Live : Créer un Feed personnalisé

Document created by RSA Information Design and Development on Apr 23, 2018
Version 1Show Document
  • View in full screen mode
 

Cette rubrique fournit des instructions pour créer un feed personnalisé à l’aide d’un fichier de données de feed au format .csv ou STIX dans RSA NetWitness Suite.

Remarque : À partir de la version 10.6.1 ou d’une version supérieure, NetWitness Suite prend en charge STIX (un langage structuré qui décrit les informations sur les cybermenaces). Pour plus d’informations sur STIX et la manière de créer un feed STIX personnalisé, reportez-vous à la rubrique Créer un Feed STIX personnalisé.

Vous pouvez facilement créer un feed personnalisé à l'aide de l'assistant Feed personnalisé. Pour exécuter cette procédure, vous devez disposer d'un fichier de données de feed au format .csv ou .xml. Si vous avez également un fichier de définition de feed associé au format .xml, qui décrit la structure du fichier de données de feed, vous pourrez utiliser le fichier de définition de feed pour créer un feed. L'assistant Feed personnalisé peut créer le feed en se basant sur un fichier de données de feed, ou en se basant sur un fichier de données de feed et le fichier de définition de feed correspondant.

À la fin de cette procédure, vous aurez créé un feed personnalisé.

Le fichier de données de feed (.csv ou STIX [.xml]) et éventuellement le fichier de définition de feed (.xml) doivent être disponibles sur le système de fichier local pour un feed personnalisé à la demande. Pour un feed personnalisé récurrent, les fichiers doivent être disponibles à une URL accessible au serveur NetWitness Suite.

Pour créer un feed personnalisé :

  1. Accédez à CONFIGURER > FEEDS PERSONNALISÉS.

    La vue Feeds personnalisés s'affiche.

    Exemple de la vue Feeds

  2. Dans la barre d’outils, cliquez sur .

    La boîte de dialogue Configurer le feed s'affiche.

    Exemple de la boîte de dialogue Configurer le feed.

  3. Pour sélectionner le type de feed, cliquez sur Feed personnalisé, puis sur Suivant.

    Le panneau Configurer un feed personnalisé s'affiche avec le formulaire Définir le feed ouvert.

    Exemple de la boîte de dialogue Configurer un feed personnalisé

  4. Pour définir un feed basé sur un fichier de données de feed au format .csv, sélectionnez Par défaut dans le champ Type de feed.

  5. Pour définir une tâche de feed à la demande qui s'exécute une fois, sélectionnez Ad hoc dans le champ Type de tâche par défaut et procédez d'une des manières suivantes :

    1. (Conditionnel) Pour définir un feed basé sur un fichier de données de feed au format .csv, saisissez le Nom du feed, sélectionnez un fichier de contenu .csv dans le système de fichiers local, puis cliquez sur Suivant.
    2. (Conditionnel) Pour définir un feed basé sur un fichier de feed XML, sélectionnez Options avancées.

      Les Options avancées s'affichent.

      Exemple de la boîte de dialogue Configurer un feed personnalisé avec les Options avancées

    3. Sélectionnez un fichier de feed XML à partir du système de fichiers local, choisissez le Séparateur (par défaut, il s'agit de la virgule) et spécifiez les caractères du Commentaire utilisés dans le fichier de données de feed (la valeur par défaut est #) et cliquez sur Suivant.
    4. Le formulaire Sélectionner des services s'affiche. Voici un exemple de formulaire pour un feed basé sur un fichier de données de feed, sans fichier de définition de feed. Si vous définissez un feed basé sur un fichier de définition de feed, l'onglet Définir des colonnes n'est pas nécessaire.

      Vue Sélectionner les services de la boîte de dialogue Configurer un feed personnalisé

  6. Pour définir une tâche de feed récurrente qui s'exécute de manière répétée à des intervalles spécifiques, pendant une certaine période :

    1. Sélectionnez Récurrent dans le champ Type de tâche par défaut.

      Le formulaire Définir le feed comprend les champs pour un feed récurrent.

      Exemple du formulaire Définir le feed

    2. Dans le champ URL, saisissez l'URL de l'emplacement du fichier de données feed, par exemple, http://<hostname>/<feeddatafile>.csv et cliquez sur Vérifier.

      NetWitness Suite vérifie l'emplacement de stockage du fichier, de façon à ce que NetWitness Suite puisse vérifier automatiquement le dernier fichier avant chaque récurrence.

    3. (Facultatif) Si l'URL présente un accès restreint et requiert une authentification à l'aide de votre nom d'utilisateur et mot de passe, sélectionnez Authentifié.

      NetWitness Suite fournit votre nom d'utilisateur et mot de passe pour l'authentification auprès de l'URL.

    4. Si vous souhaitez que le serveur NetWitness Suite accède à l'URL du feed via un proxy, sélectionnez Utiliser le proxy. Pour plus d'informations sur la configuration d'un proxy, reportez-vous à la rubrique Configurer un serveur proxy pour NetWitness Suite dans le Guide de configuration du système. Par défaut, la case Utiliser le proxy n'est pas cochée.
    5. Pour définir l'intervalle de récurrence, effectuez l'une des opérations suivantes :

      • Spécifiez le nombre de minutes, d'heures ou de jours entre les récurrences du champ.
      • Spécifiez une récurrence hebdomadaire, puis sélectionnez les jours de la semaine.
    6. Pour définir la période pour l'exécution récurrente du feed, spécifiez la Date de début et l’heure, ainsi que la Date de fin et l’heure.

      Exemple de définition de la période

  7. (Conditionnel) Si vous souhaitez définir un feed basé sur un fichier de feed XML :

    • Saisissez le Nom du feed, sélectionnez Options avancées.

      Les champs des Options avancées s'affichent.

    • Sélectionnez un fichier de feed XML à partir du système de fichiers local, choisissez le Séparateur (par défaut, il s'agit de la virgule), spécifiez les caractères du Commentaire utilisés dans le fichier de données de feed (la valeur par défaut est #) et cliquez sur Suivant.

      Le formulaire Sélectionner des services s'affiche.

      Exemple de formulaire Sélectionner des services

  8. Pour identifier les services sur lesquels déployer le feed, effectuez l'une des opérations suivantes :

    1. Sélectionnez un ou plusieurs Decoders et Log Decoders, et cliquez sur Suivant.
    2. Cliquez sur l'onglet Groupes et sélectionnez un groupe. Cliquez sur Suivant.

      Le formulaire Définir des colonnes s'affiche.

  9. Pour mapper les colonnes dans le formulaire Définir des colonnes :

    1. Définir le type d'index : IPPlage IP ou Non IP, et sélectionnez la colonne index.
    2. (Conditionnel) Si le type d'index est IP ou Plage IP et l'adresse IP est au format de notation CIDR, sélectionnez CIDR.
    3. (Conditionnel) Si le type d'index est Non IP, des paramètres supplémentaires s'affichent. Sélectionnez le type de service et Clés de rappel, et éventuellement, sélectionnez l'option Tronquer le domaine.

      Exemple du formulaire Définir les colonnes

    4. Sélectionnez la clé de langue à appliquer aux données de chaque colonne à partir de la liste déroulante. Le méta affiché dans la liste déroulante est basé sur les valeurs définies par le service. Si vous avez des compétences solides, vous pouvez également ajouter d'autres méta.

      Sélectionner la clé de langue

    5. Cliquez sur Suivant.

      Le formulaire Révision s'affiche.

      Exemple du formulaire Révision.

  10. À tout moment avant de cliquer sur Terminer, vous pouvez :

    • Cliquez sur Annuler pour fermer l'assistant sans enregistrer votre définition de feed.
    • Cliquez sur Réinitialiser pour effacer les données de l'assistant.
    • Cliquez sur Suivant pour afficher le formulaire suivant (si ce n'est pas le dernier formulaire).
    • Cliquez sur Précédent pour afficher le formulaire précédent (si ce n'est pas le premier formulaire).
  11. Passez en revue les informations du feed et, si elles sont correctes, cliquez sur Terminer.
  12. Lorsque le fichier de définition de feed a été créé avec succès, l'assistant Créer un feed se ferme. Le feed et le fichier de token correspondant sont répertoriés dans la grille de feed et la barre de progression indique l'avancement. Vous pouvez développer ou réduire l'entrée pour voir combien de services sont inclus, et quels services ont abouti.

Feeds MetaCallback utilisant la plage d’index CIDR pour IPv4 et IPv6

Cette section explique comment utiliser des plages d’index CIDR pour IPv4 et IPv6 dans les feeds personnalisés MetaCallback. Comme avec d’autres feeds personnalisés, vous devez créer le fichier de données de feed au format .csv et un fichier de définition de feed au format .xml.

Remarque : L’utilisation de feeds MetaCallback avec des plages d’index CIDR est prise en charge uniquement par le biais de l’interface REST ou de l’assistant de configuration avancée.

L’exemple suivant affiche le contenu des fichiers .csv et .xml pour un feed MetaCallback à l’aide des plages d’index CIDR pour IPv4 ou IPv6.

.csv file:

192.168.0.0/24, Sydney
192.168.1.0/24, Melbourne

.xml file:

<?xml version="1.0" encoding="UTF-8"?>

<FDF xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:noNamespaceSchemaLocation="feed-definitions.xsd">

<FlatFileFeed name="ip_test" path="ip_test.csv" separator="," comment="#">

<MetaCallback name="DstIP" valuetype="IPv4" apptype="0" truncdomain="false">

<Meta name="ip.dst"/>

</MetaCallback>

<LanguageKeys>

<LanguageKey name="alert" valuetype="Text" />

</LanguageKeys>

<Fields>

<Field index="1" type="index" range="cidr"/>

<Field index="2" type="value" key="alert" />

</Fields>

</FlatFileFeed>

</FDF>

Remarque : Pour configurer une plage d’index CIDR pour les feeds avec un ou plusieurs MetaCallbacks de type de valeur IPv4 ou IPv6, le champ du type d’index DOIT contenir un attribut de plage avec range="cidr". En outre, la configuration des plages d’index « cidr » pour les feeds avec MetaCallbacks de plusieurs types de valeur différentes n’est pas prise en charge.

You are here
Table of Contents > Procédures supplémentaires > Gérer les feeds personnalisés > Créer un Feed personnalisé

Attachments

    Outcomes