Decoder: Konfigurieren von Anwendungsregeln

Document created by RSA Information Design and Development on May 9, 2018
Version 1Show Document
  • View in full screen mode
 

Anwendungsebenenregeln werden auf der Sitzungsebene angewendet. Im Folgenden sind Beispiele für Anwendungsregeln aufgeführt.

Wenn Sie Pakete kürzen möchten, die über das SMB-Protokoll übertragen werden, erstellen Sie eine Regel wie folgt:

  • Name der Regel: SMB kürzen
  • Bedingung: service=139
  • Regelaktion: Kürzen

Wenn Sie E-Mails an und von einer bestimmten E-Mail-Adresse aufbewahren möchten, erstellen Sie eine Regel wie folgt:

So fügen Sie eine Anwendungsregel hinzu oder bearbeiten sie:

  1. Navigieren Sie zu Administration > Services.
  2. Wählen Sie einen Decoder- oder Log Decoder-Service und Abgeschnittenes Menü „Aktionen“ > Ansicht > Konfiguration aus. 
    Die Ansicht „Systeme-Konfiguration“ für den ausgewählten Service wird angezeigt.
  3. Wählen Sie die Registerkarte App-Regeln aus.
    Dies ist ein Beispiel für die Registerkarte „App-Regeln“.
  4. Führen Sie einen der folgenden Schritte aus:
    Wenn Sie eine neue Regel hinzufügen möchten, klicken Sie auf Hinzufügen-Symbol .
    Wenn Sie eine Regel bearbeiten möchten, wählen Sie die Regel aus der Regelliste aus und klicken Sie auf Bearbeiten-Symbol
  5. Das Dialogfeld Regel-Editor wird mit den Parametern der Anwendungsregel
    Dies ist ein Beispiel für die Registerkarte „Regel-Editor“.angezeigt.
    1. Geben Sie im Feld Name der Regel einen Namen für die Regel ein. Beispiel: Für eine Regel, die alle SMB kürzt, geben Sie SMB kürzen ein.
    2. Erstellen Sie im Feld Bedingung die Regelbedingung, die bei einer Übereinstimmung eine Aktion auslöst. Sie können direkt in das Feld schreiben oder die Bedingung in diesem Feld mithilfe der Metadaten aus den Fensteraktionen erstellen. Während Sie die Regeldefinition erstellen, zeigt NetWitness Suite Syntaxfehler und Warnungen an. Beispiel: Um alle SMB zu kürzen, geben Sie service=139 ein.
      Alle Zeichenfolgenliterale und Zeitstempel müssen in Anführungszeichen gesetzt werden. Zahlenwerte und IP-Adressen dürfen nicht in Anführungszeichen gesetzt werden. Unter Konfigurieren von Decoder-Regeln finden Sie zusätzliche Details.
    3. Wenn die Regelauswertung mit dieser Regel enden soll, aktivieren Sie das Kontrollkästchen Regelverarbeitung beenden.
    4. Wählen Sie im Abschnitt Sitzungsdaten eine der folgenden Aktionen aus, die angewendet werden soll, wenn ein passendes Paket gefunden wird:
      Beibehalten: Die Paketnutzlast und die entsprechenden Metadaten werden gespeichert, wenn sie mit der Regel übereinstimmen.
      Filter: Das Paket wird nicht gespeichert, wenn es mit der Regel übereinstimmt.
      Kürzen: Die Paketnutzlast wird nicht gespeichert, wenn sie mit der Regel übereinstimmt, aber Paketkopfzeilen und zugehörige Metadaten werden beibehalten.
    5. Führen Sie im Abschnitt Sitzungsoptionen einen der folgenden Schritte aus:
      • Um eine benutzerdefinierte Warnmeldung zu erzeugen, wenn Sitzungsmetadaten der Regel entsprechen, aktivieren Sie das Flag „Warnmeldung“ und wählen Sie den Namen der Warnmeldungs-Metadaten aus der Drop-down-Liste Warnmeldung bei aus.
      • Um eine Syslog-Weiterleitung durchzuführen, wenn das Protokoll der Regel entspricht, aktivieren Sie das Flag Weiterleiten. Achten Sie auf Folgendes:
        - Sie müssen sowohl das Flag „Warnmeldung“ als auch das Flag „Weiterleiten“ aktiviert haben, um die Syslog-Weiterleitung durchführen zu können.
        - Der Name der Regel, die im Dialogfeld „Regel-Editor“ erwähnt wird, muss dem Zielnamen für die Syslog-Weiterleitung entsprechen, der unter „Log Decoder“ > „Ansicht“ > „Durchsuchen“ im Parameter /decoder/config/logs.forwarding.destination angegeben ist.
      • Um zu verhindern, dass die erstellten Warnmeldungs-Metadaten auf den Datenträger geschrieben werden, aktivieren Sie das Flag Vorübergehend.
  6. Um die Regel zu speichern und sie dem Raster hinzuzufügen, klicken Sie auf OK.
    Die Regel wird am Ende des Rasters oder an der von Ihnen im Kontextmenü angegebenen Stelle hinzugefügt. In der Spalte Ausstehend wird das Pluszeichen angezeigt.
  7. Prüfen Sie, ob die Regel in der richtigen Ausführungsreihenfolge zu den anderen Regeln im Raster steht. Falls erforderlich, verschieben Sie die Regel.
  8. Um den aktualisierten Regelsatz auf den Decoder oder Log Decoder anzuwenden, klicken Sie auf Anwenden.
    NetWitness Suite speichert einen Snapshot der aktuell angewendeten Regeln und wendet dann den aktualisierten Satz auf den Decoder an und entfernt den Hinweis „Ausstehend“ von den Regeln, die noch ausstanden.
You are here
Table of Contents > Konfigurieren von Decoder-Regeln > Konfigurieren von Anwendungsregeln

Attachments

    Outcomes