Live:カスタムFeedの管理

Document created by RSA Information Design and Development Employee on Apr 19, 2018
Version 1Show Document
  • Comment0
  • View in full screen mode
 

このトピックでは、RSA NetWitness SuiteのカスタムFeedウィザードによって実装されるカスタムFeed機能を使用してDecoderにカスタムFeedとIdentity Feedを迅速に導入する手順について説明します。

カスタムFeedの作成

Live>[Feeds]>[Feedの構成]>[カスタムFeedの構成]ウィザードを使用して、選択されたDecoderおよびLog Decoderに固有のメタ キーを提供する決定ロジックに基づいて、Decoder Feedを迅速に作成し、導入することができます。このウィザードはオン デマンドFeedと繰り返しFeedの作成プロセスをユーザに提示しますが、Feedを作成する際にFeedファイルの形式やコンテンツを理解する必要があります。

RSA NetWitness SuiteでのFeedファイル名は、<filename>.feed形式です。Feedを作成するためには、NetWitness Suiteに.csvまたは.xml (STIXの場合)形式のFeedデータファイルが必要です。また、Feedデータ ファイルの構造を記述するFeed定義ファイルを.xml形式で用意する必要もあります。カスタムFeedの構成ウィザードでは、Feedデータ ファイル、またはFeedデータ ファイルとそれに対応するFeed定義ファイルに基づいてFeed定義ファイルを作成できます。

オン デマンドFeedの作成に使用するファイルは、ローカル ファイルローカル ファイル システムファイル システムに格納しておく必要があります。繰り返しFeedの作成に使用するファイルは、繰り返しのたびにNetWitness Suiteが最新バージョンのファイルを取得できるように、アクセス可能なURLに格納しておく必要があります。NetWitness Suite Feedを定義した後、そのFeedをローカル ファイルローカル ファイル システムファイル システムにダウンロードしてFeedファイルやNetWitness Suite Feedの定義を編集し、更新されたFeedファイルを適用することができます。

Feed定義ファイルの例

これはdynamic_dns.xmlという名前のFeed定義ファイルの例です。Feedの構成ウィザードに入力された情報に基づいてNetWitness Suiteにより作成されたものです。dynamic_dns.csvという名前のFeedデータ ファイルの構造を定義しています。

注:Feedファイルのパスは、Feedタイプ(デフォルトまたはSTIX)に関係なく、.csvでなければなりません。

<?xml version="1.0" encoding="utf-8"?>
<FDF xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:noNamespaceSchemaLocation="feed-definitions.xsd">

    <FlatFileFeed name="Dynamic DNS Domain Feed"
        path="dynamic_dns.csv"
        separator=","
        comment="#"
        version="1">

        <MetaCallback
            name="alias.host"
            valuetype="Text"
            apptype="0"
            truncdomain="true"/>

        <LanguageKeys>
            <LanguageKey name="threat.source" valuetype="Text" />
            <LanguageKey name="threat.category" valuetype="Text" />
            <LanguageKey name="threat.desc" valuetype="Text" />
        </LanguageKeys>

        <Fields>
            <Field index="1" type="index" key="alias.host" />
            <Field index="4" type="value" key="threat.desc" />
            <Field index="2" type="value" key="threat.source" />
            <Field index="3" type="value" key="threat.category" />
        </Fields>
    </FlatFileFeed>

</FDF>

カスタムFeedウィザードのパラメータに対応するFeed定義

NetWitness SuiteのFeedウィザードは、データFeedファイルの構造を定義するオプションを提供します。これらは、Feed定義ファイル(.xmlファイル)の属性に直接対応しています。 

                                                                                         
NetWitness SuiteパラメータFeed定義ファイルの該当箇所
[Feedの定義]タブ
フィード タイプ 次のいずれかを選択します。[デフォルト].csv 形式のFeedデータ ファイルに基づいてFeedを定義します。[STIX]:STIX形式の.xml ファイルに基づいてFeedを定義します。
Feedタスク タイプ 次のいずれかを選択します。[アドホック]:オン デマンドFeedを作成します。[繰り返し]:繰り返し自動実行するFeedを作成します。
名前 Feedデータ ファイル内のカスタムFeed名。Feed定義ファイルのflatfeedfile name属性に対応します。例:Dynamic DNS Test Feed。
ファイル/参照 これは、Feedデータファイルの名前です。Feed定義ファイルのflatfeedfile path属性に対応します。例:dynamic_dns.csv。
(STIX、繰り返し)

すべての証明書を信頼

RESTサーバの証明書を検証しない場合は、[すべての証明書を信頼]を選択します。このオプションは、デフォルトで有効(オン)です。

(STIX、繰り返し)

証明書/参照

REST URLを含むクライアント認証の場合は、[証明書]フィールドで[参照]をクリックし、自己署名証明書を選択します。サポートされている証明書の形式は、Base64とDERでエンコードされた.cerおよび.crtファイルです。

[Feedの定義]タブ:[詳細オプション]
 XML FeedファイルFeed定義ファイルの名前。例:dynamic_dns.xml.
セパレータ Feedデータ ファイルの属性のセパレータに使用される区切り文字。Feed定義ファイルのflatfeedfile separator に対応します。例:コンマ。
コメント Feedデータ ファイルのコメントの特定に使用される文字。Feed定義ファイルのflatfeedfile comment属性に対応します。例:#
次の期間を経過したSTIXデータを削除

TAXIIサーバからダウンロードしたSTIXパッケージを格納しておく日数。指定した日数よりも古いSTIXパッケージは自動的に削除されます。デフォルト値は180日です。これは最大日数でもあります。

[サービスの選択]タブデータFeedの送信先となるサービスを選択します。
([列の定義]タブの[インデックスの定義])タイプ

Feedデータ ファイルのインデックス位置にある検索値のタイプ。
IP]は、Feedデータ ファイルの各行の検索値の位置に、IPアドレスが含まれていることを示します。IP値はドット付きの10進数形式です(例:10.5.187.42)。

IP範囲]は、Feedデータ ファイルの各行の検索値の位置に一定の範囲のIPアドレスが含まれていることを示します。IP範囲はCIDR形式です(例:192.168.2.0/24)。[IP以外]は、Feedデータ ファイルの各行の検索値の位置にIPアドレス以外のメタデータ値が含まれていることを示します。[IP以外]インデックスでは、[サービス タイプ]、[ドメインのトランケート]、[コールバック キー]の各フィールドがアクティブになります。
([列の定義]タブの[インデックスの定義])CIDR検索値の位置のIP値がCIDR形式であることを示します。CIDR属性はフィールドのIPアドレス形式をCIDR(Classless Inter-Domain Routing)に設定します。
([列の定義]タブの[インデックスの定義])
サービス タイプ		[IP以外]インデックスの場合の、メタ検索をフィルタ処理するための整数のサービスタイプ。Feed定義ファイルのMetaCallback apptype属性に対応します。値0はサービス タイプによるフィルタ処理がないことを示します。
([列の定義]タブの[インデックスの定義])
ドメインのトランケート		[IP以外]インデックスでは、ドメイン名(ホスト名など)を含むメタ値の場合、システムはデータ内のホスト名部分を取り除くことができます。[ドメインのトランケート]はMetaCallback truncdomain属性に対応します。値がwww.example.comの場合、example.comにトランケートされます。値がFalseの場合はトランケートされず、値がTrueの場合はトランケートされます。
([列の定義]タブの[インデックスの定義])
コールバック キー		[IP以外]インデックスでは、ip.src/ip.dst(インデックス タイプがIPの場合のデフォルト)の代わりに照合に使用できるメタ キーをドロップダウン リストから選択できます。コールバック キーは、MetaCallback name属性に対応し、csvファイルのインデックス列には、選択されたメタ キーと照合できるデータが格納されている必要があります。たとえば、usernameメタ キーが選択された場合、csvファイルのインデックス列に、照合されるユーザーが入力されている必要があります。
([列の定義]タブの[インデックスの定義])
インデックス列		 行の検索値が含まれるFeedデータ ファイルの列を指定します。Feedデータ ファイルの各行のそれぞれの位置は、Feed定義ファイルのField index属性により指定されます。インデックス番号が1のフィールドは、行の先頭のエントリーです。2番目のフィールドはインデックス番号2を保持し、3番目のフィールドはインデックス番号3を保持するなどです。[フィード タイプ]が[STIX]で、[インデックス タイプ]が[IP以外]の場合は、複数のインデックス列を選択できます。複数のインデックス列を選択した場合、選択したすべての列の値が選択した最初のインデックス列にマージされます。
(定義値)キー Feed定義ファイルで定義されたとおりのLanguageKeyの名前です。Feedデータ ファイルのこの行からこのLanguageKeyのメタが作成されます。Feed定義ファイルのField key属性に対応します。キーは、タイプがvalueに設定されたフィールドにのみ適用されます。Feed定義ファイルには、index.xmlから取得したLanguageKeyのリストがあります。または、ソース名と宛先名が使用されている場合はサマリ名があります。たとえば、reputationは、reputation.srcreputation.dstのサマリ名です。この値は、Field key属性によって参照されます。

次のステップ 

You are here
Table of Contents > 追加の手順 > カスタムFeedの管理

Attachments

    Outcomes

      Visibility: RSA NetWitness Logs & Network 11.x Documentation (Japanese)86 Views
      Last modified on Apr 19, 2018 5:00 PM
      Ratings: