フィードとParserは、Investigationでの収集ファイルの処理時やDecoderによるデータの収集時にロードおよびコンパイルされるLuaプログラムです。通常、これらは静的なメタの抽出およびサービス識別のために使用されます。
注:NetWitnessの11.0より前のバージョンでは、Luaプログラムに加えてFLEXPARSEプログラムも使用されていました。FlexparserはNetWitness Platform 11.0では廃止されました。特に記載のない限り、本セクションでのDecoderに対する説明は、すべてLog Decoderにも該当します。
NetWitness Platformは、外部で定義されたメタデータ値に基づいてメタデータを生成するためにFeedを使用します。Feedは、収集または処理されるセッションと比較されるデータのリストです。Feedの内容と一致するセッションについては、追加メタデータが作成されます。このデータを使用して、悪意のあるIPを識別、分類したり、または内部ネットワークの割り当てに基づいた部門や場所などの追加情報を組み込むことができます。Feedには、BOTNetsを識別する脅威FeedやDHCPのマッピング情報などが含まれ、Active Directory情報を使用して物理的な場所または部門情報などを識別するものもあります。
Feedは、Decoderの実行中に追加、削除、更新できます。[フィード]タブ(管理>[サービス]>サービスを選択してをクリック>[表示]>[構成]>[フィード]タブ)には、Decoderのフィードを管理するためのユーザ インタフェースがあります。
実行したいことは何ですか?
関連トピック
簡単な説明
これは、[Feed]タブの例です。
1 | [フィード]タブのツールバー:グリッド内のフィードを管理するためのオプションがあります |
2 | フィード グリッド:Decoderで現在導入されているすべてのフィードをリストします |
Feed タブ ツールバー
[フィード]リスト
[フィード]リストには、Decoderに現在導入されているすべてのフィードのリストが表示されます。