MA: Configurar ajustes generales de Malware Analysis

Document created by RSA Information Design and Development on Apr 30, 2018
Version 1Show Document
  • View in full screen mode
 

Puede configurar varios ajustes básicos para habilitar y calibrar el consumo de sesiones, la carga manual de archivos y los diversos módulos de puntaje que Malware Analysis utiliza para analizar datos.

 

También puede configurar el uso compartido de archivos con el repositorio de datos. Malware Analysis tiene tres modos de consumo de sesiones y archivos. Puede usar cualquier combinación de las tres opciones para iniciar análisis en Malware Analysis. Las opciones son:

  • Sondeo continuo del servicio Core: Puede habilitar y configurar el sondeo continuo del servicio Core. Cuando está habilitado y configurado, Malware Analysis sondea continuamente el servicio Core en busca de sesiones etiquetadas para análisis. De forma predeterminada, el sondeo continuo está deshabilitado. Puede activar la prevención de ataques de negación de servicio (DOS) para utilizarla durante el sondeo continuo. Puede probar la conexión al servicio Malware Analysis que se sondea continuamente mediante una opción de la pestaña Integración.

Nota: Cuando agregue un servicio Core como un servicio para sondeo continuo en Malware Analysis 10.3.5 y anteriores, use el puerto REST; por ejemplo, agregue un Concentrator a Malware Analysis 10.3.5 con el puerto REST (50105) en lugar del puerto NextGen (50005) nativo.

  • Análisis según demanda del servicio Core: Puede analizar sesiones según investigaciones iniciadas directamente en NetWitness Suite. Este método permite un consumo controlado de manera manual de las sesiones de Core y permite controlar mejor la manera en que se procesan los archivos de esas sesiones (por ejemplo, envío a Sandbox para el procesamiento). Ciertos tipos de documentos pueden evitar las restricciones predeterminadas y se envíen al procesamiento de Community o Sandbox independientemente del ajuste configurado.
  • Carga manual de archivos: Puede cargar manualmente uno o más archivos para análisis mediante la navegación a una carpeta visible de su computadora y la selección de los archivos que desea cargar. El tamaño máximo para los archivos cargados es configurable.

Ver la configuración básica

Para ver la configuración básica:

  1. En el menú principal, seleccione Administration > Servicios.
  2. En la cuadrícula Servicios, seleccione un servicio Malware Analysis y elija > Ver > Configuración.
    Se muestra la Configuración del servicio para el servicio con la pestaña General abierta.

Configurar el sondeo continuo

Malware Analysis tiene un límite de frecuencia, de modo que solo se pueden enviar 1,000 archivos diarios a la nube de ThreatGrid para el procesamiento de Sandbox. Para optimizar el uso de Sandbox, la configuración de Malware Analysis permite elegir cuál de los diversos métodos de consumo utiliza Malware Analysis; puede habilitar o deshabilitar el sondeo continuo.

Una consideración importante cuando se configura el sondeo continuo son los parámetros de prevención de negación de servicio (DOS). De forma predeterminada, esta función está deshabilitada debido a que debe considerar cuidadosamente los ajustes para su ambiente antes de habilitarla.

Cuando la prevención de DOS está deshabilitada, Malware Analysis analiza las sesiones en línea de espera en orden de primero en entrar, primero en salir. Un ataque de DOS puede llenar rápidamente la línea de espera, de modo que Malware Analysis está ocupado en el manejo de esas sesiones, mientras que se está produciendo un ataque de malware en una sesión posterior. Es posible que la sesión posterior con el ataque real no pueda llegar al principio de la línea de espera y se someta a un análisis después del inicio del ataque.

Cuando la prevención de DOS está habilitada, Malware Analysis considera que demasiadas sesiones de una única dirección IP son un ataque de DOS. Si una dirección IP supera la Cantidad de sesiones por ventana de tasa, Malware Analysis comienza a hacer caso omiso de las sesiones de esa dirección hasta que se alcanza el tiempo de bloqueo de la sesión. A continuación, Malware Analysis reanuda el análisis de las sesiones desde esa dirección IP. Las sesiones omitidas desde la dirección IP no se analizan en absoluto, razón por la cual un ataque de malware puede escabullirse durante el período de bloqueo de la sesión.

Si se usa el ajuste Intervalo de recolección de elementos no utilizados de DOS, Malware Analysis borra el almacenamiento en la memoria de un origen IP después de una cantidad de segundos especificada. Las direcciones IP con poca actividad durante este intervalo se borran de la memoria. Si una dirección IP está activa en intervalos que superan el Intervalo de recolección de elementos no utilizados de DOS, es posible que Malware Analysis no la identifique como un ataque de DOS.

Para configurar Malware Analysis para el sondeo continuo, en la sección Configuración de escaneo continuo:

  1. En Admin, haga clic en Servicios.
  2. En la pestaña General, bajo Configuración de escaneo continuo puede configurar el sondeo continuo.
  3. Para habilitar el sondeo continuo, haga clic en Habilitado.
  4. (Opcional) Si desea cambiar los valores predeterminados de las consultas, ingrese nuevos valores para Vencimiento de la consulta, Intervalo de consultas, Límite de metadatos y Límite de tiempo.
  5. Para configurar el dispositivo Malware Analysis al cual consultará Malware Analysis para recuperar datos para análisis, especifique el Host de origen y el Puerto de origen (NwPort).
  6. (Opcional) Si desea cambiar las credenciales de inicio de sesión predeterminadas del dispositivo Malware Analysis, especifique el Nombre de usuario y la Contraseña de usuario.
  7. Si desea usar SSL para la comunicación entre el dispositivo de Malware Analysis y el servicio Core, habilite SSL.
  8. (Opcional) Si desea configurar la prevención de negación de servicio (DOS):
    • Active el parámetro Prevención de negación de servicio (DOS).
    • Configure las limitaciones de sesión de la prevención de DOS:
      • Especifique la cantidad de segundos de la ventana de tiempo durante la cual Malware Analysis cuenta sesiones para una única dirección IP (Duración de ventana de tasa de sesiones de DOS). La ventana se denomina una ventana de tasa y se establece un contador cuando se recibe la primera sesión desde ese origen IP. El valor predeterminado es de 60 segundos.
      • Especifique la cantidad de sesiones permitidas por ventana de tasa en Cantidad de sesiones de DOS por ventana de tasa. El valor predeterminado es 200 sesiones. Cuando se alcanza la cantidad de sesiones dentro de la ventana de tasa, Malware Analysis comienza a hacer caso omiso de aquellas que provienen de la dirección IP, y las sesiones omitidas desde esa IP no se analizan en absoluto. Malware Analysis continúa haciendo caso omiso de las sesiones hasta que se alcanza el tiempo de bloqueo.
      • Especifique la cantidad de tiempo de bloqueo (durante el cual se hace caso omiso de las sesiones desde la dirección IP, las cuales no se analizan) en Tiempo de bloqueo de sesiones de DOS (segundos). El valor predeterminado es de 60 segundos. Cuando transcurre la duración del bloqueo, Malware Analysis reanuda el análisis de las sesiones de esa dirección IP.
      • Especifique el intervalo de inactividad para una dirección IP antes de que NetWitness Suite elimine el objeto en la memoria para el origen IP en Intervalo de recolección de elementos no utilizados de DOS (segundos). El valor predeterminado es 120 segundos.
  9. Haga clic en Aplicar para aplicar los cambios.
    Los cambios se aplican de inmediato a medida que Malware Analysis recibe los paquetes nuevos.
  10. Pruebe la conexión del servicio Malware Analysis al servicio Core seleccionado en la pestaña Integración mediante un clic en el botón Probar conexión de la sección Prueba de conexión de escaneo continuo.

Configurar los ajustes de carga manual de archivos

Para configurar el tamaño máximo de la carga manual de archivos:

  1. En la sección Varios, escriba el tamaño máximo de archivos en Megabytes que se permite para los archivos que se cargan manualmente para el escaneo de Malware Analysis.
  2. Haga clic en Aplicar.
    Los cambios se aplican de inmediato.

Configurar el repositorio de datos

Malware Analysis puede almacenar un número finito de archivos en el dispositivo. La configuración del repositorio de datos tiene un periodo de retención del sistema de archivos de 60 días. Este ajuste determina cuánto tiempo se conservan los archivos en el dispositivo de Malware Analysis. Cuando se eliminan archivos antiguos, no se pueden recuperar. Cada día, Malware Analysis elimina archivos que superan el período de retención del sistema de archivos para asegurarse de que no se desperdicie espacio en el disco.

El periodo de retención del sistema de archivos es el único ajuste que rige cuándo se eliminan los archivos. Los archivos no se eliminan según la cantidad de espacio en el disco que se ha utilizado. Si se debe cambiar el ajuste, el administrador debe configurar el período de retención basado en el uso de espacio anticipado durante la cantidad de días de retención especificada.

Los parámetros visibles del repositorio de datos de la interfaz del usuario de NetWitness Suite son:

  • La ubicación del repositorio es /var/lib/netwitness/malware-analytics-server/spectrum. No modifique este valor.
  • El protocolo de uso compartido de archivos que permite acceder a través de uno de los protocolos de uso compartido de archivos para copiar archivos del servicio Malware Analysis.
  • El período de retención de archivos en cantidad de días.

Para configurar el uso compartido de archivos, en la sección Repositorio de datos:

  1. Haga clic en el Protocolo de uso compartido de archivos para seleccionar FTP o SAMBA.
  2. Seleccione la cantidad de días en que los archivos se mantendrán en el repositorio antes de eliminarse.
  3. Haga clic en Aplicar.

Los cambios se aplican de inmediato.

Calibrar módulos de puntaje

La sección Configuración de módulos ayuda a configurar los siguientes componentes de Malware Analysis para:

  • Deshabilitar por completo cualquiera o los tres módulos de puntaje (Static, Community y Sandbox). Antes de deshabilitar o habilitar cualquier módulo de puntaje, asegúrese de comprender lo que detecta cada uno.
  • Malware Analysis etiqueta sesiones que contienen archivos de Microsoft Office, Windows PE y PDF para el consumo por parte del servicio Malware Analysis. Puede configurar Malware Analysis para que omita totalmente los documentos de Windows PE, Microsoft Office y PDF. Si este es el caso, una mejor opción es ajustar su configuración de Core para omitir estos archivos de modo que no se etiqueten para el consumo de Malware Analysis.

La siguiente es una aplicación de ejemplo para usar la calibración del módulo de puntaje: cuando se configuran grupos de reglas o se analiza el rendimiento del sistema, puede probar diversos escenarios donde los documentos PDF no se analizan, pero los documentos de Microsoft Office y Windows PE sí. Puede probar el escenario en cada uno de los tres módulos de puntaje. Si observa una mejora cuantificable en el rendimiento del sistema, puede aplicar este conocimiento en una escala más amplia.

Configurar el puntaje de análisis estático

Para configurar el puntaje de análisis estático, en la sección Configuración de módulos:

  1. De manera predeterminada, el módulo Static está activado. Para activar o desactivar el análisis estático por completo, haga clic en la casilla de verificación Activado.
  2. Para configurar el manejo de archivos PDF, de Microsoft Office y de Windows PE en una sesión, seleccione cualquiera de las casillas de verificación Omitir PDF, Omitir Office y Omitir archivo ejecutable.
  3. Para configurar su preferencia para la validación de Authenticode de archivos Windows PE con firma digital, haga clic en la casilla de verificación Validar configuración de Windows PE Authenticate a través de la nube. Si desea evitar que los archivos de Windows PE con firma digital se transmitan a RSA Cloud para la validación, deseleccione la casilla.
    Cuando la opción está deshabilitada, TODO el análisis estático se ejecuta de forma local (omitiendo la validación de Authenticode). Independientemente de este ajuste, los documentos PDF y MS Office no están sujetos a la validación de Authenticode y no se transmiten a través de la red durante el análisis estático.
  4. Haga clic en Aplicar.Los cambios se aplican de inmediato a medida que Malware Analysis recibe los paquetes nuevos.

Configurar el puntaje de análisis de Community

Una vez que el módulo Community está activado, la comunidad de seguridad analiza todos los documentos que no se excluyen del procesamiento. Esto se logra enviando atributos de sesión de red y de archivo a RSA Cloud para el procesamiento. Entonces, RSA Cloud puede establecer una conexión externa con los partners de la comunidad de seguridad según sea necesario para procesar la información.

El contenido del archivo nunca se envía a la comunidad para el análisis. En lugar de eso, el hash MD5/SHA-1 del archivo se envía para la detección de antivirus y la comparación con listas negras. Del mismo modo, los metadatos de sesión se obtienen y se analizan como parte de este proceso. Los elementos de metadatos, como URL y nombre de dominio, se examinan y se transmiten a RSA Cloud para identificar direcciones URL y dominios maliciosos conocidos.

Puede activar el análisis de Community y limitar los tipos de documentos que se procesan. No hay riesgo de que el contenido del archivo (a excepción de un hash) se envíe fuera de la red.

Nota: Para obtener acceso a RSA Cloud donde se produce el procesamiento, debe registrar el servicio Malware Analysis en el servicio al cliente de RSA. Hay dos métodos: registrar el servicio mediante las opciones de la pestaña Integración o ponerse en contacto con Atención al cliente de RSA.

Para configurar el puntaje de análisis de Community, en la sección Configuración de módulos:

  1. Para activar o desactivar el análisis de Community por completo, haga clic en la casilla de verificación Activado. El valor predeterminado es Desactivado.
  2. Para configurar el manejo de archivos PDF, de Microsoft Office y de Windows PE en una sesión, seleccione las casillas de verificación específicas Omitir PDF, Omitir Office, Omitir archivo ejecutable.
  3. Haga clic en Aplicar para guardar los cambios e implementarlos inmediatamente a medida que Malware Analysis recibe los paquetes nuevos.

Configurar el puntaje de análisis de Sandbox

De manera predeterminada, el módulo Sandbox está deshabilitado y se impide el procesamiento de archivos PDF y de MS Office. El propósito es configurar los ajustes más restrictivos para obligar al usuario a especificar si se está enviando información posiblemente confidencial fuera de la red para el procesamiento. Si un tipo de documento no se excluye del procesamiento, el archivo completo (no solo el hash) se envía al servidor de Sandbox de destino.

Además, puede elegir conservar el nombre de archivo original al realizar el análisis de Sandbox.

Nota: Si no especifica el parámetro Conservar el nombre de archivo original cuando se realice un análisis de Sandbox, NetWitness Suite aplica hashes a los archivos.

Cuando habilita el módulo Sandbox, debe especificar si el procesamiento de Sandbox se ejecuta usando un GFI Sandbox local, un Sandbox de ThreatGrid local o una versión en la nube de Sandbox de ThreatGrid. ThreatGrid proporciona directamente la versión en la nube de Sandbox de ThreatGrid y para esto se debe obtener una clave de activación de ThreatGrid, la cual se debe configurar en la pestaña ThreatGrid.

Configuración de GFI Sandbox

Para usar un GFI Sandbox instalado localmente, debe habilitar GFI y proporcionar el nombre del servidor y el puerto del servidor de GFI Sandbox. El Periodo máximo de encuesta y el Intervalo de sondeo determinan cuánto tiempo se debe esperar que una muestra enviada finalice el procesamiento y con cuánta frecuencia se debe verificar el estado (en segundos). La opción Omitir configuración de proxy web permite indicar que desea que Malware Analysis omita un proxy web cuando realice esta conexión. Si no se configuró un proxy web en Malware Analysis, no se hace caso de la configuración.

Configuración de ThreatGrid Sandbox

Nota: Antes de habilitar el puntaje de ThreatGrid, se debe configurar una clave de servicio que suministra ThreatGrid, de forma que ThreatGrid pueda reconocer que las muestras enviadas desde este sitio son legítimas. Use NetWitness Suite para registrarse con el fin de obtener una clave de API de ThreatGrid. A continuación, puede habilitar y configurar un Sandbox de ThreatGrid instalado localmente o el Sandbox en la nube de ThreatGrid. Consulte la siguiente tarea detallada: Registro de una clave de API de ThreatGrid.

La opción Omitir configuración de proxy web permite indicar que desea que Malware Analysis omita un proxy web cuando realice esta conexión. Si no se configuró un proxy web en Malware Analysis, no se hace caso de la configuración.

Para configurar el puntaje de Sandbox, en la sección Configuración de módulos:

  1. Para habilitar o deshabilitar el análisis de Sandbox por completo, haga clic en la casilla de verificación Habilitado. El valor predeterminado es Desactivado.
  2. Para configurar el manejo de archivos PDF, de Microsoft Office y de Windows PE en una sesión, seleccione cualquiera de las tres casillas de verificación Omitir PDF, Omitir Office, Omitir archivo ejecutable.
  3. Configure el proveedor de Sandbox activo. Tiene tres opciones:
    1. Para usar una instancia de GFI Sandbox instalada localmente, indique el Nombre del servidor y el Puerto del servidor de GFI Sandbox, el Periodo máximo de encuesta y el Intervalo de sondeo y, si lo desea, seleccione la casilla de verificación Omitir proxy web.
    2. Para usar una instancia de ThreatGrid instalada localmente, active el puntaje de ThreatGrid, proporcione la clave de servicio de ThreatGrid y, si lo desea, seleccione la casilla de verificación Ignorar proxy web.
    3. Para usar la nube de ThreatGrid, primero debe registrar una clave de API de ThreatGrid. Luego active el puntaje de ThreatGrid, proporcione la clave de servicio de ThreatGrid, ingrese la URL del servidor de ThreatGrid (https://panacea.threatgrid.com) y, si lo desea, seleccione la casilla de verificación Omitir proxy web.
  4. Haga clic en Aplicar.
    Los cambios se aplican de inmediato.
You are here
Table of Contents > Configuración de Malware Analysis > Paso 3. Configurar ajustes generales de Malware Analysis

Attachments

    Outcomes