Decoder:カスタムFeedの使用

Document created by RSA Information Design and Development on Apr 19, 2018
Version 1Show Document
  • View in full screen mode
 

NetWitness SuiteのカスタムFeedウィザードを使用すると、選択されたDecoderおよびLog Decoderに固有のメタ キーを提供する決定ロジックに基づいてカスタムDecoder Feedを迅速に作成し、導入することができます。このウィザードはオン デマンドFeedと繰り返しFeedの作成プロセスをユーザに提示します。また、Feedを作成する際にFeedファイルの形式やコンテンツを理解するためにも役立ちます。

RSA NetWitness SuiteでのFeedファイル名は、<filename>.feed形式です。Feedを作成するためには、NetWitness Suiteに.csv または .xml形式のFeedデータ ファイルが必要です。また、Feedデータ ファイルの構造を記述するFeed定義ファイルを.xml形式で用意する必要もあります。カスタムFeedウィザードでは、Feedデータ ファイル(またはFeedデータ ファイルおよびそれに対応するFeed定義ファイル)に基づいてFeed定義ファイルを作成できます。

オン デマンドFeedの作成に使用するファイルは、ローカル ファイル システムに格納しておく必要があります。繰り返しFeedの作成に使用するファイルは、繰り返しのたびにNetWitness Suiteが最新バージョンのファイルを取得できるように、アクセス可能なURLに格納しておく必要があります。NetWitness Suite Feedを定義した後、そのFeedをローカル ファイル システムにダウンロードしてFeedファイルやNetWitness Suite Feedの定義を編集し、更新されたFeedファイルを適用することができます。

Feed定義ファイルの例

これはdynamic_dns.xmlという名前のFeed定義ファイルの例です。カスタムFeedウィザードの入力に基づいてNetWitness Suiteにより作成されたものです。dynamic_dns.csvという名前のFeedデータ ファイルの構造を定義しています。

注:Feedファイルのパスは、Feedタイプ(デフォルトまたはSTIX)に関係なく、.csvでなければなりません。

<?xml version="1.0" encoding="utf-8"?>
<FDF xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:noNamespaceSchemaLocation="feed-definitions.xsd">


    
<FlatFileFeed name="Dynamic DNS Domain Feed"
        path="dynamic_dns.csv"
        separator=","
        comment="#"
        version="1">


        
<MetaCallback
            name="alias.host"
            valuetype="Text"
            apptype="0"
            truncdomain="true"/>


        
<LanguageKeys>
            <LanguageKey name="threat.source" valuetype="Text" />
            <LanguageKey name="threat.category" valuetype="Text" />
            <LanguageKey name="threat.desc" valuetype="Text" />
        </LanguageKeys>


        
<Fields>
            <Field index="1" type="index" key="alias.host" />
            <Field index="4" type="value" key="threat.desc" />
            <Field index="2" type="value" key="threat.source" />

            
<Field index="3" type="value" key="threat.category" />
        </Fields>

    
</FlatFileFeed>

</FDF>

カスタムFeedウィザードのパラメータに対応するFeed定義

NetWitness SuiteのカスタムFeedウィザードは、データFeedファイルの構造を定義するオプションを提供します。これらは、Feed定義ファイル(.xmlファイル)の属性に直接対応しています。

                                                                   
NetWitness SuiteパラメータFeed定義ファイルの該当箇所
([Feedの定義]タブ)Feedタイプ次のいずれかを選択します。
[デフォルト
]:.csv形式のFeedデータ ファイルに基づいてFeedを定義します。
[STIX
]:STIX形式の.xmlファイルに基づいてFeedを定義します。
([Feedの定義]タブ)Feedタスク タイプ次のいずれかを選択します。
[アドホック
]:オン デマンドFeedを作成します。
繰り返し]:.csvまたは.xmlファイルを継続的に更新し、NetWitness Suiteでアクセスできる場所に格納します。NetWitness Suiteは定期的にファイルをダウンロードし、ダウンストリーム デバイスにプッシュします。
([Feedの定義]タブ)名前Feedデータ ファイル内のカスタムFeed名。Feed定義ファイルのflatfeedfile name属性に対応します。例:Dynamic DNS Test Feed。

注:カスタムFeedの名前に特殊文字を使用できます。

([Feedの定義]タブ)ファイル/参照これは、Feedデータファイルの名前です。Feed定義ファイルのflatfeedfile path属性に対応します。例:dynamic_dns.csv
([詳細オプション]タブ)XML FeedファイルFeed定義ファイルの名前。例:dynamic_dns.xml.
([詳細オプション]タブ)セパレータFeedデータ ファイルの属性のセパレータに使用される区切り文字。Feed定義ファイルのlatfeedfile separator に対応します。例:コンマ。
([詳細オプション]タブ)コメントFeedデータ ファイルのコメントの特定に使用される文字。Feed定義ファイルのflatfeedfile comment属性に対応します。例:#
([列の定義]タブの[インデックスの定義])タイプ Feedデータ ファイルのインデックス位置にある検索値のタイプ。
IP]は、Feedデータ ファイルの各行の検索値の位置に、IPアドレスが含まれていることを示します。IP値はドット付きの10進数形式です(例:10.5.187.42)。
IP範囲]は、Feedデータ ファイルの各行の検索値の位置に一定の範囲のIPアドレスが含まれていることを示します。IP範囲はCIDR形式です(例:192.168.2.0/24)。
IP以外]は、Feedデータ ファイルの各行の検索値の位置にIPアドレス以外のメタデータ値が含まれていることを示します。[IP以外]インデックスでは、[サービス タイプ]、[ドメインのトランケート]、[コールバック キー]の各フィールドがアクティブになります。
([列の定義]タブの[インデックスの定義])CIDR検索値の位置のIP値がCIDR形式であることを示します。CIDR属性はフィールドのIPアドレス形式をCIDR(Classless Inter-Domain Routing)に設定します。
([列の定義]タブの[インデックスの定義])
サービス タイプ
[IP以外]インデックスの場合の、メタ検索をフィルタ処理するための整数のサービスタイプ。Feed定義ファイルのMetaCallback apptype属性に対応します。値0はサービス タイプによるフィルタ処理がないことを示します。
([列の定義]タブの[インデックスの定義])
ドメインのトランケート
[IP以外]インデックスでは、ドメイン名(ホスト名など)を含むメタ値の場合、システムはデータ内のホスト名部分を取り除くことができます。MetaCallback truncdomain属性に対応するドメインをトランケートします。値がwww.example.comの場合、example.comにトランケートされます。値がFalseの場合はトランケートされず、値がTrueの場合はトランケートされます。
([列の定義]タブの[インデックスの定義])
コールバック キー
[IP以外]インデックスでは、ip.src/ip.dst(インデックス タイプがIPの場合のデフォルト)の代わりに照合に使用できるメタ キーをドロップダウン リストから選択できます。コールバック キーは、MetaCallback name属性に対応し、csvファイルのインデックス列には、選択されたメタ キーと照合できるデータが格納されている必要があります。たとえば、usernameメタ キーが選択された場合、csvファイルのインデックス列に、照合されるユーザが入力されている必要があります。
([列の定義]タブの[インデックスの定義])
インデックス列
行の検索値が含まれるFeedデータ ファイルの列を指定します。Feedデータ ファイルの各行のそれぞれの位置は、Feed定義ファイルのField index属性により指定されます。インデックス番号が1のフィールドは、行の先頭のエントリーです。2番目のフィールドはインデックス番号2を保持し、3番目のフィールドはインデックス番号3を保持するなどです。
(定義値)キー Feed定義ファイルで定義されたとおりのLanguageKeyの名前です。Feedデータ ファイルのこの行からこのメタが作成されます。Feed定義ファイルのField key属性に対応します。キーは、タイプがvalueに設定されたフィールドにのみ適用されます。Feed定義ファイルには、index.xmlから取得したLanguageKeysのリストがあります。または、ソース名と宛先名が使用されている場合はサマリ名があります。たとえば、reputationreputation.srcreputation.dstのサマリ名です。この値は、Field key属性によって参照されます。

IPv4およびIPv6のCIDRインデックス範囲を使用した、MetaCallback Feed用のサンプル ファイル

これらのサンプル ファイルは、カスタムのMetaCallback FeedでIPv4およびIPv6 CIDRインデックス範囲を使用する方法を説明します。その他のカスタムFeedの場合と同様、.csv形式のFeedデータ ファイルと.xml形式のFeed定義ファイルを作成する必要があります。

注:CIDRインデックス範囲のMetaCallback Feedの使用は、詳細構成ウィザードまたはRESTインターフェイスを介してのみサポートされています。

次の例では、IPv4またはIPv6のCIDRインデックス範囲を使用した、MetaCallback Feedの.csvファイルと.xmlファイル両方の内容を示します。

.csv file:

192.168.0.0/24, Sydney
192.168.1.0/24, Melbourne

.xml file:

<?xml version="1.0" encoding="UTF-8"?>

<FDF xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:noNamespaceSchemaLocation="feed-definitions.xsd">

<FlatFileFeed name="ip_test" path="ip_test.csv" separator="," comment="#">

<MetaCallback name="DstIP" valuetype="IPv4" apptype="0" truncdomain="false">

<Meta name="ip.dst"/>

</MetaCallback>

<LanguageKeys>

<LanguageKey name="alert" valuetype="Text" />

</LanguageKeys>

<Fields>

<Field index="1" type="index" range="cidr"/>

<Field index="2" type="value" key="alert" />

</Fields>

</FlatFileFeed>

</FDF>

注:値タイプがIPv4またはIPv6の1つまたは複数のMetaCallbackを持つFeedのCIDRインデックス範囲を構成するには、タイプ インデックスのフィールドにrange="cidr"の範囲属性が含まれる必要があります。また、複数の異なる値タイプのMetaCallbackを持つFeedの「cidr」インデックス範囲の構成はサポートされていません。

You are here
Table of Contents > FeedおよびParserの構成 > カスタムFeed定義ファイルの構造

Attachments

    Outcomes