Decoder: Configurar reglas de Decoder

Document created by RSA Information Design and Development on Apr 23, 2018
Version 1Show Document
  • View in full screen mode
 

En este tema se proporcionan procedimientos para crear y administrar reglas para la captura de tráfico de Decoder o Log Decoder en la vista Configuración de servicios > pestañas Reglas. La Vista Configuración de servicios: Pestañas Reglas proporciona detalles de las opciones de la pestaña Reglas.

La siguiente figura ilustra las configuraciones de uso general en un Decoder. Para una rápida configuración básica con los pasos requeridos solamente, consulte Configuración rápida de Decoder y Log Decoder.

Las reglas de captura pueden agregar alertas o información contextual a sesiones o registros. También pueden definir los datos que filtra un Decoder o un Log Decoder. Las reglas se crean para patrones de metadatos específicos, los cuales dan como resultado acciones predefinidas cuando se encuentran coincidencias. Por ejemplo, para mantener todo el tráfico que cumple determinados criterios, pero descartar todo el otro tráfico, puede crear una regla que lleve a cabo las acciones necesarias. Cuando se aplican, las reglas afectan tanto la importación de archivos de captura de paquetes como la captura de red en vivo.

En Guía de reglas y consultas se proporciona una guía que deben seguir todas las consultas y las condiciones de regla en los servicios principales de NetWitness Suite.

De manera predeterminada, no hay reglas definidas cuando instala NetWitness Suite por primera vez. Hasta que se especifiquen reglas, los paquetes no se filtran. Puede implementar las reglas más recientes desde Live. Puede definir tres tipos de reglas: Reglas de red, Reglas de aplicación y Reglas de correlación.

  • Las reglas de red se aplican en el nivel de paquete y se componen de conjuntos de reglas de capa 2, capa 3 y capa 4. Es posible aplicar varias reglas al Decoder. Las reglas se pueden aplicar a varias capas (por ejemplo, cuando una regla de red filtra puertos específicos de una dirección IP específica). Las reglas de red solo están disponibles en Packet Decoders.
  • Las reglas de aplicación se aplican en el nivel de la sesión. Si la primera regla de la lista no es una coincidencia, Decoder intenta hacer coincidir la regla siguiente hasta que encuentra una coincidencia.
  • Las reglas de correlación se aplican en una ventana de tiempo móvil configurable. Cuando se encuentra una coincidencia, el servicio crea una nueva supersesión que identifica a otras sesiones que coinciden con la regla y, a continuación, crea una lista de sesiones para análisis.

Los dos usos más comunes de las reglas son:

  • Generar alertas y crear de este modo un valor de metadatos de alerta personalizado cuando se detectan ciertas condiciones.
  • Filtrar ciertos tipos de tráfico que no agregan valor al análisis de los datos.

Los grupos de reglas de captura forman conjuntos de reglas, que puede importar y exportar. Esta funcionalidad permite usar varios conjuntos de reglas para diversos escenarios. Puede importar el conjunto de reglas exportado, con el formato de archivo .nwr, a otros servicios de NetWitness Suite, lo cual simplifica la implementación y la configuración de varios servicios.

Procesamiento de reglas

Estos son los principios que rigen el procesamiento de reglas de captura:

  • Es posible aplicar varias reglas al Decoder.
  • Las reglas de captura se ejecutan una tras otra, en secuencia.
  • El procesamiento de reglas se detiene cuando se han procesado todas las reglas o cuando se encuentra una coincidencia con una regla configurada para detener el procesamiento de reglas.
  • Se puede usar una regla predeterminada para incluir o excluir todo el tráfico que, de otro modo, no es seleccionado por una regla. Una regla predeterminada, si se usa, se debe ubicar al final de la lista de reglas. De lo contrario, el procesamiento de reglas se detiene en cuanto se evalúa la regla predeterminada, ya que, por definición, la regla predeterminada selecciona todo el tráfico.
  • Cuando el procesamiento de reglas se detiene, la sesión se guarda usando las opciones de sesión y las opciones de depuración configuradas.

Configuración de reglas

Guía de reglas y consultas

Todas las consultas y las condiciones de regla en los servicios de RSA NetWitness Core deben seguir estas pautas:

Todos los literales de cadena y los registros de fecha y hora deben ir entre comillas. No use comillas para los números ni las direcciones MAC o IP.

  • extension = 'torrent'
  • time='2015-jan-01 00:00:00'
  • service=80
  • ip.src = 192.168.0.1

Nota: El espacio a la derecha y a la izquierda de un operador es opcional. Por ejemplo, puede escribir una regla como service=80 o service = 80 .

Ejemplos de reglas

En la siguiente tabla se muestran ejemplos de las condiciones de regla. Puede usar las condiciones de regla para recopilaciones de retención de registros en un Archiver y para las reglas de aplicación, red y correlación en un Decoder, Log Decoder o Concentrator. Las condiciones de regla también se usan en todas las cláusulas WHERE en todas las consultas de base de datos principal.

Para obtener información detallada sobre la sintaxis de regla en NetWitness Suite, consulte "Cláusulas WHERE" en la sección "Consulta" de la Guía de ajuste de la base de datos de Core.

                             
Nombre de la regla Condición
ComplianceDevices device.group='PCI Devices' || device.group='HIPPA Devices'
HighValueWindows device.group='Windows Compliance'
MediumValueWindows device.type='winevent_nic' && msg.id='security_4624_security'
LowValueWinLogs device.type='winevent_nic' && msg.id='security_4648_security'
LowValueProxyLogs device.class='proxy' && msg.id='antivirus_license_expired'
GeneralWindows device.type='winevent_nic'

Reglas no válidas

NetWitness Suite usa un analizador de regla que define estrictamente la sintaxis válida para las reglas y consultas. Cuando un servicio principal encuentra una sintaxis no válida, escribe una advertencia en los registros de NetWitness Suite que indica el error.

Nota: NetWitness Suite 11.0 no admite el análisis de reglas de sintaxis existentes (como ocurría en NetWitness Suite 10.6). Después de actualizar a NetWitness Suite 11.0, se resaltan las reglas con sintaxis no válida en la interfaz del usuario y no se aplican reglas hasta que se corrijan las reglas no válidas. En el Editor de regla se proporcionan mensajes de globo adicionales. Después de corregir las reglas, los elementos resaltados desaparecen. Consulte Corregir las reglas con sintaxis no válida.

Las estadísticas /decoder/config/rules/rule.errors y /concentrator/config/rules/rule.errors contienen el conteo de reglas con errores. Si rule.errors es distinto de cero, NetWitness Suite genera una alerta de estado y condición para indicar que debe corregir las reglas.

Reglas de sintaxis generales

  • En todos los valores de texto, los valores literales deben ir entre comillas. Ejemplo: username = 'user1'
  • Las comillas pueden ser simples o dobles; pero deben coincidir. (no puede comenzar con comillas simples y terminar con comillas dobles).
  • Si el valor literal incluye una comilla, puede anteponerle un carácter de escape (mediante una barra invertida) o usar un carácter de comillas iniciales diferente. Los dos ejemplos siguientes son válidos: username = "User's" , username = 'User\'s'

Las siguientes son reglas de sintaxis válida:

  • Para usar una barra invertida en una cadena literal, antepóngale un carácter de escape de barra invertida adicional: \
  • Todos los valores de hora deben usar comillas para las fechas en este formato:
    time = 'YYYY-MM-DD HH:MM:SS'
  • Todos los valores de hora que representan la cantidad de segundos transcurridos desde EPOCH (1.º de enero de 1970) no deben ir entre comillas.
    Ejemplo: time = 1448034064
  • Todo lo demás no lleva comillas: direcciones IP, direcciones MAC, valores numéricos, etc. Ejemplo: service = 80 && ip.src = 192.168.1.1/16

Sintaxis de reglas de captura

Las reglas de captura comparan campos con valores o con otros campos. Este es un ejemplo de una expresión simple con una clave de metadatos en el lado izquierdo del operador y un valor en el lado derecho.

ip.dst=192.168.1.1

La sintaxis permite una clave de metadatos en el lado derecho del operador en Decoders y Log Decoders para las reglas de aplicación y red. La comparación de claves de metadatos no se aplica en la cláusula where en las consultas. Este es un ejemplo de una expresión simple con una clave de metadatos en el lado izquierdo del operador y una clave de metadatos en el lado derecho.

ip.src=ip.dst

Las reglas que incluyen una comparación de claves de metadatos admiten claves de metadatos cuyo nombre ha cambiado; si una regla realiza una consulta de una clave de metadatos cuyo nombre ha cambiado, se analiza la regla para la clave de metadatos a la cual se cambió el nombre. Por ejemplo, si en una regla se usa la clave de metadatos ip_dst, se mapea de manera transparente a la clave de metadatos cuyo nombre ha cambiado: ip.dst. Las reglas existentes que incluyen claves originales activarán las alertas que incluyen datos para la clave de metadatos cuyo nombre ha cambiado.

Este es un ejemplo de una regla que busca paquetes que tienen la misma dirección ip.src y la dirección ip.dst en un Decoder, y genera una alerta en el Concentrator.

alert=alert.id name=testRule8 rule="ip.src=ip.dst" order=38

Esta regla generará un error debido a que eth.src y ip.src son formatos incompatibles.

rule="eth.src=ip.src" name="testRule99" alert=alert.id

Los valores se pueden expresar como valores discretos, un rango de valores, un límite superior o inferior o una combinación de estos tres. Puede crear una comparación mayor que o menor que y probar la igualdad o la desigualdad contra un rango de valores o un límite superior/inferior.

key 0-5 (un rango de valores)

key = 0-u es igual que key >= 0 (límite superior, mayor o igual)

En la siguiente tabla se resumen los operadores de claves de metadatos.

                                                                                                         
Formato de operando de la izquierdaOperadorFormato de operando de la derechaDescripción
cualquiera= compatible con el operando de la izquierdaOperador de igualdad. Puede usar valores o claves de metadatos en el lado derecho del operador de igualdad.

cualquiera

!= compatible con el operando de la izquierdaOperador de desigualdad. Puede usar valores o claves de metadatos en el lado derecho del operador de desigualdad.
cualquiera < compatible con el operando de la izquierdaOperador Menor que. Puede usar valores o claves de metadatos en el lado derecho de este operador.
cualquiera <= compatible con el operando de la izquierdaOperador Menor o igual que. Puede usar valores o claves de metadatos en el lado derecho de este operador.
cualquiera > compatible con el operando de la izquierdaOperador Mayor que. Puede usar valores o claves de metadatos en el lado derecho de este operador.
cualquiera >= compatible con el operando de la izquierdaOperador Mayor o igual que. Puede usar valores o claves de metadatos en el lado derecho de este operador.
textocontains textoBuscar valores que contengan el operando de la derecha. Puede usar valores o claves de metadatos en el lado derecho de este operador.

texto

begins

texto

Buscar valores que comienzan con el operando de la derecha. Puede usar valores o claves de metadatos en el lado derecho de este operador.
textoends textoBuscar valores que terminan con el operando de la derecha. Puede usar valores o claves de metadatos en el lado derecho de este operador.

texto

length

Número entero

Buscar cadenas de cierta longitud. Puede usar valores o claves de metadatos en el lado derecho de este operador.

cualquiera

count

Número entero

Buscar valores con una cantidad específica de apariciones dentro de la sesión. Puede usar valores o claves de metadatos en el lado derecho de este operador.

cualquiera

ucount y unique

Número entero

Busca una cantidad de valores que ocurren de forma única. Puede usar valores o claves de metadatos en el lado derecho de este operador. Por ejemplo, si los resultados incluyen instancias de una clave de metadatos con 5 valores únicos y 3 del mismo valor, el ucount es 6.

N/Dexists cualquieraEncuentra todos los valores para la clave de metadatos. Puede usar valores o claves de metadatos en el lado derecho de este operador.
N/D!exists cualquieraBusca todas las sesiones en la que la clave de metadatos no se produce. Puede usar valores o claves de metadatos en el lado derecho de este operador.

texto

regex

texto

Busca valores que coinciden con una expresión regular. Puede usar valores en el lado derecho de este operador.

En la siguiente tabla se resumen otros elementos de la sintaxis que se usan en las reglas.

                                               
Elemento de sintaxisDescripción

*

Regla predeterminada Con el uso de un asterisco (*) como el único carácter de una regla, esa regla seleccionará todo el tráfico.

u Límite superior de un rango de horas, direcciones IP o formatos numéricos. Por ejemplo, para seleccionar todos los puertos TCP sobre 40000, la sintaxis sería:
tcp.port = 40000-u
l Límite inferior de un rango de horas, direcciones IP o valore numéricos. Por ejemplo, para seleccionar todos los puertos TCP por debajo de 40000, la sintaxis sería:
tcp.port = l-40000
- (guion)Denota un rango. Esto solo es aplicable a valores de hora, direcciones IP o MAC o valores numéricos. Separe los límites inferiores y superiores del rango con un carácter de guion (-). Por ejemplo, para seleccionar los puertos TCP entre 25 y 443, la sintaxis sería:
tcp.port = 25-443
, (coma)Denota una lista de rangos o valores o claves de metadatos. Se pueden usar valores únicos, así como cualquier combinación de rangos y límites superiores o inferiores. En una lista se pueden usar claves de metadatos únicas. Las claves de metadatos y los valores literales no pueden aparecer en el lado derecho de un operador. Por ejemplo, la siguiente sintaxis es válida:
tcp.port = 1-10,25,110,143-225,40000-u
( ) Operador de agrupación. Una expresión se puede incluir entre paréntesis para crear una nueva expresión lógica. Por ejemplo, lo siguiente seleccionaría el tráfico en el puerto 80 hacia/desde 192.168.1.1 O el tráfico en el puerto 443 hacia/desde 10.10.10.1:
(ip.addr=192.168.1.1 && tcp.port=80) || (ip.addr=10.10.10.1 && tcp.port=443)

~

Operador NOT lógico, una negación de una expresión.

&& Operador AND lógico, un conjunto de dos expresiones.
|| Operador OR lógico, una disyunción de dos expresiones.

Configurar reglas de captura

Las reglas de Decoder y Log Decoder se pueden editar en la vista Configuración de servicios. A pesar de que cada tipo de regla (red, aplicación y correlación) tiene su propia pestaña, las funciones son similares para todos los tipos de reglas. Puede:

  • Agregar, editar y eliminar reglas
  • Habilitar e inhabilitar reglas
  • Cambiar la secuencia de ejecución de las reglas
  • Importar reglas desde un archivo
  • Exportar reglas a un archivo
  • Migrar reglas a otro servicio
  • Revertir o aplicar los cambios en las reglas
  • Restaurar una de las últimas diez configuraciones de reglas a partir de una instantánea

Para configurar reglas en las pestañas Reglas

  1. Vaya a ADMIN > Servicios.
  2. En la vista Servicios, seleccione un servicio Decoder y Menú Acciones recortado > Ver > Configurar.
  3. En la vista Configuración de servicios, seleccione una de las pestañas Reglas: Reglas de red, Reglas de aplicación o Reglas de correlación.
    Se muestra la lista de reglas correspondiente al tipo de regla seleccionado.
    Este es un ejemplo de la lista de reglas de la pestaña Reglas de aplicación.

Cada tipo de regla tiene una lista con columnas levemente diferentes y distintos parámetros. Diversas reglas básicas se aplican a todas las actividades de administración de reglas:

  • Las reglas se ejecutan en la secuencia de aparición en la lista. Para cambiar la secuencia de ejecución de las reglas, arrastre y suelte las reglas en la ubicación correspondiente de la lista o use las opciones del menú contextual para organizarlas.
  • Para seleccionar una única fila, haga clic en ella.
  • Para seleccionar un grupo de filas adyacentes, haga clic en la primera fila y, a continuación, mantenga presionada la tecla Mayús y haga clic en la última fila del grupo.
  • Para seleccionar varias filas no adyacentes, haga clic en la primera fila y, a continuación, mantenga presionada la tecla Ctrl y haga clic en las demás.
  • Cuando edite reglas en la pestaña de reglas, debe aplicar los cambios en la configuración para que se activen.
  • Antes de aplicar los cambios, puede descartar las modificaciones de la lista y revertirlas para dejar las reglas sin editar.
  • Una vez que aplica las reglas, puede recuperar las últimas diez configuraciones de reglas usando la opción Historial en el menú Acciones.

Para agregar una regla en cualquier pestaña de reglas, ejecute una de las siguientes acciones:

  • Haga clic en El ícono Agregar.
  • Haga clic con el botón secundario en una regla y seleccione Insertar arriba o Insertar debajo en el menú contextual.
    Se muestra el cuadro de diálogo Editor de regla para ese tipo de regla.

Para quitar una regla:

  1. En cualquier pestaña Reglas, seleccione las reglas que desea quitar de la lista de reglas.
  2. Haga clic en El ícono Eliminar.
    Las reglas seleccionadas se quitan de la lista, pero siguen existiendo en el servicio.

Para editar una regla

  1. En cualquier pestaña Reglas, seleccione las reglas que desea editar.
  2. Haga clic en El ícono Editar o doble clic en la fila de la regla.
    Se muestra el cuadro de diálogo Editor de regla para ese tipo de regla.

Para deshabilitar una regla:

  1. Desde cualquier pestaña Reglas, seleccione las reglas que desea deshabilitar.
  2. Haga clic en Botón Deshabilitar.
    El estado cambia a deshabilitado en la lista de reglas, pero la regla sigue habilitada en el servicio.

Para habilitar una regla:

  1. Desde cualquier pestaña Reglas, seleccione las reglas que desea habilitar.
  2. Haga clic en Botón Habilitar.
    El estado cambia a habilitado en la lista de reglas, pero la regla sigue deshabilitada en el servicio.

Importar reglas desde un archivo y exportar reglas

Puede importar reglas de red, aplicación y correlación a un Decoder desde un archivo que contiene reglas del mismo tipo. Después de importar las reglas, puede editarlas y administrarlas como lo haría con cualquier otra regla.

Cuando intenta importar un grupo de reglas, NetWitness Suite Administration comprueba el tipo de reglas importadas. Si lo hace correctamente, aparece un mensaje que indica la cantidad de reglas importadas. Si el tipo de regla es diferente al tipo de pestaña activa, las reglas no se importan. Debe volver a importar las reglas en la pestaña correcta o seleccionar otro archivo para importar.

Para importar reglas a un servicio:

  1. En cualquier pestaña Reglas, seleccione El menú desplegable Acciones > El botón Importar.
    Aparece el cuadro de diálogo Importar.
    Este es un ejemplo del cuadro de diálogo Importar.
  2. Haga clic en El ícono Agregar.
    Se muestra una vista de la estructura de directorios.
  3. Seleccione uno o más archivos de reglas de NetWitness (.nwr) para importar y haga clic en Abrir.
    El archivo se agrega a la lista en el cuadro de diálogo Importar.
    Este es un ejemplo del cuadro de diálogo Importar.
  4. Haga clic en Importar.
    Las reglas se importan a la interfaz del usuario. Las reglas importadas tienen una esquina roja en cada columna editada.
  5. Edite o reorganice las reglas si es necesario.
  6. Para guardar las reglas en el servicio, haga clic en Aplicar.
    Las reglas del servicio se actualizan con los cambios.

Para exportar una regla a un archivo:

  1. Para exportar un subconjunto de las reglas, seleccione las reglas que desea exportar.
  2. Realice una de las siguientes acciones:
    • En la barra de herramientas, seleccione El menú desplegable Acciones > Exportar > Selección. (Exportar > Todo exporta todas las reglas de la lista de reglas, incluso si tiene seleccionado un subconjunto para exportación).
    • Haga clic con el botón secundario en las reglas seleccionadas y elija Exportar selección.

Se muestra un indicador que solicita el nombre de archivo.

  1. Ingrese el nombre de archivo y haga clic en Exportar.
    Se descarga el archivo .nwr.

Migrar reglas a otros servicios

Puede aplicar (migrar) las reglas o las reglas seleccionadas a otros servicios (Decoders o Log Decoders) o a grupos de servicios. Cuando migra todas las reglas a otros servicios, todas las reglas de los servicios objetivo se eliminan y se reemplazan por todas las reglas del servicio de origen. 

Para migrar las reglas seleccionadas desde este Decoder a otros Decoders:

  1. Seleccione la pestaña Reglas y elija las reglas que desea migrar a otro Decoder.
  2. Realice una de las siguientes acciones:
    • Seleccione El menú desplegable Acciones > Migrar > Selección.
    • Haga clic con el botón secundario en las reglas seleccionadas y elija Migración de reglas seleccionadas.
      Se muestra el cuadro de diálogo Migración de reglas seleccionadas.
      Este es un ejemplo del cuadro de diálogo Migración de reglas seleccionadas.
  3. Seleccione una opción de migración:
    • Seleccione Reemplazar todo para eliminar todas las reglas en los servicios de destino y reemplazarlas por las reglas seleccionadas. Esta opción es la selección predeterminada.
    • Seleccione Combinar para combinar las reglas seleccionadas con las reglas existentes en los servicios objetivo.
  4. En la pestaña Servicios, seleccione los servicios objetivo que recibirán las reglas migradas o seleccione los grupos de servicios en la pestaña Grupos.
  5. Haga clic en Migrar.
    Las reglas se migran a los servicios seleccionados y se aplican de inmediato.

Para migrar todas las reglas desde este Decoder a otros Decoders:

  1. En cualquier pestaña Reglas, seleccione El menú desplegable Acciones > Migrar > Todo.
    (Migrar > Todo migra todas las reglas de la lista de reglas, incluso si tiene seleccionado un subconjunto para migración). Se muestra el cuadro de diálogo Migración de reglas seleccionadas.
    Este es un ejemplo del cuadro de diálogo Migración de reglas seleccionadas con la opción Reemplazar todo seleccionada.
  2. En la pestaña Servicios, seleccione los servicios objetivo que recibirán las reglas migradas o seleccione los grupos de servicios en la pestaña Grupos.
  3. Haga clic en Migrar.
    Todas las reglas de los servicios de destino se eliminan y se reemplazan por todas las reglas del servicio de origen. Las reglas se aplican de inmediato.

Cambiar el orden de ejecución de las reglas

Las reglas de captura se aplican en el orden en que aparecen en la lista de reglas. Para reorganizar las reglas, use cualquiera de estos métodos:

  • Arrastre y suelte las reglas en la ubicación deseada de la lista de reglas.
  • Haga clic con el botón secundario en una regla para abrir el menú contextual y use las opciones Cortar y Pegar.

Restaurar la instantánea de una regla desde el Historial

NetWitness Suite mantiene las últimas diez instantáneas de las reglas que se aplican a un servicio.

Para restaurar la instantánea de una regla desde el historial:

  1. Seleccione El menú desplegable Acciones > Historial.
    Se muestra un submenú de instantáneas.
    la lista desplegable Historial
  2. Seleccione la fecha de la instantánea en el submenú.
    Las reglas de la instantánea se cargan en la lista de reglas y reemplazan al conjunto actual. Sin embargo, el conjunto actual sigue en uso en el servicio.
  3. Para aplicar las reglas al servicio, haga clic en Aplicar.
    Las reglas se aplican al servicio.
You are here
Table of Contents > Configurar reglas de Decoder

Attachments

    Outcomes