Decoder: Configurar el manejo de las transacciones en un Decoder

Document created by RSA Information Design and Development on Apr 23, 2018
Version 1Show Document
  • View in full screen mode
 

A partir de la versión 11.0, los administradores pueden configurar un Decoder para que las sesiones entrantes se subdividan en sesiones de transacción más pequeñas cuando usan analizadores LUA, diseñados para crear transacciones. La función permite que los analistas ejecuten analítica de las sesiones divididas en los servicios descendentes como Investigate.

Manejo de transacciones

El nodo de configuración del servicio de Decoder tiene un parámetro nuevo para la configuración del manejo de transacciones: /decoder/parsers/config/parser.transaction.mode. Este nodo controla el comportamiento del Decoder cuando un analizador define una transacción dentro de una sesión de red.

Los valores de parser.transaction.mode corresponden a los modos de funcionamiento:

  • {{off}} (transacciones desactivadas)
  • {{meta}} (transacciones representadas como elementos de metadatos)
  • {{split}} (sesiones divididas de transacciones)

Transacciones desactivadas

Cuando el modo de transacciones está desactivado, se omiten las transacciones de nivel de aplicación creadas por los analizadores y nada se almacena en la colección para representar la transacción.

Transacciones representadas como elementos de metadatos

En este modo de operación, cuando un analizador genera una transacción de nivel de aplicación, un nuevo elemento de metadatos de tipo {{trans}} se agrega a la sesión en el cual se realizó la transacción. El elemento de metadatos {{trans}} contiene una lista de otros elementos de metadatos que constituyen la transacción.

Sesiones divididas de transacciones

En este modo de operación, cuando un analizador genera una transacción de nivel de aplicación, se divide la sesión. La división de la sesión se logra de esta forma:

  1. Se crea un nuevo elemento de sesión.
  2. Los elementos de metadatos de red se copian de la sesión analizada en la nueva sesión.
  3. Los elementos de metadatos marcados en la transacción se transfieren de la sesión original a la nueva sesión.

Los siguientes elementos de metadatos se duplican en la sesión dividida desde la sesión que se analizó:

  • time
  • medium
  • eth.src
  • eth.dst
  • eth.type
  • ip.proto
  • ip.src
  • ip.dst
  • ipv6.src
  • ipv6.dst
  • ipv6.proto
  • tcp.srcport
  • tcp.dstport
  • tcp.flags
  • udp.srcport
  • udp.dstport
  • service
  • udp.srcport
  • udp.srcport
  • tls.premaster
You are here
Table of Contents > Procedimientos adicionales de Decoder y Log Decoder > Configurar el manejo de las transacciones en un Decoder

Attachments

    Outcomes