MA: Ansicht „Service-Konfiguration“ – Registerkarte „Allgemein“

Document created by RSA Information Design and Development on May 11, 2018Last modified by RSA Information Design and Development on May 14, 2018
Version 2Show Document
  • View in full screen mode
 

Dieses Thema bietet eine Einführung in die Konfigurationseinstellungen in der Ansicht „Service-Konfiguration“ > Registerkarte „Allgemein“ für Malware Analysis, die für den Malware Analysis-Service spezifische Parameter enthält. In dieser Registerkarte können Sie Folgendes konfigurieren:

  • Verarbeitungsparameter für datenerfassende Core-Services.
  • Das Repository, das für erfasste Daten verwendet wird.
  • Die Bewertungsmodule Statisch, Community und Sandbox, die zur Datenanalyse verwendet werden.

Die folgende Aufgabe bietet ausführliche Verfahren: Konfigurieren der allgemeinen Malware Analysis-Einstellungen.

Dies ist ein Beispiel für die Registerkarte „Allgemein“.

Diese Registerkarte ist in vier Abschnitte aufgeteilt: „Konfiguration des kontinuierlichen Scannens“, „Repository-Konfiguration“, „Verschiedenes“ und „Modulkonfiguration“.

Abschnitt „Konfiguration des kontinuierlichen Scannens“

Diese Tabelle zeigt die Funktionen des Abschnitts „Konfiguration des kontinuierlichen Scannens“.

                                                                         
ParameterBeschreibung
AktiviertVollständiges Aktivieren oder Deaktivieren der kontinuierlichen Abfrage des Core-Services. Standardmäßig ist dies deaktiviert.
AbfrageWährend der Decoder den Netzwerkdatenverkehr analysiert, wird ein Metafeld mit der Bezeichnung „content“ und dem Wert spectrum.consume in Sitzungen erstellt, die wahrscheinlich Schadsoftware enthalten. Standardmäßig führt Malware Analysis nur Analysen von Ereignissen durch, die diesen Metawert aufweisen. Durch Änderung der Abfrage kann Malware Analysis so konfiguriert werden, dass verschiedene Arten von Ereignissen analysiert werden.
Wird der Geltungsbereich der Abfrage zu umfassend gewählt, könnte Malware Analysis zu viele Ereignisse analysieren, was zu Verzögerungen oder schlechten Ergebnissen führen kann.
Die Standardabfrage entspricht select * where content=’spectrum.consume’
Ablaufzeit der AbfrageWenn Malware Analysis den Core-Service nach Metadaten abfragt, werden die Ergebnisse innerhalb weniger Sekunden ermittelt. Taucht ein Problem auf, z. B. mit der Netzwerkverbindung, beendet Malware Analysis die Abfrage nach dieser konfigurierten Zeitspanne.
Der Standardwert entspricht 3.600 Sekunden.
AbfrageintervallZeitintervall (in Minuten), in dem Metadaten und Dateien neuer Sitzungen abgefragt werden.
MetadatenbegrenzungJedes Mal, wenn Malware Analysis den Core-Service abfragt, werden Metadaten bis zu dieser Metadatenbegrenzung abgerufen. Diese Einstellung kann in Verbindung mit dem Abfrageintervall die Performance von Malware Analysis in der Core-Infrastruktur verbessern.
Der Standardwert ist 25.000.
ZeitgrenzeMalware Analysis analysiert Sitzungen, die nach dieser Zeitgrenze stattgefunden haben. Diese Einstellung ist bei der Installation einer neuen Malware Analysis-Appliance enorm wichtig, da diese bestimmt, wie weit die zu analysierenden Sitzungen in der Vergangenheit liegen dürfen. Liegt die Grenze zu viele Stunden in der Vergangenheit, könnte dies dazu führen, dass Malware Analysis zu viele zurückliegende Ereignisse analysiert. Dies führt zu einer großen Verzögerung und es dauert sehr lange, bis Sie den aktuell ablaufenden Datenverkehr betrachten können.
Die Standardeinstellung entspricht 24 Stunden.
QuellhostHostname der Malware Analysis-Appliance.
Dies ist die IP-Adresse oder der Hostname des Services, dessen Daten von Malware Analysis zur Analyse abgefragt werden. Verwenden Sie localhost nicht als Quellhost.
Je nach Modell der Appliance und der Konfiguration der NetWitness Suite-Infrastruktur kann dieser Quellhost variieren.
QuellportMalware Analysis kommuniziert mit der NetWitness Suite-Infrastruktur über den REST-Service, der diesen Port überwacht. Die Portnummer ist für die Art von Core-Service, der als Quellhost verwendet wird, spezifisch. Dies entspricht den ausgehenden Verbindungen Ihres Core-Services.
BenutzernameBenutzername Der Standardwert ist admin.
Malware Analysis muss sich bei jeder Datenabfrage beim Quellhost authentifizieren. In den meisten Fällen entspricht das von Malware Analysis verwendete Konto dem, das für den Zugriff auf den Core-Service durch NetWitness Suite verwendet wird. Es wird jedoch empfohlen, ein neues, für Malware Analysis dediziertes Konto für den Core-Service zu erstellen.
BenutzerpasswortBenutzerpasswort. Der Standardwert ist netwitness.
SSLVerwenden Sie SSL bei der Kommunikation mit Core. Aktivieren Sie diese Option, wenn Malware Analysis eine SSL-Verbindung für die Kommunikation mit einem Core-Service verwendet.
Standardmäßig ist die Einstellung deaktiviert.
Denial of Service(DOS)-VerhinderungDie Denial of Service (DOS)-Verhinderung ist eine Schutzfunktion gegen Schadsoftware, die vorsätzlich große Mengen an Netzwerkverbindungen zwischen zwei Endpunkten mit Windows PE-Inhalt generiert. Durch das Generieren einer großen Menge an Verbindungen wird der Datenverkehr künstlich in die Höhe getrieben. Sicherheitsdienste, die das Netzwerk überwachen, müssen diese Menge an Datenverkehr lesen und analysieren, was zu einer Dienstverweigerung (Denial of Service) führt. Diese Funktion hilft dabei, diese Sitzungen zu identifizieren, sodass die laufende Analyse diese nicht berücksichtigt.
Standardmäßig ist die Einstellung deaktiviert.
DOS - Fensterlängen-Sitzungsrate (Sekunden)Malware Analysis verwendet diesen Parameter zusammen mit den Parametern DOS – Anzahl von Sitzungen pro Ratenfenster und DOS – Sitzungssperrzeit (Sekunden), um einen Denial-of-Service-Angriff zu identifizieren und festzulegen, wie lange Sitzungen mit einer bestimmten IP-Adresse ignoriert werden.
Um einen Denial-of-Service-Angriff zu identifizieren, überwacht Malware Analysis die Anzahl an Sitzungen, die während eines bestimmten Zeitraums von einer IP-Adresse erstellt werden. Unter DOS - Fensterlängen-Sitzungsrate (Sekunden) wird dieser Zeitrahmen definiert. Wenn die Anzahl der Sitzungen den Wert der Einstellung DOS – Anzahl von Sitzungen pro Ratenfenster innerhalb der in DOS – Fensterlängen-Sitzungsrate (Sekunden) definierten Anzahl von Sekunden überschreitet, identifiziert Malware Analysis die Aktivität als einen Denial-of-Service-Versuch. In diesem Fall wird der von dieser IP-Adresse ausgehende Datenverkehr für die unter DOS – Sitzungssperrzeit (Sekunden) angegebene Dauer ignoriert.
Der Standardwert ist 60 Sekunden.
DOS - Anzahl von Sitzungen pro Ratenfenster Malware Analysis verwendet diesen Parameter zusammen mit den Parametern DOS – Fensterlängen-Sitzungsrate (Sekunden) und DOS – Sitzungssperrzeit (Sekunden), um einen Denial-of-Service-Angriff zu identifizieren und festzulegen, wie lange Sitzungen mit dieser IP-Adresse ignoriert werden.
Um einen Denial-of-Service-Angriff zu identifizieren, überwacht Malware Analysis die Anzahl an Sitzungen, die während eines bestimmten Zeitraums von einer IP-Quelle erstellt werden. Unter DOS - Fensterlängen-Sitzungsrate (Sekunden) wird dieser Zeitrahmen definiert. Wenn die Anzahl der Sitzungen den Wert der Einstellung DOS – Anzahl von Sitzungen pro Ratenfenster innerhalb der in DOS – Fensterlängen-Sitzungsrate (Sekunden) definierten Anzahl von Sekunden überschreitet, identifiziert Malware Analysis die Aktivität als einen Denial-of-Service-Versuch. In diesem Fall wird der Datenverkehr für die unter DOS – Sitzungssperrzeit (Sekunden) angegebene Dauer ignoriert.
Der Standardwert ist 200 Sitzungen.
DOS - Sitzungssperrzeit (Sekunden)Malware Analysis verwendet diesen Parameter zusammen mit den Parametern DOS – Fensterlängen-Sitzungsrate (Sekunden) und DOS – Anzahl von Sitzungen pro Ratenfenster, um einen Denial-of-Service-Angriff zu identifizieren und festzulegen, wie lange dieser Angriff ignoriert wird.
Um einen Denial-of-Service-Angriff zu identifizieren, überwacht Malware Analysis die Anzahl an Sitzungen, die während eines bestimmten Zeitraums von einer IP-Adresse erstellt werden. Unter DOS - Fensterlängen-Sitzungsrate (Sekunden) wird dieser Zeitrahmen definiert. Wenn die Anzahl der Sitzungen den Wert der Einstellung DOS – Anzahl von Sitzungen pro Ratenfenster innerhalb der in DOS – Fensterlängen-Sitzungsrate (Sekunden) definierten Anzahl von Sekunden überschreitet, identifiziert Malware Analysis die Aktivität als einen Denial-of-Service-Versuch. In diesem Fall wird der Datenverkehr für die unter DOS – Sitzungssperrzeit (Sekunden) angegebene Dauer ignoriert.
Der Standardwert ist 60 Sekunden.
DOS–Intervall für automatische Speicherbereinigung (Sekunden)Führt die automatische Speicherbereinigung in der internen Speicherstruktur zur Nachverfolgung von Denial-of-Service-Versuchen durch.
Ist die Speichernutzung ungewöhnlich hoch, können Sie das eingestellte Intervall verkleinern, sodass ungenutzter Speicherplatz häufiger freigegeben wird. Ist die CPU-Nutzung ungewöhnlich hoch, können Sie diese Einstellungen erhöhen, um den Verarbeitungsoverhead (auf Kosten der Speichernutzung) zu eliminieren.
Der Standardwert ist 120 Sekunden.

Abschnitt „Repository-Konfiguration“

Malware Analysis speichert alle analysierten Dateien für die zukünftige Verwendung. Auf diese Dateien kann durch eines der Dateifreigabeprotokolle zugegriffen werden oder Sie können diese mithilfe der Benutzeroberfläche herunterladen.

In der Tabelle sind die Funktionen des Abschnitts „Repository-Konfiguration“ beschrieben.

                       
ParameterBeschreibung
VerzeichnispfadAlle Dateien werden im folgenden Verzeichnis auf der Malware Analysis-Appliance gespeichert:
/var/lib/netwitness/spectrum
DateifreigabeprotokollMögliche Werte für das Dateiabfrageprotokoll können sein: FTP, SAMBA oder Keines. Sie können den FTP-Zugriff und die SAMBA-Dateiabfrage aktivieren, um Benutzern den Zugriff auf die gespeicherten Dateien in Malware Analysis von einem Remotestandort aus zu ermöglichen. Für den Zugriff auf diese Dateien sind keine Anmeldeinformationen notwendig. Für den FTP-Zugriff wird der Port TCP/21 benötigt. Das Standardprotokoll zur Dateiabfrage ist Keines.
Aufbewahrung (in Tagen) Malware Analysis bewahrt Dateien, die im Repository gespeichert sind, die angegebene Anzahl von Tagen auf. Sie können die Anzahl der Tage, die die Dateien vor dem Löschen aufbewahrt werden, definieren. Der Standardwert entspricht 60 Tagen.

Konfigurationsabschnitt „Verschiedenes“ (10.3 SP2 und höher)

In der Tabelle sind die Funktionen des Konfigurationsabschnitts „Verschiedenes“ beschrieben.

               
ParameterBeschreibung
Maximale DateigrößeBegrenzt die Größe jeder einzelnen Datei, nach der Sie manuell suchen können. Dieser Parameter bezieht sich auf die Funktion, die unter „Dateien hochladen für Schadsoftwarescans“ im „Leitfaden Investigation und Malware Analysis“ beschrieben ist. Der Standardwert ist 64 MB.
Wurde die maximale Dateigröße überschritten, hindert Sie daran, die Datei zu scannen.

Abschnitt Modulkonfiguration

Der Abschnitt „Modulkonfiguration“ ermöglicht die Konfiguration der Bewertungskategorien Statisch, Community und Sandbox.

Konfiguration Statische Analyse

Das statische Modul ist die einzige Bewertungskategorie, die standardmäßig aktiviert ist. In dieser Tabelle sind die Parameter für die Konfiguration der statischen Analyse beschrieben.

                               
FunktionBeschreibung
AktiviertZum vollständigen Deaktivieren oder Aktivieren der statischen Analyse. Standardmäßig ist dies aktiviert.
PDF umgehenZum Deaktivieren der Analyse von PDF-Dokumenten. Standardmäßig ist dies deaktiviert. Alle PDF-Dateien werden einer statischen Analyse unterzogen.
Office umgehenZum Deaktivieren der Analyse von Office-Dokumenten. Standardmäßig ist dies deaktiviert. Alle MS-Office-Dateien werden einer statischen Analyse unterzogen.
Ausführbare Datei umgehenZum Deaktivieren der Analyse von Windows PE-Dokumenten. Standardmäßig ist dies deaktiviert. Alle Windows PE-Dateien werden einer statischen Analyse unterzogen.
Windows PE-Authentifizierungseinstellungen über die Cloud überprüfen

Legen Sie fest, ob Windows PE-Dateien an die RSA Netwitness-Cloud zur Authenticode-Validierung gesendet werden. Standardmäßig ist die Einstellung aktiviert.

  • Bei Aktivierung werden alle Windows PE-Dateien, die digital signiert werden, über das (gesamte) Netzwerk an die RSA Netwitness-Cloud zur Validierung gesendet. Sollen Windows PE-Dateien das Nutzernetzwerk nicht verlassen, müssen Sie diese Option deaktivieren.
  • Ist diese Option nicht aktiviert, wird die statische Analyse lokal durchgeführt (Authenticode-Validierung wird übersprungen). Unabhängig von dieser Einstellung sind PDF- und MS Office-Dokumente nicht von der Authenticode-Validierung betroffen und werden während der statischen Analyse nicht über das Netzwerk gesendet.

Konfiguration der Communityanalyse

Das Communitymodul ist standardmäßig deaktiviert und die Optionen sind aktiviert, um zu verhindern, dass PDF- und MS Office-Dokumente verarbeitet werden. Die Einstellungen sollen so restriktiv wie möglich gewählt werden, sodass keine sensiblen Dokumente das Netzwerk ohne Zustimmungen durch den Nutzer verlassen. In dieser Tabelle sind die Parameter zur Konfiguration der Communityanalyse beschrieben.

                           
FunktionBeschreibung
AktiviertZum vollständigen Deaktivieren oder Aktivieren der statischen Analyse. Standardmäßig ist dies deaktiviert.
PDF umgehenZum Deaktivieren der Analyse von PDF-Dokumenten. Standardmäßig ist dies aktiviert und PDF-Dateien werden nicht verarbeitet.
Office umgehenZum Deaktivieren der Analyse von Office-Dokumenten. Standardmäßig ist dies aktiviert und Microsoft Office-Dokumente werden nicht verarbeitet.
Ausführbare Datei umgehenZum Deaktivieren der Analyse von Windows PE-Dokumenten. Standardmäßig ist dies aktiviert und Windows PE-Dokumente werden nicht verarbeitet.

Konfiguration Sandbox-Analyse

Das Sandbox-Modul ist standardmäßig deaktiviert und MS Office- sowie PDF-Dateien werden nicht verarbeitet. Die Einstellungen sollen so restriktiv wie möglich gewählt werden, sodass der Nutzer ganz gezielt auswählen muss, ob potenziell vertrauliche Informationen übermittelt und außerhalb des Netzwerkes verarbeitet werden. Wird der Dokumenttyp dennoch verarbeitet, wird die Datei als Ganzes (nicht nur ein Hash oder Dateiinhalte) an den Ziel-Sandbox-Server gesendet.

In dieser Tabelle sind die Parameter zur Konfiguration der Sandbox-Analyse beschrieben.

                               
FunktionBeschreibung
AktiviertZum vollständigen Deaktivieren oder Aktivieren der Sandbox-Analyse. Standardmäßig ist dies deaktiviert.
PDF umgehenZum Deaktivieren der Analyse von PDF-Dokumenten. Standardmäßig ist dies aktiviert und PDF-Dateien werden nicht verarbeitet. Ist dies nicht ausgewählt, werden alle PDF-Dateien in ihrer Gesamtheit zur Analyse an die Sandbox gesendet.
Office umgehenZum Deaktivieren der Analyse von Office-Dokumenten. Standardmäßig ist dies aktiviert und Microsoft Office-Dokumente werden nicht verarbeitet. Ist dies nicht ausgewählt, werden alle MS Office-Dateien als Ganzes zur Analyse an die Sandbox gesendet.
Ausführbare Datei umgehenZum Deaktivieren der Analyse von Windows PE-Dokumenten. Standardmäßig ist dies aktiviert und Windows PE-Dokumente werden nicht verarbeitet. Ist diese Option nicht ausgewählt, werden alle Windows PE-Dateien als Ganzes zur Analyse an die Sandbox gesendet.
Ursprünglichen Dateinamen beim Ausführen der Sandbox-Analyse beibehalten

Aktivieren Sie in 10.3 SP2 und späteren Versionen die Funktion zum Hashen von Dateinamen, wenn diese an eine lokale Sandbox gesendet werden. Standardmäßig ist die Einstellung deaktiviert.

Hinweis: Wenn Sie diesen Parameter nicht aktivieren, weist NetWitness Suite der Datei einen Hash-Wert zu.

Einstellungen für eine GFI-Sandbox

Im Abschnitt „GFI-Sandbox“ können Sie die Sandbox-Verarbeitung durch GFI aktivieren und die lokal installierte GFI-Sandbox konfigurieren. In dieser Tabelle werden die Parameter zur Konfiguration der GFI-Sandbox beschrieben.

                               
FunktionBeschreibung
AktiviertIst diese Option aktiviert, wird die Sandbox-Verarbeitung durch eine lokale Kopie von GFI durchgeführt. Standardmäßig ist die Einstellung deaktiviert. Wenn Sie GFI aktivieren, müssen Sie die restlichen Parameter konfigurieren.
ServernameDer Servername der GFI-Sandbox. Kein Standardwert.
ServerportDer Serverport der GFI-Sandbox. Der Standardwert beträgt 80.
Max. Polling-DauerBestimmt die Verarbeitungsdauer einer übermittelten Probe. Der Standardwert beträgt 600 Sekunden.
Webproxyeinstellungen ignorierenWeist Malware Analysis an, beim Herstellen dieser Verbindung den Webproxy zu umgehen, sofern dieser konfiguriert ist. Wenn kein Webproxy in Malware Analysis konfiguriert wurde, wird die Einstellung ignoriert.

Einstellungen für eine ThreatGrid-Sandbox

Im Bereich „ThreatGrid-Sandbox“ können Sie die Sandbox-Verarbeitung durch ThreatGrid aktivieren und wählen, ob für die Sandbox-Analyse ein lokal installierter ThreatGrid oder eine ThreatGrid-Cloud verwendet wird.

  • Wenn Sie eine lokale Kopie von ThreatGrid besitzen, konfigurieren Sie die Sandbox-Verarbeitung für diese lokale Kopie.
  • Wurde keine lokale Instanz von ThreatGrid erworben oder installiert, konfigurieren Sie die ThreatGrid-Cloud.

In dieser Tabelle werden die Parameter zur Konfiguration der ThreatGrid-Sandbox beschrieben.

Hinweis: Bevor Sie diesen Service aktivieren, müssen Sie einen von ThreatGrid bereitgestellten Serviceschlüssel konfigurieren. Der Dienstschlüssel ermöglicht es ThreatGrid zu erkennen, dass die von diesem Standort eingereichten Stichproben unbedenklich sind.

                           
FunktionBeschreibung
AktiviertIst diese Option aktiviert, führt entweder eine lokale Kopie von ThreatGrid oder die ThreatGrid-Cloud diese Sandbox Verarbeitung aus. Der Standardwert ist deaktiviert.
ServiceschlüsselBevor Sie das Sandbox-Modul aktivieren, müssen Sie einen von ThreatGrid bereitgestellten Serviceschlüssel konfigurieren. Der Dienstschlüssel ermöglicht es ThreatGrid zu erkennen, dass die von diesem Standort eingereichten Stichproben unbedenklich sind.
URLDie vom ThreatGrid-Server verwendete URL (wenn Sie keinen lokal installierten ThreatGrid verwenden). Die ThreatGrid-Cloud finden Sie unter https://panacea.threatgrid.com.
Webproxyeinstellungen ignorierenWeist Malware Analysis an, beim Herstellen dieser Verbindung den Webproxy zu umgehen, sofern dieser konfiguriert ist. Wenn kein Webproxy in Malware Analysis konfiguriert wurde, wird die Einstellung ignoriert.
You are here
Table of Contents > Ressourcen für „Malware Analysis“ > Ansicht „Service-Konfiguration“ – Registerkarte „Allgemein“

Attachments

    Outcomes