Decoder: Configurar reglas de aplicaciones

Document created by RSA Information Design and Development on Apr 23, 2018
Version 1Show Document
  • View in full screen mode
 

Las reglas de capa de aplicación se aplican en el nivel de la sesión. Los siguientes son ejemplos de reglas de aplicación.

Para truncar paquetes transportados mediante el protocolo de bloque de mensajes del servidor (SMB), cree una regla como la siguiente:

  • Nombre de la regla: Truncar SMB
  • Condición: service=139
  • Acción de regla: Truncar

Para conservar correo electrónico hacia y desde una dirección de correo electrónico específica, cree una regla como la siguiente:

Para agregar o editar una regla de aplicación:

  1. Vaya a ADMIN > Servicios.
  2. Seleccione un servicio Decoder o Log Decoder y Menú Acciones recortado > Ver > Configuración
    Se muestra la vista Configuración de sistemas del servicio seleccionado.
  3. Seleccione la pestaña Reglas de aplicación.
    Este es un ejemplo de la pestaña Reglas de aplicación.
  4. Realice una de las siguientes acciones:
    Si desea agregar una regla nueva, haga clic en El ícono Agregar .
    Si edita una regla, seleccione la regla en la lista de reglas y haga clic en El ícono Editar
  5. Se abre el cuadro de diálogo Editor de regla con parámetros de reglas de aplicación.
    Este es un ejemplo del cuadro de diálogo Editor de regla.
    1. En el campo Nombre de la regla, escriba un nombre para la regla. Por ejemplo, para crear una regla que trunque todo el tráfico de SMB, escriba Truncate SMB.
    2. En el campo Condición, cree la condición de la regla que desencadena una acción cuando hay una coincidencia. Puede escribir directamente en el campo o crear la condición en él mediante metadatos de las acciones de la ventana. A medida que crea la definición de la regla, NetWitness Suite muestra errores de sintaxis y advertencias. Por ejemplo, para truncar todo el tráfico de SMB, escriba service=139.
      Todos los literales de cadena y los registros de fecha y hora deben ir entre comillas. No use comillas para los valores de número ni las direcciones IP. En Configurar reglas de Decoder se proporcionan detalles adicionales.
    3. Si desea que la evaluación de reglas termine con esta regla, marque la casilla de verificación Detener procesamiento de regla.
    4. En la sección Datos de sesión, elija una de las siguientes acciones que se aplicará cuando se encuentre un paquete coincidente:
      Mantener: La carga útil del paquete y los metadatos asociados se guardan cuando coinciden con la regla.
      Filtrar: El paquete no se guarda cuando coincide con la regla.
      Truncar: La carga útil del paquete no se guarda cuando coincide con la regla, pero los encabezados del paquete y los metadatos asociados se mantienen.
    5. En la sección Opciones de sesión, realice cualquiera de las siguientes acciones:
      • Para generar una alerta personalizada cuando los metadatos de una sesión coincidan con la regla, habilite la marca Alerta y seleccione el nombre de los metadatos de la alerta en la lista desplegable Alerta en.
      • Para ejecutar el reenvío de syslog cuando el registro coincida con la regla, habilite la marca Reenvío. Asegúrese de:
        - Haber habilitado las marcas Alerta y Reenvío para realizar el reenvío de syslog.
        - Que el nombre de la regla mencionado en el cuadro de diálogo Editor de regla coincida con el nombre del destino de reenvío de syslog especificado en Log Decoder > Ver > Explorar > parámetro /decoder/config/logs.forwarding.destination
      • Para impedir que los metadatos de la alerta que se crea se escriban en el disco, habilite la marca Transitorio.
  6. Para guardar la regla y agregarla a la cuadrícula, haga clic en Aceptar.
    La regla se agrega al final de la cuadrícula o se inserta donde especificó en el menú contextual. Se muestra el signo más en la columna Pendiente.
  7. Verifique que la regla está en la secuencia de ejecución correcta con otras reglas en la cuadrícula. Si es necesario, transfiera la regla.
  8. Para aplicar el conjunto de reglas actualizadas al Decoder o Log Decoder, haga clic en Aplicar.
    NetWitness Suite guarda una instantánea de las reglas aplicadas actualmente, a continuación, aplica el conjunto actualizado al Decoder y quita el indicador de pendiente de las reglas que estaban pendientes.
You are here
Table of Contents > Configurar reglas de Decoder > Configurar reglas de aplicaciones

Attachments

    Outcomes