Decoder:FeedおよびParserの構成

Document created by RSA Information Design and Development on Feb 15, 2017
Version 1Show Document
  • View in full screen mode
  

このトピックでは、FeedとParserの概要と、DecoderおよびLog Decoderにおいて、FeedとParserを使用する手順について説明します。

FeedおよびParserの役割は、DecoderやLog Decoderで収集またはインポートされたパケットとログを分析することです。通常、これらは静的なメタの抽出およびサービス識別のために使用されます。更に、これらの機能は柔軟性が高く、定義済みのサービスをカスタム拡張して追加のサービス タイプを識別したり、追加のメタデータを設定して抽出したりすることができます。この柔軟性は、ネットワーク上でたくさんのカスタム アプリケーションを使用している場合に重要になります。

注:特に記載のない限り、本セクションでのDecoderに対する説明は、すべてLog Decoderにも該当します。

手順

Parserの構成

Security Analyticsは、システムによって定義されたコアParserを備えています。また、その他のParserを追加することもできます。各Parserの構成は次のタブで行います:[サービス]の[構成]ビュー:[全般]タブ[Parser構成]パネルでは、Decoderで使用するParserを有効化または無効化できるほか、Parserによって作成されるメタデータを制限することもできます。

カスタム構成のParserには複数のタイプがあります。

  • GeoIP–このParserは、IPアドレスを実際の地理的位置に関連づけます。
  • Search–このParserはユーザーが定義するParserで、事前定義されたキーワードや正規表現をスキャンすることによってメタデータを生成します。
  • FLEXPARSE–このParserは、Decoderの既存のアプリケーション プロトコル サポートを拡張するため、汎用的なParser定義言語を使用して定義されます。
  • Lua–このParserは、Decoderの既存のアプリケーション プロトコル サポートを拡張するため、Luaスクリプト言語を使用して定義されます。
  • enVision–このアプリケーションParserは、Log Decoderをサポートし、ログ ファイルのスキャンによりメタデータを生成するように構成されています。
  • SNORT®–このParserは、SNORT® IDSルールのペイロード検出機能をサポートします。

[サービス]の[構成]ビュー>[Parser]タブでは、Decoderに導入されたParserを表示して、Parserをアップロードしたり、導入したParserを削除したりすることができます。このタブには、ParserがLiveから取得したものか、Security Analyticsを介してインストールされたものか、手動でアップロードされたものかが表示されます。Decoderの動作中にParserを追加および削除できます。

また、Security Analytics Liveを使用してParserをダウンロードできます。

Feedの構成

Security Analyticsは、外部で定義されたメタデータ値に基づいてメタデータを生成するためにFeedを使用します。Feedは、収集または処理されるセッションと比較されるデータのリストです。Feedの内容と一致するセッションについては、追加メタデータが作成されます。このデータを使用して、悪意のあるIPを識別、分類したり、または内部ネットワークの割り当てに基づいた部門や場所などの追加情報を組み込むことができます。Feedには、BOTNetsを識別する脅威FeedやDHCPのマッピング情報などが含まれ、Active Directory情報を使用して物理的な場所または部門情報などを識別するものもあります。

Security AnalyticsのLiveモジュールを使用すると、外部ソースからFeedを取得できます。Liveコンテンツ管理ツールの概要については、「Liveサービス管理」の「Security AnalyticsのLiveコンテンツ」トピックを参照してください。

Security Analyticsユーザー インターフェイスで、現在導入されているFeedのリストが表示され、FeedがSecurity Analytics Liveからインストールされたものか、手動でインストールされたものかを示す情報が表示されます。Feedは、Decoderの実行中に追加、削除、更新できます。

Security Analyticsでは、カスタムFeedの作成と管理作業を効率化するカスタムFeedウィザードが用意されています。このウィザードでは、選択したDecoderとLog DecoderにFeedを入力することもできます。さらに、既存のFeedファイルをダウンロードして編集した後で、編集済みのファイルを使用してFeedを編集したり、新しいFeedを作成したりできます。

 

 

トピック

Previous Topic:追加の手順
You are here
Table of Contents > 追加の手順 > FeedおよびParserの構成

Attachments

    Outcomes