Decoder: Crear e implementar feeds personalizados con el asistente

Document created by RSA Information Design and Development on Feb 9, 2017
Version 1Show Document
  • View in full screen mode
  

En este tema se proporcionan instrucciones para usar el asistente Feed personalizado en RSA Security Analytics con el fin de completar rápidamente los Decoders con feeds personalizados.

RSA Security Analytics cuenta con un asistente Feed personalizado para crear e implementar rápidamente feeds de Decoder personalizados basados en lógica determinista que ofrece las claves de metadatos específicas para los Decoders y los Log Decoders seleccionados. A pesar de que el asistente guía a los usuarios por el proceso de crear feeds según demanda y recurrentes, es útil comprender la forma y el contenido de un archivo de feed cuando crea un feed.

Los nombres de archivo de feeds en RSA Security Analytics tienen el formato <filename>.feed. Para crear un feed, Security Analytics requiere un archivo de datos de feed en el formato .csv y un archivo de definición de feed en el formato .xml, el cual describe la estructura de un archivo de datos de feed. Con el asistente Feed personalizado, se puede crear un archivo de definición de feed basado en un archivo de datos de feed, o en un archivo de datos de feed y el archivo de definición de feed correspondiente.

Los archivos que se utilizan para crear un feed según demanda deben estar almacenados en el sistema de archivos local. Los archivos que se utilizan para crear un feed recurrente deben estar almacenados en una URL accesible, en la cual Security Analytics pueda buscar la versión más reciente del archivo para cada recurrencia. Después de la creación de un feed de Security Analytics, puede descargarlo al sistema de archivos local, editar sus archivos y, a continuación, editar el feed de Security Analytics para usar los archivos de feed actualizados.

Archivo de definición de feed de muestra

Este es el ejemplo de un archivo de definición de feed llamado dynamic_dns.xml que Security Analytics crea en función de las entradas del asistente Feed personalizado. Define la estructura del archivo de datos del feed llamado dynamic_dns.csv.

<?xml version="1.0" encoding="utf-8"?>
<FDF xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:noNamespaceSchemaLocation="feed-definitions.xsd">

    <FlatFileFeed name="Dynamic DNS Domain Feed"
      path="dynamic_dns.csv"
      separator=","
      comment="#"
      version="1">

      <MetaCallback
        name="alias.host"
        valuetype="Text"
        apptype="0"
        truncdomain="true"/>

      <LanguageKeys>
      <LanguageKey name="threat.source" valuetype="Text" />
      <LanguageKey name="threat.category" valuetype="Text" />
      <LanguageKey name="threat.desc" valuetype="Text" />
      </LanguageKeys>

      <Campos>
        <Field index="1" type="index" key="alias.host" />
        <Field index="4" type="value" key="threat.desc" />
        <Field index="2" type="value" key="threat.source" />
        <Field index="3" type="value" key="threat.category" />
      </Fields>
    </FlatFileFeed>

</FDF>

Equivalentes de definición de feed para los parámetros del asistente Feed personalizado

En el asistente Feed personalizado de Security Analytics se proporcionan opciones para definir la estructura del archivo de feed de datos. Esto se corresponde directamente con los atributos en el archivo (.xml) de definición del feed. 

                                                         
Parámetro de Security AnalyticsEquivalente en el archivo de definición del feed
(Pestaña Definir feed) NombreEl nombre del feed personalizado en el archivo de datos del feed. Corresponde al atributo flatfeedfile name en el archivo de definición del feed. Por ejemplo, Feed de prueba de DNS dinámico.

Nota: Ahora puede utilizar caracteres especiales para definir el nombre del feed personalizado.

(Pestaña Definir feed) Archivo/NavegarEste es el nombre del archivo de datos del feed. Corresponde al atributo flatfeedfile path en el archivo de definición del feed. Por ejemplo, dynamic_dns.csv.
(Pestaña Opciones avanzadas) Archivo de feed XMLEl nombre del archivo de definición del feed. Por ejemplo, dynamic_dns.xml.
(Pestaña Opciones avanzadas) SeparadorEl carácter separador que se utiliza para separar atributos en el archivo de datos del feed. Corresponde al atributo flatfeedfile separator en el archivo de definición del feed. Por ejemplo, una coma.
(Pestaña Opciones avanzadas) ComentarioEl carácter que se utiliza para identificar un comentario en el archivo de datos del feed. Corresponde al atributo flatfeedfile comment en el archivo de definición del feed. Por ejemplo, #.
(Pestaña Definir columnas, Definir índice) TipoEl tipo de valor de búsqueda en la posición del índice del archivo de datos de feed.
IP significa que cada fila del archivo de datos del feed contiene una dirección IP en la posición del valor de búsqueda. El valor de la dirección IP está en formato de punto decimal (por ejemplo, 10.5.187.42). Rango de IP significa que cada columna del archivo de datos de feed contiene un rango de direcciones IP en la posición del valor de búsqueda. El rango de direcciones IP está en formato CIDR (for example, 192.168.2.0/24). No IP significa que cada fila del archivo de datos de feed contiene un valor de metadatos distinto a una dirección IP en la posición del valor de búsqueda. Los campos Tipo de servicio, Truncar dominio y Claves de callback se activan en los índices No IP.
(Pestaña Definir columnas, Definir índice) CIDREspecifica que el valor de la dirección IP en la posición de búsqueda está en formato CIDR. El atributo CIDR define el formato de dirección IP del campo en notación Classless Inter-Domain Routing (CIDR).
(Pestaña Definir columnas, Definir índice)
Tipo de servicio
Para un índice No IP, el tipo de servicio entero para filtrar las búsquedas de metadatos. Corresponde al atributo MetaCallback apptype en el archivo de definición del feed. Un valor de 0 indica que no hay filtrado por tipo de servicio.
(Pestaña Definir columnas, Definir índice) 
Truncar dominio
Para un índice No IP, en los valores de metadatos que contienen nombres de dominio (por ejemplo, nombres de host), el sistema puede quitar el elemento específico de host en los datos. Truncar dominio se corresponde con el atributo MetaCallback truncdomain. Si el valor es www.example.com, se trunca a example.com. Con un valor Falso se selecciona sin truncamiento y con un valor Verdadero, truncamiento.
(Pestaña Definir columnas, Definir índice) 
Claves de callback
En un índice No IP, se pueden seleccionar en la lista desplegable las claves de metadatos disponibles para coincidencia en lugar de ip.src/ip.dst (los valores predeterminados para un tipo de índice IP). La clave de callback corresponde al atributo MetaCallback name y la columna de índice del archivo csv debe contener datos que puedan coincidir con la clave de metadatos seleccionada. Por ejemplo, si elige la clave de metadatos de nombre de usuario, la columna de índice del archivo csv debe completarse con los usuarios que se deban hacer coincidir.
(Pestaña Definir columnas, Definir índice) 
Columna de índice
Identifica la columna en el archivo de datos de feed que proporciona el valor de búsqueda para la fila. Cada posición en cada fila del archivo de datos de feed se identifica con un atributo Field index en el archivo de definición de feed. Un campo con un índice de 1 es la primera entrada en una fila, el segundo campo tiene un índice de 2, el tercer campo tiene un índice de 3 y así sucesivamente.
(DEFINIR VALORES) ClaveEl nombre de LanguageKey, según se define en el archivo de definición del feed, para el cual se crean los metadatos a partir de esta fila del archivo de datos del feed. Se corresponde con el atributo Field key en el archivo de definición del feed. Una clave se aplica solamente a un campo cuyo tipo está definido en valor. En el archivo de definición del feed, hay una lista de LanguageKeys desde index.xml o un nombre del resumen si se utiliza el nombre de origen y el nombre de destino. Por ejemplo, reputation es un nombre de resumen para reputation.src y reputation.dst. El atributo Field key hace referencia a este valor.
You are here
Table of Contents > Procedimientos adicionales > Configurar feeds y analizadores > Crear e implementar feeds personalizados con el asistente

Attachments

    Outcomes