Untersuchen: Kombinieren von Ereignissen aus geteilten Sitzungen

Document created by RSA Information Design and Development on May 14, 2018Last modified by RSA Information Design and Development on Oct 19, 2018
Version 3Show Document
  • View in full screen mode
 

Analysten können Sitzungen identifizieren, die aufgrund der Sitzungsgröße in der Ansicht „Ereignisse“ geteilt wurden, und sie können die fragmentierten Sitzungen so kombinieren, dass die gesamte Sitzung als ein einziges Abfrageergebnis in der Ansicht „Ereignisse“ dargestellt werden kann. Wenn geteilte Sitzungen wieder zusammengefügt werden, enthält ein einziger Paketexport der Sitzung in der Ansicht Ereignisse alle Fragmente der Sitzung.

Version 10.4 und frühere Decoders werden mit einer Standardsitzungsgröße von 32 MB konfiguriert. Wenn eine Sitzung die 32-MB-Grenze überschreitet, teilt der Decoder die Sitzung und alle folgenden Pakete werden Teil einer neuen Sitzung, wodurch die tatsächliche Netzwerksitzung in mehrere Decoder-Sitzungen fragmentiert wird. Geteilte Sitzungen werden ohne den Kontext analysiert, dass es sich um ein Fragment einer größeren Netzwerksitzung handelt. Dies führt manchmal zu Sitzungsfragmenten mit vertauschten Quell- und Zieladressen und -ports und nicht identifizierten Anwendungsprotokollen. Ein weiteres Ergebnis geteilter Sitzungen können Probleme beim Anzeigen aller Sitzungsfragmente als ein einziges Abfrageergebnis oder beim Erstellen eines einzigen Paketexports aller Sitzungsfragmente sein.

Durch Decoder-Verbesserungen in NetWitness Suite 10.5 wurde die Verarbeitung fragmentierter Sitzungen optimiert:

  • Kontextuelle Fragmentanalyse
  • Hervorhebung von Sitzungsfragmenten
  • Suchen von Sitzungsfragmenten
  • Exportieren aller Pakete in eine einzige PCAP-Datei

Kontextuelle Fragmentanalyse

In NetWitness Suite 10.5 und höher beendet der Decoder die Sitzungsanalyse vor dem Teilen der Sitzung basierend auf der konfigurierten maximalen Sitzungsgröße (32 MB) oder dem konfigurierten Timeout (60 Sekunden). Nach Abschluss der Analyse enthalten die Analyseergebnisse die korrekte Adressrichtung und das korrekte Anwendungsprotokoll, die für jedes folgende Sitzungsfragment übernommen werden, um die Konsistenz mit der logischen Netzwerksitzung, die sie repräsentieren, zu wahren. 

Hinweis: Alle erforderlichen Decoder-Konfigurationsänderungen werden beim Upgrade auf 10.5 vorgenommen. Für die Funktion „Sitzungsfragmente finden“ ist es jedoch erforderlich, dass die TCP- und die UDP-Quellport-Metadaten (tcp.srcport und udp.srcport) vollständig indexiert sind. Dies entspricht nicht der Standardkonfiguration vor Version 10.5. Dies limitiert die Möglichkeit zur Suche nach Fragmenten funktional auf Sitzungen, die nach dem Upgrade des Decoder auf die Version 10.5 erfasst wurden.

Hervorhebung von Sitzungsfragmenten

Jedes Sitzungsfragment verfügt über zusätzliche Metadaten: session.split. Der Wert der session.split-Metadaten eines bestimmten Sitzungsfragments gibt an, wie viele Fragmente vor diesem Fragment existieren. Beim Anzeigen einer Sitzung in der Ansicht „Ereignisse“ identifizieren die session.split-Metadaten Sitzungen, bei denen es sich um Fragmente handelt, in den Ansichten „Ereignisliste“ und „Ereignisdetails“.

Die Teilung der Sitzung erfolgt, wenn der konfigurierte Decoder assembler.size.max oder assembler.timeout.session (Latenz zwischen Sitzungen) erreicht ist. Das erste Fragment ist Sitzung 0 und Sitzungen mit einem späteren Zeitstempel werden schrittweise mit 1, 2, 3 usw. nummeriert. Die session.split-Metadaten zeigen die Anzahl der vorhergehenden Sitzungsfragmente an. Dennoch ist dies nicht immer ein Hinweis darauf, dass auch folgende Fragmente vorhanden sind, auch bei einem Wert von 0. Es ist auch möglich, dass für das erste Fragment einer Sitzung keine session.split-Metadaten existieren, wenn die Sitzung analysiert wurde, bevor die maximale Sitzungsgröße überschritten wurde.

Wenn Sie die Sitzungsfragmente anzeigen, können Sie die erforderliche maximale Sitzungsgröße und den erforderlichen Sitzungs-Timeout bestimmen, die für die Analyse für das Zusammensetzen der Sitzungen erforderlich sind. Beispiel: Wenn vier Fragmente mit 32 MB vorliegen, müssen Sie den Test-Decoder (normalerweise eine virtuelle Maschine, die getrennt vom Hauptproduktionsservice erstellt wurde) mit einer maximalen Sitzungsgröße von mehr als 128 MB konfigurieren. Die Schritte zur Suche nach allen Fragmenten basierend auf dem Sitzungs-Timeout sind identisch. Die Abbildungen unten zeigen die Ansichten „Ereignisliste“ und „Ereignisdetails“ an, bei denen die fragmentierten Sitzungsinformationen hervorgehoben sind.

Hinweis: Bei der Erstellung der Screenshots unten war eine maximale Sitzungsgröße von 12 MB konfiguriert.

the Events List View, with split session highlighting

another example of fragmented session highlighting

Die session.split-Metadaten werden in der Detailansicht immer direkt hinter den Adress- und Portmetadaten angezeigt. Sie sind nie als zusätzliche Metadaten ausgeblendet. Diese Verbesserungen ermöglichen ein schnelles:

  • Identifizieren von Sitzungen, die Fragmente einer Netzwerksitzung sind.
  • Anzeigen aller Sitzungsfragmente einer bestimmten Netzwerksitzung oder eines einzigen Sitzungsfragments.
  • Exportieren der Pakete für die gesamte Netzwerksitzung als eine einzige PCAP-Datei.

Suchen und Kombinieren von Fragmenten

Innerhalb der Ansicht „Ereignisse“ können Sie nach Sitzungsfragmenten suchen, indem Sie die Kontextmenüoptionen „Neu fokussieren > Sitzungsfragmente finden“ verwenden. NetWitness Suite erstellt mithilfe der Quell- und Zieladressen und -ports der ausgewählten Sitzung eine Abfrage und zeigt alle Sitzungen im aktuellen Zeitfenster an, die der Abfrage entsprechen. 

So suchen Sie Sitzungsfragmente:

  1. Klicken Sie in der Ansicht Ereignisse mit der rechten Maustaste auf einen der Werte für Quell- und Zieladressen und -ports: ip.src, ip.dst, ipv6.src, ipv6.dst, tcp.srcport, tcp.dstport, udp.srcport und udp.dstport) sowie session.split-Werte.
    Das Kontextmenü wird angezeigt.
    Meta context menu
  2. Wählen Sie Neu fokussieren > Sitzungsfragmente finden oder Neue Registerkarte neu fokussieren > Sitzungsfragmente suchen aus.
    NetWitness Suite füllt die Ereignisliste neu mit Sitzungsfragmenten für eine einzige Sitzung innerhalb des aktuellen Zeitraums aus. Je nach ausgewählter Option ersetzt die Neufokussierung die aktuelle Ansicht oder es wird eine neue Registerkarte geöffnet. (In diesen Beispielen werden alle Daten verwendet, aber auf Produktionssystemen wird dies nicht empfohlen).
     a refocused investigation
  3. Passen Sie, sofern erforderlich, den Zeitraum an, um alle Sitzungsfragmente einzuschließen, die vor oder hinter dem aktuellen Zeitfenster liegen. Dass der Zeitraum erweitert werden muss, erkennen Sie daran, dass Fragmente an den Grenzen des Zeitraums vorhanden sind, besonders dann, wenn das erste sichtbare Fragment nicht den Teilungswert 0 (oder keinen) hat. Alternativ können Sie durch Betrachten der Pakete der letzten sichtbaren Sitzung feststellen, dass die Sitzung vermutlich weiter geht. Hier ein Beispiel:
    1. Wenn Sie Fragmente betrachten, die offensichtlich nicht das erste Fragment sind, z. B. 1, 2, 3 und 4 im Zeitraum 10:30 bis 10:35, dann muss ein Fragment 0 vorhanden sein. Sie können den Zeitraum erweitern, sodass er früher beginnt (hier 10:25), um das zusätzliche Fragment zu finden.
    2. Wenn die Sitzungsgröße des letzten Fragments nahe der maximalen Sitzungsgröße ist (hier 12 MB), suchen Sie nach weiteren Fragmenten, indem Sie das Zeitfenster auf einen späteren Zeitpunkt erweitern (hier 10:40).
      Wenn alle Sitzungsfragmente einer Netzwerksitzung in einer einzigen Ereignisliste enthalten sind, kann die Liste mehrere Seiten lang sein.
  4. (Optional) Wählen Sie zum Exportieren der Pakete jedes Sitzungsfragments in eine einzige PCAP-Datei Aktionen > Alle PCAP exportieren aus.
    In einer Meldung werden Sie informiert, dass PCAP heruntergeladen wird. Wenn der Download abgeschlossen ist, enthält die PCAP-Datei die gesamte Netzwerksitzung, die fragmentiert wurde.
You are here
Table of Contents > Untersuchen von Raw-Ereignissen in der Ansicht „Ereignisse“ > Kombinieren von Ereignissen aus geteilten Sitzungen

Attachments

    Outcomes