Decoder: Vista Configuración de servicios: Pestaña General

Document created by RSA Information Design and Development on Feb 9, 2017
Version 1Show Document
  • View in full screen mode
  

En este tema se presentan las funciones de la vista Configuración de servicios > pestaña General de Decoders y Log Decoders. 

La pestaña General de un Decoder en la vista Configuración de servicios proporciona una manera de administrar la configuración básica del servicio, configurar la captura de datos y seleccionar los analizadores que se aplican a los datos capturados.

Entre los ajustes que permiten configurar la captura de datos se incluyen:

  • Selección de adaptador
  • Especificación de la caché
  • Inicio automático de captura y otros parámetros de captura que afectan a la caché, las sesiones y los tiempos de espera agotados
  • Tamaños de archivo de base de datos
  • Ubicación del directorio de hash

La primera imagen muestra un ejemplo de la pestaña General de un Decoder. La segunda corresponde a la pestaña General de un Log Decoder.

ParsConDeTran.png

Vista Configuración de servicios: Log Decoder

Características

Estas son las cuatro secciones principales de la pestaña General para Decoders y Log Decoders:

  • Configuración del sistema
  • Configuración de Decoder
  • Configuración de analizadores
  • Configuración de analizadores de servicio (solo Log Decoders)

Configuración del sistema

La sección Configuración del sistema administra la configuración del servicio de un Decoder. Cuando un servicio se agrega por primera vez, se aplican valores predeterminados. Puede editar estos valores para ajustar el rendimiento.

DecSysCfgSec.png

La sección Configuración del sistema tiene estos parámetros.

                                 
ParámetroDescripción
Compresión La cantidad mínima de bytes que se deben transmitir por respuesta antes de la compresión. Si se define en 0, se deshabilita la compresión. El valor predeterminado es 0.
Un cambio en el valor se aplica de inmediato en todas las conexiones subsiguientes.
Puerto Determina el puerto que usa el servicio.

Nota: Si cambia el número de puerto, asegúrese de reiniciar el servicio.

Modo SSL FIPS Si esta opción está activada, todos los datos transferidos en la red se cifrarán mediante SSL.
Puerto SSL Indica el puerto que se usa para cifrar mediante SSL.
Intervalo de actualización de estadísticas La cantidad de milisegundos entre las actualizaciones de estadísticas del sistema. Los números más bajos permiten actualizaciones frecuentes y pueden retrasar otros procesos. El valor predeterminado es 1,000.
Un cambio en el valor se aplica de inmediato.
Hilos El número de hilos de ejecución en el pool de hilos de ejecución para manejar solicitudes entrantes. Si se define en 0, se permite que el sistema decida.
Un cambio se aplica tras el reinicio del servicio.

Configuración de Decoder

La sección Configuración de Decoder proporciona una manera de ver y editar los parámetros de configuración de servicio de un Decoder o Log Decoder. Cuando un servicio se agrega por primera vez, se aplican valores predeterminados. Puede modificar estos valores para administrar la captura de tráfico.
DecCfgTop.png

Si se desplaza hasta el final de la sección, podrá ver estos parámetros adicionales de configuración del Decoder.

DecCfgBottom.png

Adaptador

Los parámetros del adaptador configuran la interfaz de red para la captura. La siguiente tabla describe los ajustes del Adaptador del Decoder. Los adaptadores de red predeterminados disponibles se configuran durante la instalación. Consulte al administrador del sistema para obtener más información.

                 
Parámetro de adaptadorDescripción
Filtro de paquetes Berkeley Los filtros de paquetes Berkeley (BPF) se aplican al flujo de paquetes antes de que los paquetes se copien al adaptador de Decoder para el análisis. Esto permite que el tráfico no deseado se elimine de manera eficiente. Sin embargo, los paquetes descartados no se toman en cuenta en ninguna estadística del Decoder (velocidad de captura, paquetes descartados, paquetes filtrados y total de paquetes).
Interfaz de captura seleccionada Seleccione un adaptador a través del cual el Decoder captura paquetes. Para la interfaz de captura interna de menor velocidad, utilice el adaptador packet_mmap_,7,eth1, que corresponde al puerto de monitoreo ubicado en la placa madre. Existen seis puertos de captura adicionales:
  • packet_mmap_,1,lo (bpf)
  • packet_mmap_,2,eth2 (bpf)
  • packet_mmap_,3,eth3 (bpf)
  • packet_mmap_,4,eth4 (bpf)
  • packet_mmap_,5,eth5 (bpf)
  • packet_mmap_,8,ALL (bpf)
Existen tres servicios de captura inalámbricos disponibles:
  • packet_netmon_ (Microsoft Netmon)
  • packet_mac80211_ (Linux mac80211)
  • packet_airport_ (Mac OS X AirPort)

El Decoder admite además el filtrado en el nivel de sistema que se define usando la sintaxis tcpdump/libpcap. Especificar un filtro Libpcap puede reducir de manera eficaz el volumen del paquete según atributos de Capa 2 - Capa 4. Un filtro Libpcap es adecuado para usarse cuando un Decoder está recibiendo un volumen de tráfico que impone una carga sobre los recursos físicos de la plataforma. En este escenario, el Decoder puede descartar paquetes constantemente y tener una gran cantidad de páginas de captura disponibles (/decoder/stats/capture.pagefree es alto).
El siguiente es un ejemplo de un filtro libpcap para conservar solo los paquetes que no tienen tanto la dirección de origen como la de destino en la subred 10.21.0.0/16.
not (src net 10.21.0.0/16 and dst net 10.21.0.0/16)
Para obtener una referencia completa de la sintaxis del filtro Libcap, consulte las páginas principales de:

Caché

Los parámetros de captura configuran el directorio de caché y el tamaño de los archivos de caché de la sesión. La tabla siguiente describe los ajustes de caché.

                 
Parámetro de cachéDescripción
Directorio de caché El directorio donde se almacenan los archivos de la caché de sesiones. El valor predeterminado es /var/netwitness/decoder/cache. El cambio se hace efectivo inmediatamente.
Tamaño de la memoria caché El tamaño máximo, en Megabytes (MB), que todos los archivos del directorio de caché pueden alcanzar antes de que se eliminen los archivos más antiguos. Una vez que se alcanza el umbral, el tamaño de la caché se reduce en un 10 %. El valor predeterminado es 4 GB. El cambio se hace efectivo inmediatamente.

Configuración de captura

La sección Configuración de captura ofrece una manera de configurar los ajustes de captura operacional.

Nota: De manera predeterminada, no hay reglas de captura definidas cuando instala Security Analytics por primera vez. A menos que se especifiquen reglas, los paquetes no se filtran. Puede definir reglas de captura antes de comenzar a capturar datos (consulte Configurar reglas de red, Configurar reglas de aplicacionesConfigurar reglas de correlación).

Esta tabla describe la configuración de captura.

                                                     
Parámetro de configuración de capturaDescripción
Tamaño máximo de ensamblador Especifica el tamaño máximo en bytes que pueden alcanzar los datos de paquete de una sesión. El valor predeterminado es 32 MB. El cambio se hace efectivo inmediatamente.
Tamaño mínimo de ensamblador Especifica el tamaño mínimo en bytes que una sesión debe tener para generar metadatos. Un valor de 0 indica que se generan metadatos de cada sesión. El valor predeterminado es 0. El cambio se hace efectivo inmediatamente.
Vaciado de sesión de ensamblador Especifica si una sesión se elimina del ensamblador cuando la última cadena de la sesión se elimina del ensamblador. El valor predeterminado es 1.
  • 2 = si se agota el tiempo de espera del ensamblador para el primer paquete de una sesión, la sesión se elimina del ensamblador una vez que finaliza el análisis. Cualquier paquete posterior en esta sesión crea una sesión nueva en el ensamblador.
  • 1 = Si se agota el tiempo de espera del ensamblador para la última cadena de una sesión, la sesión se elimina del ensamblador. Cualquier paquete posterior en esta sesión crea una sesión nueva en el ensamblador.
  • 0 = si se agota el tiempo de espera del ensamblador para la última cadena de una sesión, la sesión se deja en el ensamblador que se agota el tiempo de espera. Los paquetes subsiguientes de esa sesión se filtran.
El cambio se hace efectivo con el reinicio del servicio.
Pool de sesión de ensamblador Especifica la cantidad de entradas en el pool de sesión. El valor predeterminado es 350000. El cambio se hace efectivo con el reinicio del servicio.
Tiempo de espera agotado de paquetes de ensamblador Especifica la cantidad de segundos que transcurren antes de que se agote el tiempo de espera de un paquete o una cadena. El valor predeterminado es 60. El cambio se hace efectivo inmediatamente.
Tiempo de espera agotado de sesión de ensamblador Especifica la cantidad de segundos que transcurren antes de que se agote el tiempo de espera de una sesión. El valor predeterminado es 60. El cambio se hace efectivo inmediatamente.
Inicio automático de la captura Especifica si la captura comienza automáticamente cada vez que se inicia el Decoder. Cuando se selecciona, el valor = yes. Cuando no está seleccionada, el valor = no. El valor predeterminado es no. El cambio se hace efectivo inmediatamente.
Tamaño de buffer de captura La asignación del buffer de memoria de captura en Megabytes. El valor predeterminado es 64 MB. El cambio se hace efectivo con el reinicio del servicio.
Bytes máximos de análisis El número máximo de bytes para escanear una secuencia para tokens adicionales. Una vez que se encuentra el primer token, la secuencia se escanea hasta llegar al número definido de bytes, no más allá. Si se define en 0, se elimina la terminación temprana y se escaneará toda la secuencia, independientemente del tamaño. El valor predeterminado es 128 KB. El cambio se hace efectivo inmediatamente.
Bytes mínimos de análisis El número mínimo de bytes para escanear una secuencia para el primer token. Si no se encuentra un token dentro del número de bytes definido, se termina el escaneo. Si se define en 0, se elimina la terminación temprana y se escaneará toda la secuencia, independientemente del tamaño. El valor predeterminado es 1 KB. El cambio se hace efectivo inmediatamente.
Hilos de ejecución de análisis El número de hilos de ejecución de análisis que se usan para análisis de sesión. Un valor de 0 indica que el servidor decide. El valor predeterminado es 0. El cambio se hace efectivo con el reinicio del servicio.

Tamaños máximos de archivo de base de datos

La sección Tamaños máximos de archivo de base de datos controla el tamaño de archivo máximo de diversas bases de datos. La tabla siguiente describe los parámetros.

                     
Parámetro de tamaño de archivoDescripción
Tamaño de archivo de metadatos El tamaño máximo de archivos de base de datos de metadatos en megabytes. El valor predeterminado es 10 MB. El cambio se hace efectivo con el reinicio del servicio.
Tamaño de archivo de paquete El tamaño máximo de archivos de base de datos de paquete en megabytes. El valor predeterminado es 10 MB. El cambio se hace efectivo con el reinicio del servicio.
Tamaño de archivo de sesión El tamaño máximo de archivos de base de datos de sesión en megabytes. El valor predeterminado es 100 MB. El cambio se hace efectivo con el reinicio del servicio.

Hash

Controla las opciones de hash de archivo de base de datos. Se produce una pequeña disminución del rendimiento cuando se aplican valores hash. En la tabla siguiente se describe la opción de hash.

             
Parámetro de hashDescripción
Directorio hash El directorio del servidor donde se escriben todos los archivos hash. Si el valor está vacío, cada archivo hash se escribe en el mismo directorio en que se aplica un valor hash al archivo. El valor predeterminado está en blanco. El cambio se hace efectivo con el reinicio del servicio.

Configuración de analizadores

En el panel Configuración de analizadores se proporciona una forma de seleccionar los analizadores que se usarán en el Decoder. En algunos analizadores, también puede configurar los metadatos que crea el analizador. 

Security Analytics tiene la capacidad de configurar analizadores individuales que no almacenan los metadatos generados en disco (opción Transitorio). Esto ayuda a los administradores a proteger ciertos datos y suele ser parte de un plan de privacidad de datos (consulte Administración de la privacidad de datos).

DecParsCfgSec.png

En la tabla se describen las funcionalidades de la sección Configuración de analizadores.

                     
CaracterísticaDescripción
Activar todo
Desactivar todo
Estas opciones proporcionan una manera de seleccionar rápidamente todos los analizadores o ningún analizador.
Nombre Los nombres de los analizadores disponibles para el Decoder. Un signo más indica que los metadatos generados por el analizador se pueden configurar. Al hacer clic en el signo más se muestran los metadatos que el analizador puede crear. En el ejemplo anterior, CMS_windows_executable tiene tres metadatos seleccionables que el analizador puede crear: alert.id, error y filetype.
Valor de configuración Una lista desplegable cambia la configuración del analizador o de los metadatos a Activado, Desactivado o Transitorio.
  • Cuando se selecciona Activado, el Decoder usa el analizador para filtrar el tráfico.
  • Cuando se selecciona Transitorio, el Decoder usa el analizador para filtrar el tráfico y los metadatos generados no se almacenan en disco. Los metadatos transitorios están disponibles en la memoria para el contenido adicional (es decir, analizadores, feeds y reglas de aplicación) de ese Decoder.
  • Cuando se selecciona Desactivado, el Decoder no usa el analizador.
Si los metadatos generados para el analizador son configurables, cuando se hace clic en el signo más para expandir el analizador, se muestran las claves de metadatos configurables y la misma lista desplegable selecciona la clave de metadatos que creará el analizador.

Configuración de analizadores de servicio adicionales para Log Decoder

La sección Configuración de analizadores de servicio proporciona una manera de seleccionar analizadores de servicio para usarlos en el Log Decoder.

LDSvcParsCfgSec.png

You are here
Table of Contents > Referencias > Vista Configuración de servicios: Pestaña General

Attachments

    Outcomes