MA: Crear una alerta personalizada en formato CEF

Document created by RSA Information Design and Development on Apr 30, 2018
Version 1Show Document
  • View in full screen mode
 

En este tema se proporcionan instrucciones para crear alertas personalizadas en formato de evento común (CEF) que se envían a un servicio que recopila eventos como CEF. Esta es una tarea de configuración avanzada que requiere conocimiento suficiente para realizar una edición manual del archivo de configuración: /var/netwitness/malware-analytics-server/spectrum/conf/malwareCEFDictionaryConfiguration.xml. Antes de editar el archivo, debe detener el servicio Malware Analysis en el sistema operativo. La alerta de CEF se activa cuando se reinicia el servicio Malware Analysis.

La plantilla CEF

Para enviar eventos a un servicio que recopila eventos como CEF, NetWitness Suite los procesa con un archivo de configuración que sirve de plantilla CEF antes de alimentarlos a una tecnología de correlación. Puede ajustar el archivo de configuración, el cual especifica la secuencia y el mapeo de campos de syslog en cada alerta.

El siguiente ejemplo de mensaje de syslog muestra los campos de CEF en la sección de extensiones de la alerta (después del último “|” en la alerta). Cada campo se puede configurar para indicar la secuencia (que se describe en la sección Ejemplo, a continuación). Los campos se pueden excluir por completo de la alerta mediante un ajuste de configuración.

CEF:0|NetWitness|Spectrum|10.3.0.7995.1.0|Suspicious Event|Detected suspicious network event ID 4 session ID n/a|2|static=100.0 nextgen=25.0 community=100.0 sandbox=25.0 file.name=myFile.exe file.size=1234556 file.md5.hash=DEADBEEFBABECAFEDEADBEEFBABECAFE event.source=spectrum://admin@0:0:0:0:0:0:0:1:64563 event.type=MANUAL_UPLOAD event.id=0 country.dst.code=-- country.dst=Unavailable ip.src=0:0:0:0:0:0:0:1 ip.dst=0:0:0:0:0:0:0:1 event.uuid=f7a6155a-31de-4fa6-ba16-41fb9a8e5f26 ...

Comprender una entrada del archivo de auditoría de syslog

La descripción de la estructura del archivo se basa en el siguiente ejemplo.

Feb 6 10:02:28 10.10.10.125 SpectrumServer125

CEF: 0|NetWitness|Spectrum|1.2.1.130|Suspicious Event|Detected suspicious
network event ID 857 session ID 73|2|

static=100.0 network=29.0 community=8.0 sandbox=N/R

file.name=-CVE-00_DOC_2010-05-13_attachment.doc file.size=0 file.md5.hash=20a29259c0e5958afb2f50c4177bb307

com.netwitness.event.internal.id=73 com.netwitness.event.internal.uuid=37d2bad7-06bc-4b34-88e1-df43d9710204 alias.ip=10.25.50.149 client=Wget/1.11.4 Red Hat modified payload=108872 packets=136 country.dst=Private time=Fri Jan 27 10:09:25 EST 2012 threat.source=netwitness tcp.srcport=43580 action=get com.netwitness.event.internal.source=http://QASpectrum2:50104/sdk filetype=rtf alias.host=qa-fc12-149 eth.src=00:25:90:18:76:E2 ip.proto=6 tcp.flags=27 ip.src=10.25.50.61 tcp.dstport=80 threat.category=spectrum eth.dst=00:0C:29:F8:50:2D lifetime=0 alert.id=nw32535 sessionid=73 medium=1 size=117864 content=spectrum.consume11 extension=doc directory=/files/MALWAREMALWARE/OfficeDocs/DOC/ eth.type=2048 ip.dst=10.25.50.149 service=80 filename=-CVE-00_DOC_2010-05-13_attachment.doc server=Apache/2.2.13 (Fedora) streams=2 referer=http://qa-fc12-149/files/MALWAREMALW...fficeDocs/DOC/ risk.info=http client server version mismatch

Primera línea

Feb 6 10:02:28 10.10.10.125 SpectrumServer125

                       
Información del registroDescripción
Feb 6 10:02:28El registro de fecha y hora de la entrada.
10.10.10.125La dirección IP de origen del evento.
SpectrumServer125El nombre de host de origen del evento.

Encabezado de formato de evento común (CEF) de auditoría

0|NetWitness|Spectrum|1.2.1.130|Suspicious Event|Detected suspicious network event ID 857 session ID 73|2|

El encabezado de CEF de auditoría es una lista separada por barras verticales con los siguientes campos:

                                     
Información del registroDescripción
0

La versión de formato de evento común (CEF) de ArcSight utilizada para el syslog de auditoría.

NetWitness

El servicio que creó el mensaje de syslog.

Spectrum

Malware Analysis es el registrador del evento.

1.2.1.130

Versión de Malware Analysis.

event ID 857

ID de evento de red único para este evento.

session ID 73

ID de sesión único de Core de la sesión que incluyó este evento.

2

Severidad, un entero entre 1 y 6 indica el nivel de severidad del mensaje.

  • 1 = INFORMATION_LEVEL
  • 2 = WARNING_LEVEL
  • 3 = ERROR_LEVEL
  • 4 = SUCCESS_LEVEL
  • 5 = FAILURE_LEVEL
  • 6 = AUDIT_FAILURE_LEVEL

Extensión de CEF de auditoría

static=100.0 network=29.0 community=8.0 sandbox=N/R

file.name=-CVE-00_DOC_2010-05-13_attachment.doc  file.size=0 file.md5.hash=20a29259c0e5958afb2f50c4177bb307 com.netwitness.event.internal.id=73

com.netwitness.event.internal.uuid=37d2bad7-06bc-4b34-88e1-df43d9710204 alias.ip=10.25.50.149 client=Wget/1.11.4 Red Hat modified payload=108872 packets=136 country.dst=Private time=Fri Jan 27 10:09:25 EST 2012 threat.source=netwitness tcp.srcport=43580 action=get com.netwitness.event.internal.source=http://QASpectrum2:50104/sdk filetype=rtf alias.host=qa-fc12-149 eth.src=00:25:90:18:76:E2 ip.proto=6 tcp.flags=27 ip.src=10.25.50.61 tcp.dstport=80 threat.category=spectrum eth.dst=00:0C:29:F8:50:2D lifetime=0 alert.id=nw32535 sessionid=73 medium=1 size=117864 content=spectrum.consume11 extension=doc directory=/files/MALWAREMALWARE/OfficeDocs/DOC/ eth.type=2048 ip.dst=10.25.50.149 service=80 filename=-CVE-00_DOC_2010-05-13_attachment.doc server=Apache/2.2.13 (Fedora) streams=2 referer=http://qa-fc12-149/files/MALWAREMALW...fficeDocs/DOC/ risk.info=http client server version mismatch

Puntajes de análisis

La primera entrada de la extensión de CEF de auditoría proporciona los cuatro puntajes de Malware Analysis para el evento: Estático, Red, Community y Sandbox.

                         
Información del registroValor de ejemplo
static

100.0

red

29.0

community

8.0

Un puntaje de 0.0 puede ser un puntaje de comunidad para el evento o puede indicar que no había servicios de comunidad habilitados.

sandbox

N/R

R N/R significa que no se ejecuta. Esto indica que GFI Sandbox no estaba habilitado.

Información del archivo

Las tres entradas siguientes proporcionan información de archivo: nombre, tamaño y hash de archivo.

                     
Información del registroValor de ejemplo
file.name-CVE-00_DOC_2010-05-13_attachment.doc
file.size0
file.md5.hash20a29259c0e5958afb2f50c4177bb307

Metadatos del evento recuperados por NextGen

El registro continúa con los metadatos de Core para el evento. Los metadatos del mensaje dependen del evento. La cantidad de datos en el mensaje se trunca según la longitud máxima en bytes configurada en los ajustes de syslog. El valor predeterminado es 1,024.

                                                                                                                                                             
Información del registroValor de ejemplo
com.netwitness.event.internal.id73
com.netwitness.event.internal.uuid37d2bad7-06bc-4b34-88e1-df43d9710204
alias.ip10.25.50.149
clienteWget/1.11.4 Red Hat modified
payload108872
packets136
country.dstPrivate
timeFri Jan 27 10:09:25 EST 2012
threat.sourcenetwitness
tcp.srcport43580
acciónobtener
com.netwitness.event.internal.sourcehttp://QASpectrum2:50104/sdk
filetypertf
alias.hostqa-fc12-149
eth.src00:25:90:18:76:E2
ip.proto6
tcp.flags27
ip.src10.25.50.61
tcp.dstport80
threat.categoryspectrum
eth.dst00:0C:29:F8:50:2D
ciclo de vida0
alert.idnw32535
sessionid73
medium1
tamaño117864
contenidospectrum.consume11
extensiondoc
directorio/files/MALWAREMALWARE/OfficeDocs/DOC/
eth.type2048
ip.dst10.25.50.149
Servicio80
filename-CVE-00_DOC_2010-05-13_attachment.doc
serverApache/2.2.13 (Fedora)
streams2
refererhttp://qa-fc12-149/files/MALWAREMALWARE/OfficeDocs/DOC/
risk.infodiferencia de versión de servidor de cliente http

Editar el archivo de configuración

  1. Detenga el servicio Malware Analysis.
  2. Edite el archivo de configuración como se describe en el ejemplo.
  3. Inicie el servicio Malware Analysis.
    El servicio Malware Analysis comienza a procesar las alertas con el archivo de configuración y a enviar alertas CEF a los servicios designados.

Ejemplo

El archivo de configuración se puede usar para indicar los campos que aparecen en la alerta resultante, así como la etiqueta asociada a cada campo y el orden en el cual aparecen los campos de datos. El archivo de configuración consta de uno o más bloques MalwareCefExtension XML, como se muestra en el siguiente ejemplo. El orden de estos bloques en el archivo de configuración implica el orden de los campos de datos en la alerta CEF.  

En el siguiente ejemplo, la alerta CEF incluiría dos campos de datos, ip.src seguido de ip.dst. customKey se usa para indicar el etiquetado del campo de datos en la alerta. Esto permite que el usuario elija una etiqueta personalizada para forzar el formato de la alerta de modo que cumpla mejor con las expectativas del consumidor de la alerta. Es decir, el formato se puede ajustar para impedir cambios no deseados en un analizador de alertas existente. Por último, el ajuste isDisplay determina si el campo se incluye en la salida de la alerta. Esto permite que el usuario desactive los campos de datos sin necesidad de eliminar físicamente el bloque MalwareCefExtension de la configuración.

 <config>

 <malwareExtensionList>

<com.netwitness.malware.core.cef.MalwareCefExtension>

      <customKey>ip.src</customKey>

      <malwareKey>ip.src</malwareKey>

      <isDisplay>true</isDisplay>

</com.netwitness.malware.core.cef.MalwareCefExtension>

<com.netwitness.malware.core.cef.MalwareCefExtension>

      <customKey>ip.dst</customKey>

      <malwareKey>ip.dst</malwareKey>

      <isDisplay>true</isDisplay>

</com.netwitness.malware.core.cef.MalwareCefExtension>

 </malwareExtensionList>

</config>

Al final del archivo de configuración hay tres configuraciones adicionales que se pueden usar para ajustar adicionalmente el formato de la alerta. Estas son las siguientes:

                     
ConfiguraciónDescripción
includesUnknownMeta Este ajuste verdadero o falso indica si se incluyen elementos de datos desconocidos en la alerta resultante. Cualquiera de los metadatos de sesión de NextGen se puede considerar para inclusión en una alerta CEF.
Debido a que se pueden introducir metadatos de sesión adicionales con la creación de nuevos analizadores NextGen, se pueden encontrar metadatos que no se incluyen en la configuración predeterminada. Puede configurar includesUnknownMeta en true para incluir los metadatos desconocidos en la alerta y etiquetarlos con el nombre de clave de metadatos de NextGen. Para forzar una clave personalizada para los metadatos desconocidos, debe editar este archivo y agregar un nuevo bloque MalwareCefExtension al diccionario.  
Para omitir los metadatos desconocidos de la alerta, configure includesUnknownMeta en false.
displayNulls Este ajuste verdadero o falso indica si los valores configurados en nulo se incluyen en la alerta. Si displayNulls se configura en false, los campos con valores nulos se omiten incluso si su propiedad MalwareCefExtension isDisplay está activada. Esto permite que el formateo dinámico de alertas excluya los campos nulos.
valueIfNull Este ajuste verdadero o falso permite especificar un marcador de posición de cadena (n/a de forma predeterminada) que se usará como el valor para cualquier campo con valores nulos. Si displayNulls se configura en true, los campos con valores nulos se incluyen en las alertas. Su valor se configura en el valor especificado en valueIfNull.

A continuación se representa el archivo de configuración de CEF predeterminado. El archivo de configuración predeterminado incluye todos los metadatos de sesión de NextGen predeterminados.

<config>

  <malwareExtensionList>

    <com.netwitness.malware.core.cef.MalwareCefExtension>

      <customKey>static</customKey>

      <malwareKey>static</malwareKey>

      <isDisplay>true</isDisplay>

    </com.netwitness.malware.core.cef.MalwareCefExtension>

    <com.netwitness.malware.core.cef.MalwareCefExtension>

      <customKey>nextgen</customKey>

      <malwareKey>nextgen</malwareKey>

      <isDisplay>true</isDisplay>

    </com.netwitness.malware.core.cef.MalwareCefExtension>

    <com.netwitness.malware.core.cef.MalwareCefExtension>

      <customKey>community</customKey>

      <malwareKey>community</malwareKey>

      <isDisplay>true</isDisplay>

    </com.netwitness.malware.core.cef.MalwareCefExtension>

    <com.netwitness.malware.core.cef.MalwareCefExtension>

      <customKey>sandbox</customKey>

      <malwareKey>sandbox</malwareKey>

      <isDisplay>true</isDisplay>

    </com.netwitness.malware.core.cef.MalwareCefExtension>

    <com.netwitness.malware.core.cef.MalwareCefExtension>

      <customKey>file.name</customKey>

      <malwareKey>file.name</malwareKey>

      <isDisplay>true</isDisplay>

    </com.netwitness.malware.core.cef.MalwareCefExtension>

    <com.netwitness.malware.core.cef.MalwareCefExtension>

      <customKey>file.size</customKey>

      <malwareKey>file.size</malwareKey>

      <isDisplay>true</isDisplay>

    </com.netwitness.malware.core.cef.MalwareCefExtension>

    <com.netwitness.malware.core.cef.MalwareCefExtension>

      <customKey>file.md5.hash</customKey>

      <malwareKey>file.md5.hash</malwareKey>

      <isDisplay>true</isDisplay>

    </com.netwitness.malware.core.cef.MalwareCefExtension>

    <com.netwitness.malware.core.cef.MalwareCefExtension>

      <customKey>event.source</customKey>

      <malwareKey>event.source</malwareKey>

      <isDisplay>true</isDisplay>

    </com.netwitness.malware.core.cef.MalwareCefExtension>

    <com.netwitness.malware.core.cef.MalwareCefExtension>

      <customKey>event.type</customKey>

      <malwareKey>event.type</malwareKey>

      <isDisplay>true</isDisplay>

    </com.netwitness.malware.core.cef.MalwareCefExtension>

    <com.netwitness.malware.core.cef.MalwareCefExtension>

      <customKey>event.id</customKey>

      <malwareKey>event.id</malwareKey>

      <isDisplay>true</isDisplay>

    </com.netwitness.malware.core.cef.MalwareCefExtension>

    <com.netwitness.malware.core.cef.MalwareCefExtension>

      <customKey>event.uuid</customKey>

      <malwareKey>event.uuid</malwareKey>

      <isDisplay>true</isDisplay>

    </com.netwitness.malware.core.cef.MalwareCefExtension>

    <com.netwitness.malware.core.cef.MalwareCefExtension>

      <customKey>antivirus.primary.detected</customKey>

      <malwareKey>antivirus.primary.detected</malwareKey>

      <isDisplay>true</isDisplay>

    </com.netwitness.malware.core.cef.MalwareCefExtension>

    <com.netwitness.malware.core.cef.MalwareCefExtension>

      <customKey>antivirus.secondary.detected</customKey>

      <malwareKey>antivirus.secondary.detected</malwareKey>

      <isDisplay>true</isDisplay>

    </com.netwitness.malware.core.cef.MalwareCefExtension>

    <com.netwitness.malware.core.cef.MalwareCefExtension>

      <customKey>antivirus.other.detected</customKey>

      <malwareKey>antivirus.other.detected</malwareKey>

      <isDisplay>true</isDisplay>

    </com.netwitness.malware.core.cef.MalwareCefExtension>

    <com.netwitness.malware.core.cef.MalwareCefExtension>

      <customKey>country.dst.code</customKey>

      <malwareKey>country.dst.code</malwareKey>

      <isDisplay>false</isDisplay>

    </com.netwitness.malware.core.cef.MalwareCefExtension>

    <com.netwitness.malware.core.cef.MalwareCefExtension>

      <customKey>city.dst</customKey>

      <malwareKey>city.dst</malwareKey>

      <isDisplay>false</isDisplay>

    </com.netwitness.malware.core.cef.MalwareCefExtension>

    <com.netwitness.malware.core.cef.MalwareCefExtension>

      <customKey>org.dst</customKey>

      <malwareKey>org.dst</malwareKey>

      <isDisplay>false</isDisplay>

    </com.netwitness.malware.core.cef.MalwareCefExtension>

    <com.netwitness.malware.core.cef.MalwareCefExtension>

      <customKey>payload</customKey>

      <malwareKey>payload</malwareKey>

      <isDisplay>false</isDisplay>

    </com.netwitness.malware.core.cef.MalwareCefExtension>

    <com.netwitness.malware.core.cef.MalwareCefExtension>

      <customKey>packets</customKey>

      <malwareKey>packets</malwareKey>

      <isDisplay>false</isDisplay>

    </com.netwitness.malware.core.cef.MalwareCefExtension>

    <com.netwitness.malware.core.cef.MalwareCefExtension>

      <customKey>country.dst</customKey>

      <malwareKey>country.dst</malwareKey>

      <isDisplay>false</isDisplay>

    </com.netwitness.malware.core.cef.MalwareCefExtension>

    <com.netwitness.malware.core.cef.MalwareCefExtension>

      <customKey>time</customKey>

      <malwareKey>time</malwareKey>

      <isDisplay>false</isDisplay>

    </com.netwitness.malware.core.cef.MalwareCefExtension>

    <com.netwitness.malware.core.cef.MalwareCefExtension>

      <customKey>threat.source</customKey>

      <malwareKey>threat.source</malwareKey>

      <isDisplay>false</isDisplay>

    </com.netwitness.malware.core.cef.MalwareCefExtension>

    <com.netwitness.malware.core.cef.MalwareCefExtension>

      <customKey>tcp.srcpport</customKey>

      <malwareKey>tcp.srcpport</malwareKey>

      <isDisplay>false</isDisplay>

    </com.netwitness.malware.core.cef.MalwareCefExtension>

    <com.netwitness.malware.core.cef.MalwareCefExtension>

      <customKey>filetype</customKey>

      <malwareKey>filetype</malwareKey>

      <isDisplay>false</isDisplay>

    </com.netwitness.malware.core.cef.MalwareCefExtension>

    <com.netwitness.malware.core.cef.MalwareCefExtension>

      <customKey>latdec.dst</customKey>

      <malwareKey>latdec.dst</malwareKey>

      <isDisplay>false</isDisplay>

    </com.netwitness.malware.core.cef.MalwareCefExtension>

    <com.netwitness.malware.core.cef.MalwareCefExtension>

      <customKey>eth.src</customKey>

      <malwareKey>eth.src</malwareKey>

      <isDisplay>false</isDisplay>

    </com.netwitness.malware.core.cef.MalwareCefExtension>

    <com.netwitness.malware.core.cef.MalwareCefExtension>

      <customKey>agency.dst</customKey>

      <malwareKey>agency.dst</malwareKey>

      <isDisplay>false</isDisplay>

    </com.netwitness.malware.core.cef.MalwareCefExtension>

    <com.netwitness.malware.core.cef.MalwareCefExtension>

      <customKey>ip.proto</customKey>

      <malwareKey>ip.proto</malwareKey>

      <isDisplay>false</isDisplay>

    </com.netwitness.malware.core.cef.MalwareCefExtension>

    <com.netwitness.malware.core.cef.MalwareCefExtension>

      <customKey>tcp.flags</customKey>

      <malwareKey>tcp.flags</malwareKey>

      <isDisplay>false</isDisplay>

    </com.netwitness.malware.core.cef.MalwareCefExtension>

    <com.netwitness.malware.core.cef.MalwareCefExtension>

      <customKey>ip.src</customKey>

      <malwareKey>ip.src</malwareKey>

      <isDisplay>false</isDisplay>

    </com.netwitness.malware.core.cef.MalwareCefExtension>

    <com.netwitness.malware.core.cef.MalwareCefExtension>

      <customKey>tcp.dstport</customKey>

      <malwareKey>tcp.dstport</malwareKey>

      <isDisplay>false</isDisplay>

    </com.netwitness.malware.core.cef.MalwareCefExtension>

    <com.netwitness.malware.core.cef.MalwareCefExtension>

      <customKey>threat.category</customKey>

      <malwareKey>threat.category</malwareKey>

      <isDisplay>false</isDisplay>

    </com.netwitness.malware.core.cef.MalwareCefExtension>

    <com.netwitness.malware.core.cef.MalwareCefExtension>

      <customKey>eth.dst</customKey>

      <malwareKey>eth.dst</malwareKey>

      <isDisplay>false</isDisplay>

    </com.netwitness.malware.core.cef.MalwareCefExtension>

    <com.netwitness.malware.core.cef.MalwareCefExtension>

      <customKey>lifetime</customKey>

      <malwareKey>lifetime</malwareKey>

      <isDisplay>false</isDisplay>

    </com.netwitness.malware.core.cef.MalwareCefExtension>

    <com.netwitness.malware.core.cef.MalwareCefExtension>

      <customKey>latdec.src</customKey>

      <malwareKey>latdec.src</malwareKey>

      <isDisplay>false</isDisplay>

    </com.netwitness.malware.core.cef.MalwareCefExtension>

    <com.netwitness.malware.core.cef.MalwareCefExtension>

      <customKey>did</customKey>

      <malwareKey>did</malwareKey>

      <isDisplay>false</isDisplay>

    </com.netwitness.malware.core.cef.MalwareCefExtension>

    <com.netwitness.malware.core.cef.MalwareCefExtension>

      <customKey>alert.id</customKey>

      <malwareKey>alert.id</malwareKey>

      <isDisplay>false</isDisplay>

    </com.netwitness.malware.core.cef.MalwareCefExtension>

    <com.netwitness.malware.core.cef.MalwareCefExtension>

      <customKey>country.src</customKey>

      <malwareKey>country.src</malwareKey>

      <isDisplay>false</isDisplay>

    </com.netwitness.malware.core.cef.MalwareCefExtension>

    <com.netwitness.malware.core.cef.MalwareCefExtension>

      <customKey>sessionid</customKey>

      <malwareKey>sessionid</malwareKey>

      <isDisplay>false</isDisplay>

    </com.netwitness.malware.core.cef.MalwareCefExtension>

    <com.netwitness.malware.core.cef.MalwareCefExtension>

      <customKey>longdec.src</customKey>

      <malwareKey>longdec.src</malwareKey>

      <isDisplay>false</isDisplay>

    </com.netwitness.malware.core.cef.MalwareCefExtension>

    <com.netwitness.malware.core.cef.MalwareCefExtension>

      <customKey>medium</customKey>

      <malwareKey>medium</malwareKey>

      <isDisplay>false</isDisplay>

    </com.netwitness.malware.core.cef.MalwareCefExtension>

    <com.netwitness.malware.core.cef.MalwareCefExtension>

      <customKey>size</customKey>

      <malwareKey>size</malwareKey>

      <isDisplay>false</isDisplay>

    </com.netwitness.malware.core.cef.MalwareCefExtension>

    <com.netwitness.malware.core.cef.MalwareCefExtension>

      <customKey>ad.domain.dst</customKey>

      <malwareKey>ad.computer.dst</malwareKey>

      <isDisplay>false</isDisplay>

    </com.netwitness.malware.core.cef.MalwareCefExtension>

    <com.netwitness.malware.core.cef.MalwareCefExtension>

      <customKey>ad.computer.dst</customKey>

      <malwareKey>ad.computer.dst</malwareKey>

      <isDisplay>false</isDisplay>

    </com.netwitness.malware.core.cef.MalwareCefExtension>

    <com.netwitness.malware.core.cef.MalwareCefExtension>

      <customKey>ad.username.src</customKey>

      <malwareKey>ad.username.src</malwareKey>

      <isDisplay>false</isDisplay>

    </com.netwitness.malware.core.cef.MalwareCefExtension>

    <com.netwitness.malware.core.cef.MalwareCefExtension>

      <customKey>rpackets</customKey>

      <malwareKey>rpackets</malwareKey>

      <isDisplay>false</isDisplay>

    </com.netwitness.malware.core.cef.MalwareCefExtension>

    <com.netwitness.malware.core.cef.MalwareCefExtension>

      <customKey>action</customKey>

      <malwareKey>action</malwareKey>

      <isDisplay>false</isDisplay>

   </com.netwitness.malware.core.cef.MalwareCefExtension>

    <com.netwitness.malware.core.cef.MalwareCefExtension>

      <customKey>ad.domain.src</customKey>

      <malwareKey>ad.domain.src</malwareKey>

      <isDisplay>false</isDisplay>

    </com.netwitness.malware.core.cef.MalwareCefExtension>

    <com.netwitness.malware.core.cef.MalwareCefExtension>

      <customKey>eth.src.vendor</customKey>

      <malwareKey>eth.src.vendor</malwareKey>

      <isDisplay>false</isDisplay>

    </com.netwitness.malware.core.cef.MalwareCefExtension>

    <com.netwitness.malware.core.cef.MalwareCefExtension>

      <customKey>rpayload</customKey>

      <malwareKey>rpayload</malwareKey>

      <isDisplay>false</isDisplay>

    </com.netwitness.malware.core.cef.MalwareCefExtension>

    <com.netwitness.malware.core.cef.MalwareCefExtension>

      <customKey>ad.username.dst</customKey>

      <malwareKey>ad.username.dst</malwareKey>

      <isDisplay>false</isDisplay>

    </com.netwitness.malware.core.cef.MalwareCefExtension>

    <com.netwitness.malware.core.cef.MalwareCefExtension>

      <customKey>content</customKey>

      <malwareKey>content</malwareKey>

      <isDisplay>false</isDisplay>

    </com.netwitness.malware.core.cef.MalwareCefExtension>

    <com.netwitness.malware.core.cef.MalwareCefExtension>

      <customKey>extension</customKey>

      <malwareKey>extension</malwareKey>

      <isDisplay>false</isDisplay>

    </com.netwitness.malware.core.cef.MalwareCefExtension>

    <com.netwitness.malware.core.cef.MalwareCefExtension>

      <customKey>eth.dst.vendor</customKey>

      <malwareKey>eth.dst.vendor</malwareKey>

      <isDisplay>false</isDisplay>

    </com.netwitness.malware.core.cef.MalwareCefExtension>

    <com.netwitness.malware.core.cef.MalwareCefExtension>

      <customKey>rid</customKey>

      <malwareKey>rid</malwareKey>

      <isDisplay>false</isDisplay>

    </com.netwitness.malware.core.cef.MalwareCefExtension>

    <com.netwitness.malware.core.cef.MalwareCefExtension>

      <customKey>directory</customKey>

      <malwareKey>directory</malwareKey>

      <isDisplay>false</isDisplay>

    </com.netwitness.malware.core.cef.MalwareCefExtension>

    <com.netwitness.malware.core.cef.MalwareCefExtension>

      <customKey>risk.suspicious</customKey>

      <malwareKey>risk.suspicious</malwareKey>

      <isDisplay>false</isDisplay>

    </com.netwitness.malware.core.cef.MalwareCefExtension>

    <com.netwitness.malware.core.cef.MalwareCefExtension>

      <customKey>eth.type</customKey>

      <malwareKey>eth.type</malwareKey>

      <isDisplay>false</isDisplay>

    </com.netwitness.malware.core.cef.MalwareCefExtension>

    <com.netwitness.malware.core.cef.MalwareCefExtension>

      <customKey>ip.dst</customKey>

      <malwareKey>ip.dst</malwareKey>

      <isDisplay>false</isDisplay>

      <isDisplay>false</isDisplay>

    </com.netwitness.malware.core.cef.MalwareCefExtension>

    <com.netwitness.malware.core.cef.MalwareCefExtension>

      <customKey>service</customKey>

      <malwareKey>service</malwareKey>

      <isDisplay>false</isDisplay>

    </com.netwitness.malware.core.cef.MalwareCefExtension>

    <com.netwitness.malware.core.cef.MalwareCefExtension>

      <customKey>filename</customKey>

      <malwareKey>filename</malwareKey>

      <isDisplay>false</isDisplay>

    </com.netwitness.malware.core.cef.MalwareCefExtension>

    <com.netwitness.malware.core.cef.MalwareCefExtension>

      <customKey>streams</customKey>

      <malwareKey>streams</malwareKey>

      <isDisplay>false</isDisplay>

    </com.netwitness.malware.core.cef.MalwareCefExtension>

    <com.netwitness.malware.core.cef.MalwareCefExtension>

      <customKey>risk.info</customKey>

      <malwareKey>risk.info</malwareKey>

      <isDisplay>false</isDisplay>

    </com.netwitness.malware.core.cef.MalwareCefExtension>

    <com.netwitness.malware.core.cef.MalwareCefExtension>

      <customKey>dest.tld</customKey>

      <malwareKey>dest.tld</malwareKey>

      <isDisplay>false</isDisplay>

    </com.netwitness.malware.core.cef.MalwareCefExtension>

    <com.netwitness.malware.core.cef.MalwareCefExtension>

      <customKey>alias.host</customKey>

      <malwareKey>alias.host</malwareKey>

      <isDisplay>false</isDisplay>

    </com.netwitness.malware.core.cef.MalwareCefExtension>

    <com.netwitness.malware.core.cef.MalwareCefExtension>

      <customKey>tcp.srcport</customKey>

      <malwareKey>tcp.srcport</malwareKey>

      <isDisplay>false</isDisplay>

    </com.netwitness.malware.core.cef.MalwareCefExtension>

    <com.netwitness.malware.core.cef.MalwareCefExtension>

      <customKey>udp.srcport</customKey>

      <malwareKey>udp.srcport</malwareKey>

      <isDisplay>false</isDisplay>

    </com.netwitness.malware.core.cef.MalwareCefExtension>

    <com.netwitness.malware.core.cef.MalwareCefExtension>

      <customKey>udp.dstport</customKey>

      <malwareKey>udp.dstport</malwareKey>

      <isDisplay>false</isDisplay>

    </com.netwitness.malware.core.cef.MalwareCefExtension>

    <com.netwitness.malware.core.cef.MalwareCefExtension>

      <customKey>domain.dst</customKey>

      <malwareKey>domain.dst</malwareKey>

      <isDisplay>false</isDisplay>

    </com.netwitness.malware.core.cef.MalwareCefExtension>

    <com.netwitness.malware.core.cef.MalwareCefExtension>

      <customKey>feed.name</customKey>

      <malwareKey>feed.name</malwareKey>

      <isDisplay>false</isDisplay>

    </com.netwitness.malware.core.cef.MalwareCefExtension>

    <com.netwitness.malware.core.cef.MalwareCefExtension>

      <customKey>feed.description</customKey>

      <malwareKey>feed.description</malwareKey>

      <isDisplay>false</isDisplay>

    </com.netwitness.malware.core.cef.MalwareCefExtension>

    <com.netwitness.malware.core.cef.MalwareCefExtension>

      <customKey>threat.description</customKey>

      <malwareKey>threat.description</malwareKey>

      <isDisplay>false</isDisplay>

    </com.netwitness.malware.core.cef.MalwareCefExtension>

    <com.netwitness.malware.core.cef.MalwareCefExtension>

      <customKey>referer</customKey>

      <malwareKey>referer</malwareKey>

      <isDisplay>false</isDisplay>

    </com.netwitness.malware.core.cef.MalwareCefExtension>

    <com.netwitness.malware.core.cef.MalwareCefExtension>

      <customKey>client</customKey>

      <malwareKey>client</malwareKey>

      <isDisplay>false</isDisplay>

    </com.netwitness.malware.core.cef.MalwareCefExtension>

    <com.netwitness.malware.core.cef.MalwareCefExtension>

      <customKey>server</customKey>

      <malwareKey>server</malwareKey>

      <isDisplay>false</isDisplay>

    </com.netwitness.malware.core.cef.MalwareCefExtension>

    <com.netwitness.malware.core.cef.MalwareCefExtension>

      <customKey>risk.warning</customKey>

      <malwareKey>risk.warning</malwareKey>

      <isDisplay>false</isDisplay>

    </com.netwitness.malware.core.cef.MalwareCefExtension>

    <com.netwitness.malware.core.cef.MalwareCefExtension>

      <customKey>attachment</customKey>

      <malwareKey>attachment</malwareKey>

      <isDisplay>false</isDisplay>

    </com.netwitness.malware.core.cef.MalwareCefExtension>

    <com.netwitness.malware.core.cef.MalwareCefExtension>

      <customKey>whois.registrar</customKey>

      <malwareKey>whois.registrar</malwareKey>

      <isDisplay>false</isDisplay>

    </com.netwitness.malware.core.cef.MalwareCefExtension>

    <com.netwitness.malware.core.cef.MalwareCefExtension>

      <customKey>whois.registrant</customKey>

      <malwareKey>whois.registrant</malwareKey>

      <isDisplay>false</isDisplay>

    </com.netwitness.malware.core.cef.MalwareCefExtension>

    <com.netwitness.malware.core.cef.MalwareCefExtension>

      <customKey>whois.date.creation</customKey>

      <malwareKey>whois.date.creation</malwareKey>

      <isDisplay>false</isDisplay>

    </com.netwitness.malware.core.cef.MalwareCefExtension>

    <com.netwitness.malware.core.cef.MalwareCefExtension>

      <customKey>whois.server</customKey>

      <malwareKey>whois.server</malwareKey>

      <isDisplay>false</isDisplay>

    </com.netwitness.malware.core.cef.MalwareCefExtension>

  </malwareExtensionList>

  <includesUnknownMeta>false</includesUnknownMeta>

  <displayNulls>false</displayNulls>

  <valueIfNull>n/a</valueIfNull>

</config>

You are here
Table of Contents > Procedimientos adicionales para configurar Malware Analysis > Crear una alerta personalizada en formato CEF

Attachments

    Outcomes