Decoder:カスタムFeedの作成

Document created by RSA Information Design and Development on Apr 19, 2018Last modified by RSA Information Design and Development on Apr 29, 2019
Version 2Show Document
  • View in full screen mode
 

カスタムFeedウィザードを使用することで、カスタムFeedを作成できます。この手順を実行するには、Feedデータ ファイルを.csvまたは.xml形式で作成しておく必要があります。さらに、関連するFeed定義ファイルが.xml形式で用意され、Feedデータ ファイルの構造が記述されている場合、これを使用してFeedを作成することができます。カスタムFeedウィザードでは、Feedデータ ファイルに基づいてFeedを作成するか、Feedデータ ファイルとそれに対応するFeed定義ファイルに基づいてFeedを作成します。

注:10.6.1以降では、NetWitness PlatformはSTIX(脅威情報構造化記述形式)をサポートしています。STIXおよびSTIXカスタムFeedの作成の詳細については、『Decoder Log Decoderの構成ガイド』の「STIXカスタムFeedの作成」を参照してください。

オン デマンド カスタムFeedの場合は、Feedデータ ファイルと、必要に応じてFeed定義ファイル(.xml)を、ローカル ファイル システム上に用意しておく必要があります。繰り返しカスタムFeedの場合、NetWitness Platformサーバがアクセス可能なURLから、これらのファイルを取得できる必要があります。

注:Log Decoderでソースと宛先のIPをベースとしたFeedを作成する場合、ソースのメタ キーのみが取り込まれます。また、IPの範囲やCIDRをFeedすることもできません。すべてのIPアドレスを1つずつリストに追加する必要があります。IPアドレスを指定して2つの異なるFeedを作成することにより、この問題が解決され、これらのFeedでCIDRを使用することができます。

カスタムFeedを作成するには、次の手順を実行します。

  1. [構成]>[カスタムFeed]に移動します。
  2. Feed]パネルでadd iconをクリックします。
    [カスタムFeed]ビューが表示されます。
    An example of the Feeds view
  3. カスタムFeed]と[次へ]をクリックします。
    カスタムFeedの構成ウィザードが表示され、[Feedの定義]フォームが開きます。

  4. 次のFeedタイプを選択します。[CSV]または[STIX]。
  5. .csv形式のFeedデータ ファイルに基づいてFeedを定義するには、[Feedタイプ]フィールドの[CSV](デフォルト)を選択します。
  6. 1回のみ実行するオン デマンドFeedタスクを定義するには、[Feedタスク タイプ]フィールドで[アドホック]を選択し、次のどちらかの操作を行います。
    1. (オプション)CsvFileFeedファイルに基づいてFeedを定義するには、[Csv File Feedとしてアップロード]チェックボックスを選択し、Feedの名前を入力し、ローカル ファイル システムのCSVコンテンツ ファイルを選択して、[次へ]をクリックします。このチェックボックスを選択しない場合、CSVファイルはFlatFileFeedファイルになります。
    2. 注:[Csv File Feedとしてアップロード]チェックボックスを選択すると、[詳細]のXML Feedオプションが使用できなくなります。

    1. (状況に応じて)XML Feedファイルに基づいてFeedを定義するには、[詳細オプション]を選択します。
    2. 注:[Csv File Feedとしてアップロード]チェックボックスがオフになっていることを確認します。

    3. [詳細オプション]が表示されます。
      Configure Cust Feed wizard in the Define Feed tab
    4. ローカル ファイル システムでXML Feedファイルを選択し、セパレーター(デフォルトではコンマ)、およびFeedデータ ファイルで使用されるコメント文字(デフォルトでは#)を指定して、[次へ]をクリックします。
      [サービスの選択]フォームが表示されます。これは、Feed定義ファイルを使用しない、Feedデータ ファイルに基づいたFeedに対応するフォームの例です。Feed定義ファイルに基づいてFeedを定義する場合、[列の定義]タブの設定は不要です。
      Configure a Custom Feed wizard in the Select Services tab
  7. 指定された日付の期間に指定された間隔で繰り返し実行される繰り返しFeedタスクを定義するには、次の手順を実行します。
    1. Feedタスク タイプ]フィールドで[繰り返し]を選択します。
      [Feedの定義]フォームに、繰り返しFeed用のフィールドが表示されます。
      This is an example of the Define Feed section.
    2. URL]フィールドに、Feedデータ ファイルのURLを入力し(例:http://<hostname>/<feeddatafile>.csv)、[検証]をクリックします。NetWitness Platformによって、ファイルが格納されている場所が検証されます。これにより、繰り返しの実行が行われる前に最新のファイルを自動的にチェックできるようになります。

    3. (オプション)URLへのアクセスが制限されており、ユーザ名とパスワードによる認証が必要な場合には、[認証情報]を選択してください。NetWitness Platformによって、そのURLへの認証時にユーザ名とパスワードが使用されます。

    4. NetWitnessサーバがプロキシ経由でFeed URLにアクセスするように設定するには、[プロキシを使用]チェックボックスをオンにします。プロキシの構成の詳細については、「システム構成ガイド」の「NetWitness Platformのプロキシの構成」トピックを参照してください。デフォルトでは、[プロキシを使用]チェックボックスはオフになっています。
    5. 繰り返しの間隔を定義するには、次のどちらかの操作を行います。
      - Feedの繰り返し間隔を分数、時間数、日数で指定します。
      - 繰り返し間隔として週を指定して、曜日を選択します。
    6. Feedの繰り返し実行の日付範囲を定義するには、開始日と時刻、終了日と時刻を指定します。
      This is an example of the Define Feed section with the Name field filled.
  8. (オプション)XML Feedファイルに基づいてFeedを定義するには、次の手順を実行します。
    - Feedの名前を入力して、[詳細オプション]を選択します。[詳細オプション]フィールドが表示されます。
    - ローカル ファイル システムでXML Feedファイルを選択し、セパレーター(デフォルトではコンマ)、およびFeedデータ ファイルで使用されるコメント文字(デフォルトでは#)を指定して、[次へ]をクリックします。[サービスの選択]フォームが表示されます。
    This is the Select Services section.
  9. Feedの展開先のサービスを指定するには、次のどちらかの操作を実行します。
    1. 1つ以上のDecoderまたはLog Decoderを選択して、[次へ]をクリックします。
    2. グループ]タブでグループを選択します。[次へ]をクリックします。
      [列の定義]フォームが表示されます。
  10. [列の定義]フォームで列を割り当てるには、次の手順を実行します。
    1. インデックスのタイプ (IPIP範囲IP以外のいずれか)を定義し、インデックス列を選択します。
    2. (状況に応じて)インデックスのタイプがIPまたはIP範囲で、IPアドレスがCIDR表記の場合、[CIDR]を選択します。
    3. (オプション)インデックスのタイプがIP以外の場合、追加の設定項目が表示されます。サービス タイプとコールバック キーを選択し、必要に応じて[ドメインのトランケート]オプションを選択します。
      This is the Define Columns section with the Callback Key(s) drop-down open.

    4. ドロップダウン リストから、各列のデータに適用する言語キーを選択します。ドロップダウン リストに表示されるメタは、サービス定義の値に使用できるメタに基づいています。高度な専門知識がある場合は、他のメタを追加することもできます。
      This is an example of the Define Columns section.
    5. 次へ]をクリックします。
      [レビュー]フォームが表示されます。
      This is an example of the Review form.
  11. 完了]をクリックする前であれば、次の操作をいつでも実行できます。
  • Feed定義を保存せずにウィザードを終了するには、[キャンセル]をクリックします。
  • ウィザードのデータをクリアするには、[リセット]をクリックします。
  • 次のフォームを表示するには、[次へ]をクリックします(最後のフォームを表示していない場合)。
  • 前のフォームを表示するには、[前へ]をクリックします(最初のフォームを表示していない場合)。
  1. Feed情報を確認し、正しければ[完了]をクリックします。
  2. Feed定義ファイルが正常に作成されると、[Feedの作成]ウィザードが終了し、Feedと対応するトークン ファイルがFeedグリッドに表示され、進行状況を示す進捗バーが表示されます。各Feedは展開したり折りたたんで表示することが可能で、展開すると、Feedに含まれるサービスや正常に処理されたサービスを確認することができます。
    Custom Feeds tab in Configure menu
You are here
Table of Contents > FeedおよびParserの構成 > カスタムFeedの作成

Attachments

    Outcomes