Decoder: Konfigurieren von Feeds und Parsern

Document created by RSA Information Design and Development on May 9, 2018Last modified by RSA Information Design and Development on Apr 28, 2019
Version 2Show Document
  • View in full screen mode
 

Feeds und Parser sind verantwortlich für die Analyse der Pakete und Protokolle, wenn diese erfasst oder in einen Decoder oder Log Decoder importiert werden. Am häufigsten werden sie für die Extrahierung statischer Metadaten und zur Identifizierung von Services verwendet. Mit der flexiblen Definition können die definierten Core-Services um zusätzliche Servicetypenidentifizierungen und Metadatenextrahierungen erweitert werden. Dies ist aufgrund der Vielzahl an benutzerdefinierten Anwendungen in einem Netzwerk von großer Bedeutung.

Hinweis: Wenn nicht anders angegeben, gilt jede Aussage über Decoder auch für Log Decoder.

Konfigurieren von Parsern

NetWitness Platform bietet einen Satz Core-Parser, die vom System definiert sind, sowie die Möglichkeit, zusätzliche Parser hinzuzufügen. Jeder Parser kann unter Ansicht „Services-Konfiguration“ – Registerkarte „Allgemein“ konfiguriert werden. Der Bereich „Parserkonfiguration“ bietet die Möglichkeit zur Aktivierung oder Deaktivierung der auf dem Decoder zu verwendenden Parser sowie die Beschränkung der vom Parser erstellten Metadaten.

Außerdem gibt es mehrere vom Benutzer konfigurierbare Parsertypen:

  • GeoIP2 oder GeoIP: Diese Parser verknüpfen IP-Adressen mit geographischen Standorten. Für neue Installationen und Upgrades ist der GeoIP2-Parser standardmäßig aktiviert. Es kann jeweils nur einer dieser Parser aktiviert sein. Weitere Informationen zu diesen Parsern finden Sie unter GeoIP2- und GeoIP-Parser.
  • Search: Dieser Parser kann vom Benutzer konfiguriert werden und generiert Metadaten durch Suchen nach vordefinierten Schlüsselwörtern und regulären Ausdrücken.
  • FLEXPARSE (veraltet): Dies ist eine generische Parserdefinitionssprache zur Erweiterung der vorhandenen Anwendungsprotokollunterstützung des Decoders. Dieser Parser ist standardmäßig deaktiviert (siehe Aktivieren oder Deaktivieren der Lua- und Flex-Parsersysteme).
  • Lua: Dieser Parser wird mithilfe der Lua-Skripterstellungssprache zur Erweiterung der vorhandenen Anwendungsprotokollunterstützung des Decoders definiert.
  • enVision: Dieser Anwendungsparser unterstützt den Log Decoder und generiert Metadaten durch das Durchsuchen von Protokolldateien.
  • SNORT®: Dieser Parser unterstützt die Nutzlast-Erkennungsfunktionen von SNORT®-IDS-Regeln. Snort-Regeln und-Konfigurationen werden dem parsers/snort-Verzeichnis für Ermittlungen und Decoder hinzugefügt (Snort Parser).

Auf der Registerkarte „Parser“ in der Ansicht „Services-Konfiguration“ können Sie auf einem Decoder bereitgestellte Parser anzeigen, Parser hochladen und bereitgestellte Parser löschen. Die Benutzeroberfläche enthält auch einen Hinweis darauf, ob der Parser von Live Services stammt, durch NetWitness Platform installiert wurde oder manuell hochgeladen wurde. Parser können hinzugefügt und entfernt werden, während ein Decoder ausgeführt wird, ohne die Erfassung zu beeinträchtigen.

Außerdem können Sie Parser mit NetWitness Platform Live Services herunterladen.

Konfigurieren von Feeds

NetWitness Platform verwendet Feeds zum Erstellen von Metadaten, die auf extern definierten Metadatenwerten beruhen. Ein Feed ist eine Liste von Daten, die bei der Erfassung oder Verarbeitung von Sitzungen mit diesen abgeglichen werden. Bei jedem erfolgreichen Abgleich werden zusätzliche Metadaten erstellt. Mit diesen Daten können bösartige IPs identifiziert und klassifiziert werden oder zusätzliche Unternehmensinformationen, wie Abteilung und Standort, basierend auf internen Netzwerkzuweisungen einbezogen werden. Einige Beispiele für Feeds sind Bedrohungsfeeds zur Identifizierung von BOTNets, DHCP-Zuordnungen oder auch Active Directory-Informationen wie physischer Standort oder logische Abteilung.

Sie können das Modul Live in NetWitness Platform verwenden, um Feeds aus externen Quellen zu erhalten. Eine Übersicht über das Contentmanagementtool Live finden Sie im Handbuch Live-Services-Management unter „Live-Inhalte in NetWitness Platform“.

In der NetWitness Platform-Benutzeroberfläche können Sie die Liste der zurzeit bereitgestellten Feeds zusammen mit einem Hinweis darauf sehen, ob ein von Live stammender Feed über NetWitness Platform installiert wurde oder manuell heruntergeladen wurde. Feeds können hinzugefügt, entfernt und aktualisiert werden, während ein Decoder ausgeführt wird, ohne die Erfassung zu beeinträchtigen.

Der Assistent für benutzerdefinierte Feeds ermöglicht eine schnelle Erstellung und Bereitstellung von benutzerdefinierten Decoderfeeds auf der Basis einer deterministischen Logik, die die für die ausgewählten Decoder und Log Decoder spezifischen Metaschlüssel bereitstellt. Auch wenn der Assistent Benutzer sowohl durch die Schritte zur Erstellung eines bedarfsorientierten Feeds als auch eines wiederkehrenden Feeds führt, ist es hilfreich, das Format und den Inhalt einer Feeddatei bei der Erstellung eines Feeds zu verstehen.

NetWitness Platform verfügt über einen Assistenten für benutzerdefinierte Feeds, der die Erstellung und Verwaltung benutzerdefinierter Feeds optimiert und sie an ausgewählte Decoder und Log Decoder überträgt. Darüber hinaus können Sie vorhandene Feeddateien herunterladen und die Dateien bearbeiten. Anschließend können Sie den Feed bearbeiten oder einen neuen Feed mithilfe der bearbeiteten Datei erstellen.

You are here
Table of Contents > Konfigurieren von Feeds und Parsern

Attachments

    Outcomes