Decoder: Configurar feeds y analizadores

Document created by RSA Information Design and Development on Apr 23, 2018Last modified by RSA Information Design and Development on Apr 28, 2019
Version 2Show Document
  • View in full screen mode
 

Los feeds y los analizadores son responsables de analizar los paquetes y los registros cuando se capturan o se importan en Decoder o Log Decoder. Su uso más común es en la extracción de metadatos estáticos y la identificación de servicios. La definición flexible permite la extensión personalizada de los servicios principales definidos para proporcionar extracción de metadatos e identificación de tipo de servicio adicional. Esto es importante debido al volumen de aplicaciones personalizadas que se utilizan en las redes.

Nota: A menos que se indique lo contrario, todas las referencias a los Decoders se aplican también a los Log Decoders.

Configurar analizadores

NetWitness Platform dispone de un conjunto de analizadores principales definidos por el sistema y también permite agregar analizadores adicionales. Cada analizador se puede configurar en la Vista Configuración de servicios: Pestaña General. El panel Configuración de analizador proporciona una manera de habilitar o inhabilitar el uso de analizadores en el Decoder, además de limitar los metadatos que crea el analizador.

Además, existen varios tipos de analizadores configurables personalizados:

  • GeoIP2 o GeoIP: estos analizadores asocian las direcciones IP con ubicaciones geográficas. Para las instalaciones y las actualizaciones nuevas, el analizador GeoIP2 está habilitado de manera predeterminada. Solamente uno de estos analizadores se puede habilitar a la vez. Para obtener más información sobre estos analizadores, consulte Analizadores GeoIP2 y GeoIP.
  • Búsqueda: el usuario configura este analizador para generar metadatos mediante el escaneo de palabras clave predefinidas y expresiones regulares.
  • FLEXPARSE (obsoleto): este es un lenguaje de definición de analizador genérico para extender la compatibilidad del protocolo de aplicación existente del Decoder. De forma predeterminada este analizador está deshabilitado (consulte Habilitar o deshabilitar los sistemas de análisis Lua y Flex).
  • Lua: este analizador se define mediante el lenguaje de script Lua para extender la compatibilidad del protocolo de aplicación existente del Decoder.
  • enVision: este analizador de aplicación admite el Log Decoder y está configurado para generar metadatos mediante el escaneo de archivos de registro.
  • Snort®: este analizador es compatible con las funcionalidades de detección de carga útil de las reglas IDS de Snort. Las reglas y la configuración de Snort se agregan al directorio parsers/snort para Investigation y Decoder (consulte Analizadores Snort).

En la vista Configuración de servicios > pestaña Analizadores, puede ver los analizadores implementados en un Decoder, cargar analizadores y eliminar los analizadores implementados. La interfaz del usuario incluye un indicador si el analizador se originó en Live Services, se instaló a través de NetWitness Platform o se cargó manualmente. Es posible agregar y eliminar analizadores mientras un Decoder está en funcionamiento sin afectar la captura.

Además, puede descargar analizadores mediante NetWitness Platform Live Services.

Configurar feeds

NetWitness Platform utiliza feeds para crear metadatos basados en valores de metadatos definidos de forma externa. Un feed es una lista de datos que se compara con las sesiones a medida que se capturan o procesan. Para cada coincidencia, se crean metadatos adicionales. Estos datos pueden identificar y clasificar direcciones IP maliciosas o incorporar información adicional, como departamento y ubicación según la asignación de redes internas. Algunos ejemplos de feed incluyen feeds de amenazas para identificar BOTNets, mapeos de DHCP o incluso información de Active Directory, como una ubicación física o un departamento lógico.

Puede utilizar el módulo Live en NetWitness Platform para obtener feeds de orígenes externos. El tema “Contenido de Live en NetWitness Platform“ en la guía de Administración de servicios de Live se proporciona una descripción general de la herramienta de administración de contenido de Live.

En la interfaz del usuario de NetWitness Platform, puede ver la lista de feeds implementados actualmente, junto con un indicador de si el feed originado en Live se instaló a través de NetWitness Platform o de forma manual. Puede agregar, eliminar y actualizar feeds, mientras se ejecuta un Decoder, sin afectar la captura.

Hay un asistente Feed personalizado que permite la creación y la implementación de feeds de Decoder personalizados en función de una lógica determinista que ofrece las claves de metadatos específicas para los Decoders y los Log Decoders seleccionados. A pesar de que el asistente guía a los usuarios por el proceso de crear feeds según demanda y recurrentes, es útil comprender la forma y el contenido de un archivo de feed cuando crea un feed.

NetWitness Platform ofrece un asistente Feed personalizado, el cual optimiza la tarea de crear y administrar feeds personalizados, además de completar los feeds en los Decoders y los Log Decoders seleccionados. Además, puede descargar archivos de feed existentes y editarlos, y después editar el feed o crear un feed nuevo con el archivo editado.

You are here
Table of Contents > Configurar feeds y analizadores

Attachments

    Outcomes