Decoder : Créer et déployer un Feed personnalisé à l'aide de l'assistant

Document created by RSA Information Design and Development on Feb 3, 2017
Version 1Show Document
  • View in full screen mode
  

Cette rubrique fournit des instructions sur l'utilisation de l'assistant Feed personnalisé dans RSA Security Analytics, afin de renseigner rapidement les Decoders avec des feeds personnalisés.

RSA Security Analytics est doté d'un assistant Feed personnalisé pour permettre la création et le déploiement rapides de feeds Decoder personnalisés en fonction d'une logique déterministe qui offre les clés métas spécifiques aux Decoders et Log Decoders sélectionnés. Bien que l'assistant guide les utilisateurs tout au long du processus pour créer à la fois des feeds à la demande et périodiques, il est utile de comprendre la forme et le contenu d'un fichier de feed lorsque vous créez un feed.

Les noms de fichier de feed dans RSA Security Analytics se présentent sous la forme <filename>.feed. Pour créer un feed, Security Analytics a besoin d'un fichier de données de feed au format .csv et un fichier de définition de feed au format ..xml, décrivant la structure d'un fichier de données de feed. L'assistant Feed personnalisé peut créer le fichier de définition de feed en se basant sur un fichier de données de feed, ou en se basant sur un fichier de données de feed et le fichier de définition de feed correspondant.

Les fichiers que vous utilisez pour créer un feed sur demande doivent être stockés sur votre système de fichiers local. Les fichiers utilisés pour créer un feed récurrent doivent être stockés sur une URL accessible, où Security Analytics peut récupérer la dernière version du fichier pour chaque récurrence. Après la création d'un feed Security Analytics, vous pouvez télécharger le feed sur votre système de fichiers local, modifier les fichiers de feed, puis modifier le feed Security Analytics afin qu'il utilise les fichiers de feed mis à jour.

Échantillon de fichier de définition de feed

Voici un exemple de fichier de définition de feed nommé dynamic_dns.xml, que Security Analytics crée en se basant sur vos entrées dans l'assistant Feed personnalisé. Il définit la structure du fichier de données de feed intitulé dynamic_dns.csv.

<?xml version="1.0" encoding="utf-8"?>
<FDF xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:noNamespaceSchemaLocation="feed-definitions.xsd">

    <FlatFileFeed name="Dynamic DNS Domain Feed"
        path="dynamic_dns.csv"
        separator=","
        comment="#"
        version="1">

        <MetaCallback
            name="alias.host"
            valuetype="Text"
            apptype="0"
            truncdomain="true"/>

        <LanguageKeys>
            <LanguageKey name="threat.source" valuetype="Text" />
            <LanguageKey name="threat.category" valuetype="Text" />
            <LanguageKey name="threat.desc" valuetype="Text" />
        </LanguageKeys>

        <Champs>
            <Field index="1" type="index" key="alias.host" />
            <Field index="4" type="value" key="threat.desc" />
            <Field index="2" type="value" key="threat.source" />
            <Field index="3" type="value" key="threat.category" />
        </Fields>
    </FlatFileFeed>

</FDF>

Équivalents de définition de feed pour les paramètres de l'assistant de feed personnalisé

L'assistant Feed personnalisé de Security Analytics fournit des options permettant de définir la structure du fichier de feed de données. Ils correspondent directement aux attributs du fichier de définition de feed (.xml). 

                                                         
Paramètre de Security AnalyticsÉquivalent du fichier de définition de feed
(Onglet Définir le feed) NomNom du feed personnalisé dans le fichier de données du feed. Il correspond à l'attribut flatfeedfile name dans le fichier de définition de feed. Par exemple, Dynamic DNS Test Feed.

Remarque : Vous pouvez maintenant utiliser des caractères spéciaux pour définir le nom du feed personnalisé.

(Onglet Définir le feed) Fichier/ ParcourirIl s'agit du nom du fichier de données du feed. Il correspond à l'attribut flatfeedfile path dans le fichier de définition de feed. Par exemple, dynamic_dns.csv.
(Onglet Options avancées) Fichier de feed XMLLe nom du fichier de définition de feed. Par exemple : dynamic_dns.xml.
(Onglet Options avancées) SéparateurCaractère de séparation utilisé pour séparer les attributs dans le fichier de données du feed. Il correspond à l'attribut flatfeedfile separator dans le fichier de définition de feed. Par exemple, une virgule.
(Onglet Options avancées) CommentaireCaractère utilisé pour identifier un commentaire dans le fichier de données du feed. Il correspond à l'attribut flatfeedfile comment dans le fichier de définition de feed. Par exemple, #.
(onglet Définir des colonnes, Définir l'index) TypeType de valeur de recherche dans la position d'index du fichier de données de feed.
IP indique que chaque ligne du fichier de données de feed contient une adresse IP dans la position de valeur de recherche. La valeur IP est au format décimal à points (par exemple, 10.5.187.42). Plage IP indique que chaque ligne du fichier de données de feed contient une plage d'adresses IP dans la position de valeur de recherche. La plage IP est au format CIDR (par exemple, 192.168.2.0/24). Non IP indique que chaque ligne du fichier de données de feed contient une valeur de métadonnées autre que l'adresse IP dans la position de valeur de recherche. Les champs Type de service, Tronquer le domaine et Clé de retour deviennent actifs dans le cas d'un index Non IP.
(onglet Définir des colonnes, Définir l'index) CIDRSpécifie que la valeur IP dans la position de recherche est au format CIDR. L'attribut CIDR définit le format de l'adresse IP dans le champ sur la notation Classless Inter-Domain Routing (CIDR).
(onglet Définir des colonnes, Définir l'index)
Type de service
Pour un index Non IP, type de service en nombre entier permettant de filtrer les recherches méta. Il correspond à l'attribut MetaCallback apptype dans le fichier de définition de feed. Une valeur de 0 indique qu'il n'y a aucun filtrage par type de service.
(onglet Définir des colonnes, Définir l'index) 
Tronquer le domaine
Pour un index Non IP, le système peut extraire des données l'élément spécifique à l'hôte pour les métavaleurs qui contiennent les noms de domaine (par exemple, les noms d'hôtes). Tronquer le domaine correspond à l'attribut MetaCallback truncdomain. Si la valeur est www.exemple.com, elle est tronquée à exemple.com. La valeur Faux ne sélectionne pas de troncation, et la valeur Vrai sélectionne la troncation.
(onglet Définir des colonnes, Définir l'index) 
Clés de rappel
Pour un index Non IP, les métaclés disponibles à mettre en correspondance à la place de ip.src/ip.dst (les valeurs par défaut pour le type d'index IP) peuvent être sélectionnées dans la liste déroulante. La Clé de rappel correspond à l'attribut MetaCallback name, et la colonne index du fichier csv doit contenir des données pouvant correspondre à la clé méta choisie. Par exemple, si la clé méta du nom d'utilisateur est choisie, la colonne index du fichier csv doit être renseignée avec les utilisateurs à associer.
(onglet Définir des colonnes, Définir l'index) 
Colonne index
Identifie la colonne du fichier de données de feed qui donne la valeur de recherche pour la ligne. Chaque position de chaque ligne du fichier de données de champ est identifiée par l'attribut Index de champ dans le fichier de définition de feed. Un champ dont l'index est 1 indique la première entrée de la ligne. Le second champ représente l'index 2, le troisième champ l'index 3, etc.
(DÉFINIR LES VALEURS) CléNom de LanguageKey, tel qu'il est défini dans le fichier de définition de feed, pour lequel les méta sont créées à partir de cette ligne du fichier de données de feed. Il correspond à l'attribut Clé de champ dans le fichier de définition de feed. Une clé s'applique uniquement à un champ dont le type est défini sur valeur. Dans le fichier de définition de feed, se trouve une liste de LanguageKeys provenant de index.xml, ou un nom récapitulatif si le Nom de la source et le Nom de la destination sont utilisés. Par exemple, réputation est un nom de résumé pour réputation.src et réputation.dst. Cette valeur est référencée par l'attribut Clé de champ.
You are here
Table of Contents > Procédures supplémentaires > Configurer les feeds et les parsers > Créer et déployer un Feed personnalisé à l'aide de l'assistant

Attachments

    Outcomes