Decoder : Vue Configuration des services - onglet Feeds

Document created by RSA Information Design and Development Employee on Apr 28, 2019
Version 1Show Document
  • Comment0
  • View in full screen mode
 

Les feeds et les analyseurs sont des programmes Lua qui sont chargés et compilés lors du traitement des fichiers de capture dans le module Investigation ou lors de la capture de données avec des Decoders. Généralement, ils sont utilisés pour l'extraction de métadonnées statiques et l'identification des services.

Remarque : Les versions de NetWitness antérieures à 11.0 utilisaient des programmes FLEXPARSE en plus des programmes Lua ; les flexparsers sont obsolètes dans NetWitness Platform 11.0. Sauf indication contraire, toutes les références aux Decoders s'appliquent également aux Log Decoders.

NetWitness Platform utilise des feeds pour créer des métadonnées sur la base des métadonnées définies en externe. Un feed est une liste de données qui sont comparées à des sessions au fur et à mesure de leur capture ou de leur traitement. Pour chaque correspondance, d'autres métadonnées sont créées. Ces données permettent d'identifier et de classer les adresses IP malveillantes ou d'intégrer les informations complémentaires comme les noms de services et les emplacements en fonction des assignations de réseau internes. Certains exemples de feeds comprennent les feeds de menaces pour identifier les BOTNets, les mappages DHCP ou même des informations Active Directory comme les emplacements physiques ou les départements logiques.

Les feeds peuvent être ajoutés, supprimés et mis à jour alors qu'un Decoder est en cours d'exécution sans que cela ait d'impact sur la capture. L'onglet Feeds (ADMIN > Services > sélectionnez un service et cliquez sur The actions drop-down menu > Vue > Config > onglet Feeds) propose une interface utilisateur pour gérer les feeds sur les Decoders.

Que voulez-vous faire ?

                       
Rôle d'utilisateurJe souhaite...Documentation
Administrateurconfigurer les feedsConfigurer les feeds et les parsers
Administrateuractiver et désactiver les analyseursActiver et désactiver les analyseurs et les analyseurs de logs

Rubriques connexes

Aperçu rapide

Voici un exemple de l'onglet Feeds.

This is the Feeds tab for a Decoder.

             
1Barre d'outils de l'onglet Feeds - Comporte des options permettant d'utiliser les feeds dans la grille
2Grille Feed - Répertorie tous les feeds actuellement déployés sur le Decoder

Barre d'outils de l'onglet Feeds

                   
FonctionnalitéDescription
The Feed Upload icon Affiche la boîte de dialogue Télécharger les feeds.
The delete icon Supprime les feeds sélectionnés.

Liste de feeds

La liste Feeds répertorie tous les feeds actuellement déployés sur le Decoder.

                     
ColonneDescription
Nom Nom du feed ou fichier de feed.
Live Indique si le feed provient de Live. Les valeurs possibles sont Oui, Non ou N/A.
  • Oui = Installé via Live
  • Non = Installé via NetWitness Platform
  • N/A = Le feed n'a pas de fichier d'attribut créé par NetWitness Platform pour effectuer le suivi de la date d'installation. Il se peut que le feed ait été installé manuellement et non via NetWitness Platform ou Live Services. Les feeds installés manuellement fonctionnent encore correctement.
Date d'installation Date à laquelle le feed a été transmis au service.
You are here
Table of Contents > Références de Decoder et Log Decoder > Vue Configuration des services - onglet Feeds

Attachments

    Outcomes

      Visibility: RSA NetWitness Logs & Network 11.x Documentation (French)27 Views
      Last modified on Apr 28, 2019 3:29 PM
      Ratings: