Decoder: Configurar feeds y analizadores

Document created by RSA Information Design and Development on Feb 9, 2017
Version 1Show Document
  • View in full screen mode
  

En este tema se presentan feeds y analizadores, y se proporcionan procedimientos para trabajar con los feeds y los analizadores de Decoder y Log Decoder.

Los feeds y los analizadores son responsables de analizar los paquetes y los registros cuando se capturan o se importan en Decoder o Log Decoder. Su uso más común es en la extracción de metadatos estáticos y la identificación de servicios. La definición flexible permite la extensión personalizada de los servicios principales definidos para proporcionar extracción de metadatos e identificación de tipo de servicio adicional. Esto es importante debido al volumen de aplicaciones personalizadas que se utilizan en las redes.

Nota: A menos que se defina lo contrario, todas las referencias a los Decoders se aplican también a los Log Decoders.

Procedimientos

Configurar analizadores

Security Analytics dispone de un conjunto de analizadores principales definidos por el sistema y también permite agregar analizadores adicionales. Cada analizador se puede configurar en la Vista Configuración de servicios: Pestaña General. El panel Configuración de analizador proporciona una manera de habilitar o deshabilitar el uso de analizadores en el Decoder, además de limitar los metadatos que crea el analizador.

Existen varios tipos de analizadores configurables personalizados:

  • GeoIP: este analizador asocia las direcciones IP con ubicaciones geográficas reales.
  • Búsqueda: el usuario configura este analizador para generar metadatos mediante el escaneo de palabras clave predefinidas y expresiones regulares.
  • FLEXPARSE: este es un lenguaje de definición de analizador genérico para extender la compatibilidad del protocolo de aplicación existente del Decoder.
  • Lua: este analizador se define mediante el lenguaje de script Lua para extender la compatibilidad del protocolo de aplicación existente del Decoder.
  • enVision: este analizador de aplicación admite el Log Decoder y está configurado para generar metadatos mediante el escaneo de archivos de registro.
  • SNORT®: Este analizador es compatible con las funcionalidades de detección de carga útil de las reglas de SNORT® IDS.

En la vista Configuración de servicios > pestaña Analizadores, puede ver los analizadores implementados en un Decoder, cargar analizadores y eliminar los analizadores implementados. La interfaz del usuario incluye un indicador si el analizador se originó de Live, se instaló a través de Security Analytics o se cargó manualmente. Es posible agregar y eliminar analizadores mientras un Decoder está en funcionamiento sin afectar la captura.

Además, puede descargar analizadores mediante Security Analytics Live.

Configurar feeds

Security Analytics utiliza feeds para crear metadatos basados en valores de metadatos definidos de forma externa. Un feed es una lista de datos que se compara con las sesiones a medida que se capturan o procesan. Para cada coincidencia, se crean metadatos adicionales. Estos datos pueden identificar y clasificar direcciones IP maliciosas o incorporar información adicional, como departamento y ubicación según la asignación de redes internas. Algunos ejemplos de feed incluyen feeds de amenazas para identificar BOTNets, mapeos de DHCP o incluso información de Active Directory, como una ubicación física o un departamento lógico.

Puede utilizar el módulo Live en Security Analytics para obtener feeds de orígenes externos. En el tema Contenido de Live en Security Analytics de Administración de servicios de Live se proporciona una descripción general de la herramienta de administración de contenido de Live.

En la interfaz del usuario de Security Analytics, puede ver la lista de feeds implementados actualmente, junto con un indicador de si el feed que se originó en Security Analytics Live se instaló a través de Security Analytics o de forma manual. Puede agregar, eliminar y actualizar feeds, mientras se ejecuta un Decoder, sin afectar la captura.

Security Analytics ofrece un asistente Feed personalizado, el cual optimiza la tarea de crear y administrar feeds personalizados, además de completar los feeds en los Decoders y los Log Decoders seleccionados. Además, puede descargar archivos de feed existentes y editarlos, y después editar el feed o crear un feed nuevo con el archivo editado.

 

 

Temas

You are here
Table of Contents > Procedimientos adicionales > Configurar feeds y analizadores

Attachments

    Outcomes