MA: Vista Configuración de servicios: Pestaña General

Document created by RSA Information Design and Development on Feb 9, 2017Last modified by RSA Information Design and Development on Feb 9, 2017
Version 2Show Document
  • View in full screen mode
  

En este tema se presentan los ajustes de configuración de la vista Configuración de servicio > pestaña General para Security Analytics Malware Analysis, la cual tiene parámetros específicos del servicio Malware Analysis. En esta pestaña se configura lo siguiente:

  • Los parámetros de procesamiento de los servicios Core que están capturando datos.
  • El repositorio de los datos capturados.
  • Las categorías de puntaje de Static, Community y Sandbox que se utilizan para analizar los datos.

La siguiente tarea proporciona procedimientos detallados: Configurar ajustes generales de Malware Analysis.

Este es un ejemplo de la pestaña General.

Características

Esta pestaña contiene cuatro secciones: Configuración de escaneo continuo, Configuración de repositorio, Varios y Configuración de módulos.

Sección Configuración de escaneo continuo

Esta tabla describe las funcionalidades de la sección Configuración de escaneo continuo.

                                                                         
ParámetroDescripción
ActivadoHabilita o deshabilita completamente el sondeo continuo del servicio Security Analytics Core. De manera predeterminada, esta opción no aparece seleccionada (desactivada).
ConsultaMientras el Decoder está analizando el tráfico de red, este crea un campo de metadatos llamado Contenido con el valor spectrum.consume en las sesiones que probablemente contengan malware. De manera predeterminada, Security Analytics Malware Analysis solamente ejecuta análisis en los eventos que tienen este valor de metadatos específico. Cuando se cambia esta consulta, Malware Analysis se puede configurar para que analice distintos tipos de eventos.
Si esta consulta es demasiado general, puede hacer que Malware Analysis analice demasiados eventos, lo cual puede causar retrasos o un bajo rendimiento.
La consulta predeterminada es select * where content=’spectrum.consume’
Vencimiento de la consultaCuando Malware Analysis realiza una consulta de metadatos al servicio Security Analytics Core, obtiene el resultado en pocos segundos. Si hay un problema, como un inconveniente con la conectividad de red, Malware Analysis abandona la consulta después de esta cantidad de tiempo configurada.
El valor predeterminado es 3600 segundos.
Intervalo de consultasLa frecuencia, en minutos, con la cual se consulta sobre nuevos metadatos y archivos de sesión.
Límite de metadatosCada vez que Malware Analysis realiza una consulta al servicio Security Analytics Core, extrae una cantidad de metadatos hasta este límite de metadatos. Mediante este ajuste, junto con el intervalo de consulta, puede optimizar el rendimiento de Malware Analysis en la infraestructura de Security Analytics Core.
El valor predeterminado es 25,000.
Límite de tiempoMalware Analysis analiza las sesiones que ocurrieron después del Límite de tiempo. Este ajuste es de mayor importancia cuando se instala un dispositivo Malware Analysis nuevo, dado que determina cuánto hay que retroceder en el tiempo para comenzar el análisis. Si configura el límite en demasiadas horas pasadas, puede hacer que Malware Analysis analice demasiados eventos pasados, lo cual provoca una gran demora antes de que se muestre cualquier tráfico que ocurre en tiempo real.
El valor predeterminado es 24 horas.
Host de origenNombre de host del dispositivo Security Analytics Malware Analysis.
Esta es la dirección IP, o el nombre de host, del servicio al cual Malware Analysis realiza consultas para recuperar sus datos para análisis. No utilice localhost como el host de origen.
Según el modelo del dispositivo y la configuración de la infraestructura de Security Analytics, este host de origen puede variar.
Puerto de origenMalware Analysis se comunica con la infraestructura de Security Analytics mediante el servicio REST que escucha en este puerto. Este número de puerto es específico para el tipo del servicio Security Analytics Core que se usa como el host de origen. Esto corresponde a las conexiones de salida del servicio Security Analytics Core.
Nombre de usuarioNombre de usuario. El valor predeterminado es admin.
Malware Analysis debe autenticar el host de origen cada vez que realiza consultas de datos. En la mayoría de los casos, la cuenta que utiliza Malware Analysis es la misma que se usa para acceder al servicio Core mediante Security Analytics. Sin embargo, se recomienda crear una cuenta nueva en el servicio Security Analytics Core que sea exclusiva para Malware Analysis.
Contraseña de usuarioContraseña del usuario. El valor predeterminado es netwitness.
SSLUse SSL cuando se comunique con Security Analytics Core. Si Malware Analysis está usando una conexión SSL para comunicarse con un servicio Core, seleccione esta opción.
El valor predeterminado es ninguna selección.
Prevención de negación de servicio (DOS)La función Prevención de negación de servicio brinda protección contra malware que genera, intencionalmente, altos volúmenes de conexiones de red entre dos terminales con contenido de Windows PE. La generación de un alto volumen de conexiones aumenta artificialmente la cantidad de tráfico que deben consumir y analizar los servicios de seguridad que monitorean la red, lo cual da lugar a una negación de servicio. Esta función ayuda a identificar estas sesiones para que se logre que el procesamiento de análisis las ignore.
El valor predeterminado es ninguna selección.
Duración de ventana de tasa de sesiones de DOS (segundos)Malware Analysis usa este parámetro junto con los parámetros Cantidad de sesiones de DOS por ventana de tasa y Tiempo de bloqueo de sesiones de DOS (segundos) para identificar un ataque de negación de servicio y determinar el tiempo durante el cual se hace caso omiso de las sesiones de una única dirección IP.
Para identificar un ataque de negación de servicio, Malware Analysis monitorea la cantidad de sesiones que establece una única dirección IP durante un intervalo de tiempo específico. La Duración de ventana de tasa de sesiones de DOS (segundos) define este intervalo de tiempo. Si la cantidad de sesiones supera la configuración de Cantidad de sesiones de DOS por ventana de tasa en la cantidad de segundos definida en Duración de ventana de tasa de sesiones de DOS, Malware Analysis identifica la actividad como un intento de negación de servicio. En este caso, el tráfico que proviene de la dirección IP no se considera durante el tiempo especificado en Tiempo de bloqueo de sesiones de DOS (segundos).
El valor predeterminado es 60 segundos.
Cantidad de sesiones de DOS por ventana de tasa Malware Analysis usa este parámetro junto con los parámetros Duración de ventana de tasa de sesiones de DOS (segundos) y Tiempo de bloqueo de sesiones de DOS (segundos) para identificar un ataque de negación de servicio y determinar el tiempo durante el cual se hace caso omiso de las sesiones de la dirección IP.
Para identificar un ataque de negación de servicio, Malware Analysis monitorea la cantidad de sesiones que establece un único origen IP durante un intervalo de tiempo específico. La Duración de ventana de tasa de sesiones de DOS (segundos) define este intervalo de tiempo. Si la cantidad de sesiones supera la configuración de Cantidad de sesiones de DOS por ventana de tasa en la cantidad de segundos definida en Duración de ventana de tasa de sesiones de DOS, Malware Analysis identifica la actividad como un intento de negación de servicio. En este caso, el tráfico no se considera durante el tiempo especificado en Tiempo de bloqueo de sesiones de DOS (segundos).
El valor predeterminado es 200 sesiones.
Tiempo de bloqueo de sesiones de DOS (segundos)Malware Analysis usa este parámetro junto con los parámetros Duración de ventana de tasa de sesiones de DOS (segundos) y Cantidad de sesiones de DOS por ventana de tasa para identificar un ataque de negación de servicio y determinar el tiempo durante el cual se hace caso omiso de él.
Para identificar un ataque de negación de servicio, Malware Analysis monitorea la cantidad de sesiones que establece una única dirección IP durante un intervalo de tiempo específico. La Duración de ventana de tasa de sesiones de DOS (segundos) define este intervalo de tiempo. Si la cantidad de sesiones supera la configuración de Cantidad de sesiones de DOS por ventana de tasa en la cantidad de segundos definida en Duración de ventana de tasa de sesiones de DOS, Malware Analysis identifica la actividad como un intento de negación de servicio. En este caso, el tráfico no se considera durante el tiempo especificado en Tiempo de bloqueo de sesiones de DOS (segundos).
El valor predeterminado es 60 segundos.
Intervalo de recopilación de residuos de DOS (segundos)Ejecuta la recopilación de residuos en la estructura de la memoria interna que se usa para rastrear intentos de negación de servicio.
Si el uso de la memoria es anormalmente alto, puede disminuir este ajuste para liberar memoria sin uso más a menudo. Si el uso del CPU es anormalmente alto, puede aumentar este ajuste para eliminar la sobrecarga de procesamiento (a expensas del uso de la memoria).
El valor predeterminado es 120 segundos.

Sección Configuración de repositorio

Security Analytics Malware Analysis almacena todos los archivos que se analizan para usarlos en el futuro. Estos archivos se pueden descargar mediante la interfaz del usuario o se puede tener acceso a ellos mediante uno de los protocolos de uso compartido de archivos.

Esta tabla describe las funcionalidades de la sección Configuración de repositorio.

                       
ParámetroDescripción
Directory PathTodos los archivos se almacenan en el siguiente directorio del dispositivo Security Analytics Malware Analysis:
/var/lib/netwitness/spectrum
Protocolo de uso compartido de archivosLos posibles valores para el protocolo de uso compartido de archivos son: FTP, SAMBA y Ninguno. Puede habilitar el acceso FTP y el uso compartido de archivos SAMBA para permitir que un usuario acceda a los archivos almacenados en Security Analytics Malware Analysis desde una ubicación remota. No se necesitan credenciales para obtener acceso a estos archivos. El puerto que se requiere para el acceso FTP es TCP/21. El protocolo predeterminado de uso compartido de archivos es Ninguno.
Retención (en días)Security Analytics Malware Analysis mantiene los archivos almacenados en el repositorio durante una cantidad específica de días. Puede establecer la cantidad de días durante los cuales se retendrán archivos antes de eliminarlos. El valor predeterminado es 60 días.

Sección Configuraciones varias (10.3 SP2 y superior)

En esta tabla se describen las funciones de la sección Configuraciones varias.

               
ParámetroDescripción
Tamaño máximo de archivoLimita el tamaño de cada archivo que se puede escanear manualmente. Este parámetro se aplica a la función que se describe en la sección “Cargar archivos para escaneo de malware” de la Guía de configuración de Investigation y Malware Analysis. El valor predeterminado es 64 MB.
Si se supera el límite del tamaño de archivo, Security Analytics le impide escanearlo.

Sección Configuración de módulos

La sección Configuración de módulos permite la configuración de las categorías de puntaje de Static, Community y Sandbox.

Configuración de análisis estático

El módulo Static es la única categoría de puntaje que está activada de forma predeterminada. Esta tabla describe los parámetros para configurar el análisis estático.

                               
CaracterísticaDescripción
ActivadoActiva o desactiva por completo el análisis estático. Esto está seleccionado de manera predeterminada (activado).
Omitir PDFDesactiva el análisis de documentos PDF. De manera predeterminada, esto no está seleccionado; todos los archivos PDF se someten a un análisis estático.
Omitir OfficeDesactiva el análisis de documentos de Office. De manera predeterminada, esto no está seleccionado; todos los archivos MS Office se someten a un análisis estático.
Omitir archivo ejecutableDesactiva el análisis de documentos de Windows PE. De manera predeterminada, esto no está seleccionado; todos los archivos de Windows PE se someten a un análisis estático.
Validar configuración de Windows PE Authenticate a través de la nube

Especifica si los archivos de Windows PE se envían o no a la nube de RSA-NetWitness para una validación de Authenticode. El valor predeterminado es estar seleccionado.

  • Cuando esta función está seleccionada, cualquier archivo de Windows PE que esté firmado digitalmente se transmite a través de la red (en su totalidad) a la nube de RSA-NetWitness para que se valide. Si el propósito es evitar que los archivos de Windows PE salgan de la red del cliente, debe desactivar esta opción.
  • Cuando no está seleccionada, TODOS los análisis estáticos se ejecutan de manera local (se omite la validación de Authenticode). Independiente de este ajuste, los documentos PDF y de M/S Office no están sujetos a la validación de Authenticode y no se transmiten a través de la red durante el análisis estático.

Configuración de análisis de Community

De manera predeterminada, el módulo Community está desactivado y sus opciones se seleccionan para evitar que se procesen los documentos PDF y MS Office. El propósito es configurar los ajustes de manera predeterminada con las opciones más restrictivas, de manera que ningún documento confidencial salga de la red a menos que el usuario lo desee. Esta tabla describe los parámetros para configurar el análisis de Community.

                           
CaracterísticaDescripción
ActivadoActiva o desactiva por completo el análisis estático. De manera predeterminada, esta opción no aparece seleccionada (desactivada).
Omitir PDFDesactiva el análisis de documentos PDF. Esta opción está seleccionada de manera predeterminada; no se procesan los archivos PDF.
Omitir OfficeDesactiva el análisis de documentos de Office. Esta opción está seleccionada de manera predeterminada; no se procesan los documentos de Microsoft Office.
Omitir archivo ejecutableDesactiva el análisis de documentos de Windows PE. Esta opción está seleccionada de manera predeterminada; los documentos de Windows PE no se procesan

Configuración del análisis de Sandbox

De manera predeterminada, el módulo Sandbox está desactivado y se impide el procesamiento de archivos PDF y de MS Office. El propósito es establecer los ajustes más restrictivos para obligar al usuario a seleccionar de manera específica si se envía o no información potencialmente confidencial fuera de la red para procesamiento. Si no se impide el procesamiento del tipo de documento, el archivo se envía en su totalidad al servidor Sandbox de destino (no se limita a un hash de los contenidos del archivo). 

Esta tabla describe los parámetros para configurar el análisis de Sandbox.

                               
CaracterísticaDescripción
ActivadoActiva o desactiva por completo el análisis de Sandbox. De manera predeterminada, esta opción no aparece seleccionada (desactivada).
Omitir PDFDesactiva el análisis de documentos PDF. Esta opción está seleccionada de manera predeterminada; no se procesan los archivos PDF. Cuando no está seleccionada, todos los archivos PDF se envían por completo a Sandbox para análisis.
Omitir OfficeDesactiva el análisis de documentos de Office. Esta opción está seleccionada de manera predeterminada; no se procesan los documentos de Microsoft Office. Cuando no está seleccionada, todos los archivos de MS Office se envían por completo a Sandbox para análisis.
Omitir archivo ejecutableDesactiva el análisis de documentos de Windows PE. Esta opción está seleccionada de manera predeterminada; los documentos de Windows PE no se procesan. Cuando no está seleccionada, todos los documentos de Windows PE se envían por completo a Sandbox para análisis
Conservar el nombre de archivo original cuando se realice un análisis de Sandbox

En 10.3 SP2 y superior, active la capacidad de aplicar hash a nombres de archivo cuando se envían a un Sandbox local. De forma predeterminada, esta opción no está seleccionada.

Nota: Si no selecciona este parámetro, Security Analytics aplica hash a los archivos.

Configuración de GFI Sandbox

En la sección GFI Sandbox puede activar el procesamiento de Sandbox según GFI y configurar el GFI Sandbox instalado localmente. La tabla describe los parámetros para configurar GFI Sandbox.

                               
CaracterísticaDescripción
ActivadoCuando está activado, una copia local de GFI ejecuta el procesamiento de Sandbox. El valor predeterminado es desactivado. Si activa GFI, debe configurar los parámetros restantes.
Nombre del servidorEl nombre de servidor de GFI Sandbox. No hay valor predeterminado.
Puerto del servidorEl puerto del servidor de GFI Sandbox. El valor predeterminado es 80.
Periodo máximo de encuestaDetermina cuánto tiempo se debe esperar para que termine el procesamiento de una muestra enviada. El valor predeterminado es 600 segundos.
Omitir configuración de proxy webIndica a Security Analytics Malware Analysis omitir el proxy web, si hay uno configurado, en el momento de realizar esta conexión. Si no se configuró un proxy web en Security Analytics Malware Analysis, no se hace caso de la configuración.

Configuración de ThreatGrid Sandbox

En la sección ThreatGrid Sandbox, puede habilitar el procesamiento de Sandbox por parte de ThreatGrid y seleccionar si desea usar el ThreatGrid instalado localmente o la nube de ThreatGrid para los análisis de Sandbox.

  • Si tiene una copia local de ThreatGrid, configure el procesamiento de Sandbox para usar la copia local.
  • Si no se han adquirido e instalado instancias locales de ThreatGrid, configure la nube de ThreatGrid.

En la tabla se describen los parámetros para configurar ThreatGrid Sandbox.

Nota: Antes de activar este servicio, debe configurar una clave de servicio suministrada por ThreatGrid.  La clave de servicio permite a ThreatGrid reconocer que las muestras enviadas desde este sitio son legítimas.

                           
CaracterísticaDescripción
ActivadoCuando esta función está activada, el procesamiento de Sandbox lo ejecuta ThreatGrid, ya sea una copia local o la nube de ThreatGrid. El valor predeterminado es desactivado.
Clave de servicioAntes de activar el módulo Sandbox, se debe configurar una clave de servicio suministrada por ThreatGrid. La clave de servicio permite a ThreatGrid reconocer que las muestras enviadas desde este sitio son legítimas.
URLLa dirección URL del servidor de ThreatGrid que se utilizará (si no se está utilizando un ThreatGrid instalado localmente). Se puede acceder a la nube de ThreatGrid en https://panacea.threatgrid.com
Omitir configuración de proxy webIndica a Security Analytics Malware Analysis omitir el proxy web, si hay uno configurado, en el momento de realizar esta conexión. Si no se configuró un proxy web en Security Analytics Malware Analysis, no se hace caso de la configuración.
You are here
Table of Contents > Referencias de Malware Analysis > Vista Configuración de servicios: Pestaña General

Attachments

    Outcomes