Live：STIXカスタムFeedの作成

 

RSA NetWitness Suiteで.csvまたはSTIX形式のFeedデータ ファイルを使用してカスタムFeedを作成できます。

注：NetWitness Suiteは、STIX（脅威情報構造化記述形式）のバージョン1.0、1.1、1.2のみをサポートしています。

注：10.6.1以降では、Security AnalyticsはSTIX（脅威情報構造化記述形式）をサポートしています。

STIX™（脅威情報構造化記述形式）は、サイバー脅威情報を記述するための構造化言語で、サイバー脅威情報を一貫した方法で共有、格納、分析できます。STIXに関する詳細については、https://stixproject.github.io/を参照してください。

注意：STIX繰り返しフィードが構成されていて、Security Analyticsを10.6.xからNetWitness Suite11.0に更新する場合、STIX繰り返しFeedを再構成する構成する必要があります。

NetWitness Suiteでは、IPアドレス、ファイルのハッシュ、ドメイン名、URI、メール アドレスなどのプロパティを含むIndicator（検知指標）またはObservable（観測事象）タイプのSTIX（.xml）Feedがサポートされています。等号のプロパティ値のみがサポートされています。および、Type（タイプ）、Title（タイトル）などの属性もSTIX（.xml）から読み取られます。単一のSTIX_Packageを持つSTIX（.xml）のみがサポートされています。

TAXII（検知指標情報自動交換手順）は、STIXで表されるサイバー脅威に関する情報のための主な転送メカニズムです。TAXIIのサービスを使用して、組織は、安全で自動化された方法でサイバー脅威に関する情報を共有できます。

STIXおよびTAXIIコミュニティは、脅威インテリジェンスを共有するための完全なスタックの提供を続けられるように密接に連携します。

TAXIIサーバとは別に、STIXデータもRESTサーバ上に配置でき、RESTサーバのURLを提供することで、RESTサーバからSTIXファイルをフェッチすることができます。たとえば、http://stixrestserver.internal.comです。

オン デマンド カスタムFeedの場合は、Feedデータ ファイル（.csvまたはSTIX（.xml））と、必要に応じてFeed定義ファイル（.xml）を、ローカル ファイルローカル ファイル システムファイル システム上に用意しておく必要があります。繰り返しカスタムFeedの場合、NetWitness Suiteサーバがアクセス可能なURLから、これらのファイルを取得できる必要があります。

STIXカスタムFeedを作成するには：

1. ［構成］＞［カスタムFeed］に移動します。

   ［Feed］ビューが表示されます。
   

2. ツールバーでをクリックします。

   ［Feedの構成］ダイアログが表示されます。
   

3. Feedのタイプを選択するには、［カスタムFeed］をクリックし、［次へ］をクリックします。

   カスタムFeedの構成ウィザードが表示され、［Feedの定義］フォームが開きます。
   

4. STIX形式の.xmlファイルに基づいてFeedを定義するには、［Feedタイプ］フィールドの［STIX］を選択します。

5. 1回のみ実行するオン デマンドFeedタスクを定義するには、［Feedタスク タイプ］フィールドで［アドホック］を選択し、次のどちらかの操作を行います。

   1. （状況に応じて）STIX形式の.xmlファイルに基づいたFeedを定義するには、Feedの名前を入力し、ローカル ファイル システムでSTIX形式の.xmlコンテンツファイルを選択して、［次へ］をクリックします。

   2. （状況に応じて）XML Feedファイルに基づいてFeedを定義するには、［詳細オプション］を選択します。

      ［詳細オプション］が表示されます。
      

   3. ローカルのファイル システムからXML Feedファイルを選択し、セパレーター（デフォルトではカンマ）と、Feedデータ ファイルで使用されるコメント文字（デフォルトでは#）を指定して、［次へ］をクリックします。

   4. ［サービスの選択］フォームが表示されます。これは、Feed定義ファイルを使用しない、Feedデータ ファイルに基づいたFeedに対応するフォームの例です。Feed定義ファイルに基づいてFeedを定義する場合、［列の定義］タブの設定は不要です。

      

6. 指定された日付の期間に、指定された間隔で繰り返し実行される繰り返しFeedタスクを定義するには、次の手順を実行します。

   1. ［Feedタスク タイプ］フィールドで［繰り返し］を選択します。

      ［Feedの定義］フォームに、繰り返しFeed用のフィールドが表示されます。
      

   2. ［URL］フィールドで、次のいずれかを実行します。

      • TAXIIサーバからSTIXパッケージを受信するSTIXに基づいて繰り返しFeedを定義するには、TAXIIサーバの検出サービスURL（例：http://hailataxii.com/taxii-discovery-service）を入力します。

        注：Event Stream AnalysisホストにインストールされているContext Hubサービスは、指定したTAXIIサーバに対してアクセス可能である必要があります。

      • RESTサーバを使用して、STIX形式の.xmlファイルに基づいて繰り返しFeedを定義するには、STIXデータ ファイルがあるRESTサーバのURL（例：http://stixrestserver.internal.com）を入力します。

        

      NetWitness Suiteは、NetWitness Suiteが繰り返しのたびに最新のファイルを自動的にチェックできるように、サーバへの接続を確認します。

   3. NetWitness SuiteがRESTサーバのSSL証明書を検証しない場合は、［すべての証明書を信頼］を選択します。このオプションは、デフォルトで有効（オン）です。
   4. REST URLを含むクライアント認証の場合は、［証明書］フィールドで［参照］をクリックし、自己署名証明書を選択します。サポートされている証明書の形式は、Base64とDERでエンコードされた.cerおよび.crtファイルです。

   5. （オプション）URLへのアクセスが制限されており、ユーザ名とパスワードによる認証が必要な場合には、［認証情報］を選択してください。

      NetWitness Suiteによって、そのURLへの認証時にユーザ名とパスワードが使用されます。

   6. リストからTAXIIコレクションを選択する場合、［TAXII対応サーバ］を選択します。
      有効なURLの場合、STIXデータ ファイルを含む1つ以上のTAXIIコレクションが認証情報に基づいて表示されます。リストから必要なTAXIIコレクションを選択します。FeedのTAXIIサーバからコレクションを1つだけ追加できます。

      注：複数のTAXIIサーバからの複数のFeedをサポートしていますが、TAXIIサーバにつきサポートされているアカウント（ユーザ名とパスワード）は1つだけです。

   7. NetWitness Suiteサーバがプロキシ経由でフィードURLにアクセスするように設定するには、［プロキシを使用］チェックボックスをオンにします。プロキシの構成の詳細については、「システム構成構成ガイド」の「NetWitness Suiteのプロキシの構成」トピックを参照してください。デフォルトでは、［プロキシを使用］チェックボックスはオフになっています。
   8. （オプション）［確認］をクリックして設定をテストします。

   注：［確認］をクリックする前に、［認証］、［プロキシ］、［証明書トラスト］などのすべての必要な接続パラメータが構成されていることを確認してください。

   9. DecoderまたはLog Decoderへのプッシュの繰り返し間隔を定義するには、いずれかの一つを実行します。

      • Feedの繰り返し間隔を分数、時間数、日数で指定します。
      • 繰り返し間隔として週を指定して、曜日を選択します。

   10. Feedの繰り返し実行の日付範囲を定義するには、開始日と時刻、終了日と時刻を指定します。データをフェッチする場合、開始日を定義する必要があります。開始日が今日から180日より前ではないことを確認してください。

7. （状況に応じて）XML Feedファイルに基づいてFeedを定義するには、次の手順を実行します。

   • Feedの名前を入力して、［詳細オプション］を選択します。

     ［詳細オプション］フィールドが表示されます。

   • ローカル ファイルローカル ファイル システムファイル システムでXMLフィード ファイルを選択し、セパレータ（デフォルトではカンマ）、およびFeedデータ ファイルで使用されるコメント文字（デフォルトでは#）を指定します。

   • ［次の期間を経過したSTIXデータを削除］フィールドに、TAXIIのサーバから取得したSTIXパッケージが格納される日数を指定します。指定した日数よりも古いSTIXパッケージは自動的に削除されます。
   • ［次へ］をクリックします。
     ［サービスの選択］フォームが表示されます。
     

8. Feedの展開先のサービスを指定するには、次のどちらかの操作を実行します。

   1. 1つ以上のDecoderまたはLog Decoderを選択して、［次へ］をクリックします。

   2. STIX Feedの場合、Context Hubがデフォルトで選択され、選択を解除することはできません。さらに、1つ以上のDecoderとLog Decoderを選択し、［次へ」をクリックするか［グループ］タブをクリックして、グループを選択します。［次へ］をクリックします。
      

      

      STIXサーバのデータ サイズが大きい場合は、次のメッセージが表示されます。
      

      • ［しばらくお待ちください］をクリックすると、サンプル データが取得されるかタイムアウト（10分）のどちらか早い方まで待機し続けます。タイムアウトが発生した場合、10分後もサンプル データは取得されません。
      • ［サンプル データなしでマップ］をクリックすると、［マッピング］列が表示されますがサンプル データは表示されません。

      ［列の定義］フォームが表示されます。
      

9. ［列の定義］フォームで列を割り当てるには、次の手順を実行します。

   1. インデックスのタイプ ［IP］、［IP範囲］、［IP以外］のいずれかを定義し、インデックス列を選択します。
      
   2. （状況に応じて）インデックスのタイプがIPまたはIP範囲で、IPアドレスがCIDR表記の場合、［CIDR］を選択します。

   3. （状況に応じて）インデックスのタイプがIP以外の場合、追加の設定項目が表示されます。サービス タイプとコールバック キーを選択し、必要に応じて［ドメインのトランケート］オプションを選択します。

      

      注：
      - ［インデックス タイプ］が［IP以外］である場合、［インデックス列（S）］で複数のインデックス列を選択できます。すべての選択された列の値は、選択した最初のインデックス列にマージされます。マージされた値は解析のためにLog Decoderにプッシュされます。たとえば、［インデックス列（S）］で、インデックス列として2、4、7を選択すると、2、4、7の列の値が列2でマージされ、値は解析のためにLog Decoderにプッシュされます。
      -- インデックス作成は［インジケータ タイトル］、［インジケータの説明］、［確認可能な説明］などの列に対して行うことはできません。それは、これらの列の検索を行うことができないためです。
      

   4. ドロップダウン リストから、各列のデータに適用する言語キーを選択します。ドロップダウン リストに表示されるメタは、サービス定義の値に使用できるメタに基づいています。高度な専門知識に基づいて、他のメタを追加することもできます。

   5. ［次へ］をクリックします。

      ［レビュー］フォームが表示されます。

      

10. ［完了］をクリックする前であれば、次の操作をいつでも実行できます。

    • Feed定義を保存せずにウィザードを終了するには、［キャンセル］をクリックします。
    • ウィザードのデータをクリアするには、［リセット］をクリックします。
    • 次のフォームを表示するには、［次へ］をクリックします（最後のフォームを表示していない場合）。
    • 前のフォームを表示するには、［前へ］をクリックします（最初のフォームを表示していない場合）。
11. Feed情報を確認し、正しければ［完了］をクリックします。
12. Feed定義ファイルが正常に作成されると、［Feedの作成］ウィザードが終了し、Feedと対応するトークン ファイルがFeedグリッドに表示され、進行状況を示す進捗バーが表示されます。各Feedは展開したり折りたたんで表示することが可能で、展開すると、Feedに含まれるサービスや正常に処理されたサービスを確認することができます。

注：Context Hubサーバの使用可能なヒープ メモリが非常に少なくなると、ヘルス モニタでアラートが発生します。Context Hubサーバの状態がメモリ不足のため［異常］である場合。ContexthubサーバでOutOfMemoryErrorをトラブルシューティングする方法については、「Liveサービス管理ガイド」の「トラブルシューティング」を参照してください。

IPv4およびIPv6のCIDRインデックス範囲のMetaCallback Feed

このセクションでは、カスタムMetaCallback FeedでのIPv4およびIPv6のCIDRインデックス範囲を使用する方法について説明します。その他のカスタムFeedと同様に、.csv形式のFeedデータ ファイルと.xml形式のFeed定義ファイルを作成する必要があります。

注：CIDRインデックス範囲を持つMetaCallback Feedの使用は、高度な構成ウィザードまたはRESTインタフェースを介してのみサポートされています。

次の例では、IPv4またはIPv6のCIDRインデックス範囲を使用したMetaCallback Feedの.csvファイルと.xmlファイル両方のコンテンツを示します。

.csv file:

192.168.0.0/24, Sydney
192.168.1.0/24, Melbourne

.xml file:

<?xml version="1.0" encoding="UTF-8"?>

<FDF xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:noNamespaceSchemaLocation="feed-definitions.xsd">

<FlatFileFeed name="ip_test" path="ip_test.csv" separator="," comment="#">

<MetaCallback name="DstIP" valuetype="IPv4" apptype="0" truncdomain="false">

<Meta name="ip.dst"/>

</MetaCallback>

<LanguageKeys>

<LanguageKey name="alert" valuetype="Text" />

</LanguageKeys>

<Fields>

<Field index="1" type="index" range="cidr"/>

<Field index="2" type="value" key="alert" />

</Fields>

</FlatFileFeed>

</FDF>

注：値タイプがIPv4またはIPv6の1つまたは複数のMetaCallbackを持つフィードのCIDRインデックス範囲を構成するには、タイプ インデックスのフィールドにrange="cidr"の範囲属性が含まれる必要があります。また、複数の異なる値タイプのMetaCallbackを持つフィードの「cidr」インデックス範囲の構成はサポートされていません。