Decoder: Configurar reglas de aplicaciones

Document created by RSA Information Design and Development on Apr 23, 2018Last modified by RSA Information Design and Development on Apr 28, 2019
Version 2Show Document
  • View in full screen mode
 

Las reglas de capa de aplicación se aplican en el nivel de la sesión. Los siguientes son ejemplos de reglas de aplicación.

Para truncar paquetes transportados mediante el protocolo de bloque de mensajes del servidor (SMB), cree una regla como la siguiente:

  • Nombre de la regla: Truncar SMB
  • Condición: service=139
  • Acción de regla: Truncar todo

Para conservar correo electrónico hacia y desde una dirección de correo electrónico específica, cree una regla como la siguiente:

Para agregar o editar una regla de aplicación:

  1. Vaya a ADMINISTRAR > Servicios.

  2. Seleccione un servicio Decoder o Log Decoder y Actions menu cropped > Ver > Configurar.

    Se muestra la vista Configuración de sistemas del servicio seleccionado.

  3. Seleccione la pestaña Reglas de aplicación.

    This is an example of the App Rules tab.

  4. Realice una de las siguientes acciones:

    • Si desea agregar una regla nueva, haga clic en The add icon.
    • Si edita una regla, seleccione la regla en la lista de reglas y haga clic en The edit icon
  5. Se muestra el cuadro de diálogo Editor de regla con parámetros de reglas de aplicación.

    Truncate Options

    1. En el campo Nombre de la regla, escriba un nombre para la regla. Por ejemplo, para crear una regla que trunque todo el tráfico de SMB, escriba Truncate SMB.
    2. En el campo Condición, cree la condición de la regla que desencadena una acción cuando hay una coincidencia. Puede escribir directamente en el campo o crear la condición en él mediante metadatos de las acciones de la ventana. A medida que crea la definición de la regla, NetWitness Platform muestra errores de sintaxis y advertencias. Por ejemplo, para truncar todo el tráfico de SMB, escriba service=139.

      Todos los literales de cadena y los registros de fecha y hora deben ir entre comillas. No use comillas para los valores de número ni las direcciones IP. En Configurar reglas de Decoder se proporcionan detalles adicionales.

    3. Si desea que la evaluación de reglas termine con esta regla, marque la casilla de verificación Detener procesamiento de regla.
    4. En la sección Datos de sesión, elija una de las siguientes acciones que se aplicará cuando se encuentre un paquete coincidente:

      • Mantener: La carga útil del paquete y los metadatos asociados se guardan cuando coinciden con la regla.
      • Filtrar: El paquete no se guarda cuando coincide con la regla.
      • Truncar: Seleccione una opción de truncado que se debe ejecutar cuando un paquete coincida con la regla. En el ejemplo se utiliza la opción Todo.
      • Truncar todo para guardar los encabezados del paquete y los metadatos asociados, y no guardar su carga útil.
      • Truncar después de los primeros <n> bytes para guardar los encabezados del paquete y los metadatos asociados, y no guardar su carga útil después de los primeros <n> bytes especificados, donde <n> es una cantidad de bytes.
      • Truncar el protocolo de enlace SSL/TLS para truncar la carga útil de todas las sesiones, excepto en el caso de una sesión SSL/TLS, donde el intercambio de SSL se conserva, pero el resto de la carga útil no se guarda. Esta opción se usa con los analizadores SSL.
    5. En la sección Opciones de sesión, realice cualquiera de las siguientes acciones:

      • Para generar una alerta personalizada cuando los metadatos de una sesión coincidan con la regla, habilite la marca Alerta y seleccione el nombre de los metadatos de la alerta en la lista desplegable Alerta en.
      • Para ejecutar el reenvío de syslog cuando el registro coincida con la regla, habilite la marca Reenvío. Asegúrese de:

        • Haber habilitado las marcas Alerta y Reenvío para realizar el reenvío de syslog.
        • Que el nombre de la regla mencionado en el cuadro de diálogo Editor de regla coincida con el nombre del destino de reenvío de syslog especificado en Log Decoder > Ver > Explorar > parámetro /decoder/config/logs.forwarding.destination.
      • Para impedir que los metadatos de la alerta que se crea se escriban en el disco, habilite la marca Transitorio.
  6. Para guardar la regla y agregarla a la cuadrícula, haga clic en Aceptar.

    La regla se agrega al final de la cuadrícula o se inserta donde especificó en el menú contextual. Se muestra el signo más en la columna Pendiente.

  7. Verifique que la regla está en la secuencia de ejecución correcta con otras reglas en la cuadrícula. Si es necesario, transfiera la regla.
  8. Para aplicar el conjunto de reglas actualizado a Decoder o Log Decoder, haga clic en Aplicar.

NetWitness Platform guarda una instantánea de las reglas que se aplican actualmente y, a continuación, aplica el conjunto actualizado a Decoder y quita el indicador de pendiente de las reglas que estaban pendientes.

Monitorear las reglas de aplicación

Decoder y Log Decoder rastrean la cantidad de veces que cada regla de aplicación coincide con una sesión. Estas estadísticas se pueden ver estableciendo una conexión a la vista Explorar de Decoder o Log Decoder y viendo las propiedades en la carpeta /decoder/config/rules/application. A continuación, envíe el comando “statdump” a esa carpeta. La salida de este mensaje es una lista de la cantidad de veces que hay coincidencias con cada regla de aplicación. Se da a la lista el mismo orden que el del contenido de las definiciones de regla en la carpeta /decoder/config/rules/application. Por ejemplo, en un sistema con tres reglas de aplicación:

0001: hits=6543 loaded=true
0002: hits=9294 loaded=true
0003: hits=43 loaded=true

Los contadores de coincidencias de las reglas de aplicación se restablecen cada vez que se vuelven a cargar los analizadores.

You are here
Table of Contents > Configurar reglas de Decoder > Configurar reglas de aplicaciones

Attachments

    Outcomes