Decoder: Habilitar y configurar el analizador de entropía

Document created by RSA Information Design and Development on Apr 23, 2018Last modified by RSA Information Design and Development on Apr 28, 2019
Version 2Show Document
  • View in full screen mode
 

A partir de NetWitness Platform 11.0, el administrador puede configurar un Decoder para que use un analizador nativo de NetWitness, conocido como el analizador de entropía. Cuando el analizador de entropía está habilitado, los analistas tienen visibilidad de los canales que intentan fusionar con el resto del tráfico, pero no se siguen un comportamiento normal del protocolo. Esto ayuda a identificar los canales que no se ajustan a la base de tráfico del ambiente normal y que pueden ameritar una investigación.

El analizador crea claves de metadatos en función de las estadísticas recopiladas por el analizador nativo de NetWitness Platform, que ayudan a identificar el comportamiento de un canal que está experimentando una gran cantidad de tráfico de red. Cuando el analizador se habilita por primera vez, el analista debe familiarizarse con el comportamiento general de los distintos canales que se ven en la captura de una sesión para comprender la frecuencia de bytes y la carga útil normal del cliente y el servidor. Una vez que se conoce el comportamiento normal, los analistas pueden usar las claves de metadatos para buscar un comportamiento que no coincida con la expectativa.

De forma predeterminada, el analizador de entropía genera 10 claves de metadatos adicionales que no aumentan significativamente la carga de un Decoder y que son útiles para este caso especializado. De forma predeterminada, el analizador está deshabilitado.

Habilite la indexación si le interesa explorar interesantes sesiones en función del análisis de bytes de carga útil de los paquetes. De forma predeterminada, para facilitar la indexación, el valor normal de Float32 para entropy.req y entropy.res se multiplica por 10,000 y se almacenen en un UInt16 (lo cual ofrece cuatro dígitos de precisión, 0 y 10,000).

Sin embargo, si define los campos entropy.* en el idioma de Decoder para que sean Float32, el Decoder lo almacenará como un número flotante con un rango de 0.0 a 1.0. Tenga cuidado con cambiar el idioma en todas partes si decide mantenerlo como un Float32.

RSA no recomienda la indexación como un Float32 debido a los altos conteos únicos a causa de cambios de minuto en la precisión.

Estas son las nuevas claves de metadatos que genera de forma predeterminada el analizador de entropía:

  • entropy.req y entropy.res: Estas claves de metadatos capturan la entropía mediante la ecuación de entropía de Shannon, que tiene como resultado un valor de punto flotante. El valor de punto flotante de 0 a 1,000 se multiplica por 10,000 y se escribe en NetWitness Platform como UInt 16, un entero sin signo de 0 a 10,000.
  • mcb.req y mcb.res: El byte más común es simplemente aquel byte por cada lado (0 a 255) que más se observó.
  • mcbc.req y mcbc.res: El conteo de bytes más común es la cantidad de veces que se observó el byte más común (más arriba) en los flujos de sesión.
  • ubc.req y ubc.res: El conteo de bytes únicos es la cantidad de bytes únicos que se observan en cada flujo. 256 significaría que todos los valores de bytes comprendidos entre 0 y 255 se observaron al menos una vez.

Para habilitar y configurar el analizador de entropía en un Decoder:

  1. Inicie sesión en RSA NetWitness y seleccione ADMIN > Servicios en el menú NetWitness Platform.
  2. En la vista Servicios, seleccione el Decoder que desea configurar y, a continuación, Actions icon Ver > Configuración.
    Se muestra la vista Configuración de servicios para el Decoder seleccionado.
  3. De forma predeterminada, el analizador de entropía está deshabilitado. Haga clic en la lista desplegable en Valor de configuración y seleccione Habilitado. Si desea deshabilitar algunas de las claves de metadatos, haga clic en la lista desplegable y seleccione Deshabilitado junto a la clave de metadatos.
    Services configuration view for the Decoder with Entropy parser highlighted.
  4. Haga clic en Aplicar.
    El analizador de entropía se habilita y comienza a crear las nuevas claves de metadatos según la configuración en el archivo de índice personalizado de Concentrator.
  5. En la vista Configuración de servicios, seleccione el Concentrator que agrega tráfico desde este Decoder. Seleccione Ver > Archivos y abra el archivo de índice personalizado del Concentrator. Busque las claves de metadatos del analizador de entropía para ver si se incluyen sin comentarios.
    De forma predeterminada, las claves están comentadas y, por lo tanto, no están habilitadas. Para habilitar esa parte del lenguaje, el administrador debe copiar esa parte del archivo de índice en index-concentrator-custom.xml y dejar sin comentarios la línea de key description para cada clave de metadatos. A continuación se muestra un ejemplo del archivo de índice personalizado con las claves del analizador de entropía y las instrucciones.
  6. Cuando las claves de metadatos de entropía están habilitadas, están disponibles para los analistas en Investigate, pero ocultas de forma predeterminada. Para hacer que las claves de metadatos se puedan ver en la vista Valores de Investigate, edite las claves de metadatos predeterminadas en el cuadro de diálogo Claves de metadatos predeterminadas, de modo que estén abiertas y no ocultas. Puede administrar estas claves de metadatos de la misma forma en que administra otras claves de metadatos.
    This is an example of the Manage Default Meta Keys dialog.

 

Configuración del analizador de entropía en el archivo de índice personalizado de Concentrator

El siguiente es un extracto de las líneas del archivo de índice de Concentrator que el administrador debe copiar en el archivo de índice personalizado. Los comentarios proporcionan orientación sobre cómo configurar el analizador.

<!-- This section is commented out because it's only used by the Entropy parser which is disabled by default. To enable this part of the language, copy to index-concentrator-custom.xml and uncomment the keys. HOWEVER, take note that depending on how the Entropy parser is configured, the entropy.req and entropy.res format might be a Float32 instead of a UInt16. So make sure to change to the correct type if necessary.-->

<!-- Entropy parser meta - enable indexing if you have interest in exploring this for interesting sessions based on payload byte analysis of the packets. By default, to make indexing easier, the normal Float32 value for entropy.req and entropy.res is multiplied by 10k and stored in a UInt16 (thus giving 4 digits of precision, 0 to 10,000). However, if you define the entropy.* fields in the Decoder language to be Float32, it will store it as a float with a range of 0.0 to 1.0. Take care to change the language everywhere if you decide to keep it as a Float32. We do not recommend indexing as a Float32 because of the high unique counts due to minute changes in precision. -->

<!--

<key description="Entropy Request (Client)" format="UInt16" level="IndexNone" name="entropy.req" valueMax="10001"/>

<key description="Entropy Response (Server)" format="UInt16" level="IndexNone" name="entropy.res" valueMax="10001"/>

-->

<!-- The most common byte is simply which byte for each side (0 thru 255) was seen the most -->

<!--

<key description="Most Common Byte Request" format="UInt8" level="IndexNone" name="mcb.req"/>

<key description="Most Common Byte Response" format="UInt8" level="IndexNone" name="mcb.res"/>

-->

<!-- The most common byte count is the number of times the most common byte (above) was seen in the session streams -->

<!--

<key description="Most Common Byte Count Request" format="UInt32" level="IndexNone" name="mcbc.req" valueMax="500000"/>

<key description="Most Common Byte Count Response" format="UInt32" level="IndexNone" name="mcbc.res" valueMax="500000"/>

-->

<!-- Unique byte count is the number of unique bytes seen in each stream. 256 would mean all byte values of 0 thru 255 were seen at least once -->

<!--

<key description="Unique Byte Count Request" format="UInt16" level="IndexNone" name="ubc.req"/>

<key description="Unique Byte Count Response" format="UInt16" level="IndexNone" name="ubc.res"/>

-->

<!-- The payload size metrics are the payload sizes of each session side at the time of parsing. However, in order to keep indexing from having high unique counts (bad for performance), the two payload size metas below are indexed in buckets. -->

<!--

<key description="Payload Size Request" format="UInt32" level="IndexNone" bucket="true" name="payload.req" valueMax="500000"/>

<key description="Payload Size Response" format="UInt32" level="IndexNone" bucket="true" name="payload.res" valueMax="500000"/>

-->

 
You are here
Table of Contents > Configurar feeds y analizadores > Habilitar y configurar el analizador de entropía

Attachments

    Outcomes