このトピックでは、RSA NetWitness Suiteで.csvまたはSTIX形式のFeedデータ ファイルを使用してカスタムFeedを作成するための手順について説明します。
注:10.6.1以降では、NetWitness SuiteはSTIX(脅威情報構造化記述形式)をサポートしています。STIXおよびSTIXカスタムFeedの作成の詳細については、「STIXカスタムFeedの作成」を参照してください。
カスタムFeedウィザードを使用することで、カスタムFeedを簡単に作成できます。この手順を実行するには、Feedデータ ファイルを.csvまたは.xml形式で作成しておく必要があります。さらに、関連するFeed定義ファイルが.xml形式で用意され、Feedデータ ファイルの構造が記述されている場合、これを使用してFeedを作成することができます。カスタムFeedウィザードでは、Feedデータ ファイルに基づいてFeedを作成するか、Feedデータ ファイルとそれに対応するFeed定義ファイルに基づいてFeedを作成します。
この手順を完了すると、カスタムFeedが作成されます。
オン デマンド カスタムFeedの場合は、Feedデータ ファイル(.csvまたはSTIX(.xml))と、必要に応じてFeed定義ファイル(.xml)を、ローカル ファイルローカル ファイル システムファイル システム上に用意しておく必要があります。繰り返しカスタムFeedの場合、NetWitness Suiteサーバーがアクセス可能なURLから、これらのファイルを取得できる必要があります。
カスタムFeedを作成するには、次の手順を実行します。
-
[構成]>[カスタムFeed]に移動します。
[カスタムFeed]ビューが表示されます。
-
[Feedの構成]ダイアログが表示されます。
-
Feedのタイプを選択するには、[カスタムFeed]をクリックし、[次へ]をクリックします。
カスタムFeedの構成ウィザードが表示され、[Feedの定義]フォームが開きます。
-
.csv形式のFeedデータ ファイルに基づいてFeedを定義するには、[Feedタイプ]フィールドの[デフォルト]を選択します。
-
1回のみ実行するオン デマンドFeedタスクを定義するには、[Feedタスク タイプ]フィールドで[アドホック]を選択し、次のどちらかの操作を行います。
- (状況に応じて)CSV形式のFeedデータ ファイルに基づいてFeedを定義するには、Feedの名前を入力し、ローカル ファイルローカル ファイル システムファイル システムでコンテンツ ファイルを選択して、[次へ]をクリックします。
-
(状況に応じて)XML Feedファイルに基づいてFeedを定義するには、[詳細オプション]を選択します。
[詳細オプション]が表示されます。
- ローカルのファイル システムからXML Feedファイルを選択し、セパレーター(デフォルトではカンマ)と、Feedデータ ファイルで使用されるコメント文字(デフォルトでは#)を指定して、[次へ]をクリックします。
-
[サービスの選択]フォームが表示されます。これは、Feed定義ファイルを使用しない、Feedデータ ファイルに基づいたFeedに対応するフォームの例です。Feed定義ファイルに基づいてFeedを定義する場合、[列の定義]タブの設定は不要です。
-
指定された日付の期間に、指定された間隔で繰り返し実行される繰り返しFeedタスクを定義するには、次の手順を実行します。
-
[Feedタスク タイプ]フィールドで[繰り返し]を選択します。
[Feedの定義]フォームに、繰り返しFeed用のフィールドが表示されます。
-
[URL]フィールドに、Feedデータ ファイルのURL(例:http://<hostname>/<feeddatafile>.csv)を入力し、[検証]をクリックします。
NetWitness Suiteによって、ファイルが格納されている場所が検証されます。これにより、NetWitness Suiteは繰り返しの実行が行われる前に最新のファイルを自動的にチェックできるようになります。
-
(オプション)URLへのアクセスが制限されており、ユーザ名とパスワードによる認証が必要な場合には、[認証情報]を選択してください。
NetWitness Suiteによって、そのURLへの認証時にユーザ名とパスワードが使用されます。
- NetWitness Suiteサーバがプロキシ経由でFeed URLにアクセスするように設定するには、[プロキシを使用]チェックボックスをオンにします。プロキシの構成の詳細については、「システム構成ガイド」の「NetWitness Suiteのプロキシの構成」トピックを参照してください。デフォルトでは、[プロキシを使用]チェックボックスはオフになっています。
-
繰り返しの間隔を定義するには、次のどちらかの操作を行います。
- Feedの繰り返し間隔を分数、時間数、日数で指定します。
- 繰り返し間隔として週を指定して、曜日を選択します。
-
-
(状況に応じて)XML Feedファイルに基づいてFeedを定義するには、次の手順を実行します。
-
Feedの展開先のサービスを指定するには、次のどちらかの操作を実行します。
- 1つ以上のDecoderまたはLog Decoderを選択して、[次へ]をクリックします。
-
[グループ]タブでグループを選択します。[次へ]をクリックします。
[列の定義]フォームが表示されます。
-
[列の定義]フォームで列を割り当てるには、次の手順を実行します。
- インデックスのタイプ (IP、IP範囲、IP以外のいずれか)を定義し、インデックス列を選択します。
- (状況に応じて)インデックスのタイプがIPまたはIP範囲で、IPアドレスがCIDR表記の場合、[CIDR]を選択します。
-
(状況に応じて)インデックスのタイプがIP以外の場合、追加の設定項目が表示されます。サービス タイプとコールバック キーを選択し、必要に応じて[ドメインのトランケート]オプションを選択します。
-
ドロップダウン リストから、各列のデータに適用する言語キーを選択します。ドロップダウン リストに表示されるメタは、サービス定義の値に使用できるメタに基づいています。高度な専門知識に基づいて、他のメタを追加することもできます。
-
[次へ]をクリックします。
[レビュー]フォームが表示されます。
-
[完了]をクリックする前であれば、次の操作をいつでも実行できます。
- Feed定義を保存せずにウィザードを終了するには、[キャンセル]をクリックします。
- ウィザードのデータをクリアするには、[リセット]をクリックします。
- 次のフォームを表示するには、[次へ]をクリックします(最後のフォームを表示していない場合)。
- 前のフォームを表示するには、[前へ]をクリックします(最初のフォームを表示していない場合)。
- Feed情報を確認し、正しければ[完了]をクリックします。
- Feed定義ファイルが正常に作成されると、[Feedの作成]ウィザードが終了し、Feedと対応するトークン ファイルがFeedグリッドに表示され、進行状況を示す進捗バーが表示されます。各Feedは展開したり折りたたんで表示することが可能で、展開すると、Feedに含まれるサービスや正常に処理されたサービスを確認することができます。
IPv4およびIPv6のCIDRインデックス範囲のMetaCallback Feed
このセクションでは、カスタムMetaCallback FeedでのIPv4およびIPv6のCIDRインデックス範囲を使用する方法について説明します。その他のカスタムFeedと同様に、.csv形式のFeedデータ ファイルと.xml形式のFeed定義ファイルを作成する必要があります。
注:CIDRインデックス範囲を持つMetaCallback Feedの使用は、高度な構成ウィザードまたはRESTインタフェースを介してのみサポートされています。
次の例では、IPv4またはIPv6のCIDRインデックス範囲を使用したMetaCallback Feedの.csvファイルと.xmlファイル両方のコンテンツを示します。
.csv file:
192.168.0.0/24, Sydney
192.168.1.0/24, Melbourne
.xml file:
<?xml version="1.0" encoding="UTF-8"?>
<FDF xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:noNamespaceSchemaLocation="feed-definitions.xsd">
<FlatFileFeed name="ip_test" path="ip_test.csv" separator="," comment="#">
<MetaCallback name="DstIP" valuetype="IPv4" apptype="0" truncdomain="false">
<Meta name="ip.dst"/>
</MetaCallback>
<LanguageKeys>
<LanguageKey name="alert" valuetype="Text" />
</LanguageKeys>
<Fields>
<Field index="1" type="index" range="cidr"/>
<Field index="2" type="value" key="alert" />
</Fields>
</FlatFileFeed>
</FDF>
注:値タイプがIPv4またはIPv6の1つまたは複数のMetaCallbackを持つフィードのCIDRインデックス範囲を構成するには、タイプ インデックスのフィールドにrange="cidr"の範囲属性が含まれる必要があります。また、複数の異なる値タイプのMetaCallbackを持つフィードの「cidr」インデックス範囲の構成はサポートされていません。