Live: Administrar feeds personalizados

Document created by RSA Information Design and Development on Feb 9, 2017
Version 1Show Document
  • View in full screen mode
  

En este tema se presenta la funcionalidad de feeds personalizados, la cual se implementa mediante el asistente Feed personalizado en RSA Security Analytics con el fin de completar rápidamente los Decoders con feeds personalizados y de identidad.

Creación de feeds personalizados

Se utiliza Live > Feeds > Configurar feed > asistente para Configurar un feed personalizado para crear e implementar rápidamente feeds de Decoder basados en lógica determinista que ofrece las claves de metadatos específicas para los Decoders y los Log Decoders seleccionados. A pesar de que el asistente lo guiará por el proceso para crear feeds según demanda y recurrentes, debe comprender la forma y el contenido de un archivo de feed cuando crea un feed.

Los nombres de archivo de feeds en RSA Security Analytics tienen el formato <filename>.feed. Para crear un feed, Security Analytics requiere un archivo de datos de feed en el formato .csv y un archivo de definición de feed en el formato .xml, el cual describe la estructura de un archivo de datos de feed. El asistente Configurar un feed personalizado puede crear un archivo de definición de feed basado en un archivo de datos de feed o en un archivo de datos de feed y en el archivo de definición de feed correspondiente.

Los archivos que se utilizan para crear un feed a petición deben estar almacenados en el sistema de archivos local. Los archivos que se utilizan para crear un feed recurrente deben estar almacenados en una URL accesible, en la cual Security Analytics pueda buscar la versión más reciente del archivo para cada recurrencia. Después de la creación de un feed de Security Analytics, puede descargarlo al sistema de archivos local, editar sus archivos y, a continuación, editar el feed de Security Analytics para usar los archivos de feed actualizados.

Archivo de definición de feed de muestra

Este es un ejemplo de un archivo de definición de feed denominado dynamic_dns.xml que Security Analytics crea en función de las entradas de los asistentes de feed. Define la estructura del archivo de datos del feed llamado dynamic_dns.csv.

<?xml version="1.0" encoding="utf-8"?>
<FDF xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:noNamespaceSchemaLocation="feed-definitions.xsd">

    <FlatFileFeed name="Dynamic DNS Domain Feed"
      path="dynamic_dns.csv"
      separator=","
      comment="#"
      version="1">

      <MetaCallback
        name="alias.host"
        valuetype="Text"
        apptype="0"
        truncdomain="true"/>

      <LanguageKeys>
      <LanguageKey name="threat.source" valuetype="Text" />
      <LanguageKey name="threat.category" valuetype="Text" />
      <LanguageKey name="threat.desc" valuetype="Text" />
      </LanguageKeys>

      <Campos>
        <Field index="1" type="index" key="alias.host" />
        <Field index="4" type="value" key="threat.desc" />
        <Field index="2" type="value" key="threat.source" />
        <Field index="3" type="value" key="threat.category" />
      </Fields>
    </FlatFileFeed>

</FDF>

Equivalentes de definición de feed para los parámetros del asistente Feed personalizado

El asistente Feeds de Security Analytics proporciona opciones para definir la estructura del archivo de feed de datos. Esto se corresponde directamente con los atributos en el archivo (.xml) de definición del feed. 

                                                                         
Parámetro de Security AnalyticsEquivalente en el archivo de definición del feed
Pestaña Definir feed
Tipo de tarea de feed Seleccione: Ad hoc: para crear un feed según demanda. Recurrente: para crear un feed que se repite automáticamente.
Nombre El nombre del feed personalizado en el archivo de datos del feed. Corresponde al atributo flatfeedfile name en el archivo de definición del feed; por ejemplo, Feed de prueba de DNS dinámico.
Archivo/ Navegar Este es el nombre del archivo de datos del feed. Corresponde al atributo flatfeedfile path en el archivo de definición del feed; por ejemplo, dynamic_dns.csv.
Pestaña Definir feed: Opciones avanzadas
 Archivo de feed XMLEl nombre del archivo de definición del feed, por ejemplo, dynamic_dns.xml.
Separador El carácter separador que se utiliza para separar atributos en el archivo de datos del feed. Corresponde al atributo flatfeedfile separator en el archivo de definición del feed; por ejemplo, una coma.
Comentario El carácter que se utiliza para identificar un comentario en el archivo de datos del feed. Corresponde al atributo flatfeedfile comment en el archivo de definición del feed; por ejemplo, #.
Pestaña Seleccionar serviciosSeleccione los servicios a los cuales desea enviar el feed de datos.
(Pestaña Definir columnas, Definir índice) Tipo

El tipo de valor de búsqueda en la posición del índice del archivo de datos de feed.
IP significa que cada fila del archivo de datos del feed contiene una dirección IP en la posición del valor de búsqueda. El valor de la dirección IP está en formato de punto decimal (por ejemplo, 10.5.187.42).

Rango de IP significa que cada columna del archivo de datos de feed contiene un rango de direcciones IP en la posición del valor de búsqueda. El rango de direcciones IP está en formato CIDR (for example, 192.168.2.0/24). No IP significa que cada fila del archivo de datos de feed contiene un valor de metadatos distinto a una dirección IP en la posición del valor de búsqueda. Los campos Tipo de servicio, Truncar dominio y Claves de callback se activan en los índices No IP.
(Pestaña Definir columnas, Definir índice) CIDREspecifica que el valor de la dirección IP en la posición de búsqueda está en formato CIDR. El atributo CIDR define el formato de dirección IP del campo en notación Classless Inter-Domain Routing (CIDR).
(Pestaña Definir columnas, Definir índice)
Tipo de servicio
Para un índice No IP, el tipo de servicio entero para filtrar las búsquedas de metadatos. Corresponde al atributo MetaCallback apptype en el archivo de definición del feed. Un valor de 0 indica que no hay filtrado por tipo de servicio.
(Pestaña Definir columnas, Definir índice)
Truncar dominio
Para un índice No IP, en los valores de metadatos que contienen nombres de dominio (por ejemplo, nombres de host), el sistema puede quitar el elemento específico de host en los datos. Truncar dominio se corresponde con el atributo MetaCallback truncdomain. Si el valor es www.example.com, se trunca a example.com. Con un valor Falso se selecciona sin truncamiento y con un valor Verdadero, truncamiento.
(Pestaña Definir columnas, Definir índice)
Claves de callback
En un índice No IP, se pueden seleccionar en la lista desplegable las claves de metadatos disponibles para coincidencia en lugar de ip.src/ip.dst (los valores predeterminados para un tipo de índice IP). La clave de callback corresponde al atributo MetaCallback name y la columna de índice del archivo csv debe contener datos que puedan coincidir con la clave de metadatos seleccionada. Por ejemplo, si elige la clave de metadatos de nombre de usuario, la columna de índice del archivo csv debe completarse con los usuarios que se deban hacer coincidir.
(Pestaña Definir columnas, Definir índice)
Columna de índice
Identifica la columna en el archivo de datos de feed que proporciona el valor de búsqueda para la fila. Cada posición en cada fila del archivo de datos de feed se identifica con un atributo Field index en el archivo de definición de feed. Un campo con un índice de 1 es la primera entrada en una fila, el segundo campo tiene un índice de 2, el tercer campo tiene un índice de 3 y así sucesivamente.
(DEFINIR VALORES) Clave El nombre de LanguageKey, según se define en el archivo de definición del feed, para el cual se crean los metadatos a partir de esta fila del archivo de datos del feed. Se corresponde con el atributo Field key en el archivo de definición del feed. Una clave se aplica solamente a un campo cuyo tipo está definido en valor. En el archivo de definición del feed, hay una lista de LanguageKeys desde index.xml o un nombre del resumen si se utiliza el nombre de origen y el nombre de destino. Por ejemplo, reputation es un nombre de resumen para reputation.src y reputation.dst). El atributo Field key hace referencia a este valor.

Próximos pasos 

Previous Topic:Exportar datos a RSA
You are here
Table of Contents > Procedimientos adicionales > Administrar feeds personalizados

Attachments

    Outcomes