Decoder: Konfigurieren von Netzwerkregeln

Document created by RSA Information Design and Development on May 9, 2018
Version 1Show Document
  • View in full screen mode
 

Netzwerkregeln werden auf Paketebene auf einem Decoder angewendet und bestehen aus Regeln von Ebene 2, Ebene 3 und Ebene 4. Sie können mehrere Regeln auf der Paketebene auf einen Decoder anwenden. Netzwerkregeln können für mehrere Netzwerkschichten gelten (z. B. wenn eine Netzwerkregel bestimmte Ports für eine bestimmte IP-Adresse herausfiltert). Netzwerkregeln gelten nicht für Log Decoder, sondern nur für Paket-Decoder. 

Sie können Netzwerkregeln auf der Registerkarte „Netzwerkregeln“ der Ansicht „Services-Konfiguration“ erstellen.

Unterstützte Metaschlüssel in Netzwerkregelbedingungen

In der folgenden Tabelle werden die Metaschlüssel beschrieben, die NetWitness Suite zur Verwendung in Netzwerkregelbedingungen unterstützt. 

                                                                                     
MetaschlüsselBeschreibung
eth.addr Ethernetquelle oder Zieladresse. Allgemein bekannt als MAC-Adresse.
eth.dst Ethernetzieladresse. Dies entspricht dem Feld „Ethernetadresse“, es sei denn, es werden nur Pakete ausgewählt, bei denen die Zieladresse mit den ausgewählten Werten übereinstimmt.
eth.src Identisch mit Ethernetziel, außer dass der Schwerpunkt hier auf der Quelladresse liegt
eth.type Ethernetframetyp 
hdlc.type  Frametyp des HDLC-Frames
ip.addr  IPv4-Quell- oder -Zieladresse im Standardformat. IP-Adressen können nur in der CIDR-Notation für Subnetze eingegeben werden.
ip.dst IPv4-Zieladresse im Standardformat. IP-Adressen können nur in der CIDR-Notation für Subnetze eingegeben werden.
ip.proto Feld IPv4-Protokoll 
ip.src IPv4-Quelladresse im Standardformat. IP-Adressen können nur in der CIDR-Notation für Subnetze eingegeben werden.
ipv6.addr IPv6-Quell- oder Zieladresse im Hexadezimalformat. In der Regel werden IPv6-Adressen
in Form von acht Gruppen mit je vier hexadezimalen Ziffern geschrieben,
sodass die Länge der gesamten 128-Bit-Adresse dargestellt wird. Unterstützt die Notation zur Darstellung mehrerer
Blöcke aus 0000 in einer Adresse. Die CIDR-Notation wird nicht unterstützt.
ipv6.dst IPv6-Zieladresse im Hexadezimalformat
ipv6.proto Feld IPv6-Protokoll. Dies entspricht dem Next-Header-Feld in der IPv6-Kopfzeile
und verwendet denselben Wert wie das IPv4-Protokoll-Feld. 
ipv6.src IPv6-Quelladresse im Hexadezimalformat
tcp.dstport TCP-Zielport 
tcp.port TCP-Quell- oder Zielport
tcp.srcport TCP-Quellport
udp.dstport UDP-Zielport 
udp.port UDP-Quell- oder Zielport
udp.srcport UDP-Quellport

Im Folgenden sind Beispiele für Netzwerkregeln aufgeführt.

Um alle SSL aus dem Quellport zu kürzen, erstellen Sie eine Regel wie folgt:

  • Name der Regel: SSL kürzen
  • Bedingung: tcp.srcport=443
  • Regelaktion: Kürzen

Um den Subnetzdatenverkehr zu filtern, erstellen Sie eine Regel wie folgt:

  • Name der Regel: Subnetzfilter
  • Bedingung: ip.addr=192.168.2.0/24
  • Regelaktion: Filter

So fügen Sie eine Netzwerkregel hinzu oder bearbeiten sie:

  1. Wechseln Sie zu Administration > Services und wählen Sie einen Decoder-Service aus und dann Drop-down-Menü „Aktionen“ > Ansicht > Konfiguration
    Die Ansicht „Services-Konfiguration“ für den ausgewählten Service wird angezeigt.

  2. Wählen Sie die Registerkarte Netzwerkregeln aus.
    Die Registerkarte „Netzwerkregeln“ wird angezeigt.
    Dies ist ein Beispiel für die Registerkarte „Netzwerkregeln“.
  3. Führen Sie auf der Registerkarte Netzwerkregeln einen der folgenden Schritte aus:
  • Wenn Sie eine neue Regel hinzufügen möchten, klicken Sie auf Hinzufügen-Symbol
  • Wenn Sie eine Regel bearbeiten möchten, wählen Sie sie aus der Regelliste aus und klicken Sie auf Bearbeiten-Symbol.
    Das Dialogfeld „Regel-Editor“ wird angezeigt.
    Dies ist ein Beispiel für die Registerkarte „Regel-Editor“.
  1. Geben Sie im Feld Name der Regel einen Namen für die Regel an. Beispielsweise können Sie eine Regel, die SSL komplett aus dem Quellport kürzt, SSL kürzen nennen.
  2. Erstellen Sie im Feld Bedingung die Regelbedingung, die bei einer Übereinstimmung eine Aktion auslöst. Sie können direkt in das Feld schreiben oder die Bedingung in diesem Feld mithilfe der Metadaten aus den Fensteraktionen erstellen. Während Sie die Regeldefinition erstellen, zeigt NetWitness Suite Syntaxfehler und Warnungen an. Um z. B. alle SSL vom Quellport zu kürzen, geben Sie tcp.srcport=443 ein.
    Alle Zeichenfolgenliterale und Zeitstempel müssen in Anführungszeichen gesetzt werden. Zahlenwerte und IP-Adressen dürfen nicht in Anführungszeichen gesetzt werden. Unter Konfigurieren von Decoder-Regeln finden Sie zusätzliche Details. Unter Unterstützte Metaschlüssel in Netzwerkregelbedingungen sind die Metaschlüssel beschrieben, die in NetWitness Suite in Netzwerkregelbedingungen unterstützt werden.
  3. Wenn die Regelauswertung mit dieser Regel enden soll, aktivieren Sie das Kontrollkästchen Regelverarbeitung beenden.
  4. Wählen Sie im Abschnitt Sitzungsdaten eine der folgenden Aktionen aus, die angewendet werden soll, wenn ein passendes Paket gefunden wird.
  • Beibehalten: Die Paketnutzlast und die entsprechenden Metadaten werden gespeichert, wenn sie mit der Regel übereinstimmen.
  • Filter: Das Paket wird nicht gespeichert, wenn es mit der Regel übereinstimmt.
  • Kürzen: Die Paketnutzlast wird nicht gespeichert, wenn sie mit der Regel übereinstimmt, aber Paketkopfzeilen und zugehörige Metadaten werden beibehalten.
  1. Wählen Sie im Abschnitt Sitzungsoptionen alle geltenden Optionen der folgenden vier Optionen aus.
  • Assemblieren: Der Assembler setzt die Paketkette zusammen, wenn sie der Regel entspricht.
  • Netzwerkmetadaten: Das Paket erzeugt Netzwerkmetadaten, wenn es der Regel entspricht.
  • Anwendungsmetadaten: Das Paket erzeugt Anwendungsmetadaten, wenn es der Regel entspricht.
  • Warnmeldung: Das Paket erzeugt eine angepasste Warnmeldung, wenn Metadaten der Regel entsprechen.
  1. Um die Regel zu speichern und sie der Regelliste hinzuzufügen, klicken Sie auf OK.
    Die Regel wird am Ende der Liste oder an der von Ihnen im Kontextmenü angegebenen Stelle hinzugefügt.
  2. Prüfen Sie, ob die Regel in der richtigen Ausführungsreihenfolge in der Liste enthalten ist. Falls erforderlich, verschieben Sie die Regel.
  3. Um den aktualisierten Regelsatz auf den Decoder anzuwenden, klicken Sie auf Anwenden.
    NetWitness Suite speichert einen Snapshot der aktuell angewendeten Regeln und wendet dann den aktualisierten Satz auf den Decoder an und entfernt den Hinweis „Ausstehend“ von den Regeln, die noch ausstanden.
You are here
Table of Contents > Konfigurieren von Decoder-Regeln > Konfigurieren von Netzwerkregeln

Attachments

    Outcomes