Decoder: Konfigurieren von Decoder-Regeln

Document created by RSA Information Design and Development on May 9, 2018
Version 1Show Document
  • View in full screen mode
 

In diesem Thema werden Verfahren zur Erstellung und Verwaltung von Regeln für die Erfassung von Decoder- oder Log Decoder-Datenverkehr auf der Registerkarte „Regeln“ in der Ansicht „Service-Konfiguration“ vorgestellt. Ansicht „Services-Konfiguration“ – Registerkarte „Regeln“ enthält Details zu den Optionen auf der Registerkarte „Regeln“.

Auf der folgenden Abbildung sind häufig verwendete Einstellungen auf einem Decoder zu sehen. Eine grundlegende, schnell durchführbare Einrichtung mit den wichtigsten Schritten finden Sie in Decoder und Log Decoder – Schnelleinrichtung.

Erfassungsregeln können Sitzungen oder Protokollen Warnmeldungen oder kontextbezogene Informationen hinzufügen. Sie können außerdem definieren, welche Daten von einem Decoder oder Log Decoder ausgefiltert werden. Regeln werden für bestimmte Metadatenmuster erstellt, die zu vordefinierten Aktionen führen, wenn Übereinstimmungen gefunden werden. Um zum Beispiel allen Datenverkehr beizubehalten, der bestimmten Kriterien entspricht, aber allen anderen Datenverkehr zu verwerfen, können Sie eine Regel zur Ausführung der notwendigen Aktionen definieren. Wenn sie angewendet werden, wirken sich Regeln sowohl auf das Importieren von Paketerfassungsdateien als auch auf die Live-Netzwerkerfassung aus.

In Richtlinien für Regeln und Abfragen finden Sie Richtlinien, die bei der Erstellung beliebiger Abfragen und Regelbedingungen in NetWitness Suite Core-Services befolgt werden müssen.

Standardmäßig sind keine Regeln definiert, wenn Sie NetWitness Suite erstmals installieren. Bis Regeln festgelegt werden, werden die Pakete nicht gefiltert. Sie können die neuesten Regeln von Live bereitstellen. Sie können drei Regeltypen definieren: Netzwerkregeln, Anwendungsregeln und Korrelationsregeln

  • Netzwerkregeln werden auf Paketebene angewendet und bestehen aus Regeln von Ebene 2, Ebene 3 und Ebene 4. Mehrere Regeln können auf den Decoder angewendet werden. Regeln können auf mehrere Ebenen angewendet werden (zum Beispiel, wenn eine Netzwerkregel bestimmte Ports für eine bestimmte IP-Adresse herausfiltert). Netzwerkregeln sind nur auf Packet Decoders verfügbar.
  • Anwendungsregeln werden auf der Sitzungsebene angewendet. Wenn die erste Regel keine Übereinstimmung ergibt, versucht der Decoder die nächste Regel auf der Liste, bis eine Übereinstimmung gefunden wurde.
  • Die Korrelationsregeln werden für ein konfigurierbares gleitendes Zeitfenster angewendet. Wenn eine Übereinstimmung gefunden wird, erstellt der Service eine neue Supersitzung, die andere Sitzungen identifiziert, die mit der Regel übereinstimmen, und erstellt dann eine Sitzungsliste zur Analyse.

Die beiden häufigsten Anwendungen von Regeln sind:

  • Eine Warnmeldung auslösen und damit einen angepassten Warnmeldungsmetawert erstellen, wenn bestimmte Bedingungen erfüllt sind
  • Herausfiltern bestimmter Arten von Datenverkehr, die der Analyse der Daten keinen Wert hinzufügen

Gruppen von Erfassungsregeln bilden Regelsätze, die Sie importieren und exportieren können. Diese Funktion ermöglicht die Verwendung mehrerer Regelsätze für verschiedene Szenarien. Sie können den exportierten Regelsatz in Form einer .nwr-Datei in andere NetWitness Suite-Services importieren und so die Bereitstellung und Konfiguration mehrerer Services vereinfachen.

Regelverarbeitung

Diese Prinzipien bestimmen die Verarbeitung von Erfassungsregeln:

  • Mehrere Regeln können auf den Decoder angewendet werden.
  • Erfassungsregeln werden eine nach der anderen aufeinanderfolgend ausgeführt.
  • Die Regelverarbeitung wird beendet, wenn alle Regeln verarbeitet wurden oder nachdem eine Regel verarbeitet wurde, die konfiguriert wurde, um die Regelverarbeitung zu beenden.
  • Eine Standardregel kann verwendet werden, um allen Datenverkehr entweder einzuschließen oder auszuschließen, der nicht von anderen Regeln ausgewählt wird. Eine Standardregel muss, wenn sie verwendet wird, immer ans Ende einer Regelliste gestellt werden. Andernfalls wird die Regelverarbeitung beendet, sobald die Standardregel evaluiert wird, da definitionsgemäß der gesamte Datenverkehr von der Standardregel ausgewählt wird.
  • Wenn die Regelverarbeitung beendet wird, wird die Sitzung unter Verwendung der konfigurierten Sitzungsoptionen und Debugoptionen gespeichert.

Regelkonfiguration

Richtlinien für Regeln und Abfragen

Alle Abfragen und Regelbedingungen in RSA NetWitness Core-Services müssen den folgenden Richtlinien entsprechen:

Alle Zeichenfolgenliterale und Zeitstempel müssen in Anführungszeichen gesetzt werden. Zahlen, MAC-Adressen oder IP-Adressen dürfen nicht in Anführungszeichen gesetzt werden.

  • extension = 'torrent'
  • time='2015-jan-01 00:00:00'
  • service=80
  • ip.src = 192.168.0.1

Hinweis: Das Leerzeichen rechts und links neben einem Operator ist optional. Sie können eine Regel zum Beispiel als service=80 oder service = 80 eingeben.

Beispiele für Regeln

In der folgenden Tabelle sind Beispiele für Regelbedingungen. Sie können Regelbedingungen für Protokollaufbewahrungssammlungen in einem Archiver und für Anwendungs-, Netzwerk- und Korrelationsregeln auf einen Decoder, Log Decoder oder Concentrator verwenden. Regelbedingungen werden auch in allen WHERE -Klauseln in allen Core-Datenbankabfragen verwendet.

Detaillierte Informationen zur Regelsyntax in der NetWitness Suite finden Sie unter WHERE-Klauseln“ im Abschnitt „Abfragen“ des Core-Datenbank-Tuning-Leitfadens.

                             
Name der Regel Bedingung
ComplianceDevices device.group='PCI Devices' || device.group='HIPPA Devices'
HighValueWindows device.group='Windows Compliance'
MediumValueWindows device.type='winevent_nic' && msg.id='security_4624_security'
LowValueWinLogs device.type='winevent_nic' && msg.id='security_4648_security'
LowValueProxyLogs device.class='proxy' && msg.id='antivirus_license_expired'
GeneralWindows device.type='winevent_nic'

Ungültige Regeln

NetWitness Suite nutzt einen Regel-Parser, der die gültige Syntax für Regeln und Abfragen streng definiert. Wenn ein Core-Service auf ungültige Syntax trifft, schreibt er eine Warnmeldung in die Protokolle der NetWitness Suite und weist darin auf den Fehler hin.

Hinweis: NetWitness Suite 11.0 bietet keine Unterstützung für das Parsing von älteren Syntaxregeln (etwa von NetWitness Suite 10.6). Nach der Aktualisierung auf NetWitness Suite 11.0 werden Regeln mit ungültiger Syntax auf der Benutzeroberfläche hervorgehoben und es werden keine Regeln angewendet, bis die ungültigen Regeln korrigiert sind. Der Regel-Editor bietet zusätzliche Kurzinformationen. Nachdem Sie die Regeln repariert haben, werden die Hervorhebungen nicht mehr angezeigt. Siehe Korrigieren von Regeln mit ungültiger Syntax.

In den /decoder/config/rules/rule.errors - und /concentrator/config/rules/rule.errors -Statistiken ist die Anzahl der Regeln mit Fehlern enthalten. Wenn rule.errors nicht null ist, erzeugt die NetWitness Suite eine Warnmeldung zu Integrität und Zustand und weist so darauf hin, dass die Regeln korrigiert werden müssen.

Allgemeine Richtlinien zur Syntax

  • Literalwerte müssen in allen Textwerten in Anführungszeichen gesetzt werden. Beispiel: username = 'user1'
  • Anführungszeichen können einfach oder doppelt sein, sie müssen aber übereinstimmen. Das bedeutet, dass Sie nicht mit einem einfachen Anführungszeichen beginnen und am Ende ein doppeltes Anführungszeichen setzen können.
  • Wenn der Literalwert ein Anführungszeichen enthält, können Sie ein Escape-Zeichen voranstellen (umgekehrter Schrägstrich) oder ein anderes öffnendes Anführungszeichen verwenden. Beide der folgenden Beispiele sind gültig: username = "User's" , username = 'User\'s'

Im Folgenden sind gültige Syntaxregeln aufgeführt:

  • Um einen umgekehrten Schrägstrich in einer Literalzeichenfolge zu verwenden, stellen Sie ihm einen zusätzlichen umgekehrten Schrägstrich als Escape-Zeichen voran: \
  • Für alle Zeitwerte müssen Anführungszeichen für Datumsangaben im folgenden Format verwendet werden:
    time = 'YYYY-MM-DD HH:MM:SS'
  • Alle Zeitwerte, die der Anzahl von Sekunden seit EPOCH (1. Januar 1970) entsprechen, müssen nicht in Anführungszeichen gesetzt werden.
    Beispiel: time = 1448034064
  • Alles andere wird nicht in Anführungszeichen gesetzt: IP-Adressen, MAC-Adressen, Zahlen und so weiter. Beispiel: service = 80 && ip.src = 192.168.1.1/16

Regelerfassungssyntax

Erfassungsregeln vergleichen Felder mit Werten oder anderen Feldern. Das hier ist ein Beispiel für einen einfachen Ausdruck mit einem Metaschlüssel auf der linken Seite des Operators und einem Wert auf der rechten Seite davon.

ip.dst=192.168.1.1

Die Syntax ermöglicht einen Metaschlüssel auf der rechten Seite des Operators in Decodern und Log Decodern für Anwendungs- und Netzwerkregeln. Der Vergleich von Metaschlüsseln ist in der where-Klausel von Abfragen nicht relevant. Das hier ist ein Beispiel für einen einfachen Ausdruck mit einem Metaschlüssel auf der linken Seite des Operators und einem Metaschlüssel auf der rechten Seite davon.

ip.src=ip.dst

Regeln, die einen Metaschlüsselvergleich umfassen, unterstützen umbenannte Metaschlüssel. Wenn eine Regel einen Metaschlüssel abfragt, der umbenannt wurde, wird die Regel für den umbenannten Metaschlüssel analysiert. Wenn zum Beispiel der Metaschlüssel ip_dst in einer Regel verwendet wird, wird er transparent dem umbenannten Metaschlüssel zugeordnet: ip.dst. Vorhandene Regeln, die Originalschlüssel enthalten, führen zu Warnmeldungen, die Daten für den umbenannten Metaschlüssel enthalten.

Dies ist ein Beispiel für eine Regel, die Pakete findet, die dieselbe ip.src- und ip.dst-Adresse auf einem Decoder haben, und eine Warnmeldung auf dem Concentrator erzeugt.

alert=alert.id name=testRule8 rule="ip.src=ip.dst" order=38

Diese Regel würde einen Fehler erzeugen, da es sich bei eth.src und ip.src um nicht kompatible Formate handelt.

rule="eth.src=ip.src" name="testRule99" alert=alert.id

Werte können als diskrete Werte, als Wertebereich, als obere und untere Grenzwerte oder als Kombination dieser drei Möglichkeiten ausgedrückt werden. Sie können einen Größer-als- oder Kleiner-als-Vergleich erstellen und die Gleichheit oder Ungleichheit gegenüber einem Wertebereich oder einem oberen oder unteren Grenzwert testen.

key 0-5 (ein Wertebereich)

key = 0-u entspricht key >= 0 (obere Grenze, größer als oder gleich)

In der folgende Tabelle sind die Operatoren in Metaschlüsseln zusammengefasst.

                                                                                                         
Format des linken OperandenOperatorFormat des rechten OperandenBeschreibung
Alle= kompatibel mit linkem OperandenGleichheitsoperator. Sie können auf der rechten Seite des Gleichheitsoperators Werte oder Metaschlüssel verwenden.

Alle

!= kompatibel mit linkem OperandenUngleichheitsoperator. Sie können auf der rechten Seite des Ungleichheitsoperators Werte oder Metaschlüssel verwenden.
Alle < kompatibel mit linkem OperandenKleiner-als-Operator. Sie können auf der rechten Seite dieses Operators Werte oder Metaschlüssel verwenden.
Alle <= kompatibel mit linkem OperandenKleiner-als-oder-gleich-Operator. Sie können auf der rechten Seite dieses Operators Werte oder Metaschlüssel verwenden.
Alle > kompatibel mit linkem OperandenGrößer-als-Operator. Sie können auf der rechten Seite dieses Operators Werte oder Metaschlüssel verwenden.
Alle >= kompatibel mit linkem OperandenGrößer-als-oder-gleich-Operator. Sie können auf der rechten Seite dieses Operators Werte oder Metaschlüssel verwenden.
Textcontains TextFindet Werte, die den rechten Operanden enthalten. Sie können auf der rechten Seite dieses Operators Metaschlüssel oder Werte verwenden.

Text

begins

Text

Findet Werte, die mit dem rechten Operanden beginnen. Sie können auf der rechten Seite dieses Operators Metaschlüssel oder Werte verwenden.
Textends TextFindet Werte, die mit dem rechten Operanden enden. Sie können auf der rechten Seite dieses Operators Metaschlüssel oder Werte verwenden.

Text

length

Ganze Zahl

Findet Zeichenfolgen, die eine bestimmte Länge haben. Sie können auf der rechten Seite dieses Operators Metaschlüssel oder Werte verwenden.

Alle

count

Ganze Zahl

Findet Werte mit einer bestimmten Anzahl an Vorkommen. Sie können auf der rechten Seite dieses Operators Metaschlüssel oder Werte verwenden.

Alle

ucount und unique

Ganze Zahl

Findet eine Anzahl nur einmal vorkommender Werte. Sie können auf der rechten Seite dieses Operators Metaschlüssel oder Werte verwenden. Beispiel: Wenn die Ergebnisse Instanzen eines Metaschlüssels mit 5 eindeutigen Werten enthalten und 3 davon übereinstimmen, entspricht ucount der Zahl 6.

exists AlleFindet alle Werte für den Metaschlüssel. Sie können auf der rechten Seite dieses Operators Metaschlüssel oder Werte verwenden.
!exists AlleFindet alle Sitzungen, in denen der Metaschlüssel nicht vorkommt. Sie können auf der rechten Seite dieses Operators Metaschlüssel oder Werte verwenden.

Text

regex

Text

Findet Werte, die mit einem regulären Ausdruck übereinstimmen. Sie können auf der rechten Seite dieses Operators Werte verwenden.

In der folgende Tabelle sind andere Syntaxelemente, die in Regeln verwendet werden, zusammengefasst.

                                               
SyntaxelementBeschreibung

*

Standardregel Wenn Sie einen Asterisk (*) als einziges Zeichen in einer Regel verwenden, wird diese Regel den gesamten Datenverkehr auswählen.

u Obergrenze für einen Zeitbereich, IP-Adressen oder numerisch Formate. Beispiel: Die Syntax zum Auswählen aller TCP-Ports über 40000 wäre:
tcp.port = 40000-u
l Untergrenze für einen Zeitbereich, IP-Adressen oder numerisch Formate. Beispiel: Die Syntax zum Auswählen aller TCP-Ports unter 40.000 wäre:
tcp.port = l-40000
- (Querstrich)Bezeichnet einen Bereich. Dies gilt nur für Zeitwerte, IP- oder MAC-Adressen oder numerische Werte. Trennen Sie den unteren vom oberen Grenzwert des Bereichs mit einem Bindestrich (-). Die Syntax zum Auswählen von TCP-Ports zwischen 25 und 443 wäre beispielsweise:
tcp.port = 25-443
, (Komma)Kennzeichnet eine Liste von Bereichen oder Werten oder Metaschlüssel. Einzelne Werte können genauso verwendet werden wie jede Kombination von Bereichen und oberen und unteren Grenzwerten. Einzelne Metaschlüssel können in einer Liste verwendet werden. Metaschlüssel und Literalwerte können nicht beide auf der rechten Seite eines Operators auftreten. Beispiel: Folgendes wäre eine gültige Syntax:
tcp.port = 1-10,25,110,143-225,40000-u
( ) Gruppierungsoperator Ein Ausdruck kann in Klammern eingeschlossen werden, um einen neuen logischen Ausdruck zu erstellen. Beispiel: Der folgende Ausdruck würde Datenverkehr auf Port 80 nach/von 192.168.1.1 ODER Datenverkehr auf Port 443 nach/von 10.10.10.1 auswählen:
(ip.addr=192.168.1.1 && tcp.port=80) || (ip.addr=10.10.10.1 && tcp.port=443)

~

Logischer NICHT-Operator, eine Negation eines Ausdrucks.

&& Logischer UND-Operator, eine Konjunktion zweier Ausdrücke.
|| Logischer ODER-Operator, eine Disjunktion zweier Ausdrücke.

Konfigurieren von Erfassungsregeln

Die Decoder- und Log Decoder-Regeln können in der Ansicht „Service-Konfiguration“ bearbeitet werden. Während jeder Regeltyp (Netzwerk, Anwendung und Korrelation) seine eigene Registerkarte hat, sind die Funktionen für alle Regeltypen ähnlich. Sie können:

  • Regeln hinzufügen, bearbeiten und löschen
  • Regeln aktivieren und deaktivieren
  • Die Ausführungsfolge von Regeln ändern
  • Regeln aus einer Datei importieren
  • Regeln in eine Datei exportieren
  • Regeln auf einen anderen Service übertragen
  • Änderungen zurücksetzen oder anwenden
  • Eine der letzten zehn Regelkonfigurationen aus einem Snapshot wiederherstellen

Konfigurieren von Regeln auf den „Regeln“-Registerkarten

  1. Navigieren Sie zu ADMIN > Services.
  2. Wählen Sie in der Ansicht Services einen Decoder-Service und Abgeschnittenes „Aktionen“-Menü > Ansicht > Konfigurieren aus.
  3. Wählen Sie in der Ansicht Service-Konfiguration eine der „Regeln“-Registerkarten aus: Netzwerkregeln, App-Regeln oder Korrelationsregeln.
    Die Regelliste für den ausgewählten Regeltyp wird angezeigt.
    Dies ist ein Beispiel der Regelliste auf der Registerkarte „App-Regeln“.

Für jeden Regeltyp gibt es eine Liste mit etwas unterschiedlichen Spalten und unterschiedlichen Parametern. Mehrere grundlegende Richtlinien gelten für alle Regelmanagementaktivitäten:

  • Die Regeln werden in der Reihenfolge ausgeführt, in der sie in der Liste angezeigt werden. Ziehen Sie die Regeln zur Änderung der Reihenfolge ihrer Ausführung per Drag-and-drop an die entsprechende Stelle in der Liste oder verwenden Sie die Kontextmenüoptionen, um die Regeln in der Liste anzuordnen.
  • Klicken Sie zur Auswahl einer einzelnen Zeile auf die Zeile.
  • Klicken Sie zur Auswahl einer Gruppe benachbarter Zeilen auf die erste Zeile, drücken Sie dann die Umschalttaste und klicken Sie auf die Zeile am Ende der Gruppe.
  • Klicken Sie zur Auswahl mehrerer Zeilen, die nicht benachbart sind, auf die erste Zeile, halten Sie dann die Steuerungstaste gedrückt und klicken Sie auf die anderen Zeilen.
  • Wenn Sie Regeln auf der Registerkarte „Regeln“ bearbeiten, müssen Sie die Änderungen an der Konfiguration anwenden, um sie zu aktivieren.
  • Solange Änderungen nicht angewendet sind, können Sie Änderungen an der Liste verwerfen und zu den unbearbeiteten Regeln zurückkehren.
  • Sobald Regeln angewendet sind, können Sie mithilfe der Option Verlauf im Menü Aktionen die letzten zehn Regelkonfigurationen wiederherstellen.

Führen Sie zum Hinzufügen einer Regel auf einer beliebigen „Regeln“-Registerkarte einen der folgenden Schritte aus:

  • Klicken Sie auf Hinzufügen-Symbol.
  • Klicken Sie mit der rechten Maustaste auf eine Regel und wählen Sie Oben einfügen oder Unten einfügen aus dem Kontextmenü aus.
    Das Dialogfeld „Regel-Editor“ wird für diesen Regeltyp angezeigt.

So entfernen Sie eine Regel:

  1. Wählen Sie auf einer der „Regeln“-Registerkarten die Regeln aus, die aus der Regelliste entfernt werden sollen.
  2. Klicken Sie auf Löschsymbol.
    Die ausgewählten Regeln werden aus der Liste entfernt, existieren jedoch noch im Service.

Bearbeiten einer Regel

  1. Wählen Sie auf einer der „Regeln“-Registerkarte die Regeln aus, die Sie bearbeiten möchten.
  2. Klicken Sie auf Bearbeiten-Symbol oder klicken Sie doppelt auf die Zeile der Regel.
    Das Dialogfeld „Regel-Editor“ wird für diesen Regeltyp angezeigt.

So deaktivieren Sie eine Regel:

  1. Wählen Sie auf einer der „Regeln“-Registerkarten die Regeln aus, die Sie deaktivieren möchten.
  2. Klicken Sie auf Schaltfläche „Deaktivieren“.
    Der Status in der Liste ändert sich zu „Deaktiviert“, aber die Regel ist im Service immer noch aktiviert.

So aktivieren Sie eine Regel:

  1. Wählen Sie auf einer „Regeln“-Registerkarte die Regeln aus, die Sie aktivieren möchten.
  2. Klicken Sie auf Schaltfläche „Aktivieren“.
    Der Status in der Liste ändert sich zu „Aktiviert“, aber die Regel ist im Service immer noch deaktiviert.

Importieren von Regeln aus einer Datei und Exportieren von Regeln

Sie können Netzwerk-, Anwendungs- und Korrelationsregeln auf einen Decoder aus einer Datei importieren, die Regeln desselben Typs enthält. Nachdem die Regeln importiert wurden, können Sie sie genauso bearbeiten und managen wie jede andere Regel.

Wenn Sie versuchen, eine Gruppe von Regeln zu importieren, prüft NetWitness Suite Administration den Typ der importierten Regeln. Wenn Sie erfolgreich sind, zeigt eine Meldung die Anzahl der importierten Regeln an. Wenn der Regeltyp vom Typ der aktiven Registerkarte abweicht, werden die Regeln nicht importiert. Sie müssen die Regeln dann unter der richtigen Registerkarte erneut importieren oder eine andere Datei zum Importieren auswählen.

So importieren Sie Regeln in einen Service:

  1. Wählen Sie auf einer „Regeln“-Registerkarte Drop-down-Menü „Aktionen“ > Schaltfläche „Importieren“ aus.
    Das Dialogfeld „Importieren“ wird angezeigt.
    Beispiel für das Dialogfeld „Importieren“
  2. Klicken Sie auf Hinzufügen-Symbol.
    Eine Ansicht der Verzeichnisstruktur wird angezeigt.
  3. Wählen Sie eine oder mehrere NetWitness-Regeldateien (NWR) zum Importieren aus und klicken Sie auf Öffnen.
    Die Datei wird der Liste im Dialogfeld Importieren hinzugefügt.
    Beispiel für das Dialogfeld „Importieren“
  4. Klicken Sie auf Importieren.
    Die Regeln werden in die Benutzeroberfläche importiert. Importierte Regeln haben eine rote Ecke in jeder bearbeiteten Spalte.
  5. Bearbeiten Sie die Regeln oder verändern Sie ihre Reihenfolge nach Bedarf.
  6. Klicken Sie zum Speichern der Regeln für den Service auf Anwenden.
    Die Regeln für den Service werden mit den Änderungen aktualisiert.

So exportieren Sie Regeln in eine Datei:

  1. Zum Exportieren einer Teilmenge der Regeln wählen Sie die Regeln aus, die exportiert werden sollen.
  2. Führen Sie einen der folgenden Schritte aus:
    • Wählen Sie auf der Symbolleiste Drop-down-Menü „Aktionen“ > Exportieren > Auswahl aus. Mit Exportieren > Alle werden alle Regeln in der Liste exportiert, auch wenn Sie eine Teilmenge für den Export ausgewählt haben.
    • Klicken Sie mit der rechten Maustaste auf die ausgewählten Regeln und wählen Sie Exportauswahl aus.

Eine Eingabeaufforderung für den Dateinamen wird angezeigt.

  1. Geben Sie den Dateinamen ein und klicken Sie auf Exportieren.
    Die .nwr-Datei wird heruntergeladen.

Regeln auf andere Services übertragen

Sie können Regeln oder ausgewählte Regeln auf andere Services (Decoders oder Log Decoders) oder Servicegruppen anwenden (per Push übertragen). Wenn Sie alle Regeln per Push in andere Services übertragen, werden alle Regeln in den Zielservices entfernt und durch alle Regeln im Quellserviceersetzt. 

So übertragen Sie ausgewählte Regeln von diesem Decoder auf andere Decoder:

  1. Wählen Sie auf einer beliebigen „Regeln“-Registerkarte die Regeln aus, die Sie auf einen anderen Decoder übertragen möchten.
  2. Führen Sie einen der folgenden Schritte aus:
    • Wählen Sie Drop-down-Menü „Aktionen“ > Push > Auswahl aus.
    • Klicken Sie mit der rechten Maustaste auf die ausgewählten Regeln und wählen Sie Ausgewählte Regeln per Push übertragen aus.
      Das Dialogfeld „Ausgewählte Regeln per Push übertragen“ wird angezeigt.
      Beispiel für das Dialogfeld „Ausgewählte Regeln per Push übertragen“
  3. Wählen Sie eine Push-Option aus:
    • Wählen Sie Alle ersetzen aus, um alle Regeln in den Zielservices zu löschen und durch die ausgewählten Regeln zu ersetzen. Dies ist die Standardoption.
    • Wählen Sie Zusammenführen aus, um die ausgewählten Regeln mit den vorhandenen Regeln in den Zielservices zusammenzuführten.
  4. Wählen Sie auf der Registerkarte Services die Zielservices aus, die die per Push übertragenen Regeln empfangen sollen, oder wählen Sie die Gruppen von Services auf der Registerkarte Gruppen aus.
  5. Klicken Sie auf Push.
    Die Regeln werden per Push auf die ausgewählten Services übertragen und sofort wirksam.

So übertragen Sie alle Regeln von diesem Decoder auf andere Decoder:

  1. Wählen Sie auf einer „Regeln“-Registerkarte Drop-down-Menü „Aktionen“ > Push > Alle aus.
    Mit Push > Alle werden alle Regeln in der Liste übertragen, selbst wenn Sie eine Untergruppe für die Übertragung per Push ausgewählt haben. Das Dialogfeld „Ausgewählte Regeln per Push übertragen“ wird angezeigt.
    Beispiel für das Dialogfeld „Ausgewählte Regeln per Push übertragen“ mit der ausgewählten Option „Alle ersetzen“
  2. Wählen Sie auf der Registerkarte Services die Zielservices aus, die die per Push übertragenen Regeln empfangen sollen, oder wählen Sie die Gruppen von Services auf der Registerkarte Gruppen aus.
  3. Klicken Sie auf Push.
    Alle Regeln in den Zielservices werden gelöscht und durch alle Regeln aus dem Quellservice ersetzt. Die Regeln werden sofort wirksam.

Ausführungsreihenfolge von Regeln ändern

Erfassungsregeln werden in der Reihenfolge angewendet, in der sie in der Regelliste angezeigt werden. Verwenden Sie zur Neuordnung der Regeln eine der folgenden Methoden:

  • Ziehen Sie die Regeln per Drag-and-drop an die entsprechenden Stellen in der Regelliste.
  • Klicken Sie mit der rechten Maustaste auf eine Regel, um das Kontextmenü anzuzeigen, und verwenden Sie die Optionen Ausschneiden und Einfügen.

Regel-Snapshot aus dem Verlauf wiederherstellen

NetWitness Suite speichert die letzten zehn Snapshots der Regeln, die auf einen Service angewendet wurden.

So stellen Sie einen Regel-Snapshot aus dem Verlauf wieder her:

  1. Wählen Sie Drop-down-Menü „Aktionen“ > Verlauf aus.
    Ein Untermenü mit Snapshots wird angezeigt.
    Drop-down-Liste „Verlauf“
  2. Wählen Sie die Snapshot-Zeit im Untermenü aus.
    Die Regeln aus dem Snapshot werden in die Regelliste geladen und ersetzen den aktuellen Satz. Aber der aktuelle Satz wird immer noch von dem Service verwendet.
  3. Klicken Sie zur Anwendung der Regeln auf den Service auf Anwenden.
    Die Regeln werden auf den Service angewendet.
You are here
Table of Contents > Konfigurieren von Decoder-Regeln

Attachments

    Outcomes