Decoder: Vista Configuración de servicios: Pestaña Feeds

Document created by RSA Information Design and Development on Apr 23, 2018
Version 1Show Document
  • View in full screen mode
 

Los feeds y los analizadores son programas Lua que se cargan y se compilan cuando se procesan archivos de captura en Investigation o se capturan datos con Decoders. Su uso más común es en la extracción de metadatos estáticos y la identificación de servicios.

Nota: Las versiones de NetWitness anteriores a 11.0 utilizan programas FLEXPARSE además de programas Lua; los Flexparsers están obsoletos en NetWitness Suite 11.0. A menos que se indique lo contrario, todas las referencias a los Decoders se aplican también a los Log Decoders.

NetWitness Suite utiliza feeds para crear metadatos basados en valores de metadatos definidos de forma externa. Un feed es una lista de datos que se compara con las sesiones a medida que se capturan o procesan. Para cada coincidencia, se crean metadatos adicionales. Estos datos pueden identificar y clasificar direcciones IP maliciosas o incorporar información adicional, como departamento y ubicación según la asignación de redes internas. Algunos ejemplos de feed incluyen feeds de amenazas para identificar BOTNets, mapeos de DHCP o incluso información de Active Directory, como una ubicación física o un departamento lógico.

Puede agregar, eliminar y actualizar feeds, mientras se ejecuta un Decoder, sin afectar la captura. En la pestaña Feeds (ADMIN > Servicios > seleccione un servicio y haga clic en El menú desplegable Acciones > Ver > Configuración > pestaña Feeds) se proporciona una interfaz del usuario para la administración de feeds en Decoders.

¿Qué desea hacer?

                       
Función de usuarioDeseo…Documentación
AdministradorConfigurar feedsConfigurar feeds y analizadores
Administradorhabilitar y deshabilitar analizadoresHabilitar y deshabilitar analizadores y analizadores de registros

Temas relacionados

Vista rápida

Este es un ejemplo de la pestaña Feeds.

Esta es la pestaña Feeds de un Decoder.

             
1Barra de herramientas de la pestaña Feeds: Proporciona opciones para trabajar con feeds en la cuadrícula.
2Cuadrícula Feed: Enumera todos los feeds que están implementados actualmente en el Decoder.

Barra de herramientas de la pestaña Feeds

                   
FunciónDescripción
El ícono Carga de feeds Muestra el cuadro de diálogo Cargar feeds.
El ícono Eliminar Elimina los feeds seleccionados.

Lista Feeds

La lista Feeds proporciona una lista de todos los feeds implementados actualmente para el Decoder.

                     
ColumnaDescripción
Nombre El nombre del feed o el archivo del feed.
Live Indica si el feed se originó en Live. Los posibles valores son , No o N/D.
  • = Instalado mediante Live
  • No = Instalado mediante NetWitness Suite
  • N/D = El feed no tiene un archivo de atributos creado por NetWitness Suite para rastrear la fecha de instalación. El feed se puede haber instalado manualmente, no mediante NetWitness Suite ni Servicios de Live. Los feeds instalados manualmente aun funcionan correctamente.
Fecha de instalación La fecha en que el feed se migró al servicio.
You are here
Table of Contents > Referencias de Decoder y Log Decoder > Vista Configuración de servicios: Pestaña Feeds

Attachments

    Outcomes