Live:カスタムFeedの管理

Document created by RSA Information Design and Development on Feb 16, 2017
Version 1Show Document
  • View in full screen mode
  

このトピックでは、RSA Security AnalyticsのカスタムFeedウィザードによって実装されるカスタムFeed機能を使用してDecoderにカスタムFeedとIdentity Feedを迅速に導入する手順について説明します。

カスタムFeedの作成

Live>[Feed]>[Feedの構成]>[カスタムFeedの構成]ウィザードを使用して、選択されたDecoderおよびLog Decoderに固有のメタ キーを提供する決定ロジックに基づいて、Decoder Feedを迅速に作成し、導入することができます。このウィザードはオン デマンドFeedと繰り返しFeedの作成プロセスをユーザーに提示しますが、Feedを作成する際にFeedファイルの形式やコンテンツを理解する必要があります。

RSA Security AnalyticsでのFeedファイル名は、<ファイル名>.feedという形式です。Feedを作成するには、Security Analyticsに、.csv形式のFeedデータ ファイルが必要です。また、Feedデータ ファイルの構造を記述するFeed定義ファイルを.xml形式で用意する必要もあります。カスタムFeedの構成ウィザードでは、Feedデータ ファイル、またはFeedデータ ファイルとそれに対応するFeed定義ファイルに基づいてFeed定義ファイルを作成できます。

オン デマンドFeedの作成に使用するファイルは、ローカル ファイル システムに格納しておく必要があります。繰り返しFeedの作成に使用するファイルは、繰り返しのたびにSecurity Analyticsが最新バージョンのファイルを取得できるように、アクセス可能なURLに格納しておく必要があります。Security Analytics Feedを定義した後、そのFeedをローカル ファイル システムにダウンロードしてFeedファイルやSecurity Analytics Feedの定義を編集し、更新されたFeedファイルを適用することができます。

Feed定義ファイルの例

これはdynamic_dns.xmlという名前のFeed定義ファイルの例です。Feedの構成ウィザードに入力された情報に基づいてSecurity Analyticsにより作成されたものです。dynamic_dns.csvという名前のFeedデータ ファイルの構造を定義しています。

<?xml version="1.0" encoding="utf-8"?>
<FDF xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:noNamespaceSchemaLocation="feed-definitions.xsd">

    <FlatFileFeed name="Dynamic DNS Domain Feed"
        path="dynamic_dns.csv"
        separator=","
        comment="#"
        version="1">

        <MetaCallback
            name="alias.host"
            valuetype="Text"
            apptype="0"
            truncdomain="true"/>

        <LanguageKeys>
            <LanguageKey name="threat.source" valuetype="Text" />
            <LanguageKey name="threat.category" valuetype="Text" />
            <LanguageKey name="threat.desc" valuetype="Text" />
        </LanguageKeys>

        <フィールド>
            <Field index="1" type="index" key="alias.host" />
            <Field index="4" type="value" key="threat.desc" />
            <Field index="2" type="value" key="threat.source" />
            <Field index="3" type="value" key="threat.category" />
        </Fields>
    </FlatFileFeed>

</FDF>

カスタムFeedウィザードのパラメータに対応するFeed定義

Security AnalyticsのFeedウィザードは、データFeedファイルの構造を定義するオプションを提供します。これらは、Feed定義ファイル(.xmlファイル)の属性に直接対応しています。 

                                                                         
Security AnalyticsのパラメータFeed定義ファイルの該当箇所
[Feedの定義]タブ
Feedタスク タイプ 次のいずれかを選択します。[アドホック]:オン デマンドFeedを作成します。[繰り返し]:繰り返し自動実行するFeedを作成します。
名前 Feedデータ ファイル内のカスタムFeed名。Feed定義ファイルのflatfeedfile name属性に対応します。例:Dynamic DNS Test Feed。
ファイル/参照 これは、Feedデータファイルの名前です。Feed定義ファイルのflatfeedfile path属性に対応します。例:dynamic_dns.csv。
[Feedの定義]タブ:[詳細オプション]
 XML FeedファイルFeed定義ファイルの名前。例:dynamic_dns.xml.
セパレータ Feedデータ ファイルの属性のセパレータに使用される区切り文字。Feed定義ファイルのflatfeedfile separator に対応します。例:コンマ。
コメント Feedデータ ファイルのコメントの特定に使用される文字。Feed定義ファイルのflatfeedfile comment属性に対応します。例:#
[サービスの選択]タブデータFeedの送信先となるサービスを選択します。
([列の定義]タブの[インデックスの定義])タイプ

Feedデータ ファイルのインデックス位置にある検索値のタイプ。
IP]は、Feedデータ ファイルの各行の検索値の位置に、IPアドレスが含まれていることを示します。IP値はドット付きの10進数形式です(例:10.5.187.42)。

IP範囲]は、Feedデータ ファイルの各行の検索値の位置に一定の範囲のIPアドレスが含まれていることを示します。IP範囲はCIDR形式です(例:192.168.2.0/24)。[IP以外]は、Feedデータ ファイルの各行の検索値の位置にIPアドレス以外のメタデータ値が含まれていることを示します。[IP以外]インデックスでは、[サービス タイプ]、[ドメインのトランケート]、[コールバック キー]の各フィールドがアクティブになります。
([列の定義]タブの[インデックスの定義])CIDR検索値の位置のIP値がCIDR形式であることを示します。CIDR属性はフィールドのIPアドレス形式をCIDR(Classless Inter-Domain Routing)に設定します。
([列の定義]タブの[インデックスの定義])
サービス タイプ
[IP以外]インデックスの場合の、メタ検索をフィルタ処理するための整数のサービスタイプ。Feed定義ファイルのMetaCallback apptype属性に対応します。値0はサービス タイプによるフィルタ処理がないことを示します。
([列の定義]タブの[インデックスの定義])
ドメインのトランケート
[IP以外]インデックスでは、ドメイン名(ホスト名など)を含むメタ値の場合、システムはデータ内のホスト名部分を取り除くことができます。[ドメインのトランケート]はMetaCallback truncdomain属性に対応します。値がwww.example.comの場合、example.comにトランケートされます。値がFalseの場合はトランケートされず、値がTrueの場合はトランケートされます。
([列の定義]タブの[インデックスの定義])
コールバック キー
[IP以外]インデックスでは、ip.src/ip.dst(インデックス タイプがIPの場合のデフォルト)の代わりに照合に使用できるメタ キーをドロップダウン リストから選択できます。コールバック キーは、MetaCallback name属性に対応し、csvファイルのインデックス列には、選択されたメタ キーと照合できるデータが格納されている必要があります。たとえば、usernameメタ キーが選択された場合、csvファイルのインデックス列に、照合されるユーザーが入力されている必要があります。
([列の定義]タブの[インデックスの定義])
インデックス列
行の検索値が含まれるFeedデータ ファイルの列を指定します。Feedデータ ファイルの各行のそれぞれの位置は、Feed定義ファイルのField index属性により指定されます。インデックス番号が1のフィールドは、行の先頭のエントリーです。2番目のフィールドはインデックス番号2を保持し、3番目のフィールドはインデックス番号3を保持するなどです。
(定義値)キー Feed定義ファイルで定義されたとおりのLanguageKeyの名前です。Feedデータ ファイルのこの行からこのLanguageKeyのメタが作成されます。Feed定義ファイルのField key属性に対応します。キーは、タイプがvalueに設定されたフィールドにのみ適用されます。Feed定義ファイルには、index.xmlから取得したLanguageKeyのリストがあります。または、ソース名と宛先名が使用されている場合はサマリー名があります。たとえば、reputationは、reputation.srcreputation.dstのサマリー名です。この値は、Field key属性によって参照されます。

次のステップ 

You are here
Table of Contents > 追加の手順 > カスタムFeedの管理

Attachments

    Outcomes