Decoder: Zuordnen von IP-Adressen zu einem Servicetyp

Document created by RSA Information Design and Development on May 9, 2018
Version 1Show Document
  • View in full screen mode
 

In diesem Thema wird das Verfahren zur Zuordnung einer IP-Adresse zu einem Servicetyp für die Protokollanalyse beschrieben.

Der Log Collector erkennt den Ereignisquellentyp auf Meldungsbasis. Wenn für die spezifische Ereignisquelle nicht der richtige Parser verwendet wird, werden die Meldungen, die mehreren Ereignisquelltypen gemeinsam sind, falsch klassifiziert. Die falsch identifizierten Meldungen werden nicht richtig in Serviceregeln und Warnmeldungen eingetragen und die Berichte enthalten nicht die richtigen Informationen. Außerdem können, wenn mehrere Services mit einer IP-Adresse verknüpft sind, die Parser möglicherweise nur schwer identifizieren, aus welchem Service genau das Protokoll erzeugt wird. 

Wenn Sie eine IP-Adresse ihren Services zuordnen, kann der Log Decoder den Service identifizieren, aus dem das Protokoll erzeugt wird. Wenn Meldungen aus einem zugeordneten Service in das Protokoll kommen, werden die zugewiesenen Parser geladen, um Ereignisentsprechungen zu finden. 

Sie können Servicetypen zu IPv4-, IPv6- oder Hostnamenwerten der Ereignisquelle zuweisen. Sie können auch mehrere Servicetypen zu einer einzelnen IP-Adresse zuweisen. Sie können außerdem die CollectorID verwenden, wenn verschiedene Servicetypen mit derselben IP-Adresse an verschiedene Collectors gesendet werden.

Zuordnen von IP-Adressen zu einem Servicetyp

Zur Zuordnung einer IP-Adresse zu einem Servicetyp führen Sie folgende Schritte aus:

  1. Navigieren Sie zu Administration > Services.
  2. Wählen Sie in der Ansicht Services einen Log Decoder aus und wählen Sie in der Spalte Aktionen Menü „Aktionen“  > Ansicht > Durchsuchen.
  3. Wechseln Sie zum Node /decoder/parsers, klicken Sie mit der rechten Maustaste auf parsers und wählen Sie Eigenschaften aus.
  4. Geben Sie in der Ansicht Eigenschaften den Befehl ipdevice mit den folgenden Parametern an:
    op=add/remove entries="ipaddress=service” (z. B. op=add entries="10.100.201.300=ciscoasa")
  5. Klicken Sie auf Senden.
    Dies sollten Sie jetzt beispielsweise sehen.

Befehl „IPdevice“

Beim Befehl ipdevice sind drei Vorgänge möglich:

  • add: Hiermit werden die Einträge in der ipdevice-Zuordnung hinzugefügt oder aktualisiert. Mehrere durch Leerzeichen getrennte Adress-/Typ-Paare können angegeben werden.
    op=add entries="<address>=<service type>"
  •  remove: Hiermit werden Einträge aus der ipdevice-Zuordnung entfernt. Mehrere durch Leerzeichen getrennte Adress-/Typ-Paare können angegeben werden.
    op=remove entries="<address>"
  • describe: Hiermit werden die Werte zurückgegeben, die derzeit in der ipdevice-Zuordnung enthalten sind.

Zuordnen einer IP-Adresse zu einer Zeitzone

Oft enthalten Protokolle keine vollständigen Zeitstempel und keine Zeitzoneninformationen. Um solche Zeitstempel korrekt in UTC anzeigen zu lassen, bietet der Log Decoder die Möglichkeit, Geräte mit einer bestimmten Adresse (IPv4 oder IPv6) oder einem bestimmten Hostnamen einer festen Zeitzone oder Zeitverschiebung zuzuordnen.

Drei Zeitzonenformate werden derzeit akzeptiert und werden in den folgenden Beispielen gezeigt:

  • Olson-Format: America/Anguilla
  • POSIX-Format: AST2:45ADT0:45,M4.1.6/1:45,M10.5.6/2:45
  • Format für die Zeitverschiebung in Stunden: = -500

NetWitness Suite ordnet die Geräteadresse (IPv4 oder IPv6) oder den Hostnamen einer spezifischen Zeitzone oder Zeitverschiebung zu. Ereigniszeit-Metadaten, die aus einem Protokoll analysiert werden, das von einer zugeordneten Adresse stammt und keine Verschiebung oder Zeitzone als Teil der Zeitstempels beinhaltet, werden entsprechend der Zuordnung in UTC umgewandelt.

Zur Zuordnung einer IP-Adresse zu einer Zeitzone führen Sie folgende Schritte aus:

  1. Navigieren Sie zu Administration > Services.
  2. Wählen Sie in der Ansicht Services einen Log Decoder aus und wählen Sie in der Spalte Aktionen Menü „Aktionen“ > Ansicht > Durchsuchen aus.
  3. Wechseln Sie zum Node /decoder/parsers, klicken Sie mit der rechten Maustaste auf Parsers und wählen Sie Eigenschaften aus.
  4. Geben Sie in der Ansicht Eigenschaften den Befehl iptmzone mit folgenden Parametern an:
    op=add entries="IP-Adresse=Zeitzone" (z. B. op=add entries="10.10.10.10=Africa/Addis Ababa")
  5. Klicken Sie auf Senden.

Befehl „iptmzone“

Beim Befehl iptmzone sind drei Vorgänge möglich:

  • add: Hiermit werden Einträge in der iptmzone-Zuordnung hinzugefügt oder aktualisiert. Mehrere durch Leerzeichen getrennte Adress-/Typ-Paare können angegeben werden.
    op=add entries="<Adresse>=<Zeitzone>"
  • remove: Hiermit werden Einträge aus der iptmzone-Zuordnung entfernt. Mehrere durch Leerzeichen getrennte Adress-/Typ-Paare können angegeben werden.
    op=remove entries="<Adresse>“
  • describe: Hiermit werden die Werte zurückgegeben, die derzeit in der iptmzone-Zuordnung enthalten sind.

Beispiele

Im Folgenden werden Beispiele für die Zuordnung von IP-Adressen zu Zeitzonen genannt:

  • Wenn Sie zwei verschiedene Einträge mit unterschiedlichen IPV4-Werten und Zeitzonen zuordnen möchten, verwenden Sie folgenden Parameter im Befehl iptmzone und klicken Sie auf Senden
    "op=add entries=”10.10.10.10=America/Anguilla 10.10.10.11=Pacific/Rarotonga"
  • Wenn Sie einen Eintrag für einen IPv4-Wert und eine Zeitzone entfernen möchten, verwenden Sie folgenden Parameter im Befehl iptmzone und klicken Sie auf Senden.

"op=remove entries=10.5.245.9"

  • Wenn Sie einen Eintrag für einen IPv6-Wert und eine Zeitzone erstellen möchten, verwenden Sie folgenden Parameter im Befehl iptmzone und klicken Sie auf Senden.

op=add entries=”2001:DB8:85A3::8A2E:370:7334=America/Anguilla”

  • Wenn Sie einen Eintrag für die Zuordnung zwischen einer IPv4-Adresse, IPv6-Adresse oder einem Hostnamen und dem Zeitverschiebungsformat, Olson-Format oder POSIX-Format erstellen möchten, verwenden Sie den folgenden Parameter im Befehl iptmzone und klicken Sie auf Senden.

op=add entries="10.168.0.2=America/Anguilla 2001:DB8:85A3::8A2E:370:7334=0500nwappliance21=EST5EDT,M3.2.0/2,M11.1.0"

You are here
Table of Contents > Decoder und Log Decoder – zusätzliche Verfahren > Zuordnen von IP-Adressen zu einem Servicetyp

Attachments

    Outcomes