Decoder: Configurar reglas de red

Document created by RSA Information Design and Development on Feb 9, 2017
Version 1Show Document
  • View in full screen mode
  

En este tema, se presentan las reglas de red y se explican los procedimientos para configurarlas.

Las reglas de capa de red se aplican en el nivel de paquete en un Decoder y se componen de conjuntos de reglas de Capa 2 ‐ Capa 4. Las reglas de red se pueden aplicar a varias capas de red (por ejemplo, cuando una regla de red filtra puertos específicos de una dirección IP específica). Las reglas de red no se aplican a Log Decoders, solo se aplican a Packet Decoders. 

Reglas de red de muestra

Para truncar todo SSL del puerto de origen, cree una regla como la siguiente:

  • Nombre de la regla: Truncar SSL
  • Condition: tcp.srcport=443
  • Acción de regla: Truncar

Para filtrar el tráfico de subred, cree una regla como la siguiente:

  • Nombre de la regla: Filtro de subred
  • Condition: ip.addr=192.168.2.0/24
  • Acción de regla: Filtro

Procedimientos

Navegue a la pestaña Reglas de red

  1. En el menú de Security Analytics, seleccione Administration > Servicios.
  2. Seleccione un servicio Decoder y elija ic-actns.png > Ver > Configuración
    Se muestra la vista Configuración de servicios del servicio seleccionado.
  3. Seleccione la pestaña Reglas de red.
    Se abre la pestaña Reglas de red.
    104NetRulesTab.png

Agregar o editar una regla de red

  1. En la pestaña Reglas de red, realice una de las siguientes acciones:
  • Si desea agregar una regla nueva, haga clic en Icon-Add.png.
  • Si edita una regla, seleccione la regla en la cuadrícula de reglas y haga clic en icon-edit.png.
    Se muestra el cuadro de diálogo Editor de regla.
    NetRuleEditorEx.png
  1. En el campo Nombre de la regla, escriba un nombre para la regla. Por ejemplo, en el caso de una regla que trunca todo SSL desde el puerto de origen, escriba Truncar SSL.
  2. En el campo Condición, cree la condición de la regla que desencadena una acción cuando hay una coincidencia. Puede escribir directamente en el campo o crear la condición en él mediante metadatos de las acciones de la ventana. A medida que crea la definición de la regla, Security Analytics muestra errores de sintaxis y advertencias. Por ejemplo, para truncar todo SSL desde el puerto de origen, tcp.srcport=443.
    Todos los literales de cadena y los registros de fecha y hora deben ir entre comillas. No use comillas para los valores de número ni las direcciones IP. El tema Guía de reglas y consultas proporciona detalles adicionales. Claves de metadatos compatibles en las reglas de red describe las claves de metadatos que Security Analytics admite para usar en condiciones de reglas de red.
  3. Si desea que la evaluación de reglas termine con esta regla, seleccione la casilla de verificación Detener procesamiento de regla.
  4. En la sección Datos de sesión, elija una de las siguientes acciones que se aplicará cuando se encuentre un paquete coincidente:
  • Mantener: La carga útil del paquete y los metadatos asociados se guardan cuando coinciden con la regla.
  • Filtrar: El paquete no se guarda cuando coincide con la regla.
  • Truncar: La carga útil del paquete no se guarda cuando coincide con la regla, pero los encabezados del paquete y los metadatos asociados se mantienen.
  1. En la sección Opciones de sesión, seleccione todas las opciones que se apliquen de estas cuatro.
  • Ensamblaje: El ensamblador ensambla la cadena de paquetes cuando coincide con la regla.
  • Metadatos de red: El paquete genera metadatos de red cuando coincide con la regla.
  • Metadatos de aplicación: El paquete genera metadatos de aplicación cuando coincide con la regla.
  • Alerta: El paquete genera una alerta personalizada cuando los metadatos coinciden con la regla.
  1. Para guardar la regla y agregarla a la cuadrícula, haga clic en Aceptar.
    La regla se agrega al final de la cuadrícula o se inserta donde especificó en el menú contextual.
  2. Verifique que la regla está en la secuencia de ejecución correcta con otras reglas en la cuadrícula. Si es necesario, transfiera la regla.
  3. Para aplicar el conjunto de reglas actualizadas al Decoder, haga clic en Aplicar.

    Security Analytics guarda una instantánea de las reglas que se aplican actualmente y, a continuación, aplica el conjunto actualizado a Decoder y quita el indicador de pendiente de las reglas que estaban pendientes.
You are here
Table of Contents > Procedimientos requeridos > Paso 4. Configurar reglas de Decoder > Decoder: Configurar reglas de red

Attachments

    Outcomes