Decoder: Mapear una dirección IP a un tipo de servicio

Document created by RSA Information Design and Development on Apr 23, 2018
Version 1Show Document
  • View in full screen mode
 

En este tema se describe el procedimiento para mapear una dirección IP a un tipo de servicio para análisis de registros.

El Log Collector describe el tipo de origen de eventos por mensaje. Si no se usa el analizador correcto para el origen de eventos específico, los mensajes que son comunes entre los tipos de orígenes de eventos se clasifican en forma equívoca. Los mensajes mal identificados no completarán reglas y alertas de servicio, y los informes no tendrán información adecuada. Además, si hay múltiples servicios asociados con una dirección IP, puede ser difícil para los analizadores identificar el servicio exacto desde donde se generó el registro. 

Si mapea una dirección IP a sus servicios, el Log Decoder puede identificar el servicio desde donde se genera el registro. Cuando llegan los mensajes a Log Decoder desde un servicio mapeado, se cargan los analizadores asignados para buscar coincidencias de eventos. 

Puede asignar tipos de servicios a IPV4, IPV6 o al valor de nombre de host del origen de eventos. También puede asignar múltiples tipos de servicio a una única dirección IP. Además, puede usar CollectorID cuando se envían distintos tipos de servicio con la misma dirección IP a los distintos recopiladores.

Mapear una dirección IP a un tipo de servicio

Para mapear una dirección IP a un tipo de servicio, realice lo siguiente:

  1. Vaya a ADMIN > Servicios.
  2. En la vista Servicios, seleccione un Log Decoder y en la columna Acciones, seleccione Menú Acciones  > Ver > Explorar.
  3. Vaya al nodo /decoder/parsers, haga clic con el botón secundario en parsers y seleccione Propiedades.
  4. En la vista Propiedades, especifique el comando ipdevice con los siguientes parámetros:
    op=add/remove entries="ipaddress=service” (por ejemplo, op=add entries="10.100.201.300=ciscoasa")
  5. Haga clic en Enviar.
    Este es un ejemplo de lo que debería ver ahora.

Comando IPdevice

En el comando ipdevice, hay tres operaciones disponibles:

  • add: esta operación agrega o actualiza las entradas en el mapa de ipdevice. Se pueden especificar varios pares de dirección/tipo delimitados por espacios.
    op=add entries="<address>=<service type>"
  •  remove: esta operación quita las entradas del mapa de ipdevice. Se pueden especificar varios pares de dirección/tipo delimitados por espacios.
    op=remove entries="<address>"
  • describe: esta operación devuelve los valores que están actualmente en el mapa de ipdevice.

Asignar una dirección IP a una zona horaria

A menudo los registros de tiempo no especifican registros de fecha y hora, y es probable que no tengan información de zona horaria. Para normalizar correctamente dichos registros de fecha y hora en UTC, el Log Decoder proporciona la capacidad para asociar los dispositivos desde una dirección específica (IPv4 o IPv6) o el nombre de host a una zona horaria o una compensación fija.

Actualmente, se aceptan tres formatos de zona horaria, los que se muestran en los siguientes ejemplos:

  • Formato de Olson: América/Anguila
  • Formato POSIX: AST2:45ADT0:45,M4.1.6/1:45,M10.5.6/2:45
  • Formato de compensación por horas: = -500

NetWitness Suite asigna la dirección del dispositivo (IPv4 o IPv6) o el nombre de host a una zona horaria o compensación específicas. Los metadatos de hora del evento que se analizan desde un registro proveniente de una dirección asignada que no incluye una compensación o una zona horaria como parte del registro de fecha y hora se ajustan a la hora UTC según el mapeo.

Para mapear una dirección IP a una zona horaria, realice lo siguiente:

  1. Vaya a ADMIN > Servicios.
  2. Seleccione un Log Decoder en la vista Servicios y en la columna Acciones, seleccione Menú Acciones > Ver > Explorar.
  3. Vaya al nodo /decoder/parsers, haga clic con el botón secundario en parsers y seleccione Propiedades.
  4. En la vista Propiedades, especifique el comando iptmzone con los siguientes parámetros:
    op=add entries="ipaddress=timezone" (por ejemplo, op=add entries="10.10.10.10=Africa/Addis Ababa")
  5. Haga clic en Enviar.

Comando iptmzone

En el comando iptmzone, hay tres operaciones disponibles:

  • add: esta operación agrega o actualiza las entradas en el mapa de iptmzone. Se pueden especificar varios pares de dirección/tipo delimitados por espacios.
    op=add entries="<address>=<time zone>"
  • remove: esta operación quita las entradas en el mapa de iptmzone. Se pueden especificar varios pares de dirección/tipo delimitados por espacios.
    op=remove entries="<address>"
  • describe: esta operación devuelve los valores que están actualmente en el mapa de iptmzone.

Ejemplos

Los siguientes ejemplos proporcionan instancias para mapear direcciones IP a zonas horarias:

  • Si desea mapear dos entradas distintas con distintos valores IPV4 y zona horaria, ingrese el siguiente parámetro en el comando iptmzone y haga clic en Enviar
    "op=add entries=”10.10.10.10=America/Anguilla 10.10.10.11=Pacific/Rarotonga”
  • Si desea quitar una entrada para un solo valor IPV4 y zona horaria, ingrese el siguiente parámetro en el comando iptmzone y haga clic en Enviar.

"op=remove entries=10.5.245.9"

  • Si desea crear una sola entrada para un valor IPV6 y zona horaria, ingrese el siguiente parámetro en el comando iptmzone y haga clic en Enviar.

op=add entries=”2001:DB8:85A3::8A2E:370:7334=America/Anguilla”

  • Si desea crear una sola entrada para mapear una dirección IPV4, IPV6 o un nombre de host con el formato de compensación de minutos, Olson o POSIX, ingrese el siguiente parámetro en el comando iptmzone y haga clic en enviar.

op=add entries="10.168.0.2=America/Anguilla 2001:DB8:85A3::8A2E:370:7334=0500nwappliance21=EST5EDT,M3.2.0/2,M11.1.0"

You are here
Table of Contents > Procedimientos adicionales de Decoder y Log Decoder > Mapear una dirección IP a un tipo de servicio

Attachments

    Outcomes