Decoder: Konfigurieren der Transaktionsbehandlung auf einem Decoder

Document created by RSA Information Design and Development on May 9, 2018
Version 1Show Document
  • View in full screen mode
 

Ab Version 11.0 können Administratoren einen Decoder konfigurieren, um eingehende Sitzungen in kleinere Transaktionssitzungen zu unterteilen, wenn LUA-Parser zum Erstellen von Transaktionen verwendet werden. Die Funktion ermöglicht Analysten die Durchführung von Analysen der geteilten Sitzungen in Downstreamservices wie Ermittlung.

Transaktionsbehandlung

Der Konfigurations-Node des Decoder-Service verfügt über einen neuen Parameter für die Konfiguration der Transaktionsbehandlung: /decoder/parsers/config/parser.transaction.mode. Dieser Node steuert das Verhalten des Decoders, wenn ein Parser eine Transaktion innerhalb einer Netzwerksitzung definiert.

Die Werte für parser.transaction.mode entsprechen folgenden Betriebsmodi:

  • {{off}} (Transaktionen deaktiviert)
  • {{meta}} (Transaktionen werden als Metaelemente dargestellt)
  • {{split}} (Teilen von Sitzungen)

Transaktionen deaktiviert

Wenn der Transaktionsmodus deaktiviert ist, werden vom Parser erstellte Transaktionen auf Anwendungsebene ignoriert, und in der Sammlung, die die Transaktion wiedergibt, wird nichts gespeichert.

Transaktionen werden als Metaelemente dargestellt

Wenn ein Parser eine Transaktion auf Anwendungsebene erzeugt, wird in diesem Betriebsmodus derjenigen Sitzung ein neues Metaelement des Typs {{trans}} hinzugefügt, in der die Transaktion stattgefunden hat. Das Metaelement {{trans}} enthält eine Liste anderer Metaelemente, die die Transaktion bilden.

Teilen von Sitzungen

Wenn ein Parser eine Transaktion auf Anwendungsebene erzeugt, wird die Sitzung in diesem Betriebsmodus geteilt. Die Sitzungsteilung wird wie folgt durchgeführt:

  1. Es wird ein neues Sitzungselement erstellt.
  2. Netzwerk-Metaelemente werden aus der analysierten Sitzung in die neue Sitzung kopiert.
  3. In der Transaktion markierte Metaelemente werden aus der ursprünglichen Sitzung in die neue Sitzung verschoben.

Die folgenden Metaelemente werden aus der analysierten Sitzung in die geteilte Sitzung dupliziert:

  • time
  • medium
  • eth.src
  • eth.dst
  • eth.type
  • ip.proto
  • ip.src
  • ip.dst
  • ipv6.src
  • ipv6.dst
  • ipv6.proto
  • tcp.srcport
  • tcp.dstport
  • tcp.flags
  • udp.srcport
  • udp.dstport
  • service
  • udp.srcport
  • udp.srcport
  • tls.premaster
You are here
Table of Contents > Decoder und Log Decoder – zusätzliche Verfahren > Konfigurieren der Transaktionsbehandlung auf einem Decoder

Attachments

    Outcomes