan procedimientos para crear y administrar reglas para la captura de tráfico de Decoder o Log Decoder en la vista Configuración de servicios > pestañas Reglas. 

Las reglas de captura pueden agregar alertas o información contextual a sesiones o registros. También pueden definir los datos que filtra un Decoder o un Log Decoder. Las reglas se crean para patrones de metadatos específicos, los cuales dan como resultado acciones predefinidas cuando se encuentran coincidencias. Por ejemplo, para mantener todo el tráfico que cumple determinados criterios, pero descartar todo el otro tráfico, puede crear una regla que lleve a cabo las acciones necesarias. Cuando se aplican, las reglas afectan tanto la importación de archivos de captura de paquetes como la captura de red en vivo.

Guía de reglas y consultas proporciona una guía que deben seguir todas las consultas y las condiciones de regla en los servicios de Security Analytics Core.

De manera predeterminada, no hay reglas definidas cuando instala Security Analytics por primera vez. Hasta que se especifiquen reglas, los paquetes no se filtran. Puede implementar las reglas más recientes desde Live. Puede definir tres tipos de reglas: Reglas de capa de red, Reglas de capa de aplicación y Reglas de correlación.

Reglas de capa de red

Las reglas de capa de red se aplican en el nivel de paquete y se componen de conjuntos de reglas de capa 2, capa 3 y capa 4. Es posible aplicar varias reglas al Decoder. Las reglas se pueden aplicar a varias capas (por ejemplo, cuando una regla de red filtra puertos específicos de una dirección IP específica). Las reglas de red solo están disponibles en Packet Decoders.

Reglas de capa de aplicación

Las reglas de capa de aplicación se aplican en el nivel de la sesión. Si la primera regla de la lista no es una coincidencia, Decoder intenta hacer coincidir la regla siguiente hasta que encuentra una coincidencia.

Reglas de correlación

Las reglas de correlación se aplican en una ventana de tiempo móvil configurable. Cuando se encuentra una coincidencia, el servicio crea una nueva supersesión que identifica a otras sesiones que coinciden con la regla y, a continuación, crea una lista de sesiones para análisis.

Usos comunes

Los dos usos más comunes de las reglas son:

  • Generar alertas y crear de este modo un valor de metadatos de alerta personalizado cuando se detectan ciertas condiciones
  • Filtrar ciertos tipos de tráfico que no agregan valor al análisis de los datos

Conjuntos de reglas

Los grupos de reglas de captura forman conjuntos de reglas, que puede importar y exportar. Esta funcionalidad permite usar varios conjuntos de reglas para diversos escenarios. Puede importar el conjunto de reglas exportado, con el formato de archivo .nwr, a otros servicios de Security Analytics, lo cual simplifica la implementación y la configuración de varios servicios.

Procesamiento de reglas

Estos son los principios que rigen el procesamiento de reglas de captura:

  • Es posible aplicar varias reglas al Decoder.
  • Las reglas de captura se ejecutan una tras otra, en secuencia.
  • El procesamiento de reglas se detiene cuando se han procesado todas las reglas o cuando se encuentra una coincidencia con una regla configurada para detener el procesamiento de reglas.
  • Se puede usar una regla predeterminada para incluir o excluir todo el tráfico que, de otro modo, no es seleccionado por una regla. Una regla predeterminada, si se usa, se debe ubicar al final de la lista de reglas. De lo contrario, el procesamiento de reglas se detiene en cuanto se evalúa la regla predeterminada, ya que, por definición, la regla predeterminada selecciona todo el tráfico.
  • Cuando el procesamiento de reglas se detiene, la sesión se guarda usando las opciones de sesión y las opciones de depuración configuradas.

Configuración de reglas

Las reglas de Decoder y Log Decoder se pueden editar en la vista Configuración de servicios. A pesar de que cada tipo de regla (red, aplicación y correlación) tiene su propia pestaña, las funciones son similares para todos los tipos de reglas. Puede:

  • Agregar, editar y eliminar reglas
  • Habilitar e inhabilitar reglas
  • Cambiar la secuencia de ejecución de las reglas
  • Importar reglas desde un archivo
  • Exportar reglas a un archivo
  • Migrar reglas a otro servicio
  • Revertir o aplicar los cambios en las reglas
  • Restaurar una de las últimas diez configuraciones de reglas

Sintaxis de reglas de captura

La sintaxis para escribir reglas de captura consiste en comparar un campo con un valor mediante un operador de comparación. Los operadores de comparación compatibles son es igual a (=) y no es igual a (!=).

Los valores se pueden expresar como valores discretos, un rango de valores, un límite superior o inferior o una combinación de estos tres. Las comparaciones mayor que (>) y menor que (<) se llevan a cabo mediante el uso de rangos. Puede crear una comparación mayor que o menor que y probar la igualdad o la desigualdad contra un rango de valores o un límite superior/inferior.

En la siguiente tabla se resumen los operadores de comparación compatibles y la sintaxis para expresar valores.

                                                 
SintaxisDescripción
* Regla predeterminada Con el uso de un asterisco (*) como el único carácter de una regla, esa regla seleccionará todo el tráfico.
= Operador de igualdad.
!= Operador de desigualdad.
&& Operador Y lógico.
|| Operador O lógico.
-u Límite superior. Por ejemplo, para seleccionar todos los puertos TCP sobre 40000, la sintaxis sería: tcp.port = 40000-u
-l Límite inferior. Por ejemplo, para seleccionar todos los puertos TCP por debajo de 40000, la sintaxis sería: tcp.port = l-40000
- (guion)Denota un rango. Esto solo se aplica a los valores numéricos. Separe los límites inferiores y superiores del rango con un carácter de guion (-). Por ejemplo, para seleccionar los puertos TCP entre 25 y 443, la sintaxis sería: tcp.port = 25-443
, (coma)Denota una lista de valores. Se pueden usar valores únicos, así como cualquier combinación de rangos y límites superiores o inferiores. Por ejemplo, la siguiente sintaxis es válida: tcp.port = 1-10,25,110,143-225,40000-u
( ) Operador de agrupación. Una expresión se puede incluir entre paréntesis para crear una nueva expresión lógica. Por ejemplo, lo siguiente seleccionaría el tráfico en el puerto 80 hacia/desde 192.168.1.1 O el tráfico en el puerto 443 hacia/desde 10.10.10.1: (ip.addr=192.168.1.1 && tcp.port=80) || (ip.addr=10.10.10.1 && tcp.port=443)

Guía de reglas y consultas proporciona una guía que deben seguir todas las consultas y las condiciones de regla en los servicios de Security Analytics Core. 

Procedimientos

Configurar reglas de captura

  1. En el menú de Security Analytics, seleccione Administration > Servicios.
  2. En la vista Servicios, seleccione un servicio Decoder y elija Menú Acciones recortado > Ver > Configurar.
  3. En la vista Configuración de servicios, seleccione una de las pestañas Reglas: Reglas de red, Reglas de aplicación o Reglas de correlación.
    Se muestra la cuadrícula de reglas correspondiente al tipo de regla seleccionado.

Cada tipo de regla tiene una cuadrícula con columnas levemente diferentes y distintos parámetros. Diversas reglas básicas se aplican a todas las actividades de administración de reglas:

  • Las reglas se ejecutan en la secuencia que aparece en la cuadrícula. Para cambiar la secuencia de ejecución de las reglas, arrastre y suelte las reglas en la ubicación correspondiente de la cuadrícula o use las opciones del menú contextual para organizarlas.
  • Para seleccionar una única fila, haga clic en ella.
  • Para seleccionar un grupo de filas adyacentes, haga clic en la primera fila y, a continuación, mantenga presionada la tecla Mayús y haga clic en la última fila del grupo.
  • Para seleccionar varias filas no adyacentes, haga clic en la primera fila y, a continuación, mantenga presionada la tecla Ctrl y haga clic en las demás.
  • Cuando edite reglas en la pestaña de reglas, debe aplicar los cambios en la configuración para que se activen.
  • Antes de aplicar los cambios, puede descartar las modificaciones de la cuadrícula y revertirlas para dejar las reglas sin editar.
  • Una vez que aplica las reglas, puede recuperar las últimas diez configuraciones de reglas usando la opción Historial en el menú Acciones.

Agregar una regla

Para agregar una regla en cualquier pestaña de reglas, ejecute una de las siguientes acciones:

  • Haga clic en Icon-Add.png.
  • Haga clic con el botón secundario en una regla y seleccione Insertar arriba o Insertar debajo en el menú contextual.
    Se muestra el cuadro de diálogo Editor de regla para ese tipo de regla.

Para obtener más detalles, consulte una de las siguientes secciones:

Eliminar una regla

  1. En cualquier pestaña Reglas, seleccione las reglas que desea eliminar de la cuadrícula de reglas.
  2. Haga clic en Icon_Delete_sm.png.
    Las reglas seleccionadas se quitan de la cuadrícula, pero siguen existiendo en el servicio.

Editar una regla

  1. En cualquier pestaña Reglas, seleccione las reglas que desea editar.
  2. Haga clic en icon-edit.png o doble clic en la fila de la regla.
    Se muestra el cuadro de diálogo Editor de regla para ese tipo de regla. Para obtener más detalles, consulte una de las siguientes secciones:

Desactivar una regla

  1. Desde cualquier pestaña de reglas, seleccione las reglas que desea desactivar.
  2. Haga clic en 104Disable.png.
    El estado cambia a desactivado en la cuadrícula, pero la regla sigue activada en el servicio.

Activar una regla

  1. Desde cualquier pestaña de reglas, seleccione las reglas que desea activar.
  2. Haga clic en 104Enable.png.
    El estado cambia a activado en la cuadrícula, pero la regla sigue desactivada en el servicio.

Importar reglas desde un archivo

Puede importar reglas de red, aplicación y correlación a un Decoder desde un archivo que contiene reglas del mismo tipo. Después de importar las reglas, puede editarlas y administrarlas como lo haría con cualquier otra regla.

Cuando intenta importar un grupo de reglas, Security Analytics Administration comprueba el tipo de reglas importadas. Si lo hace correctamente, aparece un mensaje que indica la cantidad de reglas importadas. Si el tipo de regla es diferente al tipo de pestaña activa, las reglas no se importan. Debe volver a importar las reglas en la pestaña correcta o seleccionar otro archivo para importar.

Para importar reglas a un servicio:

  1. En cualquier pestaña Reglas, seleccione Icon_ActionsMenu-rule.png > Importar.
    Se muestra el cuadro de diálogo Importar.
    104RulesImportDialog.png
  2. Haga clic en Icon-Add.png.
    Se muestra una vista de la estructura de directorios.
  3. Seleccione uno o más archivos de reglas de NetWitness (.nwr) para importar y haga clic en Abrir.
    El archivo se agrega a la lista en el cuadro de diálogo Importar.
    104ImportRuleFile.png
  4. Haga clic en Import.
    Las reglas se importan a la interfaz del usuario. Las reglas importadas tienen una esquina roja en cada columna editada.
  5. Edite o reorganice las reglas si es necesario.
  6. Para guardar las reglas en el servicio, haga clic en Aplicar.
    Las reglas del servicio se actualizan con los cambios.

Exportar una regla a un archivo

  1. Para exportar un subconjunto de las reglas, seleccione las reglas que desea exportar.
  2. Realice una de las siguientes acciones
    • En la barra de herramientas, seleccione Icon_ActionsMenu-rule.png > Exportar > Selección. (Exportar > Todo exporta todas las reglas de la cuadrícula, incluso si tiene seleccionado un subconjunto para exportación).
    • Haga clic con el botón secundario en las reglas seleccionadas y elija Exportar selección.

Se muestra un indicador que solicita el nombre de archivo.
104ExportRules.png

  1. Ingrese el nombre de archivo y haga clic en Exportar.
    Se descarga el archivo .nwr.

Migrar reglas a otros servicios

Puede aplicar (migrar) las reglas o las reglas seleccionadas a otros servicios (Decoders o Log Decoders) o a grupos de servicios.

Migración de reglas seleccionadas

Para migrar las reglas seleccionadas desde este Decoder a otros Decoders:

  1. Seleccione la pestaña Reglas y elija las reglas que desea migrar a otro Decoder.
  2. Realice una de las siguientes acciones
    • Seleccione Icon_ActionsMenu-rule.png > Migrar > Selección.
    • Haga clic con el botón secundario en las reglas seleccionadas y elija Migración de reglas seleccionadas.
      Se muestra el cuadro de diálogo Migración de reglas seleccionadas.
      PushSelectionSrv.png
  3. Seleccione una opción de migración:
    • Seleccione Reemplazar para eliminar todas las reglas en los servicios de destino y reemplazarlas por las reglas seleccionadas. Es la selección predeterminada.
    • Seleccione Combinar para combinar las reglas seleccionadas con las reglas existentes en los servicios objetivo.
  4. En la pestaña Servicios, seleccione los servicios objetivo que recibirán las reglas migradas o seleccione los grupos de servicios en la pestaña Grupos.
  5. Haga clic en Migrar.
    Las reglas se migran a los servicios seleccionados y se aplican de inmediato.

Migrar todas las reglas

Cuando migra todas las reglas a otros servicios, todas las reglas de los servicios objetivo se eliminan y se reemplazan por todas las reglas del servicio de origen. 

Para migrar todas las reglas desde este Decoder a otros Decoders:

  1. En cualquier pestaña Reglas, seleccione Icon_ActionsMenu-rule.png > Migrar >Todo.
    (Migrar > Todo migra todas las reglas de la cuadrícula, incluso si tiene seleccionado un subconjunto para migración). Se muestra el cuadro de diálogo Migración de reglas seleccionadas.
    PushAllSrv.png
  2. En la pestaña Servicios, seleccione los servicios objetivo que recibirán las reglas migradas o seleccione los grupos de servicios en la pestaña Grupos.
  3. Haga clic en Migrar.
    Todas las reglas de los servicios de destino se eliminan y se reemplazan por todas las reglas del servicio de origen. Las reglas se aplican de inmediato.

Cambiar el orden de ejecución de las reglas

Las reglas de captura se aplican en el orden en que aparecen en la cuadrícula. Para reorganizar las reglas, use cualquiera de estos métodos:

  • Arrastre y suelte las reglas en la ubicación deseada de la cuadrícula.
  • Haga clic con el botón secundario en una regla para abrir el menú contextual y use las opciones Cortar y Pegar.

Restaurar el snapshot de una regla desde el Historial

Security Analytics mantiene las últimas diez instantáneas de las reglas que se aplican a un servicio. Para restaurar el snapshot de una regla desde el Historial:

  1. Seleccione Icon_ActionsMenu-rule.png Historial>.
    Se muestra un submenú de snapshots.
  2. Seleccione la fecha del snapshot en el submenú.
    Las reglas del snapshot se cargan en la cuadrícula y reemplazan al conjunto actual. Sin embargo, el conjunto actual sigue en uso en el servicio.
  3. Para aplicar las reglas al servicio, haga clic en Aplicar.
    Las reglas se aplican al servicio.
You are here
Table of Contents > Procedimientos requeridos > Paso 4. Configurar reglas de Decoder

Attachments

    Outcomes