Documentación de RSA NetWitness^® Platform (Español)

Puede crear una regla nueva o implementar una regla existente desde los Servicios de Live, la cual se puede usar en un informe. Puede usar diferentes condiciones para limitar los datos o la información en los orígenes de datos, como las siguientes:

• Cláusula Select
• Cláusula Where
• Agrupar por
• Ordenar por, etc.

Por ejemplo, puede escribir una regla para ver las 20 direcciones web principales que los usuarios visitan diariamente.

Puede crear distintos tipos de reglas con el uso de distintos orígenes de datos. Según sus requisitos, puede seleccionar cualquiera de las siguientes opciones para crear una regla:

• Crear una regla mediante el origen de datos de NetWitness
• Crear una regla mediante el origen de datos de Warehouse
• Crear una regla mediante el origen de datos de Respond

También puede usar una lista en una regla para limitar un resultado de búsqueda desde el origen de datos. Una vez que crea una regla, puede probarla para ver los resultados que devuelve.

Crear un grupo de reglas

Para crear un grupo o un subgrupo de reglas, realice lo siguiente:

1. Seleccione MONITOR > Informes.
   Se muestra la pestaña Administrar.
2. Realice una de las siguientes acciones:
   • Para definir un grupo de reglas:
     1. En el panel Grupos de reglas, haga clic en .
        El grupo de reglas nuevo se agrega al panel Grupos de reglas.
     2. Ingrese el nombre del grupo de reglas y presione INTRO.
   • Para agregar un subgrupo de reglas:
     1. En el panel Grupos de reglas, seleccione el grupo de reglas para el que desea agregar un subgrupo.
     2. Haga clic en .
        ​El subgrupo de reglas nuevo se agrega al grupo de reglas.
     3. Ingrese el nombre del subgrupo de reglas y presione INTRO.

Crear una regla mediante el origen de datos de NetWitness

Puede crear una regla para obtener datos o eventos desde un origen de datos de NetWitness. Se usa el mismo procedimiento para definir una regla para obtener datos o eventos desde un origen de datos de Archiver.

El origen de datos de Archiver se puede agregar en la vista Configuración de servicios de Reporting Engine. Para obtener más información, consulte el tema “(Opcional) Agregar Archiver como un origen de datos en Reporting Engine” de la Guía de configuración de Archiver.

Requisitos previos

Asegúrese de comprender cómo se crean las claves de metadatos personalizados mediante feeds personalizados. Para obtener más información, consulte el tema “Crear claves de metadatos personalizados mediante un feed personalizado” de la Guía de configuración de Decoder y Log Decoder.

Para crear una regla con el fin de obtener datos o eventos desde un origen de datos de NetWitness, realice lo siguiente:

1. Seleccione MONITOR> Informes.

   Se muestra la pestaña Administrar.

2. En la barra de herramientas Regla, haga clic en > Base de datos de NetWitness.
   Se muestra la pestaña de la vista Crear regla.
   

   

3. En el campo Tipo de regla, Base de datos de NetWitness está seleccionado de manera predeterminada.
4. En el campo Nombre, ingrese el nombre que se usará para identificar o etiquetar la regla en alertas e informes.
5. El campo Resumir determina el tipo de resumen o agregación para la regla. De acuerdo con el tipo de regla que se definirá, debe seleccionar una de las siguientes opciones:
   • Para definir una regla no agregada sin ninguna agrupación, seleccione: Ninguno

   • Para definir una regla agregada con agregación especial, como los agregados relacionados con la recopilación (sesiones/eventos/paquetes), seleccione una de las siguientes opciones:

     • Conteo de eventos
     • Conteo de paquetes
     • Tamaño de sesión

   • Para definir una regla agregada con valores de metadatos y agregados personalizados, como sum(), count(), etc., seleccione: Personalizado

     Si selecciona “Personalizada” en el campo Resumir, podrá definir la función de agregado que desee en la cláusula Select. Por ejemplo, select ip.src, countdistinct(ip.dst), distinct(ip.dst).​Las funciones de agregado compatibles son:

     • sum (<meta>) 
     • count(<meta>)
     • countdistinct(<meta>)
     • min(<meta>)
     • max(<meta>)
     • avg(<meta>)
     • first(<meta>)
     • last(<meta>)
     • len(<meta>)
     • distinct(<meta>)

     Para obtener información más detallada sobre las reglas agregadas y no agregadas, consulte la sección Sintaxis de reglas de NWDB en Sintaxis de la regla .

6. En el campo Select, ingrese metadatos o selecciónelos en la lista de tipos de metadatos disponibles que se proporciona en la Biblioteca de metadatos. Para obtener más información, consulte “Panel Metadatos” en Vista Crear regla. El nombre de metadatos para buscar un registro crudo es raw. raw solo se puede utilizar en el campo Select. No se puede usar en los campos Where y Then. Varias funciones de agregado son compatibles para la regla agregada personalizada en el campo Select.

   Nota: En versiones anteriores de NetWitness Suite, solo era compatible una función de agregado para la regla agregada personalizada en la cláusula Select. Desde ahora, varias funciones de agregado son compatibles en la cláusula Select. Por ejemplo, Select: ip.src, username, service, distinct(country.src), sum(payload).

7. En el campo Alias, ingrese el nombre de alias de las columnas que se usan en la cláusula Select.
8. En el campo Where, ingrese metadatos o seleccione metadatos de la lista de tipos de metadatos disponibles y use los operadores para crear la cláusula Where para los criterios de consulta base.

9. El campo Agrupar por es un campo de solo lectura que se completa con metadatos que se definen en la cláusula Select. Para una función no de agregado, este campo no es visible. El campo Agrupar por es compatible con un máximo de seis metadatos.

   Nota: En versiones anteriores de NetWitness Suite, solo era compatible un metadato para la regla agregada personalizada en la cláusula Group By. Desde ahora, la cláusula Group By es compatible con un máximo de seis metadatos.

10. En el campo Then, ingrese las acciones de regla que manipulan el conjunto de resultados original de una regla para lograr que la salida en un informe sea más concreta o agregar una funcionalidad adicional distinta a la consulta de datos y su visualización, por ejemplo, la creación de un feed a partir de los resultados. Para obtener una lista completa de acciones de regla disponibles, consulte “Sintaxis de reglas de NWDB” en Sintaxis de la regla .

    Nota: Cuando se ejecuta una regla para un origen de datos de Archiver, se recomienda no usar acciones de regla intensivas como lookup_and_add() y show_whats_new().

11. En el campo Ordenar por, realice lo siguiente:

    1. En la columna Nombre de la columna, ingrese el nombre de las columnas según las cuales desea ordenar los resultados. De forma predeterminada, el valor está vacío. El valor se completa de acuerdo con el valor que se selecciona en el campo Resumir.

       • En el caso de Resumir “Ninguno”, si no se selecciona ningún valor para Ordenar por, se aplica un orden predeterminado por hora de recopilación o sesión.
       • Para otros valores de Resumen, el orden predeterminado se basa en el primer metadato “group by” seleccionado cuando no se define ningún “order by”. Para Conteo de eventos, Conteo de paquetes y Tamaño de sesión, los valores aceptados son Total y Valor.

    2. En la columna Ordenar por, seleccione una de las siguientes formas de clasificar los resultados:

       • Orden ascendente
       • Orden descendente

12. En el campo Umbral de sesión, ingrese la configuración de optimización para dejar de escanear las sesiones coincidentes en busca de cada valor único posible para los metadatos seleccionados. El umbral es un entero entre 0 (predeterminado) y 2,147,483,647.

    Nota: Esto se aplica solo a las reglas agregadas de NWDB. Si se especifica el valor predeterminado, se escanearán todas las sesiones coincidentes y se devolverá el valor preciso. Un umbral de sesión permite conteos precisos para un valor. Sin embargo, esto produce un tiempo de ejecución de reglas más prolongado. Por ejemplo, considere establecer el umbral de sesión en 1,000 para ip.src. Si hay 5,000 sesiones coincidentes para un valor de ip.src específico, que está presente en más de 1,000 sesiones, NWDB deja de escanear después de 1,000 sesiones y devuelve el valor agregado extrapolado. Esto optimiza el tiempo de ejecución de consultas. Si el valor está presente en menos de 1,000 sesiones, se devuelve el valor real.

13. En el campo Límite, ingrese el límite que se introducirá en la consulta mientras se obtienen los datos de la base de datos. Si un conjunto de resultados se ordena por conteo de eventos, conteo de paquetes o tamaño de sesión, el límite representa los N valores superiores (o inferiores) que se devolverán. Si el conjunto de resultados no se ordena, se devuelven los primeros N valores.

14. Haga clic en Guardar.

    Nota: A diferencia de los metadatos analizados, los registros crudos se obtienen desde los Decoders. Cuando tanto el registro crudo como los metadatos analizados se consultan en una única regla, debido a los distintos periodos de retención, puede haber metadatos analizados disponibles y puede que falten registros crudos en la misma sesión. De modo que el resultado tendrá valores de metadatos analizados y un valor crudo vacío para esas sesiones. Por ejemplo, para la regla “Select ip.src, ip.dst, service, username, raw”, los metadatos analizados podrían completarse y los metadatos crudos permanecen vacíos para algunas sesiones.

Crear una regla mediante el origen de datos de Warehouse

Puede crear una regla para obtener datos o eventos desde un origen de eventos de Warehouse. Puede definir las reglas en dos modos:

• Modo Predeterminado
• Modo experto

Modo Predeterminado

En el modo predeterminado, puede crear reglas que contengan SQL sencillos como consultas de HIVE que contengan cláusulas como Select, Where, Group By y Having. De manera predeterminada, puede crear reglas para realizar consultas a las sesiones o los registros crudos. Para obtener más información acerca de la sintaxis de consulta simple y ejemplos, consulte Sintaxis de reglas simples de la base de datos de Warehouse.

La siguiente figura es un ejemplo de la vista Crear regla que se muestra cuando selecciona Base de datos de Warehouse para Tipo de regla sin el modo experto seleccionado.

Realizar consultas a los registros crudos

Se usa el formato de registro crudo en la cláusula Select o Where para consultar por registros crudos.

Nota: El rango de tiempo que puede especificar en la consulta es un día (24 horas).  Si especificó un rango de tiempo inferior a un día en la consulta, el conjunto de resultados tendrá datos de al menos un día (24 horas).

La siguiente figura es un ejemplo de la vista Crear regla que se muestra cuando selecciona Base de datos de Warehouse para Tipo de regla y crea una regla para realizar consultas a los registros crudos:

Modo experto

Las reglas avanzadas se definen mediante consultas HIVE complejas que se crean con las cláusulas DROP, CREATE, etc. A diferencia de las reglas simples, los resultados se insertan siempre en una tabla. Para obtener más información sobre el lenguaje de consulta HIVE avanzado, consulte el Manual del lenguaje HIVE.

La siguiente figura es un ejemplo de la vista Crear regla que se muestra cuando selecciona Base de datos de Warehouse para Tipo de regla con el modo experto seleccionado.

Si desea generar un informe con un rango de tiempo específico, debe definir manualmente el rango de tiempo en la consulta utilizando las siguientes dos variables:

• ${report_starttime}: la hora de inicio del rango en segundos.
• ${report_endtime}: la hora de finalización del rango en segundos.

Por ejemplo, SELECT col1, col2 FROM custom_table WHERE timecol >= ${report_starttime} AND timecol <= ${report_endtime};

Nota: De forma predeterminada, Reporting Engine considera ${keyword} como una variable. Si desea especificar las variables HIVE, debe mencionar la sintaxis completa de una variable. Por ejemplo, ${hiveconf:hive.exec.scratchdir}.

Requisitos previos

Asegúrese de comprender cómo se crean las claves de metadatos personalizados mediante feeds personalizados. Para obtener más información, consulte el tema “Crear claves de metadatos personalizados mediante un feed personalizado” en la Guía de configuración de hosts y servicios.

Para crear una regla con el fin de obtener datos o eventos desde un origen de datos de Warehouse, realice lo siguiente:

1. Seleccione MONITOR > Informes.

   Se muestra la pestaña Administrar.

2. En la barra de herramientas Regla, haga clic en  > Base de datos de Warehouse.
   Se muestra la vista Crear regla.

3. En el campo Tipo de regla, Base de datos de Warehouse está seleccionado de forma predeterminada.

   Si va a definir la regla en modo Predeterminado, realice lo siguiente:

   1. En el campo Nombre, ingrese el nombre que se usará para identificar o etiquetar la regla en alertas e informes.
   2. En el campo Seleccionar, ingrese metadatos o selecciónelos desde el menú desplegable o desde la lista de tipos de metadatos disponibles que se proporciona en el panel Metadatos. Para obtener más información, consulte “Panel Metadatos” en Vista Crear regla. 

   3. En el menú desplegable Desde, seleccione una de las siguientes opciones:

      • Sesión
      • Registros
   4. En el campo Alias, ingrese el nombre de alias de las columnas que se usan en la cláusula Select.
   5. En el campo Where, ingrese metadatos o selecciónelos en la lista de tipos de metadatos disponibles que se proporciona en el panel Metadatos. La cláusula Where proporciona los criterios de consulta base para la regla.
   6. En el campo Agrupar por, ingrese los metadatos que seleccionó en la cláusula Select de modo que el conjunto de resultados se agrupe de acuerdo con los metadatos.
   7. En el campo Que contenga, ingrese los criterios para filtrar el conjunto de resultados para consultas adicionales.

   8. En el campo Ordenar por, realice lo siguiente:

      1. En la columna Nombre de la columna, ingrese el nombre de las columnas según las cuales desea agrupar los resultados.

      2. En la columna Ordenar por, seleccione una de las siguientes formas de clasificar los resultados:

         • Orden ascendente 
         • Orden descendente
   9. En el campo Límite, ingrese el límite que se introducirá en la consulta mientras se obtienen los datos de la base de datos. Si un resultado se ordena según el conteo de la sesión, el conteo del paquete o el tamaño de la sesión, el límite representa los primeros (o los últimos) N valores que se devolvieron. Si el conjunto de resultados no se ordena, se devuelven los primeros N valores.
   10. Haga clic en Guardar.

4. Si va a definir la regla en modo experto, seleccione la casilla de verificación Modo experto y realice lo siguiente:

   1. En el campo Nombre, ingrese el nombre que se usará para identificar o etiquetar la regla en alertas e informes.
   2. En el campo Consulta, ingrese la declaración de consulta de Hive para realizar la consulta al origen de datos.
   3. En el campo Alias, ingrese el nombre de alias de las columnas que se usan en la cláusula Select.
   4. Haga clic en Guardar.

Crear una regla mediante el origen de datos de Respond

Puede crear una regla para obtener incidentes o alertas desde un origen de datos de Respond.

Requisitos previos

Asegúrese de que:

• Asegúrese de que el servicio Reporting Engine esté en funcionamiento.
• Asegúrese de que el servicio Incident Management esté en funcionamiento. Para obtener más información, consulte el tema “Configurar una base de datos para el servicio servidor de Respond” de la Guía de configuración de NetWitness Respond.
• (Opcional) Asegúrese de que el servicio Event Stream Analysis esté en funcionamiento. Para obtener más información, consulte el tema “Paso 2. Configurar ajustes avanzados para un servicio de ESA” de la Guía de configuración de ESA.
• (Opcional) Asegúrese de que el servicio Malware Analysis esté en funcionamiento. Para obtener más información, consulte el tema “(Opcional) Configurar la auditoría en un host de Malware Analysis” de la Guía de configuración de Malware.

Nota: Debe configurar cualquiera de los servicios (Event Stream Analysis, Reporting Engine, Malware Analysis o Endpoint) según sus requisitos y el tipo de alertas o incidentes que desea generar.

Para crear una regla con el fin de obtener datos o eventos desde un origen de datos de Respond, realice lo siguiente:

1. Seleccione MONITOR > Informes.

   Se muestra la pestaña Administrar.

2. En la barra de herramientas Regla, haga clic en  > RESPOND.

   Se muestra la pestaña de la vista Crear regla.

3. En el campo Tipo de regla, Respond está seleccionado de manera predeterminada.
4. En el campo Nombre, ingrese el nombre que se usará para identificar o etiquetar la regla en alertas e informes de incidentes.
5. El campo Resumir determina el tipo de resumen o agregación para la regla. De acuerdo con el tipo de regla que se definirá, debe seleccionar una de las siguientes opciones:
   • Para definir una regla no agregada sin ninguna agrupación, seleccione Ninguno

   • Para definir una regla agregada con valores de metadatos y agregados personalizados, seleccione Personalizado

     Si selecciona “Personalizado” en el campo Resumir, podrá definir la función de agregado que desee en la cláusula Select de acuerdo con el tipo de informe que seleccionó.

     Para obtener información más detallada sobre las reglas agregadas y no agregadas, consulte Sintaxis de la regla .

6. En el campo Desde, según el tipo de salida de informe que se mostrará, debe seleccionar una de las siguientes opciones:
   • Alerta
   • Incidente

7. En el campo Select, ingrese metadatos o selecciónelos en la lista de tipos de metadatos disponibles que se proporciona en la Biblioteca de metadatos. Para obtener más información, consulte “Panel Metadatos” en Vista Crear regla. No se pueden usar en el campo Where. Varias funciones de agregado son compatibles para la regla agregada personalizada en el campo Select.

   Por ejemplo, las funciones de agregado compatibles para la alerta son las siguientes:

   • alert_host_summary
   • alert.name
   • alert.numEvents
   • alert.severity
   • alert.source
   • alert.timestamp
   • incidentCreated
   • incidentId
   • receivedTime

   Por ejemplo, las funciones de agregado compatibles para el incidente son las siguientes:

   • categories
   • created
   • priority
   • riskScore
   • sealed
   • status

   Para obtener información más detallada sobre las reglas agregadas y no agregadas, consulte Sintaxis de la regla .

8. En el campo Alias, ingrese el nombre de alias de las columnas que se usan en la cláusula Select.
9. En el campo Where, ingrese metadatos o seleccione metadatos de la lista de tipos de metadatos disponibles y use los operadores para crear la cláusula Where para los criterios de consulta base.

10. El campo Agrupar por es un campo de solo lectura que se completa con metadatos que se definen en la cláusula Select. Para una función que no es de agregado, este campo no es visible. El campo Group By es compatible con un máximo de seis metadatos.

11. En el campo Ordenar por, realice lo siguiente:

    1. En la columna Nombre de la columna, ingrese el nombre de las columnas según las cuales desea ordenar los resultados. De forma predeterminada, el valor está vacío.

    2. En la columna Ordenar por, seleccione una de las siguientes formas de clasificar los resultados:

       • Orden ascendente
       • Orden descendente
12. En el campo Límite, ingrese el límite que se introducirá en la consulta mientras se obtienen los datos de la base de datos. Si un conjunto de resultados se ordena, el límite representa los N valores superiores (o inferiores) que se devolverán. Si el conjunto de resultados no se ordena, se devuelven los primeros N valores.

13. Haga clic en Guardar.

Implementar una regla

En RSA NetWitness Suite, puede implementar las reglas seleccionadas en el servicio (por ejemplo, Reporting Engine), mediante el Asistente de implementación.

Requisitos previos

Asegúrese de que:

• Los servicios en los cuales se implementa una regla estén en funcionamiento.
• Los Servicios de Live estén configurados.

Para implementar una regla, realice lo siguiente:

1. Seleccione CONFIGURAR > LIVE CONTENT.
2. En el panel Criterios de búsqueda, busque recursos de Live (por ejemplo, busque el tipo de recurso Regla de aplicación).

3. En el panel Coincidencias de recursos, seleccione Mostrar resultados > Cuadrícula.

4. Seleccione la casilla de verificación de la izquierda o las reglas que desea implementar.

5. En la barra de herramientas Coincidencias de recursos, haga clic en .

6. Haga clic en Siguiente.
7. Seleccione el servicio en el cual implementa una regla (por ejemplo, Reporting Engine) y haga clic en Siguiente.
8. Haga clic en Implementar.
   La regla se implementa correctamente.

Usar alias de metadatos para Reporting

Cuando hace referencia a metadatos en informes y gráficos, solo puede ver alias de los nombres de metadatos. Estos alias los hacen más comprensibles para una audiencia más amplia.

Solo puede usar los alias predefinidos para los metadatos, pero no puede modificar estos valores.

No puede proporcionar valores de alias para los metadatos en la cláusula WHERE, porque NetWitness Suite utiliza la cláusula WHERE para obtener datos del origen de datos (por ejemplo, en Concentrator) y estos no son compatibles con alias. Es decir, no puede proporcionar el valor de alias HTTP para el puerto HTTP n.º 80.

Nota: * No puede crear alias para metadatos distintos de aquellos que ya existen en Reporting Engine. Además, el formato de los alias no se puede cambiar.
          * Los alias no son compatibles con alertas ni informes CSV.

Para usar alias en una regla, realice lo siguiente:

1. Seleccione MONITOR > Informes.
   Se muestra la pestaña Administrar.
2. En el panel Lista de reglas, realice una de las siguientes acciones:

• Seleccione una regla y haga clic en en la barra de herramientas Reglas.
• Haga clic en  > Editar.

3. Especifique los metadatos con alias en el campo Seleccionar.

En el siguiente ejemplo se especifican los metadatos eth.type, ip.proto, medium, service, tcp.dstport y tcp.srcport en el campo Select.

4. Haga clic en Probar regla.
   En el siguiente ejemplo se muestran los resultados bajo las columnas de alias eth.type, ip.proto, medium, service, tcp.dstport y tcp.srcport que se especificaron en el campo Select de la regla.
   
   

Definiciones de alias que suministra RSA

Los archivos de alias que aparecen en esta sección son solamente ejemplos y se basan en las definiciones de alias actuales de Reporting Engine. NetWitness Suite no puede modificar estas definiciones en Reporting Engine en función de los cambios realizados en el archivo xml de Concentrator. Por lo tanto, los cambios realizados en el archivo xml de Concentrator no se reflejan en Reporting Engine.

Los detalles de los distintos metadatos se explican en cada uno de los meta.aliases.

eth.type

ALIAS_FORMAT=$alias
0=802.3
257=Experimental
512=Xerox PUP
513=Xerox PUP
1024=Nixdorf
1536=Xerox NS IDP
1537=XNS Address Translation (3Mb only)
2048=IP
2049=X.75 Internet
2050=NBS Internet
2051=ECMA Internet
2052=CHAOSnet
2053=X.25 Level 3
2054=ARP
2055=XNS Compatibility
2076=Symbolics Private
2184=Xyplex
2304=Ungermann-Bass network debugger
2560=Xerox IEEE802.3 PUP
2561=Xerox IEEE802.3 PUP Address Translation
2989=Banyan Systems
2991=Banyon VINES Echo
4096=Berkeley Trailer negotiation
4097=Berkeley Trailer encapsulation for IP
4660=DCA - Multicast
5632=VALID system protocol
6537=Artificial Horizons
6549=Datapoint Corporation (RCL lan protocol)
15360=3Com NBP virtual circuit datagram (like XNS SPP) not registered
15361=3Com NBP System control datagram not registered
15362=3Com NBP Connect request (virtual cct) not registered
15363=3Com NBP Connect repsonse not registered
15364=3Com NBP Connect complete not registered
15365=3Com NBP Close request (virtual cct) not registered
15366=3Com NBP Close response not registered
15367=3Com NBP Datagram (like XNS IDP) not registered
15368=3Com NBP Datagram broadcast not registered
15369=3Com NBP Claim NetBIOS name not registered
15370=3Com NBP Delete Netbios name not registered
15371=3Com NBP Remote adaptor status request not registered
15372=3Com NBP Remote adaptor response not registered
15373=3Com NBP Reset not registered
16972=Information Modes Little Big LAN diagnostic
17185=THD - Diddle
19522=Information Modes Little Big LAN
21000=BBN Simnet Private
24576=DEC unassigned
24577=DEC Maintenance Operation Protocol (MOP) Dump/Load Assistance
24578=DEC Maintenance Operation Protocol (MOP) Remote Console
24579=DECNET Phase IV
24580=DEC Local Area Transport (LAT)
24581=DEC diagnostic protocol (at interface initialization?)
24582=DEC customer protocol
24583=DEC Local Area VAX Cluster (LAVC)
24584=DEC AMBER
24585=DEC MUMPS
24592=3Com Corporation
28672=Ungermann-Bass download
28673=Ungermann-Bass NIUs
28674=Ungermann-Bass diagnostic/loopback
28675=Ungermann-Bass ??? (NMC to/from UB Bridge)
28677=Ungermann-Bass Bridge Spanning Tree
28679=OS/9 Microware
28681=OS/9 Net?
28704=LRT (England) (now Sintrom)
28720=Racal-Interlan
28721=Prime NTS (Network Terminal Service)
28724=Cabletron
32771=Cronus VLN
32772=Cronus Direct
32773=HP Probe protocol
32774=Nestar
32776=AT&amp;T/Stanford Univ.
32784=Excelan
32787=Silicon Graphics diagnostic
32788=Silicon Graphics network games
32789=Silicon Graphics reserved
32790=Silicon Graphics XNS NameServer
32793=Apollo DOMAIN
32814=Tymshare
32815=Tigan
32821=Reverse Address Resolution Protocol (RARP)
32822=Aeonic Systems
32823=IPX (Novell Netware?)
32824=DEC LanBridge Management
32825=DEC DSM/DDP
32826=DEC Argonaut Console
32827=DEC VAXELN
32828=DEC DNS Naming Service
32829=DEC Ethernet CSMA/CD Encryption Protocol
32830=DEC Distributed Time Service
32831=DEC LAN Traffic Monitor Protocol
32832=DEC PATHWORKS DECnet NETBIOS Emulation
32833=DEC Local Area System Transport
32834=DEC unassigned
32836=Planning Research Corp.
32838=AT&amp;T
32839=AT&amp;T
32840=DEC Availability Manager for Distributed Systems DECamds
32841=ExperData
32859=VMTP
32860=Stanford V Kernel
32861=Evans &amp; Sutherland
32864=Little Machines
32866=Counterpoint Computers
32869=University of Mass. at Amherst
32870=University of Mass. at Amherst
32871=Veeco Integrated Automation
32872=General Dynamics
32873=AT&amp;T
32874=Autophon
32876=ComDesign
32877=Compugraphic Corporation
32878=Landmark Graphics Corporation
32890=Matra
32891=Dansk Data Elektronik
32892=Merit Internodal
32893=Vitalink Communications
32896=Vitalink TransLAN III Management
32897=Counterpoint Computers
32904=Xyplex
32923=EtherTalk - AppleTalk over Ethernet
32924=Datability
32927=Spider Systems Ltd.
32931=Nixdorf Computers
32932=Siemens Gammasonics Inc.
32960=DCA Data Exchange Cluster
32966=Pacer Software
32967=Applitek Corporation
32968=Intergraph Corporation
32973=Harris Corporation
32975=Taylor Instrument
32979=Rosemount Corporation
32981=IBM SNA Services over Ethernet
32989=Varian Associates
32990=TRFS (Integrated Solutions Transparent Remote File System)
32992=Allen-Bradley
32996=Datability
33010=Retix
33011=AppleTalk Address Resolution Protocol (AARP)
33012=Kinetics
33015=Apollo Computer
33023=Wellfleet Communications
33026=Wellfleet BOFL
33027=Wellfleet Communications
33031=Symbolics Private
33067=Talaris
33072=Waterloo Microsystems Inc.
33073=VG Laboratory Systems
33079=IPX
33080=Novell Inc
33081=KTI
33087=M/MUMPS data sharing
33093=Vrije Universiteit (NL)
33094=Vrije Universiteit (NL)
33095=Vrije Universiteit (NL)
33100=SNMP
33103=Technically Elite Concepts
33169=PowerLAN
33149=XTP
33238=Artisoft Lantastic
33239=Artisoft Lantastic
33283=QNX Software Systems Ltd.
33680=Accton Technologies (unregistered)
34091=Talaris multicast
34178=Kalpana
34525=IPv6
34617=Control Technology Inc.
34618=Control Technology Inc.
34619=Control Technology Inc.
34620=Control Technology Inc.
34848=Hitachi Cable (Optoelectronic Systems Laboratory)
34902=Axis Communications AB
34952=HP LanProbe test?
36864=Loopback (Configuration Test Protocol)
36865=3Com XNS Systems Management
36866=3Com TCP/IP Systems Management
36867=3Com loopback detection
43690=DECNET
64245=Sonix Arpeggio
65280=BBN VITAL-LanBridge cache wakeups
34915=PPPoe
34916=PPPoe
2056=Frame Relay ARP
16962=IEEE bridge spanning protocol
25944=Bridged Ethernet/802.3 packet
65278=ISO CLNP/ISO ES-IS DSAP/SSAP

ip.proto

ALIAS_FORMAT=$alias
0=HOPOPT
1=ICMP
2=IGMP
3=GGP
4=IP
5=ST
6=TCP
7=CBT
8=EGP
9=IGP
10=BBN-RCC-M
11=NVP-II
12=PUP
13=ARGUS
14=EMCON
15=XNET
16=CHAOS
17=UDP
18=MUX
19=DCN-MEAS
20=HMP
21=PRM
22=XNS-IDP
23=TRUNK-1
24=TRUNK-2
25=LEAF-1
26=LEAF-2
27=RDP
28=IRTP
29=ISO-TP4
30=NETBLT
31=MFE-NSP
32=MERIT-INP
33=SEP
34=3PC
35=IDPR
36=XTP
37=DDP
38=IDPR-CMTP
39=TP++
40=IL
41=IPv6
42=SDRP
43=IPv6-Rout
44=IPv6-Frag
45=IDRP
46=RSVP
47=GRE
48=MHRP
49=BNA
50=ESP
51=AH
52=I-NLSP
53=SWIPE
54=NARP
55=MOBILE
56=TLSP
57=SKIP
58=IPv6-ICMP
59=IPv6-NoNx
60=IPv6-Opts
61=AnyHost
62=CFTP
63=AnyNetwork
64=SAT-EXPAK
65=KRYPTOLAN
66=RVD
67=IPPC
68=AnyFile
69=SAT-MON
70=VISA
71=IPCV
72=CPNX
73=CPHB
74=WSN
75=PVP
76=BR-SAT-MO
77=SUN-ND
78=WB-MON
79=WB-EXPAK
80=ISO-IP
81=VMTP
82=SECURE-VM
83=VINES
84=TTP
85=NSFNET-IG
86=DGP
87=TCF
88=EIGRP
89=OSPFIGP
90=Sprite-RP
91=LARP
92=MTP
93=AX.25
94=IPIP
95=MICP
96=SCC-SP
97=ETHERIP
98=ENCAP
99=AnyPrivate
100=GMTP
101=IFMP
102=PNNI
103=PIM
104=ARIS
105=SCPS
106=QNX
107=A/N
108=IPComp
109=SNP
110=Compaq-Pe
111=IPX-in-IP
112=VRRP
113=PGM
114=AnyHop
115=L2TP
116=DDX
117=IATP
118=STP
119=SRP
120=UTI
121=SMP
122=SM
123=PTP
124=ISIS
125=FIRE
126=CRTP
127=CRUDP
128=SSCOPMCE
129=IPLT
130=SPS
131=PIPE Pr
132=SCTP St
133=FC Fi
134=RSVP-E2E-
255=Reserved

medium

ALIAS_FORMAT=$alias
1=Ethernet
2=Tokenring
3=FDDI
4=HDLC
5=NetWitness
6=802.11
7=802.11 Radio
8=802.11 AVS
9=802.11 PPI
10=802.11 PRISM
11=802.11 Management
12=802.11 Control
13=DLT Raw
32=Logs

service

ALIAS_FORMAT=$alias
0=OTHER
20=FTPD
21=FTP
22=SSH
23=TELNET
25=SMTP
53=DNS
67=DHCP
69=TFTP
80=HTTP
110=POP3
111=SUNRPC
119=NNTP
123=NTP
135=RPC
137=NETBIOS
139=SMB
143=IMAP
161=SNMP
179=BGP
443=SSL
502=MODBUS
520=RIP
1024=EXCHANGE
1080=SOCKS
1122=MSN IM
1344=ICAP
1352=NOTES
1433=TDS
1521=TNS
1533=SAMETIME
1719=H.323
1720=RTP
2000=SKINNY
2040=SOULSEEK
2049=NFS
3270=TN3270
3389=RDP
3700=DB2
5050=YAHOO IM
5060=SIP
5190=AOL IM
5222=Google Talk
5900=VNC
6346=GNUTELLA
6667=IRC
6801=Net2Phone
6881=BITTORRENT
8000=QQ
8002=YCHAT
8019=WEBMAIL
8082=FIX
20000=DNP3
1000000=KERNEL
1000001=USER
1000003=SYSTEM
1000004=AUTH
1000005=LOGGER
1000006=LPD
1000008=UUCP
1000009=SCHEDULE
1000010=SECURITY
1000013=AUDIT
1000014=ALERT
1000015=CLOCK

tcp.dstport

ALIAS_FORMAT=$value ($alias)
7=echo
9=discard
13=daytime
17=qotd
19=chargen
20=ftp-data
21=ftp
22=ssh
23=telnet
25=smtp
37=time
42=nameserver
43=nicname
53=domain
70=gopher
79=finger
80=http
88=kerberos
101=hostname
102=iso-tsap
107=rtelnet
109=pop2
110=pop3
111=sunrpc
113=auth
117=uucp-path
119=nntp
135=epmap
137=netbios-ns
139=netbios-ssn
143=imap
158=pcmail-srv
170=print-srv
179=bgp
194=irc
389=ldap
443=https
445=cifs
464=kpasswd
512=exec
513=login
514=cmd
515=printer
520=efs
526=tempo
530=courier
531=conference
532=netnews
540=uucp
543=klogin
544=kshell
556=remotefs
636=ldaps
749=kerberos-adm
993=imaps
995=pop3s
1109=kpop
1433=ms-sql-s
1434=ms-sql-m
1512=wins
1524=ingreslock
1723=pptp
2053=knetd
1122=msn im
1352=notes
1521=tns
1533=sametime
1718=h323
1720=rtp
1863=msn im
2049=nfs
3389=rdp
5050=yahoo im
5060=sip
5190=aim
6346=gnuetella
6667=irc
9001=tor
9030=tor
9535=man

tcp.srcport

ALIAS_FORMAT=$value ($alias)
7=echo
9=discard
13=daytime
17=qotd
19=chargen
20=ftp-data
21=ftp
22=ssh
23=telnet
25=smtp
37=time
42=nameserver
43=nicname
53=domain
70=gopher
79=finger
80=http
88=kerberos
101=hostname
102=iso-tsap
107=rtelnet
109=pop2
110=pop3
111=sunrpc
113=auth
117=uucp-path
119=nntp
135=epmap
137=netbios-ns
139=netbios-ssn
143=imap
158=pcmail-srv
170=print-srv
179=bgp
194=irc
389=ldap
443=https
445=cifs
464=kpasswd
512=exec
513=login
514=cmd
515=printer
520=efs
526=tempo
530=courier
531=conference
532=netnews
540=uucp
543=klogin
544=kshell
556=remotefs
636=ldaps
749=kerberos-adm
993=imaps
995=pop3s
1109=kpop
1433=ms-sql-s
1434=ms-sql-m
1512=wins
1524=ingreslock
1723=pptp
2053=knetd
1122=msn im
1352=notes
1521=tns
1533=sametime
1718=h323
1720=rtp
1863=msn im
2049=nfs
3389=rdp
5050=yahoo im
5060=sip
5190=aim
6346=gnuetella
6667=irc
9001=tor
9030=tor
9535=man

udp.dstport

ALIAS_FORMAT=$value ($alias)
7=echo
9=discard
13=daytime
17=qotd
19=chargen
37=time
39=rlp
42=nameserver
53=domain
67=bootps
68=bootpc
69=tftp
88=kerberos
111=sunrpc
123=ntp
135=epmap
137=netbios-ns
138=netbios-dgm
161=snmp
162=snmptrap
213=ipx
443=https
445=cifs
464=kpasswd
500=isakmp
512=biff
513=who
514=syslog
517=talk
518=ntalk
525=timed
533=netwall
550=new-rwho
560=rmonitor
561=monitor
749=kerberos-adm
1167=phone
1433=ms-sql-s
1434=ms-sql-m
1512=wins
1701=l2tp
1812=radiusauth
1813=radacct
2049=nfsd
2504=nlbs

Probar una regla

Puede probar una regla en función del rango de tiempo y el origen de datos seleccionados.

Para probar una regla, realice lo siguiente:

1. Seleccione MONITOR > Informes.
   Se muestra la pestaña Administrar.
2. En el panel Lista de reglas, realice una de las siguientes acciones:
   • Seleccione una regla y haga clic en en la barra de herramientas Reglas.
   • Haga clic en  > Editar.
     Se muestra la pestaña de la vista Crear regla.
3. Haga clic en Probar regla.
   Se muestra la vista Probar regla.
   
   

Nota: Al hacer clic en Probar regla, no se guarda la regla. Debe hacer clic en Guardar en la vista Crear regla para guardarla.

4. En la lista desplegable Origen de datos, seleccione un origen de datos.
   Debe seleccionar el origen de datos adecuado para la regla definida.
5. Desde la lista desplegable Formato, seleccione el formato en el que desea que se muestren los resultados.
6.  En la lista desplegable Rango de tiempo, seleccione una de las siguientes opciones.
   • Pasado: Para especificar una cantidad de años, días, semanas, meses, días u horas.
   • Rango: Para especificar un rango de fechas y un período.

Nota: En la interfaz del usuario, la fecha o la hora mostradas dependen del perfil de zona horaria que seleccionó el usuario.

7. Eje X y Eje Y se usan para especificar los metadatos que se trazarán en los gráficos.
   En Eje X se muestran los metadatos de la regla “Group by”. En Eje Y se muestran las funciones de agregado que se usan en la regla.

Nota: Sum, Count, Countdistinct y Average son las funciones de agregado compatibles con la regla. De manera predeterminada, para las reglas personalizadas con múltiples “Group by”, puede seleccionar solo los primeros metadatos en el Eje X.

8. Haga clic en Ejecutar prueba para ejecutar la regla.
   Se muestran los datos de reglas (en caso de haberlos) para el rango de tiempo seleccionado.

Crear una lista o un grupo de listas

Para crear una lista, realice lo siguiente:

Las listas se pueden agregar dentro de un grupo o en la carpeta raíz.

1. Seleccione MONITOR > Informes.
   Se muestra la pestaña Administrar.
2. Haga clic en Listas.
   Se muestra la vista Lista.

   

3. En la barra de herramientas Lista, haga clic en .
   Se muestra la pestaña de la vista Crear lista.
   

   

4. En el campo Nombre, ingrese un nombre único para la lista.
5. En el campo Descripción, ingrese una descripción de la lista.
6. En el campo Valores de lista, realice una de las siguientes acciones:
   • Haga clic en Insertar e ingrese los valores separados por comas. Puede pegar una lista de valores de un archivo o de otras listas.
   • En la columna Valor, ingrese los valores.
7. Si desea que se inserten comillas directamente para los valores en el tiempo de ejecución, seleccione Se insertarán comillas para todos los valores.
8. Haga clic en Guardar.

Para crear un grupo de listas, realice lo siguiente:

1. Seleccione MONITOR > Informes.
   Se muestra la pestaña Administrar.
2. Haga clic en Listas.
   Se muestra la vista Lista.
   
   
3. Realice lo siguiente:
   • Para crear un grupo de listas
     1. En el panel Grupos de listas, haga clic en
        . Un grupo de listas nuevo se agrega al panel Grupos de listas.
        
     2. Ingrese el nombre del grupo de listas y presione INTRO.

   • Para crear un subgrupo de listas:

     1. En el panel Grupos de listas, seleccione el grupo de listas en el que desea agregar un subgrupo.
     2. Haga clic en .
        Se agrega un subgrupo de listas nuevo al grupo de listas.
     3. Ingrese el nombre del subgrupo de listas y presione INTRO.