Decoder: Configurar feeds y analizadores

Document created by RSA Information Design and Development on Apr 23, 2018
Version 1Show Document
  • View in full screen mode
 

Los feeds y los analizadores son responsables de analizar los paquetes y los registros cuando se capturan o se importan en Decoder o Log Decoder. Su uso más común es en la extracción de metadatos estáticos y la identificación de servicios. La definición flexible permite la extensión personalizada de los servicios principales definidos para proporcionar extracción de metadatos e identificación de tipo de servicio adicional. Esto es importante debido al volumen de aplicaciones personalizadas que se utilizan en las redes.

Nota: A menos que se indique lo contrario, todas las referencias a los Decoders se aplican también a los Log Decoders.

Configurar analizadores

NetWitness Suite dispone de un conjunto de analizadores principales definidos por el sistema y también permite agregar analizadores adicionales. Cada analizador se puede configurar en la Vista Configuración de servicios: Pestaña General. El panel Configuración de analizador proporciona una manera de habilitar o inhabilitar el uso de analizadores en el Decoder, además de limitar los metadatos que crea el analizador.

Además, existen varios tipos de analizadores configurables personalizados:

  • GeoIP: este analizador asocia las direcciones IP con ubicaciones geográficas.
  • Búsqueda: el usuario configura este analizador para generar metadatos mediante el escaneo de palabras clave predefinidas y expresiones regulares.
  • FLEXPARSE (obsoleto): este es un lenguaje de definición de analizador genérico para extender la compatibilidad del protocolo de aplicación existente del Decoder. De forma predeterminada este analizador está deshabilitado (consulte Habilitar o deshabilitar los sistemas de análisis Lua y Flex).
  • Lua: este analizador se define mediante el lenguaje de script Lua para extender la compatibilidad del protocolo de aplicación existente del Decoder.
  • enVision: este analizador de aplicación admite el Log Decoder y está configurado para generar metadatos mediante el escaneo de archivos de registro.
  • SNORT®: este analizador es compatible con las funcionalidades de detección de carga útil de las reglas de SNORT® IDS.

En la vista Configuración de servicios > pestaña Analizadores, puede ver los analizadores implementados en un Decoder, cargar analizadores y eliminar los analizadores implementados. La interfaz del usuario incluye un indicador si el analizador se originó en Servicios de Live, se instaló a través de NetWitness Suite o se cargó manualmente. Es posible agregar y eliminar analizadores mientras un Decoder está en funcionamiento sin afectar la captura.

Además, puede descargar analizadores mediante NetWitness Suite Servicios de Live.

Configurar feeds

NetWitness Suite utiliza feeds para crear metadatos basados en valores de metadatos definidos de forma externa. Un feed es una lista de datos que se compara con las sesiones a medida que se capturan o procesan. Para cada coincidencia, se crean metadatos adicionales. Estos datos pueden identificar y clasificar direcciones IP maliciosas o incorporar información adicional, como departamento y ubicación según la asignación de redes internas. Algunos ejemplos de feed incluyen feeds de amenazas para identificar BOTNets, mapeos de DHCP o incluso información de Active Directory, como una ubicación física o un departamento lógico.

Puede utilizar el módulo Live en NetWitness Suite para obtener feeds de orígenes externos. El tema “Contenido de Live en NetWitness Suite“ en la guía de Administración de servicios de Live se proporciona una descripción general de la herramienta de administración de contenido de Live.

En la interfaz del usuario de NetWitness Suite, puede ver la lista de feeds implementados actualmente, junto con un indicador de si el feed originado en Live se instaló a través de NetWitness Suite o de forma manual. Puede agregar, eliminar y actualizar feeds, mientras se ejecuta un Decoder, sin afectar la captura.

NetWitness Suite cuenta con un asistente Feed personalizado para crear e implementar feeds de Decoder personalizados basados en lógica determinista que ofrece las claves de metadatos específicas para los Decoders y los Log Decoders seleccionados. A pesar de que el asistente guía a los usuarios por el proceso de crear feeds según demanda y recurrentes, es útil comprender la forma y el contenido de un archivo de feed cuando crea un feed.

NetWitness Suite ofrece un asistente Feed personalizado, el cual optimiza la tarea de crear y administrar feeds personalizados, además de completar los feeds en los Decoders y los Log Decoders seleccionados. Además, puede descargar archivos de feed existentes y editarlos, y después editar el feed o crear un feed nuevo con el archivo editado.

You are here
Table of Contents > Configurar feeds y analizadores

Attachments

    Outcomes