Descripción de la herramienta Port Reporter Parser (PR-Parser)

Resumen

En este artículo se describe el uso de la herramienta Port Reporter Parser (PR-Parser). En este artículo se describe los siguientes temas relacionados con la herramienta PR-Parser:
  • Información general
  • Interfaz gráfica de usuario de Microsoft Windows para revisar los registros
  • Identificar datos sospechosos o datos que le interesen
  • Análisis de los registros y la generación de datos

INTRODUCCIÓN

En este artículo se describe el uso de la herramienta Port Reporter Parser (PR-Parser). PR-Parser es una herramienta que analiza los registros que genera el servicio Port Reporter. La herramienta PR-Parser tiene muchas características avanzadas que pueden ayudarle a analizar los archivos de registro del servicio Port Reporter. Puede usar PR-Parser con la herramienta Port Reporter en una serie de escenarios, incluyendo escenarios de solución de problemas y relacionados con la seguridad. En este artículo se centra en cómo utilizar la herramienta PR-Parser en escenarios relacionados con la seguridad.

Para obtener la herramienta PR-Parser, visite el siguiente sitio Web de Microsoft:

Más información

Información general

Cuando un equipo basado en Windows de Microsoft se convierte en vulnerable, un atacante normalmente utiliza los recursos del equipo basado en Windows para causar más daño o para atacar otros equipos. Este tipo de ataque normalmente implica actividades como a partir de uno o más procesos o mediante los puertos TCP y UDP, o ambos. A menos que un atacante oculta esta actividad desde el propio equipo basado en Windows, puede capturar e identificar esta actividad. Por lo tanto, buscando las indicaciones de este tipo de actividad puede ayudarle a determinar si un sistema es vulnerable.

La herramienta Port Reporter es un programa que puede ejecutarse como un servicio en un equipo que está ejecutando Microsoft Windows Server 2003, Microsoft Windows XP o Microsoft Windows 2000. El servicio Port Reporter registra la actividad de los puertos TCP y UDP. En equipos basados en Windows XP y Windows Server 2003-based, el servicio Port Reporter puede registrar la siguiente información:
  • Los puertos que se utilizan
  • Los procesos que usan el puerto
  • Si un proceso es un servicio
  • Los módulos (.dll, .drv etc.) que carga un proceso
  • Las cuentas de usuario que iniciar un proceso
Los datos que es capturados por el servicio Port Reporter pueden ayudarle a determinar si un equipo es vulnerable. También son útiles para solucionar problemas, para obtener una descripción de uso de los puertos de un equipo y para el comportamiento de un equipo de auditoría los mismos datos.

PR-Parser es una herramienta que analiza los registros que genera el servicio Port Reporter. Para obtener información adicional acerca del servicio Port Reporter, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:

Disponibilidad y descripción de la herramienta Port Reporter de 837243

La herramienta PR-Parser proporciona las siguientes tres funciones básicas:
  • La herramienta PR-Parser tiene un Windows usuario interfaz gráfica (GUI) que facilita la revisión de los registros. Mediante la GUI, puede ordenar y filtrar los datos de varias maneras.
  • La herramienta PR-Parser le ayuda a identificar y filtrar los datos que le interesen. La herramienta ofrece las siguientes funcionalidades:
    • Identifica los procesos que está interesado en que se ejecutan en un equipo
    • Intenta identificar cuando un proceso que utiliza el nombre de un proceso legítimo se ejecute desde la carpeta incorrecta en un equipo
    • Identifica los módulos, como .dll, .drv, que se cargan en un equipo
    • Ayuda a determinar la hora cuando el protocolo de Internet (IP) direcciones, nombres de dominio completo (FQDN), o nombres de equipo que le interesa se comunican con un equipo
    • Identifica los puertos que se utilizan en un equipo
    • Ayuda a determinar que las cuentas de usuario están activas en un equipo
  • La herramienta PR-Parser proporciona también algunos datos de análisis de registro. Estos datos pueden ayudarle a comprender el uso de un equipo. Estos datos incluyen lo siguiente:
    • Una lista ordenada de uso local de puerto de protocolo de Control de transmisión (TCP)
    • Una lista ordenada de uso de proceso local
    • Una lista ordenada de uso de direcciones IP remota
    • Una lista ordenada de uso de contexto de usuario
    • Enumeración de servicios Svchost.exe
    • Uso del puerto por hora del día
    • Uso de Microsoft Internet Explorer por usuario

Interfaz gráfica de usuario de Windows para revisar los registros

La herramienta Port Reporter crea los siguientes tres archivos de registro cuando se ejecuta la herramienta:
  • PR-PORTS-timestamp.log
  • PR-PIDS-timestamp.log
  • PR-INITIAL-timestamp.log
El nombre de cada archivo de registro utiliza la fecha y la hora en formato de 24 horas se basa en la hora cuando se creó el archivo. El formato de la marca de fecha y hora es año-mes-día-hora-minutos-segundos. Por ejemplo, los tres archivos siguientes se crearon el 24 de enero de 2004, a las 8:49:30 A.M.:
  • PR-PORTS-04-01-24-8-49-30.log
  • PR-PIDS-04-01-24-8-49-30.log
  • PR-INITIAL-04-01-24-8-49-30.log
Cuando abre un archivo de registro con la herramienta PR-Parser, la GUI de Windows de la herramienta PR-Parser proporciona la siguiente información:
  • La barra de título del formulario principal se menciona el nombre de archivo del archivo de registro que está actualmente abierta.
  • Se muestran las marcas de hora de los registros de la primeros y la últimos en el archivo de registro.
  • Se muestra el número de registros que se muestran actualmente.
  • Las entradas del registro se muestran en una cuadrícula en el formulario principal.
Nota: En la cuadrícula del formulario principal, no puede ver las columnas que están relacionados con procesos detalles si se está ejecutando la herramienta PR-Parser desde un equipo que no es compatible con la asignación de puertos a procesos. Por ejemplo, PID, móduloy cuenta son las columnas que están relacionadas con detalles de proceso. Windows 2000 no admite la asignación de puertos a procesos. Por lo tanto, en un equipo basado en Windows 2000, no puede ver las columnas.

La GUI de Windows de la herramienta PR-Parser proporciona las siguientes características:
  • Los detalles de una entrada del registro aparecen en una cuadrícula. Si haga doble clic en una fila en la cuadrícula del formulario principal o secundario en una fila y, a continuación, haga clic en Propiedades, se muestran los detalles de la entrada del registro. Esta característica sólo está disponible al examinar los archivos de registro en un equipo cuyo sistema operativo es compatible con la asignación de puertos a procesos. A partir de septiembre de 2004, sólo Windows Server 2003 y Windows XP admiten esta característica.
  • Puede ordenar los datos en la cuadrícula en el formulario principal en orden ascendente o descendente por cualquier columna. Si hace clic en un encabezado de columna, la herramienta ordena los datos en la cuadrícula en el formulario principal en orden ascendente por esa columna. Si hace clic en el encabezado de columna otra vez, la herramienta ordena los datos en orden descendente. Aparecerá una flecha en un encabezado de columna cuando se ordenan los datos por esa columna. La flecha indica también el criterio de ordenación. Si desea restaurar la cuadrícula a su orden original, haga clic en Restablecer cuadrícula de ordenación predeterminada en el menú Edición .
  • Puede utilizar cualquiera de los siguientes métodos para filtrar los datos en la cuadrícula del formulario principal:
    • En el menú Edición , elija filtrosy, a continuación, haga clic en filtrar datos. Aparecerá el cuadro de diálogo Filtrar datos de cuadrícula . Puede seleccionar una columna, como los datos del filtro y proporcionar un criterio de filtro. Después de seleccionar y aplicar los criterios, los datos filtrados aparecen en la cuadrícula de datos.
    • Haga clic en una celda cuyo valor es el criterio para el filtro en la cuadrícula del formulario principal, seleccione filtroy, a continuación, haga clic en el filtro apropiado, en función de si desea filtrar todas las filas sin este valor o todas las filas con este valor.
  • Puede copiar el contenido de una celda o copiar el contenido de todas las celdas de una fila. Para copiar el contenido de una celda, haga clic en una celda y, a continuación, haga clic en Copiar. Para copiar el contenido de todas las celdas de una fila, haga clic en el encabezado de fila y, a continuación, haga clic en Copiar.
  • Puede resolver direcciones IP remotas que aparecen en la columna de la Dirección IP remota a sus correspondientes nombres. Cuando la herramienta PR-Parser finalice la operación, se muestra una lista de todas las direcciones IP y sus nombres asociados en la cuadrícula. Esta lista no contiene duplicados. Puede utilizar cualquiera de los métodos siguientes para resolver direcciones IP remotas:
    • En el menú Herramientas , haga clic en resolver todas las direcciones IP remotas para resolver todas las direcciones IP remotas.
    • Haga clic en una celda y, a continuación, haga clic en Dirección IP remota resolver para resolver la dirección IP seleccionada.
    Dependiendo del número de direcciones IP que se resuelven, esta operación puede tardar varios minutos en completarse. La caché DNS en el cliente se utiliza para evitar el envío de consultas a la red que ya se han respondido.

    Nota: La infraestructura de resolución de nombres en la red depende de la velocidad y el éxito de esta operación. La velocidad y el éxito de esta operación también depende de si los registros de búsqueda inversa están disponibles para cada dirección IP.
  • Puede trasladar examinar un equipo remoto mediante la utilidad de línea de comandos Portqry.exe. Portqry.exe es una conectividad de línea de comandos eficaz herramienta que puede generar información útil acerca de los puertos TCP y UDP de prueba.

    La herramienta PR-Parser proporciona una interfaz de usuario para utilizar la utilidad Portqry.exe. Esta característica puede ayudarle a determinar el tipo de equipo remoto y los servicios que proporciona el equipo remoto. Puerto examinar un equipo remoto, haga clic en una celda y, a continuación, haga clic en Dirección IP remota de PortQry. Para obtener información adicional acerca de la utilidad de línea de comandos Portqry.exe, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:

    310099 descripción de la utilidad de línea de comandos Portqry.exe

    Nota: Cuando se instala la herramienta PR-Parser, el archivo de Portqry.exe se copia en la misma carpeta donde está almacenado el archivo Prparser.exe.

Identificar datos sospechosos o datos que le interesen

Puede utilizar la herramienta PR-Parser para realizar un seguimiento de varios puntos de datos, incluidos los módulos, direcciones IP, puertos, usuarios y nombres de host. Con la herramienta PR-Parser, puede determinar rápidamente si las entradas del registro en un archivo de registro de Port Reporter coinciden con los criterios que la herramienta PR-Parser está configurada para buscar. Puede configurar estos criterios en la GUI de la herramienta PR-Parser y actualizarlo para incluir características de nuevas condiciones que elija.

Para ver, agregar o eliminar criterios, haga clic en configuración de criterios en el menú Edición .

Los siguientes son los seis criterios que se pueden establecer en la herramienta PR-Parser para identificar datos sospechosos o datos que le interesen.

Conocida los módulos de seguimiento

Módulos conocidos de seguimiento le permite identificar los archivos ejecutables que utilizan los nombres de los archivos binarios legítimos y que se ejecute o se cargan desde una carpeta incorrecta. Por ejemplo, un nombre popular software malintencionado es Svchost.exe. El legítimo Svchost.exe se ejecuta desde la carpeta %windir%\System32. Cuando el software malintencionado se denomina Svchost.exe y se copia en la carpeta % windir %, puede ser difícil ver que este archivo binario se ejecuta desde la carpeta incorrecta. Si Svchost.exe se ejecuta desde una carpeta distinta de la carpeta System32, el equipo puede ser vulnerable a un ataque. La herramienta PR-Parser identifica este tipo de problema.

Tenga en cuenta que, generalmente, ejecutan algunos módulos de más de una ubicación. Debe revisar las advertencias de PR-Parser para determinar si la advertencia es un falso positivo o si se ha encontrado algo irregular. Cuando desee examinar los archivos de registro de Port Reporter desde diferentes equipos, tendrá que reemplazar la configuración de la carpeta del equipo local ya que los equipos pueden tener estructuras de carpeta diferente. Por ejemplo, % systemroot % y % windir % apuntar a ubicaciones diferentes en diferentes equipos. En este caso, la herramienta PR-Parser puede identificar muchos archivos que se ejecutan en la carpeta equivocada porque la herramienta PR-Parser resuelve estas variables utilizando la estructura de carpetas en el equipo local donde se ejecuta la herramienta PR-Parser. Para compensar este tipo de diferencia entre equipos, puede invalidar este comportamiento y establecer la herramienta PR-Parser para resolver estas variables de entorno. Para ello, siga estos pasos:
  1. En el menú Edición , haga clic en Configuración de criterios.
  2. En la ficha Módulos conocidos , haga clic en configuración.
  3. Haga clic en invalidar la configuración del directorio del sistema local.
Esta propiedad permite reemplazar la forma en que la herramienta PR-Parser resuelve las variables de entorno.

Módulos

La herramienta PR-Parser puede determinar rápidamente si se encuentran los módulos que le interesen en los archivos de registro de Port Reporter. Para agregar módulos a la lista de módulos que le interesen, siga estos pasos:
  1. En el menú Edición , haga clic en Configuración de criterios.
  2. Haga clic en la ficha módulos .
  3. Haga clic en Agregar.
  4. Escriba el nombre del módulo que está interesado en y, a continuación, haga clic en Aceptar para agregar el módulo a la lista de módulos a buscar .
Igualmente, puede eliminar los módulos que se agregan a la lista de módulos a buscar .

Cuando la herramienta PR-Parser encuentra un módulo en un archivo de registro que le interesa, muestra la entrada en rojo en la cuadrícula del formulario principal. Por ejemplo, la herramienta Netcat.exe es una herramienta que los administradores pueden o desea que los usuarios utilicen en su red. Pueden identificarse en los registros de Port Reporter si se ejecuta la herramienta Netcat.exe con su nombre original.

Haga doble clic en una línea que está seleccionada para ver los detalles. Un cuadro de diálogo de Port Reporter Parser - detalles de la entrada de registro se abre y proporciona la información sobre el proceso, los puertos que se utilizan y los módulos que se cargan. PR-Parser también proporciona una advertencia. En el cuadro de diálogo de Port Reporter Parser - detalles de la entrada de registro , si haga clic en el nombre del proceso, la herramienta PR-Parser proporciona opciones para investigar el proceso sospechoso o "interesante".

Nota: No puede ver los detalles de una entrada de registro en un equipo basado en Windows 2000.

Direcciones IP

La herramienta PR-Parser puede identificar las direcciones IP que interesen en archivos de registro de Port Reporter. Para especificar las direcciones IP, siga estos pasos:
  1. En el menú Edición , haga clic en Configuración de criterios.
  2. Haga clic en la ficha Direcciones IP .
  3. Haga clic en Agregar.
  4. Escriba la dirección IP que le interese y, a continuación, haga clic en Aceptar para agregar la dirección IP a la lista de Direcciones IP para buscar .
De forma similar, también puede eliminar las direcciones IP que se agregan a la lista de Direcciones IP para buscar .

Después de agregar una dirección IP en los criterios de direcciones IP y, a continuación, aplicar los criterios, se muestra la dirección IP especificada en la cuadrícula del formulario principal.

Puertos

Los administradores de red utilizan registros de firewall para determinar qué programas se ejecutan en sus redes y los extremos se utilizan cuando los programas se comuniquen. La herramienta PR-Parser puede ayudarle a determinar qué puertos están siendo utilizados por un programa y pueden identificar rápidamente los puertos que le interesa. Muchos de los virus, gusanos, programas malintencionados y herramientas que se utilizan por usuarios malintencionados utilizan los mismos puertos cada vez que se ejecutan. La herramienta PR-Parser puede identificar los puertos que se enumeran en la lista de criterios de puertos.

Para modificar esta lista, siga estos pasos:
  1. En el menú Edición , haga clic en Configuración de criterios.
  2. Haga clic en la ficha puertos .
  3. Haga clic en Agregar.
  4. Escriba el nombre del puerto y el protocolo que le interesa y, a continuación, haga clic en Aceptar para agregar la información del puerto a la lista de puertos a buscar .
Igualmente, puede eliminar los puertos que se agregan a la lista de puertos a buscar .

Observe que los programas legítimos pueden utilizar los mismos puertos que utilizan los programas malintencionados. Debe investigar cada advertencia que genera la herramienta PR-Parser para determinar si se genera la advertencia debido a una operación que no es normal.

Cuentas de usuario

La herramienta PR-Parser permite identificar cuentas de usuario que le interese en los archivos de registro de Port Reporter. Para especificar las cuentas de usuario, siga estos pasos:
  1. En el menú Edición , haga clic en Configuración de criterios.
  2. Haga clic en la ficha Cuentas de usuario .
  3. Haga clic en Agregar.
  4. Escriba la cuenta de usuario que le interese y, a continuación, haga clic en Aceptar para agregar la cuenta de usuario a la lista de Cuentas de usuario para buscar .
Igualmente, puede eliminar las cuentas de usuario que se agregan a la lista de Cuentas de usuario para buscar .

Después de agregar un usuario en los criterios de las cuentas de usuario, la cuenta de usuario especificada se muestra en la cuadrícula del formulario principal.

Nombres de host

La herramienta PR-Parser intenta resolver direcciones IP remotas que se encuentran en los registros de nombres de host. El éxito de la resolución depende de factores como la configuración de TCP/IP configurado correctamente, configuración de DNS, una infraestructura de resolución de nombre operacional y direcciones IP a las asignaciones de nombres. Para reducir el número de consultas que se envían a la red, la herramienta PR-Parser tiene una caché de nombres y también utiliza las cachés de nombre del cliente. Para especificar estos nombres, siga estos pasos:
  1. En el menú Edición , haga clic en Configuración de criterios.
  2. Haga clic en la ficha Nombres de Host .
  3. Haga clic en Agregar.
  4. Escriba el nombre de host que interesa y, a continuación, haga clic en Aceptar para agregar el nombre de host a la lista de Nombres de Host en el cuadro Buscar .
Si la herramienta PR-Parser resuelve correctamente las direcciones IP a nombres de host, la herramienta identifica los nombres de host que coinciden con los nombres que se encuentran en la lista de criterios de nombres de host y, a continuación, muestra los nombres de host.

Aplicación de los criterios

Si desea especificar los criterios para el archivo de registro que se abre, puede utilizar el
Opción Aplicar criterios en el menú Herramientas . La herramienta PR-Parser analiza el archivo de registro para las entradas que coincidan con los criterios de búsqueda. Si se encuentra una coincidencia, la herramienta PR-Parser muestra el campo que está asociado. Detalles, como los módulos cargados, no se muestran en la cuadrícula del formulario principal. Estos datos sólo están disponibles al ver los detalles del registro.

Cuando la herramienta PR-Parser encuentra que se ha cargado un módulo que le interesa o que se ha cargado un módulo que utiliza un nombre legítimo desde la carpeta incorrecta, la herramienta no muestra esta información en la cuadrícula del formulario principal. Esto es porque la herramienta PR-Parser no muestra los campos. Para identificar todas las filas que contienen datos que coinciden con los criterios, incluso en los detalles de una entrada, debe filtrar los datos. Para ello, elija filtros en el menú Edición y, a continuación, haga clic en Mostrar sólo filas con datos "interesantes". Esta característica le permite determinar si las entradas del registro coincidan con los criterios que establezca. La lista resultante que puede estar vacía contiene todas las filas donde los datos coincidan con los criterios, incluidos los detalles, como los módulos. La opción Mostrar sólo filas con datos "interesantes" no está disponible hasta que se aplique un criterio a los datos. Después de hacer clic en Aplicar criterios en el menú Herramientas , está disponible la opción Mostrar sólo filas con datos "interesantes" .

Análisis de los registros y la generación de datos

La herramienta PR-Parser también puede generar datos de análisis de registro pueden ser útiles para los administradores de equipos y administradores de red. Siete conjuntos de datos se generan a partir de los registros de Port Reporter de equipos basado en Windows XP o Windows Server 2003. Dado que la herramienta Port Reporter no realiza la asignación de puertos a procesos en equipos basados en Windows 2000, algunas de estas estadísticas no pueden generarse desde los registros de dichos equipos. Para analizar los registros y generar la salida, haga clic en análisis de datos de registro en el menú Herramientas .

Los siguientes son los siete conjuntos de datos generados por la herramienta PR-Parser:

Uso del puerto TCP local

Este conjunto de datos incluye el número de veces que se ha registrado cada puerto TCP por la herramienta Port Reporter. Este tipo de datos puede ser útil cuando desea determinar los puertos que se abrirán entre subredes o a Internet. Estos datos le da una idea de con qué frecuencia se utilizan los puertos por cada equipo. Los datos contienen un valor Porcentaje Total frente a cada entrada. Este valor se calcula dividiendo el número de veces que cada puerto es usado por el número total de veces que se utilizan todos los puertos.

Uso de proceso

Puede utilizar estos datos para analizar el uso del proceso en los equipos. Por ejemplo, los programas que usa el equipo, ¿con qué frecuencia quedan registrados por la herramienta Port Reporter y los programas que más suelen utilizarse. Los datos contienen un valor de Porcentaje de Total de cada entrada. Este valor se calcula dividiendo el número de veces que cada proceso se registra por el número total de veces que se registran todos los procesos. Estos datos no están disponibles para equipos basados en Windows 2000.

Svchost.exe (enumeración)

La herramienta PR-Parser puede identificar todos los servicios que se hospedan en el proceso Svchost.exe. Esta información es necesaria para determinar los programas que se ejecutan en un equipo.

Uso de direcciones IP remoto

Este conjunto de datos muestra las direcciones IP y puede mostrar los nombres de host que el equipo se comuniquen. La lista se alinea para que puedan ver los equipos que se comunican con frecuencia.

Puede (ratón) en la cuadrícula y, a continuación, seleccione una opción para resolver las direcciones IP en sus correspondientes nombres de host. La herramienta PR-Parser intenta resolver los nombres mediante la red y la configuración de DNS en el equipo donde se ejecuta la herramienta PR-Parser.

Uso del contexto de usuario

Este conjunto de datos muestra una lista ordenada de cuentas de usuario que se han utilizado en el archivo de registro de Port Reporter. Puede utilizarla para determinar qué cuentas de usuario se han utilizado en un equipo. Estos datos no están disponibles para equipos basados en Windows 2000.

Uso del puerto por hora

Este conjunto de datos proporciona un desglose del uso del puerto por hora durante el tiempo que se recopilaron los datos del archivo de registro de Port Reporter. Puede utilizar estos datos para comprender las horas pico de un equipo y comprender si se utilizan puertos a horas inesperadas.

Nota: De forma predeterminada, el Port Reporter recopila datos durante 24 horas.

Uso de Iexplore.exe

Este conjunto de datos enumera los extremos que visitó Microsoft Internet Explorer. Estos datos se desglosa en una base por usuario para que el uso de Internet Explorer para que cada usuario puede generar un perfil. Puede utilizar estos datos para determinar que los usuarios de los sitios visitan o que los servidores de seguridad del equipo utilizado para tener acceso a Internet.

Puede (ratón) en el formulario para ver información relacionada. Cada dirección IP que se muestra puede resolverse en un nombre de host. Por lo tanto, se puede identificar el nombre correspondiente de cada sitio o servidor de seguridad.

También puede utilizar la utilidad Portqry.exe para consultar los puertos en los equipos que se identifican en esta lista. Para guardar los datos de análisis de registro en un archivo de texto, haga clic en Guardaren el cuadro de diálogo Análisis de datos del registro para el registro .
Propiedades

Id. de artículo: 884289 - Última revisión: 17 ene. 2017 - Revisión: 1

Comentarios