Decoder: Habilitar y configurar el analizador de entropía

Document created by RSA Information Design and Development on Apr 23, 2018
Version 1Show Document
  • View in full screen mode
 

A partir de NetWitness Suite 11.0, el administrador puede configurar un Decoder para que use un analizador nativo de NetWitness, conocido como el analizador de entropía. Cuando el analizador de entropía está habilitado, los analistas tienen visibilidad de los canales que intentan fusionar con el resto del tráfico, pero no se siguen un comportamiento normal del protocolo. Esto ayuda a identificar los canales que no se ajustan a la línea de base del tráfico de ambiente normal y, por lo tanto, puede ameritar una investigación.

El analizador crea claves de metadatos en función de las estadísticas recopiladas por el analizador nativo de NetWitness Suite, que ayudan a identificar el comportamiento de un canal que está experimentando una gran cantidad de tráfico de red. Cuando el analizador se habilita por primera vez, el analista debe familiarizarse con el comportamiento general de los distintos canales que se ven en la captura de una sesión para comprender la frecuencia de bytes y la carga útil normal del cliente y el servidor. Una vez que se conoce el comportamiento normal, los analistas pueden usar las claves de metadatos para buscar un comportamiento que no coincida con la expectativa.

De forma predeterminada, el analizador de entropía genera 10 claves de metadatos adicionales que no aumentan significativamente la carga de un Decoder y que son útiles para este caso especializado. De forma predeterminada, el analizador está deshabilitado.

Habilite la indexación si le interesa explorar interesantes sesiones en función del análisis de bytes de carga útil de los paquetes. De forma predeterminada, para facilitar la indexación, el valor normal de Float32 para entropy.req y entropy.res se multiplica por 10,000 y se almacenen en un UInt16 (lo cual ofrece cuatro dígitos de precisión, 0 y 10,000).

Sin embargo, si define los campos entropy.* en el idioma de Decoder para que sean Float32, el Decoder lo almacenará como un número flotante con un rango de 0.0 a 1.0. Tenga cuidado con cambiar el idioma en todas partes si decide mantenerlo como un Float32.

RSA no recomienda la indexación como un Float32 debido a los altos conteos únicos a causa de cambios de minuto en la precisión.

Estos son las 10 claves de metadatos nuevas que el analizador de entropía genera de forma predeterminada:

  • entropy.req y entropy.res: Estas claves de metadatos capturan la entropía mediante la ecuación de entropía de Shannon, que tiene como resultado un valor de punto flotante. El valor de punto flotante de 0 a 1,000 se multiplica por 10,000 y se escribe en NetWitness Suite como UInt 16, un entero sin firma de 0 a 10,000.
  • mcb.req y mcb.res: El byte más común es simplemente aquel byte por cada lado (0 a 255) que más se observó.
  • mcbc.req y mcbc.res: El conteo de bytes más común es la cantidad de veces que se observó el byte más común (más arriba) en los flujos de sesión.
  • ubc.req y ubc.res: El conteo de bytes únicos es la cantidad de bytes únicos que se observan en cada flujo. 256 significaría que todos los valores de bytes comprendidos entre 0 y 255 se observaron al menos una vez.

  • payload.req y payload.res: Las métricas de tamaño de carga útil son los tamaños de carga útil de cada lado de la sesión en el momento del análisis. Sin embargo, a fin de evitar que la indexación tenga conteos únicos altos (negativo para el rendimiento), los dos metadatos de tamaño de carga útil que aparecen a continuación se calcularon de esta manera:
    • Menos de 1,000 es la cantidad exacta de bytes de carga útil.

    • 1,000 o más se deposita en incrementos de 1,000. Por lo tanto, un tamaño de 5,826 se almacenaría como 5,000.

Para habilitar y configurar el analizador de entropía en un Decoder

  1. Inicie sesión en RSA NetWitness y seleccione ADMIN > Servicios en el menú NetWitness Suite.
  2. En la vista Servicios, seleccione el Decoder que desea configurar, y, a continuación Ver > Configuración.
    Se muestra la vista Configuración de servicios para el Decoder seleccionado.
  3. De forma predeterminada, el analizador de entropía está deshabilitado. Haga clic en la lista desplegable en Valor de configuración y seleccione Habilitado. Si desea deshabilitar algunas de las claves de metadatos, haga clic en la lista desplegable y seleccione Deshabilitado junto a la clave de metadatos.

  4. Haga clic en Aplicar
    El analizador de entropía se habilita y comienza a crear las nuevas claves de metadatos según la configuración en el archivo de índice personalizado de Concentrator.
  5. Desplácese hasta la vista Explorar del Decoder y seleccione el nodo decoder > analizadores > configuración. En parsers.options, puede establecer la carga útil del analizador de entropía. El valor predeterminado que se muestra en la captura de pantalla es Entropy = payload = 1000. Al definir el valor, la sintaxis es Entropy = payload = "1000" Las comillas son necesarias si hay espacio en blanco en el valor y es una buena práctica usarlas siempre para evitar problemas de espacio en blanco. Si desea ver la carga útil exacta, establezca este parámetro en “1”.

    La carga útil predeterminada de entropía es 1,000, lo que significa que, si el conteo de la carga útil es menos de 1,000, se proporciona el valor exacto. Si el conteo de la carga útil es mayor que 1,000, el valor se redondea hacia abajo hasta el 1,000 más cercano. Por ejemplo, un conteo de 3,798 se redondea a 3,000.
  6. Si desea cambiar el factor de redondeo de carga útil predeterminado de entropía, edite el valor. Este cambio surte efecto cuando se vuelve a cargar el analizador

  7. En la vista Configuración de servicios, seleccione el Concentrator que agrega tráfico desde este Decoder. Seleccione Ver > Archivos y abra el archivo de índice personalizado del Concentrator. Busque las claves de metadatos del analizador de entropía para ver si se incluyen sin comentarios.
    De forma predeterminada, las claves están comentadas y, por lo tanto, no están habilitadas. Para habilitar esa parte del lenguaje, el administrador debe copiar esa parte del archivo de índice en index-concentrator-custom.xml y dejar sin comentarios la línea de key description para cada clave de metadatos. A continuación se muestra un ejemplo del archivo de índice personalizado con las claves del analizador de entropía y las instrucciones.
  8. Cuando las claves de metadatos de entropía están habilitadas, están disponibles para los analistas en Investigate, pero ocultas de forma predeterminada. Para hacer que las claves de metadatos se puedan ver en la vista Valores de Investigate, edite las claves de metadatos predeterminadas en el cuadro de diálogo Claves de metadatos predeterminadas, de modo que estén abiertas y no ocultas. Puede administrar estas claves de metadatos de la misma forma en que administra otras claves de metadatos.
    Este es un ejemplo del cuadro de diálogo Administrar claves de metadatos predeterminadas.

 

Configuración del analizador de entropía en el archivo de índice personalizado de Concentrator

El siguiente es un extracto de las líneas del archivo de índice de Concentrator que el administrador debe copiar en el archivo de índice personalizado. Los comentarios proporcionan orientación sobre cómo configurar el analizador.

<!-- This section is commented out because it's only used by the Entropy parser which is disabled by default. To enable this part of the language, copy to index-concentrator-custom.xml and uncomment the keys. HOWEVER, take note that depending on how the Entropy parser is configured, the entropy.req and entropy.res format might be a Float32 instead of a UInt16. So make sure to change to the correct type if necessary.-->

<!-- Entropy parser meta - enable indexing if you have interest in exploring this for interesting sessions based on payload byte analysis of the packets. By default, to make indexing easier, the normal Float32 value for entropy.res and entropy.req is multiplied by 10k and stored in a UInt16 (thus giving 4 digits of precision, 0 to 10,000). However, if you define the *.entropy fields in the Decoder language to be Float32, it will store it as a float with a range of 0.0 to 1.0. Take care to change the language everywhere if you decide to keep it as a Float32. We also don't recommend indexing as a Float32.-->

<!--

<key description="Client Entropy" format="UInt16" level="IndexNone" name="entropy.req" valueMax="10001"/>

<key description="Server Entropy" format="UInt16" level="IndexNone" name="entropy.res" valueMax="10001"/>

-->

<!-- The most common byte is simply which byte for each side (0 thru 255) was seen the most -->

<!--

<key description="Client Most Common Byte" format="UInt8" level="IndexNone" name="mcb.req"/>

<key description="Server Most Common Byte" format="UInt8" level="IndexNone" name="mcb.res"/>

-->

<!-- The most frequest byte count is the number of times the most common byte was seen in the session streams -->

<!--

<key description="Client Most Frequent Byte Count" format="UInt32" level="IndexNone" name="mcbc.req" valueMax="500000"/>

<key description="Server Most Frequent Byte Count" format="UInt32" level="IndexNone" name="mcbc.res" valueMax="500000"/>

-->

<!-- Unique byte count is the number of unique bytes seen in each stream. 256 would mean all byte values of 0 thru 255 were seen at least once -->

<!--

<key description="Client Unique Bytes" format="UInt16" level="IndexNone" name="ubc.req"/>

<key description="Server Unique Bytes" format="UInt16" level="IndexNone" name="ubc.res"/>

-->

<!-- The payload size metrics are the payload sizes of each session side at the time of parsing. However, in order to keep

indexing from having high unique counts (bad for performance), the two payload size meta values below are calculated like so:

Less than 1000 is the exact number of payload bytes

1000 or greater is bucketed in increments of 1000. So a size of 5826 would be stored as 5000. -->

<!--

<key description="Client Payload Size" format="UInt32" level="IndexNone" name="payload.req" valueMax="500000"/>

<key description="Server Payload Size" format="UInt32" level="IndexNone" name="payload.res" valueMax="500000"/>

-->

 
You are here
Table of Contents > Configurar feeds y analizadores > Habilitar y configurar el analizador de entropía

Attachments

    Outcomes