Investigate: Combinar eventos desde sesiones divididas

Document created by RSA Information Design and Development on Apr 30, 2018Last modified by RSA Information Design and Development on Oct 24, 2018
Version 3Show Document
  • View in full screen mode
 

Los analistas pueden identificar sesiones que se dividieron debido a su tamaño en la vista Eventos, y combinar las sesiones fragmentadas de modo que se pueda ver la sesión completa como un único resultado de consulta en la vista Eventos. Cuando las sesiones divididas se vuelven a combinar, una única exportación de paquete de la sesión en la vista Eventos incluye todos los fragmentos de la sesión.

La versión 10.4 y los Decoders anteriores están configurados con un tamaño de sesión predeterminado de 32 MB. Cuando una sesión supera el límite de 32 MB, el Decoder la divide y todos los paquetes subsiguientes pasan a ser parte de una nueva sesión, lo cual fragmenta la sesión de red real en varias sesiones de Decoder. Las sesiones divididas se analizan sin el contexto de que es un fragmento de la sesión de red más grande, lo cual a veces da como resultado fragmentos de sesiones con direcciones y puertos de origen y destino invertidos y con protocolos de aplicación no identificados. Otro resultado de las sesiones divididas puede ser la dificultad de ver todos los fragmentos de una sesión como un único resultado de consulta o de crear la exportación de un paquete de todos los fragmentos de la sesión.

Las mejoras de Decoder en NetWitness Suite 10.5 brindan un procesamiento mejorado de las sesiones fragmentadas:

  • Análisis contextual de fragmentos.
  • Resaltado de fragmentos de sesión.
  • Búsqueda de fragmentos de sesiones.
  • Exportación de todos los paquetes a una única PCAP.

Análisis contextual de fragmentos

En NetWitness Suite 10.5 y superior, el Decoder completa el análisis de sesiones antes de dividir la sesión según el tamaño máximo de sesión configurado (32 MB) o el tiempo de espera configurado (60 segundos). Cuando se completa el análisis, los resultados analizados incluyen la direccionalidad de las direcciones y el protocolo de aplicación correctos, los cuales se propagan a cada fragmento de sesión subsiguiente para garantizar la coherencia con la sesión de red lógica que representan. 

Note: Todos los cambios en la configuración de Decoder necesarios se realizan cuando se actualiza a 10.5. Sin embargo, Buscar fragmentos de sesión requiere que las claves de metadatos de los puertos de origen tcp y udp (tcp.srcport y udp.srcport) estén totalmente indexadas, lo cual no era la configuración predeterminada antes de 10.5. Esto limita funcionalmente la capacidad de buscar fragmentos de sesión en sesiones capturadas después de la actualización de Decoder a 10.5.

Resaltado de fragmentos de sesión

Cada fragmento de sesión tiene metadatos adicionales, session.split. El valor de los metadatos session.split para un fragmento de sesión específico indica cuántos fragmentos preceden a ese fragmento. Cuando se ven sesiones en la vista Eventos, los metadatos session.split identifican claramente las sesiones que son fragmentos en la vista Lista de eventos y en la vista Detalles de eventos.

La división de la sesión se produce cuando se alcanzan los valores de assembler.size.max o assembler.timeout.session (latencia entre sesiones) configurados del Decoder. El primer fragmento es la sesión 0 y las sesiones con un registro de fecha y hora posterior se numeran incrementalmente 1, 2, 3, etc. Los metadatos session.split indican la cantidad de fragmentos de sesión precedentes; sin embargo, no siempre indican que hay fragmentos de sesión subsiguientes, incluso con un valor de 0. También es posible que el primer fragmento de la sesión no tenga los metadatos session.split si la sesión se analiza antes de que se supere su tamaño máximo.

Después de ver los fragmentos de la sesión, puede determinar el tamaño máximo o el tiempo de espera agotado de la sesión necesarios para el análisis con el fin de volver combinar las sesiones divididas en una sola. Por ejemplo, si tiene cuatro fragmentos de 32 MB, debe configurar el Decoder de prueba (generalmente una máquina virtual configurada por separado del servicio de producción principal) con un tamaño máximo de sesión mayor que 128 MB. Los pasos son los mismos para todos los fragmentos en función de un tiempo de espera agotado de sesión. En las siguientes figuras se muestra la vista Lista de eventos y la vista Detalles de eventos con la información de sesión fragmentada resaltada.

Note: cuando se crearon las siguientes capturas de pantalla, estaba configurado un tamaño máximo de sesión de 12 MB.

the Events List View, with split session highlighting

another example of fragmented session highlighting

Los metadatos session.split se muestran siempre inmediatamente después de los metadatos de dirección y puerto en la vista de detalles. Nunca se ocultan como metadatos adicionales. Estas mejoras permiten hacer lo siguiente de manera rápida:

  • Identificar sesiones que son fragmentos de sesiones de red.
  • Ver todos los fragmentos de una sesión de red o un único fragmento de sesión.
  • Exportar los paquetes de la sesión de red completa como un único archivo PCAP.

Buscar y combinar fragmentos

Dentro de la vista Eventos, puede buscar fragmentos de una sesión mediante la opción del menú contextual Reenfocar > Buscar fragmentos de sesión. NetWitness Suite crea una consulta con el uso de las direcciones y los puertos de origen y destino de la sesión seleccionada y muestra todas las sesiones que coinciden con esa consulta en la ventana de tiempo actual. 

Para buscar fragmentos de sesión:

  1. En la vista Eventos, haga clic con el botón secundario en cualquiera de los valores de dirección y puerto de origen y destino: ip.src, ip.dst, ipv6.src, ipv6.dst, tcp.srcport, tcp.dstport, udp.srcport y udp.dstport), así como en los valores session.split.
    Se muestra el menú contextual.
    Meta context menu
  2. Seleccione Reenfocar > Buscar fragmentos de sesión o Reenfocar pestaña nueva > Buscar fragmentos de sesión.
    NetWitness Suite vuelve a completar la Lista de eventos con fragmentos de sesión para una única sesión dentro del rango de tiempo actual. Según la opción que seleccionó, el reenfoque reemplaza a la vista actual o se abre en una pestaña nueva. (En estos ejemplos se usan todos los datos, pero esto no se recomienda en los sistemas de producción).
     a refocused investigation
  3. Si es necesario, ajuste el rango de tiempo para incluir los fragmentos de sesión que pueden preceder o seguir a la ventana de tiempo actual. Puede determinar que es necesario ampliar el rango de tiempo si los fragmentos ocurren cerca del límite de tiempo, en especial si el primer fragmento visible no tiene un valor de división de 0 (o ninguno). Como alternativa, la inspección de los paquetes de la última sesión visible puede hacerlo pensar que la sesión continúa. El siguiente es un ejemplo:
    1. Si observa fragmentos que obviamente no corresponden al primero, por ejemplo, 1, 2, 3 y 4 en el rango de tiempo entre las 10:30 y las 10:35 h, debe haber un fragmento 0. Puede aumentar el rango de tiempo de modo que comience más temprano (en este ejemplo, 10:25 h) con el fin de buscar el fragmento adicional.
    2. Si el tamaño de la sesión del último fragmento se acerca al tamaño máximo (12 MB en este ejemplo), busque fragmentos adicionales mediante el aumento de la ventana de tiempo para incluir una hora posterior (en este ejemplo, 10:40 h).
      Cuando todos los fragmentos de una sesión de red se incluyen en una única lista Eventos, la lista puede abarcar varias páginas.
  4. (Opcional) Para exportar los paquetes de cada fragmento de la sesión a un único archivo PCAP, seleccione Acciones > Exportar todas las PCAP.
    Un mensaje le informa que el PCAP se está descargando. Cuando se completa la descarga, el archivo PCAP incluye la sesión de red completa que se fragmentó.
You are here
Table of Contents > Análisis de eventos crudos en la vista Eventos > Combinar eventos desde sesiones divididas

Attachments

    Outcomes