Decoder: Analizadores GeoIP2 y GeoIP

Document created by RSA Information Design and Development on Apr 23, 2018Last modified by RSA Information Design and Development on Apr 28, 2019
Version 2Show Document
  • View in full screen mode
 

En este tema se describen los analizadores GeoIP2 y GeoIP para Decoders. Solamente uno de estos analizadores se puede habilitar a la vez. Ambos analizadores convierten las direcciones IP en ubicaciones geográficas, como el nombre del país y la ciudad donde normalmente se encuentra la dirección IP.

Analizador GeoIP2

El analizador GeoIP2, disponible en NetWitness Platform versión 11.2 o superior, está habilitado de manera predeterminada para las actualizaciones y las instalaciones nuevas. El analizador GeoIP2 proporciona el paquete MaxMind GeoIP más reciente y es compatible tanto con direcciones IPv6 como IPv4.

La configuración del analizador GeoIP2 se puede editar realizando lo siguiente:

  1. Vaya a ADMINISTRAR > Servicios.
  2. En la vista Servicios de Administration, seleccione un Log Decoder o un Decoder.
  3. Haga clic en el icono de configuración (Image of the Action button) y seleccione Ver > Configuración. Se muestra el panel Configuración de analizadores, desde el que puede seleccionar GeoIP2 para ver y actualizar las opciones de configuración.

Puede definir qué direcciones IP desea buscar. El analizador GeoIP2 habilita las siguientes direcciones IP de manera predeterminada: ip.src, ip.dst, ipv6.src y ipv6.dst. Sin embargo, puede actualizar las opciones utilizando parsers.options para quitar o agregar nuevas direcciones IP. Por ejemplo, puede editar parsers.options y pasar una lista separada por comas de direcciones IP para usarlas de la siguiente manera:
GeoIP2="ipaddr=ip.src,ip.dst,ipv6.src,ipv6.dst,ip.addr"
Esto agregará una nueva dirección IP a la búsqueda denominada ip.addr. Sin embargo, dado que ip.addr no termina en .src o .dst, el analizador optará por colocar los metadatos de GeoIP2 generados en metadatos sin un sufijo .src o .dst. Entonces, se verán el país, la ciudad, etc. después de los metadatos ip.addr.

Nota: La lista que se pasa para ip.addr reemplaza a la lista predeterminada. Por lo tanto, si pasa ipaddr=ip.src, generará solamente metadatos de GeoIP2 para ip.src y ninguna otra dirección IP.

Nota: parsers.options se utiliza para pasar opciones a múltiples analizadores. De este modo, si le agrega GeoIP2, no debe eliminar ninguna otra opción que se pase a otros analizadores (como el analizador de entropía).

En la siguiente tabla se proporciona la lista completa de metadatos que puede generar el analizador GeoIP2 y se indican aquellos que están o no habilitados de manera predeterminada:

                           
Habilitados de manera predeterminadaNo habilitados
country, country.src, country.dstlatdec, latdec.src, latdec.dst
 longdec, longdec.src, longdec.dst
domain, domain.src, domain.dstisp, isp.src, isp,dst
org, org.src, org.dstcity, city.src, city.dst

Puede habilitar los demás metadatos mediante las configuraciones estándares de los analizadores.

Nota: Cuando deshabilita algunos metadatos de manera predeterminada, el analizador GeoIP2 no funciona igual que el analizador GeoIP (el cual, de manera predeterminada, no deshabilitaba ninguno de los metadatos que generaba). Si llega a necesitar cualquiera de los metadatos deshabilitados, tendrá que habilitarlos (solamente una vez) para cada Decoder después de la actualización a 11.2 o superior. Tenga en cuenta que los campos de metadatos isp y org suelen producir un valor equivalente a domain.

Analizador GeoIP

El analizador GeoIP es un analizador más antiguo disponible en versiones anteriores de NetWitness Platform, pero aún es compatible además del analizador GeoIP2 más reciente. Para modificar la configuración del analizador, los usuarios pueden editar sus opciones desde aquí: Vista Configuración de servicios > Archivos > GeoPrivate.ipl.

Los metadatos de geoubicación en GeoPrivate.ipl, se agregan para ip.src y ip.dst. El analizador usa dos archivos de datos externos, GeoCity.dat y GeoCountry.dat, los cuales se almacenan en el directorio de aplicaciones. Existen hasta ocho metadatos para cada dirección IP como se indica en la tabla siguiente.

                                         
MetadatosDescripción
city.dst Ciudad de destino
city.src Ciudad de origen
country.dst País de destino
country.src País de origen
latdec.dst Latitud decimal de destino
latdec.src Latitud decimal de origen
longdec.dst Longitud decimal de destino
longdec.src Longitud decimal de origen
Previous Topic:Funciones de cadena
Next Topic:Analizadores Lua
You are here
Table of Contents > Referencias de feed y analizador > Analizadores GeoIP2 y GeoIP

Attachments

    Outcomes