Decoder:FeedおよびParserの構成

Document created by RSA Information Design and Development on Apr 19, 2018
Version 1Show Document
  • View in full screen mode
 

FeedおよびParserの役割は、DecoderやLog Decoderで収集またはインポートされたパケットとログを分析することです。通常、これらは静的なメタデータの抽出およびサービス識別のために使用されます。更に、これらの機能は柔軟性が高く、定義済みのサービスをカスタム拡張して追加のサービス タイプを識別したり、追加のメタデータを設定して抽出したりすることができます。この柔軟性は、ネットワーク上でたくさんのカスタム アプリケーションを使用している場合に重要になります。

注:特に記載のない限り、本セクションでのDecoderに対する説明は、すべてLog Decoderにも該当します。

Parserの構成

NetWitness Suiteは、システムによって定義されたコアParserを備えています。また、その他のParserを追加することもできます。[サービス]の[構成]ビュー:[全般]タブでは、各Parserを構成できます。[Parser構成]パネルでは、Decoderで使用するParserを有効化または無効化できるほか、Parserによって作成されるメタデータを制限することもできます。

また、カスタム構成のParserには複数のタイプがあります。

  • GeoIP – このParserは、IPアドレスを実際の地理的位置に関連づけます。
  • Search – このParserはユーザが定義するParserで、事前定義されたキーワードや正規表現をスキャンすることによってメタデータを生成します。
  • FLEXPARSE(非推奨) – このParserは、Decoderの既存のアプリケーション プロトコル サポートを拡張するため、汎用的なParser定義言語を使用して定義されます。デフォルトでは、このParserは無効になっています(「LuaおよびFlexパース システムの有効化または無効化」を参照してください)。
  • Lua – このParserは、Decoderの既存のアプリケーション プロトコル サポートを拡張するため、Luaスクリプト言語を使用して定義されます。
  • enVision – このアプリケーションParserは、Log Decoderをサポートし、ログ ファイルのスキャンによりメタデータを生成するように構成されています。
  • SNORT® – このParserは、SNORT® IDSルールのペイロード検出機能をサポートします。

[サービス]の[構成]ビュー>[Parser]タブでは、Decoderに導入されたParserを表示して、Parserをアップロードしたり、導入したParserを削除したりすることができます。このタブには、ParserがLiveサービスから取得したものか、NetWitness Suiteを介してインストールされたものか、手動でアップロードされたものかが表示されます。Decoderの動作中にParserを追加および削除できます。

また、NetWitness Suite Liveサービスを使用してParserをダウンロードできます。

Feedの構成

NetWitness Suiteは、外部で定義されたメタデータ値に基づいてメタデータを生成するためにFeedを使用します。Feedは、収集または処理されるセッションと比較されるデータのリストです。Feedの内容と一致するセッションについては、追加メタデータが作成されます。このデータを使用して、悪意のあるIPを識別、分類したり、または内部ネットワークの割り当てに基づいた部門や場所などの追加情報を組み込むことができます。Feedには、BOTNetsを識別する脅威FeedやDHCPのマッピング情報などが含まれ、Active Directory情報を使用して物理的な場所または部門情報などを識別するものもあります。

NetWitness SuiteのLiveモジュールを使用すると、外部ソースからFeedを取得できます。Liveコンテンツ管理ツールの概要については、「Liveサービス管理ガイド」の「NetWitness SuiteのLiveコンテンツ」トピックを参照してください。

NetWitness Suiteユーザ インタフェースで、現在導入されているFeedのリストが表示され、LiveからのFeedがNetWitness Suiteからインストールされたものか、手動でインストールされたものかを示す情報が表示されます。Feedは、Decoderの実行中に追加、削除、更新できます。

NetWitness SuiteのカスタムFeedウィザードを使用すると、選択されたDecoderおよびLog Decoderに固有のメタ キーを提供する決定ロジックに基づいてカスタムDecoder Feedを迅速に作成し、導入することができます。このウィザードはオン デマンドFeedと繰り返しFeedの作成プロセスをユーザに提示します。また、Feedを作成する際にFeedファイルの形式やコンテンツを理解するためにも役立ちます。

NetWitness Suiteでは、カスタムFeedの作成と管理作業を効率化するカスタムFeedウィザードが用意されています。このウィザードでは、選択したDecoderとLog DecoderにFeedを入力することもできます。さらに、既存のFeedファイルをダウンロードして編集した後で、編集済みのファイルを使用してFeedを編集したり、新しいFeedを作成したりできます。

You are here
Table of Contents > FeedおよびParserの構成

Attachments

    Outcomes