Decoder:STIXカスタムFeedの作成

Document created by RSA Information Design and Development on Apr 19, 2018
Version 1Show Document
  • View in full screen mode
 

STIX™(Structured Threat Information Expression:脅威情報構造化記述形式)は、サイバー脅威情報を記述するための構造化言語で、サイバー脅威情報を一貫した方法で共有、格納、分析できます。STIXに関する詳細については、https://stixproject.github.io/を参照してください。

STIX形式のFeedデータ ファイル(.xml)を使用してカスタムFeedをRSA NetWitness Suiteで作成できます。NetWitness SuiteはSTIX(脅威情報構造化記述形式)1.0、1.1、1.2バージョンのみをサポートします。

注意:STIX繰り返しFeedが構成されていて、Security Analyticsを10.6.xからNetWitness Suite 11.0に更新する場合、STIX繰り返しFeedを再構成する必要があります。

NetWitness Suiteでは、IPアドレス、ファイルのハッシュ、ドメイン名、URI、メール アドレスなどのプロパティを含む検知指標(Indicator)や観測事象(Observable)タイプのSTIX Feedがサポートされています。等号のプロパティ値がサポートされています。Type(タイプ)、Title(タイトル)などの属性もSTIXから読み取られます。単一のSTIX_Packageを持つSTIXのみがサポートされています。

TAXII(Trusted Automated eXchange of Indicator Information:検知指標情報自動交換手順)は、STIXで表されるサイバー脅威に関する情報のための主な転送メカニズムです。TAXIIのサービスを使用して、組織は、安全で自動化された方法でサイバー脅威に関する情報を共有できます。

STIXおよびTAXIIコミュニティは、脅威インテリジェンスを共有するための完全なスタックの提供を続けられるように密接に連携します。

TAXIIサーバとは別は、STIXデータもRESTサーバ上に配置でき、RESTサーバのURLを提供することで、RESTサーバからSTIXファイルをフェッチすることができます。例:http://stixrestserver.internal.com

オン デマンド カスタムFeedの場合は、STIX Feedデータ ファイルと、必要に応じてFeed定義ファイル(両方とも.xml形式)を、ローカル ファイル システム上に用意しておく必要があります。繰り返しカスタムFeedの場合、NetWitness Suiteサーバがアクセス可能なURLから、これらのファイルを取得できる必要があります。

STIXカスタムFeedを作成するには、次の手順を実行します。

  1. 構成]>[カスタムFeed]に移動します。

    [カスタムFeed]ビューが表示されます。
    [カスタムFeed]ビュー

  2. ツールバーで[追加]アイコンをクリックします。

    [Feedの構成]ダイアログが表示されます。

    [Feedの構成]ダイアログ

  3. Feedのタイプを選択するには、[カスタムFeed]をクリックし、[次へ]をクリックします。

    [カスタムFeedの構成]ウィザードが表示され、[Feedの定義]フォームが開きます。

    [Feedの定義]フォーム([STIX]、[アドホック]を選択)

  4. STIX形式の.xmlファイルに基づいてFeedを定義するには、[Feedタイプ]フィールドで[STIX]を選択します。

  5. 1回のみ実行するオン デマンドFeedタスクを定義するには、[Feedタスク タイプ]フィールドで[アドホック]を選択し、次のどちらかの操作を行います。

    1. (状況に応じて)STIX形式の.xmlファイルに基づいてFeedを定義するには、Feedの名前を入力し、ローカル ファイル システムでSTIX形式の.xmlコンテンツ ファイルを選択して、[次へ]をクリックします。
    2. (状況に応じて)XML Feedファイルに基づいてFeedを定義するには、[詳細オプション]を選択します。

      [詳細オプション]が表示されます。

      [Feedの定義]フォーム([詳細オプション]を表示)

    3. ローカル ファイル システムでXML Feedファイルを選択し、セパレータ(デフォルトではカンマ)、およびFeedデータ ファイルで使用されるコメント文字(デフォルトでは#)を指定して、[次へ]をクリックします。
      [サービスの選択]フォームが表示されます。これは、Feed定義ファイルを使用しない、Feedデータ ファイルに基づいたFeedに対応するフォームの例です。Feed定義ファイルに基づいてFeedを定義する場合、[列の定義]タブの設定は不要です。

      [サービスの選択]フォーム

  6. 指定された日付の期間に、指定された間隔で繰り返し実行される繰り返しFeedタスクを定義するには、次の手順を実行します。

    1. Feedタスク タイプ]フィールドで[繰り返し]を選択します。

      [Feedの定義]フォームに、繰り返しFeed用のフィールドが表示されます。

      [Feedの定義]フォーム([STIX]と[繰り返し]を選択)

    2. URL]フィールドで、次のいずれかを実行します。

      • TAXIIサーバからSTIXパッケージを受信するSTIXに基づいて繰り返しFeedを定義するには、TAXIIサーバの検出サービスURL(例:http://hailataxii.com/taxii-discovery-service)を入力します。

        注:Event Stream AnalysisホストにインストールされているContext Hubサービスは、指定したTAXIIサーバにアクセス可能である必要があります。

      • RESTサーバを使用して、STIX形式の.xmlファイルに基づいて繰り返しFeedを定義するには、STIXデータ ファイルがあるRESTサーバのURL(例:http://stixrestserver.internal.com)を入力します。

        [Feedの定義]フォーム([STIX]と[繰り返し]を選択)

      NetWitness Suiteは、NetWitness Suiteが繰り返しのたびに最新のファイルを自動的にチェックできるように、サーバへの接続を確認します。

    3. NetWitness SuiteがRESTサーバのSSL証明書を検証しない場合は、[すべての証明書を信頼]を選択します。このオプションは、デフォルトで有効(オン)です。
    4. REST URLを含むクライアント認証の場合は、[証明書]フィールドで[参照]をクリックし、自己署名証明書を選択します。サポートされている証明書の形式は.cer.crt (エンコードはBase64DER)ファイルです。
    5. (オプション)URLへのアクセスが制限されており、ユーザ名とパスワードによる認証が必要な場合には、[認証情報]を選択してください。

      NetWitness Suiteによって、そのURLへの認証時にユーザ名とパスワードが使用されます。

    6. リストからTAXIIコレクションを選択する場合、[TAXII対応サーバ]を選択します。
      有効なURLの場合、STIXデータ ファイルを含む1つ以上のTAXIIコレクションが認証情報に基づいて表示されます。リストから、必要なTAXIIコレクションを選択します。FeedのTAXIIサーバからコレクションを1つだけ追加できます。

      注:複数のTAXIIサーバからの複数のFeedをサポートしていますが、TAXIIサーバにつきサポートされているアカウント(ユーザ名とパスワード)は1つだけです。

    7. NetWitness Suiteサーバがプロキシ経由でFeed URLにアクセスするように設定するには、[プロキシを使用]チェックボックスをオンにします。プロキシの構成の詳細については、「システム構成ガイド」の「NetWitness Suiteのプロキシの構成」トピックを参照してください。(NetWitness Suite 11.0の各ドキュメントを見つけるには、バージョン11.0の「マスター目次」に移動します。)デフォルトでは、[プロキシを使用]チェックボックスはオフになっています。
    8. (オプション)[確認]をクリックして設定をテストします。

      注:[確認]をクリックする前に、[認証]、[プロキシ]、[証明書トラスト]などのすべての必要な接続パラメータが構成されていることを確認してください。

    9. DecoderまたはLog Decoderへのプッシュの繰り返し間隔を定義するには、次のいずれかを実行します。

      • Feedの繰り返し間隔を分数、時間数、日数で指定します。
      • 繰り返し間隔として週を指定して、曜日を選択します。
    10. Feedの繰り返し実行の日付範囲を定義するには、開始日と時刻、終了日と時刻を指定します。データをフェッチする場合、開始日を定義する必要があります。

  7. (状況に応じて)XML Feedファイルに基づいてFeedを定義するには、次の手順を実行します。

    • Feedの名前を入力して、[詳細オプション]を選択します。

      [詳細オプション]フィールドが表示されます。

    • ローカル ファイル システムでXML Feedファイルを選択し、セパレータ(デフォルトではカンマ)、およびFeedデータ ファイルで使用されるコメント文字(デフォルトでは#)を指定します。

    • 次の期間を経過したSTIXデータを削除]フィールドに、TAXIIのサーバから取得したSTIXパッケージが格納される日数を指定します。指定した日数よりも古いSTIXパッケージは自動的に削除されます。
    • 次へ]をクリックします。

      [サービスの選択]フォームが表示されます。

  1. Feedの展開先のサービスを指定するには、次のどちらかの操作を実行します。

    1. 1つ以上のDecoderまたはLog Decoderを選択して、[次へ]をクリックします。
    2. STIX Feedの場合、Context Hubがデフォルトで選択され、選択を解除することはできません。さらに、1つ以上のDecoderとLog Decoderを選択し、[次へ」をクリックするか[グループ]タブをクリックして、グループを選択します。[次へ]をクリックします。

      [サービスの選択]フォーム(Context Hubを選択)

      STIXサーバのデータ サイズが大きい場合は、次のメッセージが表示されます。
      「サンプル データの取得に予想よりも時間がかかっています。次のいずれかの方法を選択してください。」 待機を続ける、またはサンプル データなしのマッピングの2つのオプションがあります。

      • しばらくお待ちください]をクリックすると、Feedウィザードはサンプル データが取得されるかタイムアウト(10分)のどちらか早い方まで待機し続けます。タイムアウトすると、サンプル データは取得されません。
      • サンプル データなしでマップ]をクリックすると、[マッピング]列が表示されますがサンプル データは表示されません。

      [列の定義]フォームが表示されます。

  2. [列の定義]フォームで列を割り当てるには、次の手順を実行します。

    1. インデックスのタイプ (IPIP範囲IP以外のいずれか)を定義し、インデックス列を選択します。
    2. (状況に応じて)インデックスのタイプがIPまたはIP範囲で、IPアドレスがCIDR表記の場合、[CIDR]を選択します。
    3. (状況に応じて)インデックスのタイプがIP以外の場合、追加の設定項目が表示されます。サービス タイプとコールバック キーを選択し、必要に応じて[ドメインのトランケート]オプションを選択します。

      [列の定義]フォーム(IPを選択)

      • [インデックス タイプ]が[IP以外]である場合、[インデックス列]で複数のインデックス列を選択できます。すべての選択された列の値は、選択した最初のインデックス列にマージされます。マージされた値は解析のためにLog Decoderにプッシュされます。たとえば、[インデックス列]で、インデックス列として2、4、7を選択すると、2、4、7の列の値が列2でマージされ、値は解析のためにLog Decoderにプッシュされます。
      • 検知指標タイトル、検知指標の説明、観測事象タイトル、観測事象の説明などの列に対してインデックスを作成できません。これらの列の検索を行うことができないためです。
    4. ドロップダウン リストから、各列のデータに適用する言語キーを選択します。ドロップダウン リストに表示されるメタは、サービス定義の値に使用できるメタに基づいています。高度な専門知識に基づいて、他のメタを追加することもできます。

    5. 次へ]をクリックします。

      [レビュー]フォームが表示されます。

      [レビュー]フォーム

  3. 完了]をクリックする前であれば、次の操作をいつでも実行できます。

    • Feed定義を保存せずにウィザードを終了するには、[キャンセル]をクリックします。
    • ウィザードのデータをクリアするには、[リセット]をクリックします。
    • 次のフォームを表示するには、[次へ]をクリックします(最後のフォームを表示していない場合)。
    • 前のフォームを表示するには、[前へ]をクリックします(最初のフォームを表示していない場合)。
  4. Feed情報を確認し、正しければ[完了]をクリックします。
  5. Feed定義ファイルが正常に作成されると、[Feedの作成]ウィザードが終了し、Feedと対応するトークン ファイルがFeedグリッドに表示され、進捗バーで進行状況の完了が示されます。各Feedは展開したり折りたたんで表示することが可能で、展開すると、Feedに含まれるサービスや正常に処理されたサービスを確認することができます。

[カスタムFeed]ビュー(Feedが追加された)

注:Context Hubサーバの使用可能なヒープ メモリが非常に少なくなると、ヘルス モニタでアラートが発生します。Context Hubサーバの状態が異常の場合、メモリ不足のためです。ContexthubサーバでOutOfMemoryErrorをトラブルシューティングする方法については、「Liveサービス管理ガイド」の「トラブルシューティング」を参照してください。

You are here
Table of Contents > FeedおよびParserの構成 > STIXカスタムFeedの作成

Attachments

    Outcomes