Decoder : Créer un Feed personnalisé

Document created by RSA Information Design and Development Employee on Apr 28, 2019
Version 1Show Document
  • View in full screen mode
 

Vous pouvez créer un feed personnalisé à l'aide de l'assistant Feed personnalisé. Pour exécuter cette procédure, vous devez disposer d'un fichier de données de feed au format .csv ou .xml. Si vous avez également un fichier de définition de feed associé au format .xml, qui décrit la structure du fichier de données de feed, vous pourrez utiliser le fichier de définition de feed pour créer un feed. L'assistant Feed personnalisé peut créer le feed en se basant sur un fichier de données de feed, ou en se basant sur un fichier de données de feed et le fichier de définition de feed correspondant.

Remarque : À partir de la version 10.6.1 ou d’une version supérieure, NetWitness Platform prend en charge STIX (un langage structuré qui décrit les informations sur les cybermenaces). Pour plus d’informations sur STIX et la manière de créer un feed STIX personnalisé, reportez-vous à la rubrique Créer un Feed STIX personnalisé dans le guide de configuration Log Decoder.

Le fichier de données de feed et éventuellement le fichier de définition de feed (.xml) doivent être disponibles sur le système de fichier local pour un feed personnalisé à la demande. Pour un feed personnalisé récurrent, les fichiers doivent être disponibles à une URL accessible au serveur NetWitness Platform.

Remarque : Lors de la création d'une source et d'une destination sur un Log Decoder, seule la clé méta source est renseignée. Vous ne pouvez pas utiliser un flux basé sur une plage ou sur CIDR. Vous devez répertorier chaque adresse IP unique. Pour remédier à ce problème, créez deux flux différents à l'aide des adresses IP et vous pourrez utiliser CIDR dans ces feeds.

Pour créer un feed personnalisé :

  1. Accédez à CONFIGURER > Feeds personnalisés.
  2. Dans le panneau Feeds, cliquez sur add icon.
    La vue feeds personnalisés s’affiche.
    An example of the Feeds view
  3. Sélectionnez Feed personnalisé, puis cliquez sur Suivant.
    Le panneau Configurer un feed personnalisé s'affiche avec le formulaire Définir le feed ouvert.

  4. Sélectionnez le type de feed : CSV ou STIX.
  5. Pour définir un feed basé sur un fichier de données de feed au format .csv, sélectionnez CSV (sélectionné par défaut) dans le champ Type de feed.
  6. Pour définir une tâche de feed à la demande qui s'exécute une fois, sélectionnez Ad hoc dans le champ Type de tâche par défaut et procédez d'une des manières suivantes :
    1. (Conditionnel) Pour définir un feed basé sur un fichier de données de feed au format .csv, saisissez la caseTélécharger (envoyer) comme fichier Feed CSV, saisissez le Nom du feed, sélectionnez un fichier de contenu au format .csv sur le système de fichiers local, puis cliquez sur Suivant. Si vous ne cochez pas la case, le fichier. csv sera un fichier FlatFileFeed.
    2. Remarque : Lorsque vous activez la case à cocher Télécharger (envoyer) comme fichier Feed CSV, les options de feed XML sous la section Avancé ne sont pas disponibles.

    1. (Conditionnel) Pour définir un feed basé sur un fichier de feed XML, sélectionnez Options avancées.
    2. Remarque : Assurez-vous que la case à cocher Télécharger (envoyer) comme fichier Feed CSV est désélectionnée.

    3. Les Options avancées s'affichent :
      Configure Cust Feed wizard in the Define Feed tab
    4. Sélectionnez un fichier de feed XML à partir du système de fichiers local, choisissez le Séparateur (par défaut, il s'agit de la virgule), et spécifiez les caractères du Commentaire utilisés dans le fichier de données de feed (la valeur par défaut est #) et cliquez sur Suivant.
      Le formulaire Sélectionner des services s'affiche. Voici un exemple de formulaire pour un feed basé sur un fichier de données de feed, sans fichier de définition de feed. Si vous définissez un feed basé sur un fichier de définition de feed, l'onglet Définir des colonnes n'est pas nécessaire.
      Configure a Custom Feed wizard in the Select Services tab
  7. Pour définir une tâche de feed récurrente qui s'exécute de manière répétée à des intervalles spécifiques, pendant une certaine période :
    1. Sélectionnez Récurrent dans le champ Type de tâche de feed.
      Le formulaire Définir le feed comprend les champs pour un feed récurrent.
      This is an example of the Define Feed section.
    2. Dans le champ URL, entrez l'URL où se trouve le fichier de données de feed, par exemple, http://<hostname>/<feeddatafile>.csv, et cliquez sur Vérifier. NetWitness Platform vérifie l'emplacement où le fichier est stocké afin d'activer la vérification du dernier fichier automatiquement avant chaque récurrence.

    3. (Facultatif) Si l'URL présente un accès restreint et requiert une authentification à l'aide de votre nom d'utilisateur et mot de passe, sélectionnez Authentifié.
      NetWitness Platform fournit votre nom d'utilisateur et mot de passe pour l'authentification auprès de l'URL.

    4. Si vous souhaitez que le serveur NetWitness accède à l'URL du feed via un proxy, sélectionnez Utiliser le proxy. Pour plus d'informations sur la configuration d'un proxy, reportez-vous à la rubrique « Configurer un serveur proxy » pour NetWitness Platform dans le Guide de configuration du système. Par défaut, la case Utiliser le proxy n'est pas cochée.
    5. Pour définir l'intervalle de récurrence, effectuez l'une des opérations suivantes :
      - Spécifiez le nombre de minutes, d'heures ou de jours entre les récurrences du champ.
      Spécifiez une récurrence hebdomadaire, puis sélectionnez les jours de la semaine.
    6. Pour définir la période pour l'exécution récurrente du feed, spécifiez la Date de début et l’heure, ainsi que la Date de fin et l’heure.
      This is an example of the Define Feed section with the Name field filled.
  8. (Conditionnel) Si vous souhaitez définir un feed basé sur un fichier de feed XML :
    Saisissez le Nom du feed, sélectionnez Options avancées. Les champs des Options avancées s'affichent.
    Sélectionnez un fichier de feed XML à partir du système de fichiers local, choisissez le Séparateur (par défaut, il s'agit de la virgule), spécifiez les caractères du Commentaire utilisés dans le fichier de données de feed (la valeur par défaut est #) et cliquez sur Suivant. Le formulaire Sélectionner des services s'affiche.
    This is the Select Services section.
  9. Pour identifier les services sur lesquels déployer le feed, effectuez l'une des opérations suivantes :
    1. Sélectionnez un ou plusieurs Decoders et Log Decoders, et cliquez sur Suivant
    2. Cliquez sur l'onglet Groupes et sélectionnez un groupe. Cliquez sur Suivant.
      Le formulaire Définir des colonnes s'affiche.
  10. Pour mapper les colonnes dans le formulaire Définir des colonnes :
    1. Définir le type d'index : IPPlage IP ou Non IP, et sélectionnez la colonne index.
    2. (Conditionnel) Si le type d'index est IP ou Plage IP et l'adresse IP est au format de notation CIDR, sélectionnez CIDR.
    3. (Conditionnel) Si le type d'index est Non IP, des paramètres supplémentaires s'affichent. Sélectionnez le type de service et Clés de rappel, et éventuellement, sélectionnez l'option Tronquer le domaine.
      This is the Define Columns section with the Callback Key(s) drop-down open.

    4. Sélectionnez la clé de langue à appliquer aux données de chaque colonne à partir de la liste déroulante. Le méta affiché dans la liste déroulante est basé sur les valeurs définies par le service. Si vous avez des compétences solides, vous pouvez également ajouter d'autres méta.
      This is an example of the Define Columns section.
    5. Cliquez sur Suivant.
      Le formulaire Révision s'affiche.
      This is an example of the Review form.
  11. À tout moment avant de cliquer sur Terminer, vous pouvez :
  • Cliquez sur Annuler pour fermer l'assistant sans enregistrer votre définition de feed.
  • Cliquez sur Réinitialiser pour effacer les données de l'assistant.
  • Cliquez sur Suivant pour afficher le formulaire suivant (si ce n'est pas le dernier formulaire).
  • Cliquez sur Précédent pour afficher le formulaire précédent (si ce n'est pas le premier formulaire)
  1. Passez en revue les informations du feed et, si elles sont correctes, cliquez sur Terminer.
  2. Lorsque le fichier de définition de feed a été créé avec succès, l'assistant Créer un feed se ferme. Le feed et le fichier de token correspondant sont répertoriés dans la grille de feed et la barre de progression indique l'avancement. Vous pouvez développer ou réduire l'entrée pour voir combien de services sont inclus, et quels services ont abouti.
    Custom Feeds tab in Configure menu
You are here
Table of Contents > Configurer les feeds et les parsers > Créer un feed personnalisé

Attachments

    Outcomes