Decoder : Utiliser des feeds personnalisés

Document created by RSA Information Design and Development Employee on Apr 28, 2019
Version 1Show Document
  • Comment0
  • View in full screen mode
 

L’assistant Feed personnalisé de NetWitness Platform permet la création et le déploiement rapides de feeds Decoder personnalisés en fonction d'une logique déterministe qui offre les clés métas spécifiques aux Decoders et Log Decoders sélectionnés. Bien que l'assistant guide les utilisateurs tout au long du processus pour créer à la fois des feeds à la demande et périodiques, il est utile de comprendre la forme et le contenu d'un fichier de feed lorsque vous créez un feed.

Les noms de fichier de feed dans RSA NetWitness Platform se présentent sous la forme <filename>.feed. Pour créer un feed, NetWitness Platform a besoin d'un fichier de données de feed au format csv ou .xml et un fichier de définition de feed au format .xml, décrivant la structure d'un fichier de données de feed. L'assistant Feed personnalisé peut créer le fichier de définition de feed en se basant sur un fichier de données de feed, ou en se basant sur un fichier de données de feed et le fichier de définition de feed correspondant.

Les fichiers que vous utilisez pour créer un feed sur demande doivent être stockés sur votre système de fichiers local. Les fichiers utilisés pour créer un feed récurrent doivent être stockés sur une URL accessible, où NetWitness Platform peut récupérer la dernière version du fichier pour chaque récurrence. Après la création d'un feed NetWitness Platform, vous pouvez télécharger le feed sur votre système de fichiers local, modifier les fichiers de feed, puis modifier le feed NetWitness Platform afin qu'il utilise les fichiers de feed mis à jour.

Échantillon de fichier de définition de feed

Voici un exemple de fichier de définition de feed nommé dynamic_dns.xml, que NetWitness Platform crée en se basant sur vos entrées dans l'assistant Feed personnalisé. Il définit la structure du fichier de données de feed intitulé dynamic_dns.csv.

Remarque : Le chemin d’accès du fichier de feed doit être .csv, quel que soit le type de feed (par défaut ou STIX).

<?xml version="1.0" encoding="utf-8"?>
<FDF xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:noNamespaceSchemaLocation="feed-definitions.xsd">

    <FlatFileFeed name="Dynamic DNS Domain Feed"
        path="dynamic_dns.csv"
        separator=","
        comment="#"
        version="1">

        <MetaCallback
            name="alias.host"
            valuetype="Text"
            apptype="0"
            truncdomain="true"/>

        <LanguageKeys>
            <LanguageKey name="threat.source" valuetype="Text" />
            <LanguageKey name="threat.category" valuetype="Text" />
            <LanguageKey name="threat.desc" valuetype="Text" />
        </LanguageKeys>

        <Fields>
            <Field index="1" type="index" key="alias.host" />
            <Field index="4" type="value" key="threat.desc" />
            <Field index="2" type="value" key="threat.source" />
            <Field index="3" type="value" key="threat.category" />
        </Fields>
    </FlatFileFeed>

 </FDF>

Équivalents de définition de feed pour les paramètres de l'assistant de feed personnalisé

L'assistant Feed personnalisé de NetWitness Platform fournit des options permettant de définir la structure du fichier de feed de données. Ils correspondent directement aux attributs du fichier de définition de feed (.xml).

                                                                   
Paramètre NetWitness PlatformÉquivalent du fichier de définition de feed
(Onglet Définir le feed) Type de feedSelect :
Par défaut - pour définir un feed basé sur un fichier de données de feed au format .csv.
STIX - pour définir un feed basé sur un fichier STIX au format .xml.
(Onglet Définir le feed) Type de tâche par défautSelect :
Ad hoc - pour créer un feed à la demande.
Récurrent - pour mettre à jour le fichier .csv ou .xml de manière permanente et le stocker dans un emplacement accessible à NetWitness Platform , de sorte que NetWitness Platform télécharge un fichier à intervalles réguliers et le transmette aux périphériques en aval.
(Onglet Définir le feed) NomNom du feed personnalisé dans le fichier de données du feed. Il correspond à l'attribut flatfeedfile name dans le fichier de définition de feed. Par exemple, Dynamic DNS Test Feed.

Remarque : Vous pouvez utiliser des caractères spéciaux pour définir le nom du feed personnalisé.

(Onglet Définir le feed) Fichier/ ParcourirIl s'agit du nom du fichier de données du feed. Il correspond à l'attribut flatfeedfile path dans le fichier de définition de feed. Par exemple, dynamic_dns.csv.
(Onglet Options avancées) Fichier de feed XMLLe nom du fichier de définition de feed. Par exemple : dynamic_dns.xml.
(Onglet Options avancées) SéparateurCaractère de séparation utilisé pour séparer les attributs dans le fichier de données du feed. Il correspond à l'attribut latfeedfile separator dans le fichier de définition de feed. Par exemple, une virgule.
(Onglet Options avancées) CommentaireCaractère utilisé pour identifier un commentaire dans le fichier de données du feed. Il correspond à l'attribut flatfeedfile comment dans le fichier de définition de feed. Par exemple, #.
(onglet Définir des colonnes, Définir l'index) Type Type de valeur de recherche dans la position d'index du fichier de données de feed.
IP indique que chaque ligne du fichier de données de feed contient une adresse IP dans la position de valeur de recherche. La valeur IP est au format décimal à points (par exemple, 10.5.187.42).
Plage IP indique que chaque ligne du fichier de données de feed contient une plage d'adresses IP dans la position de valeur de recherche. La plage IP est au format CIDR (par exemple, 192.168.2.0/24).
Non IP indique que chaque ligne du fichier de données de feed contient une valeur de métadonnées autre que l'adresse IP dans la position de valeur de recherche. Les champs Type de service, Tronquer le domaine et Clé de retour deviennent actifs dans le cas d'un index Non IP.
(onglet Définir des colonnes, Définir l'index) CIDRSpécifie que la valeur IP dans la position de recherche est au format CIDR. L'attribut CIDR définit le format de l'adresse IP dans le champ sur la notation Classless Inter-Domain Routing (CIDR).
(Onglet Définir des colonnes, Définir l'index)
Type de service		Pour un index Non IP, type de service en nombre entier permettant de filtrer les recherches méta. Il correspond à l'attribut MetaCallback apptype dans le fichier de définition de feed. Une valeur de 0 indique qu'il n'y a aucun filtrage par type de service.
(Onglet Définir des colonnes, Définir l'index) 
Tronquer le domaine		Pour un index Non IP, le système peut extraire des données l'élément spécifique à l'hôte pour les métavaleurs qui contiennent les noms de domaine (par exemple, les noms d'hôtes). Tronquer le domaine correspond à l’attribut MetaCallback truncdomain. Si la valeur est www.example.com, elle est tronquée à example.com. Une valeur Faux sélectionne aucune troncature et une valeur Vrai sélectionne la troncature.
(Onglet Définir des colonnes, Définir l'index) 
Clés de rappel		Pour un index Non IP, les métaclés disponibles à mettre en correspondance à la place de ip.src/ip.dst (les valeurs par défaut pour le type d'index IP) peuvent être sélectionnées dans la liste déroulante. La Clé de rappel correspond à l'attribut MetaCallback name, et la colonne index du fichier csv doit contenir des données pouvant correspondre à la clé méta choisie. Par exemple, si la clé méta du nom d'utilisateur est choisie, la colonne index du fichier csv doit être renseignée avec les utilisateurs à associer.
(Onglet Définir des colonnes, Définir l'index) 
Colonne index		Identifie la colonne du fichier de données de feed qui donne la valeur de recherche pour la ligne. Chaque position de chaque ligne du fichier de données de champ est identifiée par l'attribut Index de champ dans le fichier de définition de feed. Un champ dont l'index est 1 indique la première entrée de la ligne. Le second champ représente l'index 2, le troisième champ l'index 3, etc.
(DÉFINIR LES VALEURS) Clé Nom de LanguageKey, tel qu'il est défini dans le fichier de définition de feed, pour lequel les méta sont créées à partir de cette ligne du fichier de données de feed. Il correspond à l'attribut Field key dans le fichier de définition de feed. Une clé ne s’applique qu’à un champ dont le type est défini sur value. Dans le fichier de définition de feed se trouve une liste de LanguageKeys de index.xml, ou un nom de récapitulatif si le Nom de la source et le Nom de destination sont utilisés. Par exemple, reputation est un nom de récapitulatif pour reputation.src et reputation.dst. Cette valeur est référencée par l'attribut clé Champ.

Exemples de fichiers pour un feed MetaCallback à l’aide de la plage d’index CIDR pour IPv4 et IPv6

Ces exemples de fichiers montrent comment utiliser des plages d’index CIDR pour IPv4 et IPv6 dans des feeds personnalisés MetaCallback. Comme avec d’autres feeds personnalisés, vous devez créer le fichier de données de feed au format .csv et un fichier de définition de feed au format .xml.

Remarque : L’utilisation de feeds MetaCallback avec des plages d’index CIDR est prise en charge uniquement par le biais de l’interface REST ou de l’assistant de configuration avancée.

L’exemple suivant affiche le contenu des fichiers .csv et .xml pour un feed MetaCallback à l’aide des plages d’index CIDR pour IPv4 ou IPv6.

.csv file:

192.168.0.0/24, Sydney
192.168.1.0/24, Melbourne

.xml file:

<?xml version="1.0" encoding="UTF-8"?>

<FDF xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:noNamespaceSchemaLocation="feed-definitions.xsd">

<FlatFileFeed name="ip_test" path="ip_test.csv" separator="," comment="#">

<MetaCallback name="DstIP" valuetype="IPv4" apptype="0" truncdomain="false">

<Meta name="ip.dst"/>

</MetaCallback>

<LanguageKeys>

<LanguageKey name="alert" valuetype="Text" />

</LanguageKeys>

<Fields>

<Field index="1" type="index" range="cidr"/>

<Field index="2" type="value" key="alert" />

</Fields>

</FlatFileFeed>

</FDF>

Remarque : Pour configurer une plage d’index CIDR pour les feeds avec un ou plusieurs MetaCallbacks de type de valeur IPv4 ou IPv6, le champ du type d’index DOIT contenir un attribut avec une plage range="cidr". En outre, la configuration de l’index « cidr » pour des feeds avec MetaCallbacks de plusieurs types de valeur différentes n’est pas prise en charge

You are here
Table of Contents > Configurer les feeds et les parsers > Structure des fichiers de définition des feeds personnalisés

Attachments

    Outcomes

      Visibility: RSA NetWitness Logs & Network 11.x Documentation (French)59 Views
      Last modified on Apr 28, 2019 3:29 PM
      Ratings: