Decoder: Konfigurieren von Erfassungseinstellungen

Document created by RSA Information Design and Development on May 9, 2018•Last modified by RSA Information Design and Development on Apr 28, 2019

Version 2Show Document

Like • Show 0 Likes0
Comment • 0
View in full screen mode

Beim ersten Einrichten des Decoders ist die Konfiguration der Netzwerkadapter-Schnittstelle erforderlich. Zusätzliche optionale Erfassungseinstellungen sind verfügbar. Zwei, die häufig verwendet werden, sind der Berkeley Packet Filter und der Erfassungs-Autostart.

Neben der grundlegenden Einrichtung der Netzwerkadapter-Schnittstelle können Sie eine der in (Optional) Beibehalten von VLAN-Tags bei der Nutzung der Paket-MMAP-Erfassungsschnittstelle oder (Optional) Konfigurieren eines Decoders zur Datenerfassung für alle Arten von Netzwerkschnittstellen beschriebenen speziellen Konfigurationen nutzen.

Für den Rest der Erfassungseinstellungen werden Standardwerte festgelegt, die für die meisten Fälle gut geeignet sind. Eine detaillierte Liste ist in der Ansicht Ansicht „Services-Konfiguration“ – Registerkarte „Allgemein“ zu finden. Sie können diese unter bestimmten Umständen anpassen, beispielsweise dann, wenn der Kundensupport Sie anweist, eine Änderung vorzunehmen. Sie können die Erfassungseinstellungen jederzeit ändern.

Auswählen eines Netzwerkadapters

In der Tabelle unten werden die Netzwerkadaptereinstellungen für einen Decoder beschrieben. Der Systemadministrator legt die Standardnetzwerkadapter fest, wenn der Decoder installiert wird. Wenden Sie sich für weitere Informationen an Ihren Systemadministrator.

Adapter-Parameter	Beschreibung
Berkley Packet Filter	Berkeley Packet Filter (BPF) werden auf den Paketstream angewendet, bevor die Pakete auf den Decoder-Adapter zur Analyse kopiert werden. Dies ermöglicht das effiziente Verwerfen ungewollten Datenverkehrs. Allerdings werden verworfene Pakete in keiner Decoder-Statistik berücksichtigt (Erfassungsrate, Paketverluste und gefilterte Pakete und Pakete gesamt).
Ausgewählte Erfassungsschnittstelle	Wählen Sie einen Adapter aus, durch den der Decoder Pakete erfasst. Verwenden Sie für die langsamere interne Erfassungsschnittstelle den Adapter packet_mmap_,7,eth1, der dem Überwachungsport auf dem Motherboard entspricht. Es gibt sechs zusätzliche Erfassungsports: packet_mmap_,1,lo (bpf) packet_mmap_,2,eth2 (bpf) packet_mmap_,3,eth3 (bpf) packet_mmap_,4,eth4 (bpf) packet_mmap_,5,eth5 (bpf) packet_mmap_,8,ALL (bpf) Es stehen drei drahtlose Erfassungsservices zur Verfügung: packet_netmon_ (Microsoft Netmon) packet_mac80211_ (Linux mac80211) packet_airport_ (Mac OS X AirPort)
Für Log Decoder ausgewählte Erfassungsschnittstelle	Der folgende Erfassungsservice ist verfügbar: log_events,Protokollereignisse

Adapter-Parameter

Beschreibung

Berkley Packet Filter

Berkeley Packet Filter (BPF) werden auf den Paketstream angewendet, bevor die Pakete auf den Decoder-Adapter zur Analyse kopiert werden. Dies ermöglicht das effiziente Verwerfen ungewollten Datenverkehrs. Allerdings werden verworfene Pakete in keiner Decoder-Statistik berücksichtigt (Erfassungsrate, Paketverluste und gefilterte Pakete und Pakete gesamt).

Ausgewählte Erfassungsschnittstelle

Wählen Sie einen Adapter aus, durch den der Decoder Pakete erfasst. Verwenden Sie für die langsamere interne Erfassungsschnittstelle den Adapter packet_mmap_,7,eth1, der dem Überwachungsport auf dem Motherboard entspricht. Es gibt sechs zusätzliche Erfassungsports:

packet_mmap_,1,lo (bpf)
packet_mmap_,2,eth2 (bpf)
packet_mmap_,3,eth3 (bpf)
packet_mmap_,4,eth4 (bpf)
packet_mmap_,5,eth5 (bpf)
packet_mmap_,8,ALL (bpf)

Es stehen drei drahtlose Erfassungsservices zur Verfügung:

packet_netmon_ (Microsoft Netmon)
packet_mac80211_ (Linux mac80211)
packet_airport_ (Mac OS X AirPort)

Für Log Decoder ausgewählte Erfassungsschnittstelle

Der folgende Erfassungsservice ist verfügbar:

log_events,Protokollereignisse

So konfigurieren den Netzwerkadapter auf einem Decoder:

Navigieren Sie zu ADMIN > Services.
Wählen Sie in der Ansicht „Administration Services“ den Decoder und > Ansicht > Konfiguration
aus.Die Ansicht „Service-Konfiguration“ wird angezeigt und die Registerkarte „Allgemein“ geöffnet.
Wählen Sie im Feld Ausgewählte Erfassungsschnittstelle den Netzwerkadapter aus, der sich am besten für den Decoder eignet.
Klicken Sie zum Speichern der Änderungen auf Anwenden.
Sollen die Änderungen sofort übernommen werden, navigieren wieder zur Ansicht „Administration Services“ und wählen Sie den Decoder und im Anschluss > Neu starten aus.

Konfigurieren eines Decoders zum automatischen Beginn der Datenerfassung

Navigieren Sie zu ADMIN > Services.
Wählen Sie in der Ansicht „Administration Services“ den Decoder und > Ansicht > Konfiguration
aus.Die Ansicht „Service-Konfiguration“ wird angezeigt und die Registerkarte „Allgemein“ geöffnet.
Wählen Sie unter Einstellungen erfassen das Kontrollkästchen Erfassungs-Autostart aus.
Klicken Sie zum Speichern der Änderungen auf Anwenden.
Sollen die Änderungen sofort übernommen werden, navigieren wieder zur Ansicht „Administration Services“ und wählen Sie den Decoder und im Anschluss > Neu starten aus.

Konfigurieren von optionalen Erfassungseinstellungen

Navigieren Sie zu ADMIN > Services.
Wählen Sie in der Ansicht „Administration Services“ den Decoder und > Ansicht > Konfiguration
aus.Die Ansicht „Service-Konfiguration“ wird angezeigt und die Registerkarte „Allgemein“ geöffnet.
Wenn ein Filter auf Systemebene auf den Paketstream angewendet werden soll, bevor die Pakete zur Analyse auf den Decoder-Adapter kopiert werden, konfigurieren Sie den Berkeley Packet Filter wie in (Optional) Konfigurieren der Paketfilterung auf Systemebene (BPF) beschrieben.
Überprüfen Sie im Abschnitt Einstellungen erfassen die Standardwerte. Wenn ein Service zum ersten Mal hinzugefügt wird, werden Standardwerte festgelegt, die nur unter besonderen Umständen geändert werden dürfen, beispielsweise dann, wenn der Kundensupport Sie anweist, eine Änderung vorzunehmen. In der Ansicht „Services-Konfiguration“ – Registerkarte „Allgemein“ finden Sie eine Erläuterung dieser Einstellungen.
Überprüfen Sie im Abschnitt Maximale Datenbankdateigrößen die Standardwerte. Wenn ein Service zum ersten Mal hinzugefügt wird, werden Standardwerte festgelegt, die nur unter besonderen Umständen geändert werden dürfen, beispielsweise dann, wenn der Kundensupport Sie anweist, eine Änderung vorzunehmen. In der Ansicht „Services-Konfiguration“ – Registerkarte „Allgemein“ finden Sie eine Erläuterung dieser Einstellungen.
Definieren Sie im Abschnitt Hash ein Verzeichnis für Hash-Dateien, wenn Sie diese Funktion verwenden. In der Ansicht „Services-Konfiguration“ – Registerkarte „Allgemein“ finden Sie eine Erläuterung dieser Einstellungen.