Live : Créer un Feed STIX personnalisé

Document created by RSA Information Design and Development on Apr 23, 2018
Version 1Show Document
  • View in full screen mode
 

Vous pouvez créer un feed personnalisé à l’aide d’un fichier de données au format STIX ou .csv dans RSA NetWitness Suite.

Remarque : NetWitness Suite prend uniquement en charge les versions STIX (Structured Threat Information Expression) 1.0, 1.1 et 1.2.

Remarque : À partir de la version 10.6.1 ou d’une version supérieure, Security Analytics prend en charge le langage STIX (Structured Threat Information Expression).

STIX™ (Structured Threat Information Expression) est un langage structuré qui décrit les informations sur les cybermenaces, de façon à ce qu'elles puissent être partagées, stockées et analysées de manière cohérente. Pour plus d’informations sur STIX, consultez https://stixproject.github.io/.

Attention : Si un feed récurrent STIX est configuré et que vous mettez à jour Security Analytics de la version 10.6.x vers NetWitness Suite 11.0, vous devez reconfigurer le feed récurrent STIX.

Dans NetWitness Suite, le feed STIX (.xml) de type Indicateur ou Observable contenant des propriétés, telles que les adresses IP, les hachages de fichiers, les noms de domaine, les URI et les adresses électroniques sont pris en charge. Seules les valeurs de propriétés de l’opérateur Égal sont prises en charge. Les attributs tels que le type et le titre sont également lus à partir de STIX (.xml). Seul STIX (.xml) avec un seul STIX_Package est pris en charge.

TAXII (Trusted Automated eXchange of Indicator Information) est le mécanisme de transport principal pour les informations sur les cybermenaces représentées dans STIX. À l’aide de services TAXII, les organisations peuvent partager des informations sur les cybermenaces de manière sécurisée et automatisée.

Les communautés STIX et TAXII collaborent étroitement afin de garantir la continuité de ce partage d’informations sur les menaces.

À l’exception du serveur TAXII, les données STIX peuvent également résider sur un serveur REST et vous pouvez extraire le fichier STIX depuis le serveur REST en fournissant l’URL du serveur REST. Par exemple, http://stixrestserver.internal.com.

Le fichier de données de feed (.csv ou STIX [.xml]) et éventuellement le fichier de définition de feed (.xml) doivent être disponibles sur le système de fichier local pour un feed personnalisé à la demande. Pour un feed personnalisé récurrent, les fichiers doivent être disponibles à une URL accessible au serveur NetWitness Suite.

Pour créer un feed STIX personnalisé :

  1. Accédez à Configurer > Feeds personnalisés.

    La vue Feeds s'affiche.

  2. Dans la barre d’outils, cliquez sur .

    La boîte de dialogue Configurer le feed s'affiche.

  3. Pour sélectionner le type de feed, cliquez sur Feed personnalisé, puis sur Suivant.

    Le panneau Configurer un feed personnalisé s'affiche avec le formulaire Définir le feed ouvert.

  4. Pour définir un feed basé sur un fichier .xml au format STIX, sélectionnez STIX dans le champ Type de feed.

  5. Pour définir une tâche de feed à la demande qui s'exécute une fois, sélectionnez Ad hoc dans le champ Type de tâche par défaut et procédez d'une des manières suivantes :

    1. (Conditionnel) Pour définir un feed basé sur un fichier .xml au format STIX, saisissez le Nom du feed, sélectionnez un Fichier de contenu .xml au format STIX dans le système de fichiers local, puis cliquez sur Suivant.

    2. (Conditionnel) Pour définir un feed basé sur un fichier de feed XML, sélectionnez Options avancées.

      Les Options avancées s'affichent.

    3. Sélectionnez un fichier de feed XML à partir du système de fichiers local, choisissez le Séparateur (par défaut, il s'agit de la virgule) et spécifiez les caractères du Commentaire utilisés dans le fichier de données de feed (la valeur par défaut est #) et cliquez sur Suivant.
    4. Le formulaire Sélectionner des services s'affiche. Voici un exemple de formulaire pour un feed basé sur un fichier de données de feed, sans fichier de définition de feed. Si vous définissez un feed basé sur un fichier de définition de feed, l'onglet Définir des colonnes n'est pas nécessaire.

  6. Pour définir une tâche de feed récurrente qui s'exécute de manière répétée à des intervalles spécifiques, pendant une certaine période :

    1. Sélectionnez Récurrent dans le champ Type de tâche par défaut.

      Le formulaire Définir le feed comprend les champs pour un feed récurrent.

    2. Dans le champ URL, saisissez l'un des éléments suivants :

      • Pour définir un feed récurrent basé sur STIX qui extrait les packages STIX à partir d’un serveur TAXII, saisissez l’URL de service de découverte du serveur TAXII, par exemple, http://hailataxii.com/taxii-discovery-service.

        Remarque : Le service Context Hub installé sur un hôte Event Stream Analysis doit être accessible pour le serveur TAXII spécifié.

      • Pour définir un feed récurrent basé sur un fichier .xml au format STIX à l’aide du serveur REST, saissez l’URL du serveur REST où le fichier de données STIX se trouve, par exemple, http://stixrestserver.internal.com.

      NetWitness Suite vérifie la connexion au serveur, afin que NetWitness Suite puisse vérifier le dernier fichier automatiquement avant chaque récurrence.

    3. Si vous ne souhaitez pas que NetWitness Suite vérifie le certificat SSL du serveur REST, sélectionnez Approuver tous les certificats. Cette option est activée par défaut (cochée)
    4. Pour une authentification client avec l’URL REST, dans le champ Certificat , cliquez sur Parcourir et sélectionnez le certificat auto-signé. Les formats de certificat pris en charge sont .cer, .crt, avec des fichiers codés Base64 et DER.
    5. (Facultatif) Si l'URL présente un accès restreint et requiert une authentification à l'aide de votre nom d'utilisateur et mot de passe, sélectionnez Authentifié.

      NetWitness Suite fournit votre nom d'utilisateur et mot de passe pour l'authentification auprès de l'URL.

    6. Sélectionnez Serveur TAXII activé, si vous souhaitez sélectionner une collecte TAXII dans la liste.
      Pour une adresse URL valide, une ou plusieurs collectes TAXII contenant le fichier de données STIX s’affiche en fonction de vos informations d’identification. Sélectionnez la collecte TAXII requise dans la liste. Une seule collecte peut être ajoutée à partir d’un serveur TAXII pour un feed.

      Remarque : Bien que plusieurs feeds à partir de multiple serveurs TAXII sont pris en charge, un seul compte (nom d’utilisateur et mot de passe) est pris en charge par le serveur TAXII.

    7. Si vous souhaitez que le serveur NetWitness Suite accède à l'URL du feed via un proxy, sélectionnez Utiliser le proxy. Pour plus d'informations sur la configuration d'un proxy, reportez-vous à la rubrique Configurer un serveur proxy pour NetWitness Suite dans le Guide de configuration du système. Par défaut, la case Utiliser le proxy n'est pas cochée.
    8. (Facultatif) Cliquez sur Vérifier pour tester les paramètres.

    Remarque : Assurez-vous que tous les paramètres de connexion requis tels que l’authentification, le proxy, le certificat de fiabilité, le serveur TAXII activé et d’autres, sont configurés avant de cliquer sur Vérifier.

    1. Pour définir l'intervalle de récurrence de transfert vers le Decoder ou le Log Decoder, effectuez l'une des opérations suivantes :

      • Spécifiez le nombre de minutes, d'heures ou de jours entre les récurrences du champ.
      • Spécifiez une récurrence hebdomadaire, puis sélectionnez les jours de la semaine.
    2. Pour définir la période pour l'exécution récurrente du feed, spécifiez la Date de début et l'heure, ainsi que la Date de fin et l'heure. La date de début doit être définie à partir du moment où vous souhaitez extraire les données. Assurez-vous que la Date de début n’est pas antérieure à 180 jours à partir d’aujourd'hui.

  7. (Conditionnel) Si vous souhaitez définir un feed basé sur un fichier de feed XML :

    • Saisissez le Nom du feed, sélectionnez Options avancées.

      Les champs des Options avancées s'affichent.

    • Sélectionnez un fichier de feed XML à partir du système de fichiers local, choisissez le Séparateur (par défaut, il s'agit de la virgule), spécifiez les caractères du Commentaire utilisés dans le fichier de données de feed (la valeur par défaut est #).

    • Dans le champ Supprimer les données STIX antérieures à, indiquez le nombre de jours durant lesquels les packages STIX extraits du serveur TAXII doivent être stockés. Les packages STIX antérieurs au nombre de jours spécifiés sont supprimés automatiquement.
    • Cliquez sur Suivant.
      Le formulaire Sélectionner des services s'affiche.
  1. Pour identifier les services sur lesquels déployer le feed, effectuez l'une des opérations suivantes :

    1. Sélectionnez un ou plusieurs Decoders et Log Decoders, et cliquez sur Suivant.
    2. En cas de feed STIX, Context Hub est sélectionné par défaut et vous n’êtes pas autorisé à le désélectionner. En outre, vous pouvez sélectionner un ou plusieurs Decoders et Log Decoders. Cliquez sur Suivant ou sur l’onglet Groupes, puis sélectionnez un groupe. Cliquez sur Suivant.

      Si les données à partir du serveur STIX sont volumineuses, le message suivant s’affiche :

      • Si vous cliquez sur Continuer à attendre, il continue à attendre jusqu'à ce que l’échantillon de données soit extrait ou que le délai expire (10 minutes), selon la première éventualité. Dans le cas d’expiration du délai, aucune donnée d’échantillon n’est récupérée même après 10 minutes.
      • Si vous cliquez sur Mapper sans les échantillons de données, la colonne de mappage s’affiche sans les échantillons de données.

      Le formulaire Définir des colonnes s'affiche.

  2. Pour mapper les colonnes dans le formulaire Définir des colonnes :

    1. Définir le type d'index : IPPlage IP ou Non IP, et sélectionnez la colonne index.
    2. (Conditionnel) Si le type d'index est IP ou Plage IP et l'adresse IP est au format de notation CIDR, sélectionnez CIDR.
    3. (Conditionnel) Si le type d'index est Non IP, des paramètres supplémentaires s'affichent. Sélectionnez le type de service et Clés de rappel, et éventuellement, sélectionnez l'option Tronquer le domaine.

      Remarque :
      - Si le type d’Index est Non IP, vous pouvez sélectionner plusieurs colonnes d’index dans les colonnes d’Index. Les valeurs de toutes les colonnes sélectionnées sont fusionnées dans la première colonne d’index que vous avez sélectionnée et les valeurs fusionnées sont transférées vers le Log Decoder pour l’analyse. Par exemple, dans les colonnes d’index si vous sélectionnez 2,4,7 comme colonnes d’index les valeurs des colonnes 2, 4 et 7 sont fusionnées dans la colonne 2 et les valeurs sont transférées vers Log Decoder pour l’analyse.
      - L’indexation n’est pas possible pour les colonnes comme le titre de l’indicateur, le description de l’indicateur, le titre Observable, la description Observable, car la recherche ne peut pas être effectuée pour ces colonnes.

    4. Sélectionnez la clé de langue à appliquer aux données de chaque colonne à partir de la liste déroulante. Le méta affiché dans la liste déroulante est basé sur les valeurs définies par le service. Si vous avez des compétences solides, vous pouvez également ajouter d'autres méta.

    5. Cliquez sur Suivant.

      Le formulaire Révision s'affiche.

  3. À tout moment avant de cliquer sur Terminer, vous pouvez :

    • Cliquez sur Annuler pour fermer l'assistant sans enregistrer votre définition de feed.
    • Cliquez sur Réinitialiser pour effacer les données de l'assistant.
    • Cliquez sur Suivant pour afficher le formulaire suivant (si ce n'est pas le dernier formulaire).
    • Cliquez sur Précédent pour afficher le formulaire précédent (si ce n'est pas le premier formulaire).
  4. Passez en revue les informations du feed et, si elles sont correctes, cliquez sur Terminer.
  5. Lorsque le fichier de définition de feed a été créé avec succès, l'assistant Créer un feed se ferme. Le feed et le fichier de token correspondant sont répertoriés dans la grille de feed et la barre de progression indique l'avancement. Vous pouvez développer ou réduire l'entrée pour voir combien de services sont inclus, et quels services ont abouti.

Remarque : Intégrité déclenche des alertes lorsque la mémoire disponible du serveur de Context Hub est extrêmement faible. Si l’état du serveur Context Hub est défectueux en raison du manque de mémoire. Pour plus d’informations sur le dépannage de OutOfMemoryError sur le serveur Contexthub, reportez-vous à la rubrique « Dépannage » le Guide de gestion des Services Live.

Feeds MetaCallback utilisant la plage d’index CIDR pour IPv4 et IPv6

Cette section explique comment utiliser des plages d’index CIDR pour IPv4 et IPv6 dans les feeds personnalisés MetaCallback. Comme avec d’autres feeds personnalisés, vous devez créer le fichier de données de feed au format .csv et un fichier de définition de feed au format .xml.

Remarque : L’utilisation de feeds Metacallback avec des plages d’index CIDR est prise en charge uniquement par le biais de l’interface REST ou de l’assistant de configuration avancée.

L’exemple suivant affiche le contenu des fichiers .csv et .xml pour un feed MetaCallback à l’aide des plages d’index CIDR pour IPv4 ou IPv6.

.csv file:

192.168.0.0/24, Sydney
192.168.1.0/24, Melbourne

.xml file:

<?xml version="1.0" encoding="UTF-8"?>

<FDF xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:noNamespaceSchemaLocation="feed-definitions.xsd">

<FlatFileFeed name="ip_test" path="ip_test.csv" separator="," comment="#">

<MetaCallback name="DstIP" valuetype="IPv4" apptype="0" truncdomain="false">

<Meta name="ip.dst"/>

</MetaCallback>

<LanguageKeys>

<LanguageKey name="alert" valuetype="Text" />

</LanguageKeys>

<Fields>

<Field index="1" type="index" range="cidr"/>

<Field index="2" type="value" key="alert" />

</Fields>

</FlatFileFeed>

</FDF>

Remarque : Pour configurer une plage d’index CIDR pour les feeds avec un ou plusieurs MetaCallbacks de type de valeur IPv4 ou IPv6, le champ du type d’index DOIT contenir un attribut de plage avec range="cidr". En outre, la configuration des plages d’index « cidr » pour les feeds avec MetaCallbacks de plusieurs types de valeur différentes n’est pas prise en charge.

You are here
Table of Contents > Procédures supplémentaires > Gérer les feeds personnalisés > Créer un feed STIX personnalisé

Attachments

    Outcomes