MA: (Opcional) Configurar el filtro de hash

Document created by RSA Information Design and Development on Feb 9, 2017Last modified by RSA Information Design and Development on Feb 9, 2017
Version 2Show Document
  • View in full screen mode
  

En este tema se presentan los filtros de hash como un método para marcar archivos en Security Analytics Malware Analysis que se sabe que son legítimos o maliciosos. El filtrado de hash permite mantener una lista de hashes de archivos legítimos o maliciosos conocidos. En la pestaña Hash, puede ajustar con más detalle el análisis de eventos de Security Analytics Malware Analysis según los hashes de archivo. Cuando un hash de archivo está marcado como legítimo, Malware Analysis no analiza el archivo la próxima vez que aparece. Cuando un hash de archivo está marcado como malicioso, Malware Analysis aumenta automáticamente el puntaje de la comunidad para el archivo con una gran cantidad de puntos. Malware Analysis analiza el archivo de todos modos en caso de que pueda obtenerse nueva información.

Nota: Si un evento contiene un único archivo y el hash de ese archivo está marcado como legítimo, Malware Analysis filtra todo el evento y usted no lo ve en los resultados de Malware Analysis.

Para agregar filtros de hash a la lista de hash, puede usar cualquiera de estos métodos manuales:

  1. Opción agregar del menú contextual en la vista Detalles del evento: Haga clic con el botón secundario en un archivo y un menú contextual permite marcar el hash del archivo seleccionado como bueno (normal) o malo (malicioso).
  2. Barra de herramientas de la pestaña Hash: Haga clic en el botón Agregar de la pestaña Hash para agregar un hash de archivo, tamaño de archivo y, opcionalmente, marcar el hash como confiable.

También existe un método automatizado para agregar filtros de hash a Security Analytics Malware Analysis mediante la importación en masa de una lista de hash desde la carpeta inspeccionada. Los hashes importados a través de la carpeta inspeccionada no aparecen en la lista de hash. Con la importación en masa y el directorio inspeccionado (/var/lib/rsamalware/spectrum/hashWatch) en la configuración del servidor de Malware Analysis, copie una lista de hash en la carpeta inspeccionada para que se importe automáticamente al sistema. Los hashes importando con el método de importación masiva sobrescriben a los hashes que se importaron anteriormente a través de la carpeta inspeccionada.

Ver la lista de hash

Para ver la lista de hash:

  1. En el menú de Security Analytics, seleccione Administration > Servicios.
  2. En la vista Servicios, seleccione un servicio Malware Analysis y elija  > Ver > Configuración.
  3. Seleccione la pestaña Hash.
    La lista de hash se muestra en la pestaña Hash. Solo se muestran los hashes de archivos que se han agregado mediante uno de los métodos.

Agregar un hash de archivo al filtro de hash

Para agregar un hash de archivo al filtro de hash:

  1. En la barra de herramientas de la pestaña Hash, haga clic en Agregar.
    Se muestra el cuadro de diálogo Agregar hash.
  2. Si el hash es confiable, seleccione Confiable.
  3. Ingrese el hash de MD5 y el tamaño del archivo en bytes.
  4. Haga clic en Guardar
    El hash de archivo se agrega a los hashes y se usa para ejecutar un filtrado de hash en Security Analytics Malware Analysis.

Marcar un hash como confiable o no confiable

Para marcar un hash de archivo como confiable o no confiable:

  1. En la pestaña Hash, para alternar entre confiable y no confiable, haga clic en la columna Confiable del hash.
  2. En la barra de herramientas, haga clic en Guardar edición.

Eliminar un hash de un filtro de hash

Para eliminar un hash de un filtro de hash:

  1. En la pestaña Hash, seleccione uno o más hashes que desee eliminar del filtro de hash.
  2. En la barra de herramientas, haga clic en Eliminar.
    Un cuadro de diálogo solicita confirmación y ofrece la oportunidad de cancelar la operación.
  3. Para confirmar la eliminación, haga clic en .
    El hash de archivo se elimina de la cuadrícula y se deja de usar para ejecutar el filtrado de hash en Security Analytics Malware Analysis.

Buscar un hash de archivo

La pestaña Hash permite buscar un hash de archivo que se muestra en la cuadrícula.  En el campo MD5, escriba el hash de archivo que busca y haga clic en Buscar. La lista de archivos que contienen el hash se muestra en la cuadrícula. 

Importar una lista de hash usando la carpeta inspeccionada

Para importar una lista de hash desde el directorio inspeccionado, la lista debe tener el formato especificado y estar clasificada por md5. Puede soltar un archivo con el formato que se describe a continuación en una carpeta (/var/lib/rsamalware/spectrum/hashWatch) del dispositivo Malware Analysis y se importará automáticamente a la base de datos de hash local. Esta es la única manera de importar hashes de archivo a Security Analytics. Otro caso de uso es permitir que un administrador del sistema exponga el directorio inspeccionado a algún proceso que enviaría un archivo a este directorio. Este es un método de importación masiva diseñado para manejar un alto volumen de importaciones de hash.

Se trata de un archivo con formato csv que no tiene espacios entre los datos de cada fila. La suposición con los datos de la lista de hash es que no hay duplicados. Durante el procesamiento, se omiten los duplicados. Si se encuentran hashes duplicados, el archivo de registro mostrará el siguiente mensaje para indicar la cantidad de hashes duplicados del archivo:

2013-08-09 09:46:00,674 [jobExecutor-2(HashFileWatch)] INFO com.netwitness.malware.core.scheduler.jobs.HashFileWatch - Processing - /var/lib/rsamalware/hashWatch/test.csv
2013-08-09 09:47:56,619 [jobExecutor-2(HashFileWatch)] INFO com.netwitness.malware.core.services.file.hash.HashServiceImpl - Skipped 21 Duplicate Hashes Already on File
2013-08-09 09:48:06,638 [jobExecutor-2(HashFileWatch)] INFO com.netwitness.malware.core.scheduler.jobs.HashFileWatch - Processed - /
var/lib/rsamalware/hashWatch/test.csv

A continuación puede ver un ejemplo de una lista de hash en el formato de archivo predeterminado.


[BeginFileExample]
392126E756571EBF112CB1C1cdEDF926,98865,True
0E53C14A3E48D94FF596A2824307B492,2226,True
176308F27DD52890F013A3FD80F92E51,42748,False
9B3702B0E788C6D62996392FE3C9786A,32768,False
937ADE76A75712B7FF339403B4FCB5A6,4821,False
B47139415F735A98069ACE824A114399,1723,False
E6CAF205E602CFA9A65663DB1A087874,704,False
680CA0BCE1FC7BC4136ADF4E210869C5,2075,False
[EndFileExample]


Un archivo de configuración de Security Analytics (/var/lib/rsamalware/spectrum/conf/hashFileWatchConfig.xml) especifica el formato y las opciones del proceso de importación de la lista de hash. La siguiente es una lista del archivo de configuración.

<config>
<enabled>true</enabled>
<distributedCacheEnabled>true</distributedCacheEnabled>
<watchDirectory>/
/var/lib/rsamalware/hashWatch</watchDirectory>
<processedDirectory>/
var/lib/rsamalware/hashWatch/processed</processedDirectory>
<erroredDirectory>/
var/lib/rsamalware/hashWatch/error</erroredDirectory>
<md5Col>0</md5Col>
<fileSizeCol>-1</fileSizeCol>
<isTrustedCol>1</isTrustedCol>
<isTrust>false</isTrust>
<ignoreFirstLine>false</ignoreFirstLine>
<frequencyInMinutes>1</frequencyInMinutes>
<isGzipCompressed>false</isGzipCompressed>
</config>
                                    
LíneaDescripción
<md5Col>0</md5Col>La ubicación del hash md5 en cada entrada. El valor predeterminado es la posición 0, o la primera posición.
<fileSizeCol>1</fileSizeCol>La ubicación del tamaño del hash en cada entrada. El valor predeterminado es la posición 1, o la segunda posición. Si el tamaño del hash no se incluye en el archivo csv, el valor debe ser -1.
<isTrustedCol>2</isTrustedCol>La ubicación de la columna Trusted en cada entrada. El valor predeterminado es la posición 2. Si el parámetro Trusted no se incluye en el archivo csv, el valor debe ser -1.
<isTrust>false</isTrust>La asunción predeterminada para Trusted en cada entrada es false.
<ignoreFirstLine>false</ignoreFirstLine>La presencia o la ausencia de un encabezado en el hash. El valor predeterminado es falso. Si el hash tiene un encabezado, el valor se debe definir en true.
<frequencyInMinutes>1</frequencyInMinutes>El intervalo entre comprobaciones de Security Analytics en el directorio inspeccionado. El valor predeterminado es 1 minuto.
<isGzipCompressed>false</isGzipCompressed>El hash está comprimido con Gzip. El valor predeterminado es falso. Si el hash está comprimido con Gzip, el valor aquí se debe definir en true.

Cuando se ha importado la lista de hash, el registro del sistema muestra entradas similares a la siguiente:

2013-04-11 03:22:00,597 [jobExecutor-9(HashFileWatch)] INFO  com.netwitness.malware.core.scheduler.jobs.HashFileWatch - Processing -  /var/lib/rsamalware/spectrum/hashWatch/simpleHash.csv
2013-04-11 03:22:00,600 [jobExecutor-9(HashFileWatch)] INFO  com.netwitness.malware.core.scheduler.jobs.HashFileWatch - Processed -  /var/lib/rsamalware/spectrum/hashWatch/simpleHash.csv

Si hay un problema al cargar el archivo, el registro del sistema tiene entradas similares a la siguiente:

2013-04-11 03:17:00,597 [jobExecutor-4(HashFileWatch)] INFO  com.netwitness.malware.core.scheduler.jobs.HashFileWatch - Processing -  /var/lib/rsamalware/spectrum/hashWatch/simpleHash.csv
... Verbose log
2013-04-11 03:17:00,632 [jobExecutor-4(HashFileWatch)] INFO  com.netwitness.malware.core.scheduler.jobs.HashFileWatch - Error Processing -  /var/lib/rsamalware/spectrum/hashWatch/simpleHash.csv


Para importar una lista de hash mediante el método de carpeta inspeccionada:

  1. Copie las listas de hash que desea importar al directorio /var/lib/rsamalware/spectrum/hashWatch.
    Security Analytics Malware Analysis inspecciona automáticamente esta carpeta y procesa los archivos que contiene.
    Security Analytics Malware Analysis agrega cada hash encontrado en las listas de hash al filtro de hash.
    Si se producen errores de procesamiento, estos se registran en /var/lib/rsamalware/spectrum/hashWatch/error
    Los archivos procesados se catalogan en /var/lib/rsamalware/spectrum/hashWatch/processed
    Los archivos procesados no se eliminan del directorio hashWatch.
  2. Después de importar hashes de forma masiva, el administrador del sistema puede usar un cronjob para limpiar archivos procesados antiguos.
You are here
Table of Contents > Configuración básica > (Opcional Configurar el filtro de hash

Attachments

    Outcomes