Decoder: Konfigurieren von Feeds und Parsern

Document created by RSA Information Design and Development on May 9, 2018
Version 1Show Document
  • View in full screen mode
 

Feeds und Parser sind verantwortlich für die Analyse der Pakete und Protokolle, wenn diese erfasst oder in einen Decoder oder Log Decoder importiert werden. Am häufigsten werden sie für die Extrahierung statischer Metadaten und zur Identifizierung von Services verwendet. Mit der flexiblen Definition können die definierten Core-Services um zusätzliche Servicetypenidentifizierungen und Metadatenextrahierungen erweitert werden. Dies ist aufgrund der Vielzahl an benutzerdefinierten Anwendungen in einem Netzwerk von großer Bedeutung.

Hinweis: Wenn nicht anders angegeben, gilt jede Aussage über Decoder auch für Log Decoder.

Konfigurieren von Parsern

NetWitness Suite bietet einen Satz Core-Parser, die vom System definiert sind, sowie die Möglichkeit, zusätzliche Parser hinzuzufügen. Jeder Parser kann unter Ansicht „Services-Konfiguration“ – Registerkarte „Allgemein“ konfiguriert werden. Der Bereich „Parserkonfiguration“ bietet die Möglichkeit zur Aktivierung oder Deaktivierung der auf dem Decoder zu verwendenden Parser sowie die Beschränkung der vom Parser erstellten Metadaten.

Außerdem gibt es mehrere vom Benutzer konfigurierbare Parsertypen:

  • GeoIP: Dieser Parser verknüpft die IP-Adressen mit geographischen Standorten.
  • Search: Dieser Parser kann vom Benutzer konfiguriert werden und generiert Metadaten durch Suchen nach vordefinierten Schlüsselwörtern und regulären Ausdrücken.
  • FLEXPARSE (veraltet): Dies ist eine generische Parserdefinitionssprache zur Erweiterung der vorhandenen Anwendungsprotokollunterstützung des Decoders. Dieser Parser ist standardmäßig deaktiviert (siehe Aktivieren oder Deaktivieren der Lua- und Flex-Parsersysteme).
  • Lua: Dieser Parser wird mithilfe der Lua-Skripterstellungssprache zur Erweiterung der vorhandenen Anwendungsprotokollunterstützung des Decoders definiert.
  • enVision: Dieser Anwendungsparser unterstützt den Log Decoder und generiert Metadaten durch das Durchsuchen von Protokolldateien.
  • SNORT®: Dieser Parser unterstützt die Nutzlast-Erkennungsfunktionen von SNORT®-IDS-Regeln.

In der Ansicht „Services-Konfiguration“ > Registerkarte „Parser“ können Sie bereitgestellte Parser in einem Decoder anzeigen, Parser hochladen und bereitgestellte Parser löschen Die Benutzeroberfläche enthält auch einen Hinweis darauf, ob der Parser von Live-Services stammt, durch NetWitness Suite installiert wurde oder manuell hochgeladen wurde. Parser können hinzugefügt und entfernt werden, während ein Decoder ausgeführt wird, ohne die Erfassung zu beeinträchtigen.

Außerdem können Sie Parser mit NetWitness Suite Live-Services herunterladen.

Konfigurieren von Feeds

NetWitness Suite verwendet Feeds zum Erstellen von Metadaten, die auf extern definierten Metadatenwerten beruhen. Ein Feed ist eine Liste von Daten, die bei der Erfassung oder Verarbeitung von Sitzungen mit diesen abgeglichen werden. Bei jedem erfolgreichen Abgleich werden zusätzliche Metadaten erstellt. Mit diesen Daten können bösartige IPs identifiziert und klassifiziert werden oder zusätzliche Unternehmensinformationen, wie Abteilung und Standort, basierend auf internen Netzwerkzuweisungen einbezogen werden. Einige Beispiele für Feeds sind Bedrohungsfeeds zur Identifizierung von BOTNets, DHCP-Zuordnungen oder auch Active Directory-Informationen wie physischer Standort oder logische Abteilung.

Sie können das Modul Live in NetWitness Suite verwenden, um Feeds aus externen Quellen zu erhalten. Eine Übersicht über das Contentmanagementtool Live finden Sie im Handbuch Live-Services-Management unter „Live-Inhalte in NetWitness Suite“.

In der NetWitness Suite-Benutzeroberfläche können Sie die Liste der zurzeit bereitgestellten Feeds zusammen mit einem Hinweis darauf sehen, ob ein von Live stammender Feed über NetWitness Suite installiert wurde oder manuell heruntergeladen wurde. Feeds können hinzugefügt, entfernt und aktualisiert werden, während ein Decoder ausgeführt wird, ohne die Erfassung zu beeinträchtigen.

verfügt über einen Assistenten für die schnelle Erstellung und Bereitstellung von benutzerdefinierten Decoderfeeds auf der Basis einer deterministischen Logik, die die für die ausgewählten Decoder und Log Decoder spezifischen Metaschlüssel bereitstellt. Auch wenn der Assistent Benutzer sowohl durch die Schritte zur Erstellung eines bedarfsorientierten Feeds als auch eines wiederkehrenden Feeds führt, ist es hilfreich, das Format und den Inhalt einer Feeddatei bei der Erstellung eines Feeds zu verstehen.

NetWitness Suite verfügt über einen Assistenten für benutzerdefinierte Feeds, der die Erstellung und Verwaltung benutzerdefinierter Feeds optimiert und sie an ausgewählte Decoder und Log Decoder überträgt. Darüber hinaus können Sie vorhandene Feeddateien herunterladen und die Dateien bearbeiten. Anschließend können Sie den Feed bearbeiten oder einen neuen Feed mithilfe der bearbeiteten Datei erstellen.

You are here
Table of Contents > Konfigurieren von Feeds und Parsern

Attachments

    Outcomes