Live : Gérer les feeds personnalisés

Document created by RSA Information Design and Development on Feb 6, 2017
Version 1Show Document
  • View in full screen mode
  

Cette rubrique présente la fonction de feed personnalisé qui est implémentée à l'aide de l'assistant Feed personnalisé, dans RSA Security Analytics, pour renseigner rapidement les Decoders grâce aux feeds personnalisés et aux feeds d'identité.

Création d'un feed personnalisé

Utilisez l'assistant Live > Feeds > Configurer le feedConfigurer un feed personnalisé pour créer et déployer rapidement des feeds de Decoder en fonction d'une logique déterministe qui offre les clés métas spécifiques aux Decoders et Log Decoders sélectionnés. Bien que l'Assistant vous guide tout au long du processus pour créer des feeds à la demande et périodiques, vous devez comprendre la forme et le contenu d'un fichier de feed lorsque vous créez un feed.

Les noms de fichier de feed dans RSA Security Analytics se présentent sous la forme <nom_fichier>.feed. Pour créer un feed, Security Analytics a besoin d'un fichier de données de feed au format .csv et un fichier de définition de feed au .xml, décrivant la structure d'un fichier de données de feed. L'assistant Configurer un feed personnalisé peut créer le fichier de définition de feed en se basant sur un fichier de données de feed, ou en se basant sur un fichier de données de feed et le fichier de définition de feed correspondant.

Les fichiers que vous utilisez pour créer un feed sur demande doivent être stockés sur votre système de fichiers local. Les fichiers utilisés pour créer un feed récurrent doivent être stockés sur une URL accessible, où Security Analytics peut récupérer la dernière version du fichier pour chaque récurrence. Après la création d'un feed Security Analytics, vous pouvez télécharger le feed sur votre système de fichiers local, modifier les fichiers de feed, puis modifier le feed Security Analytics afin qu'il utilise les fichiers de feed mis à jour.

Échantillon de fichier de définition de feed

Voici un exemple de fichier de définition de feed nommé dynamic_dns.xml, que Security Analytics crée en se basant sur vos entrées dans les assistants Feed. Il définit la structure du fichier de données de feed intitulé dynamic_dns.csv.

<?xml version="1.0" encoding="utf-8"?>
<FDF xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:noNamespaceSchemaLocation="feed-definitions.xsd">

    <FlatFileFeed name="Dynamic DNS Domain Feed"
        path="dynamic_dns.csv"
        separator=","
        comment="#"
        version="1">

        <MetaCallback
            name="alias.host"
            valuetype="Text"
            apptype="0"
            truncdomain="true"/>

        <LanguageKeys>
            <LanguageKey name="threat.source" valuetype="Text" />
            <LanguageKey name="threat.category" valuetype="Text" />
            <LanguageKey name="threat.desc" valuetype="Text" />
        </LanguageKeys>

        <Champs>
            <Field index="1" type="index" key="alias.host" />
            <Field index="4" type="value" key="threat.desc" />
            <Field index="2" type="value" key="threat.source" />
            <Field index="3" type="value" key="threat.category" />
        </Fields>
    </FlatFileFeed>

</FDF>

Équivalents de définition de feed pour les paramètres de l'assistant de feed personnalisé

L'assistant Feeds de Security Analytics fournit des options permettant de définir la structure du fichier de feed de données. Ils correspondent directement aux attributs du fichier de définition de feed (.xml). 

                                                                         
Paramètre de Security AnalyticsÉquivalent du fichier de définition de feed
Onglet Définir le feed
Type de tâche par défaut Selectionnez : Adhoc - pour créer un feed à la demande. Récurrent - pour créer un feed qui se répète automatiquement.
Name Nom du feed personnalisé dans le fichier de données du feed. Il correspond à l'attribut flatfeedfile name dans le fichier de définition de feed, par exemple, Dynamic DNS Test Feed.
Fichier/ Parcourir Il s'agit du nom du fichier de données du feed. Il correspond à l'attribut flatfeedfile path dans le fichier de définition de feed, par exemple, dynamic_dns.csv.
Onglet Définir le feed - Options avancées
 Fichier de feed XMLNom du fichier de définition de feed, par exemple, dynamic_dns.xml.
Separateur Caractère de séparation utilisé pour séparer les attributs dans le fichier de données du feed. Il correspond à l'attribut flatfeedfile separator dans le fichier de définition de feed, par exemple, une virgule.
Commentaire Caractère utilisé pour identifier un commentaire dans le fichier de données du feed. Il correspond à l'attribut flatfeedfile comment dans le fichier de définition de feed, par exemple, #.
Onglet Sélectionner des services Sélectionnez les services auxquels vous souhaitez envoyer le feed de données.
(onglet Définir des colonnes, Définir l'index) Type

Type de valeur de recherche dans la position d'index du fichier de données de feed.
IP indique que chaque ligne du fichier de données de feed contient une adresse IP dans la position de valeur de recherche. La valeur IP est au format décimal à points (par exemple, 10.5.187.42).

Plage IP indique que chaque ligne du fichier de données de feed contient une plage d'adresses IP dans la position de valeur de recherche. La plage IP est au format CIDR (par exemple, 192.168.2.0/24). Non IP indique que chaque ligne du fichier de données de feed contient une valeur de métadonnées autre que l'adresse IP dans la position de valeur de recherche. Les champs Type de service, Tronquer le domaine et Clé de retour deviennent actifs dans le cas d'un index Non IP.
(onglet Définir des colonnes, Définir l'index) CIDRSpécifie que la valeur IP dans la position de recherche est au format CIDR. L'attribut CIDR définit le format de l'adresse IP dans le champ sur la notation Classless Inter-Domain Routing (CIDR).
(onglet Définir des colonnes, Définir l'index)
Type de service
Pour un index Non IP, type de service en nombre entier permettant de filtrer les recherches méta. Il correspond à l'attribut MetaCallback apptype dans le fichier de définition de feed. Une valeur de 0 indique qu'il n'y a aucun filtrage par type de service.
(onglet Définir des colonnes, Définir l'index)
Tronquer le domaine
Pour un index Non IP, le système peut extraire des données l'élément spécifique à l'hôte pour les métavaleurs qui contiennent les noms de domaine (par exemple, les noms d'hôtes). Tronquer le domaine correspond à l'attribut MetaCallback truncdomain. Si la valeur est www.exemple.com, elle est tronquée à exemple.com. La valeur Faux ne sélectionne pas de troncation, et la valeur Vrai sélectionne la troncation.
(onglet Définir des colonnes, Définir l'index)
Clés de rappel
Pour un index Non IP, les métaclés disponibles à mettre en correspondance à la place de ip.src/ip.dst (les valeurs par défaut pour le type d'index IP) peuvent être sélectionnées dans la liste déroulante. La Clé de rappel correspond à l'attribut MetaCallback name, et la colonne index du fichier csv doit contenir des données pouvant correspondre à la clé méta choisie. Par exemple, si la clé méta du nom d'utilisateur est choisie, la colonne index du fichier csv doit être renseignée avec les utilisateurs à associer.
(onglet Définir des colonnes, Définir l'index)
Colonne index
Identifie la colonne du fichier de données de feed qui donne la valeur de recherche pour la ligne. Chaque position de chaque ligne du fichier de données de champ est identifiée par l'attribut Index de champ dans le fichier de définition de feed. Un champ dont l'index est 1 indique la première entrée de la ligne. Le second champ représente l'index 2, le troisième champ l'index 3, etc.
(DÉFINIR LES VALEURS) Clé Nom de LanguageKey, tel qu'il est défini dans le fichier de définition de feed, pour lequel les méta sont créées à partir de cette ligne du fichier de données de feed. Il correspond à l'attribut Clé de champ dans le fichier de définition de feed. Une clé s'applique uniquement à un champ dont le type est défini sur valeur. Dans le fichier de définition de feed, se trouve une liste de LanguageKeys provenant de index.xml, ou un nom récapitulatif si le Nom de la source et le Nom de la destination sont utilisés. Par exemple, réputation est un nom de résumé pour reputation.src et reputation.dst). Cette valeur est référencée par l'attribut Clé de champ.

Étapes suivantes 

You are here
Table of Contents > Procédures supplémentaires > Gérer les feeds personnalisés

Attachments

    Outcomes