Decoder: Usar feeds personalizados

Document created by RSA Information Design and Development on Apr 23, 2018
Version 1Show Document
  • View in full screen mode
 

El asistente Feed personalizado de NetWitness Suite permite la creación y la implementación de feeds de Decoder personalizados basados en lógica determinista que ofrece las claves de metadatos específicas para los Decoders y los Log Decoders seleccionados. A pesar de que el asistente guía a los usuarios por el proceso de crear feeds según demanda y recurrentes, es útil comprender la forma y el contenido de un archivo de feed cuando crea un feed.

Los nombres de archivo de feed en RSA NetWitness Suite tienen el formato <filename>.feed. Para crear un feed, NetWitness Suite requiere un archivo de datos de feed en el formato .csv o .xml (para STIX) y un archivo de definición de feed en el formato .xml, el cual describe la estructura de un archivo de feed de datos. Con el asistente Feed personalizado, se puede crear un archivo de definición de feed basado en un archivo de datos de feed, o basado en un archivo de datos de feed y el archivo de definición de feed correspondiente.

Los archivos que se utilizan para crear un feed según demanda deben estar almacenados en el sistema de archivos local. Los archivos que se usan para crear un feed recurrente deben estar almacenados en una URL accesible, en la cual NetWitness Suite pueda buscar la versión más reciente del archivo para cada recurrencia. Después de la creación de un feed de NetWitness Suite, puede descargar el feed al sistema de archivos local, editar los archivos de feed y, a continuación, editar el feed de NetWitness Suite para usar los archivos de feed actualizados.

Archivo de definición de feed de muestra

Este es un ejemplo de un archivo de definición de feed denominado dynamic_dns.xml, que NetWitness Suite crea en función de las entradas del asistente Feed personalizado. Define la estructura del archivo de datos del feed denominado dynamic_dns.csv.

Nota: La ruta de archivo de feed debe ser .csv independientemente del Tipo de feed (Valor predeterminado o STIX).

<?xml version="1.0" encoding="utf-8"?>
<FDF xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:noNamespaceSchemaLocation="feed-definitions.xsd">


    
<FlatFileFeed name="Dynamic DNS Domain Feed"
        path="dynamic_dns.csv"
        separator=","
        comment="#"
        version="1">


        
<MetaCallback
            name="alias.host"
            valuetype="Text"
            apptype="0"
            truncdomain="true"/>


        
<LanguageKeys>
            <LanguageKey name="threat.source" valuetype="Text" />
            <LanguageKey name="threat.category" valuetype="Text" />
            <LanguageKey name="threat.desc" valuetype="Text" />
        </LanguageKeys>


        
<Fields>
            <Field index="1" type="index" key="alias.host" />
            <Field index="4" type="value" key="threat.desc" />
            <Field index="2" type="value" key="threat.source" />

            
<Field index="3" type="value" key="threat.category" />
        </Fields>

    
</FlatFileFeed>

</FDF>

Equivalentes de definición de feed para los parámetros del asistente Feed personalizado

En el asistente Feed personalizado de NetWitness Suite se proporcionan opciones para definir la estructura del archivo de feed de datos. Esto se corresponde directamente con los atributos en el archivo (.xml) de definición del feed.

                                                                   
Parámetro de NetWitness SuiteEquivalente en el archivo de definición del feed
(Pestaña Definir feed) Tipo de feedSeleccione:
Valor predeterminado
: para definir un feed basado en un archivo de datos de feed con formato .csv.
STIX
: para definir un feed basado en un archivo .xml con formato STIX.
(Pestaña Definir feed) Tipo de tarea de feedSeleccione:
Ad hoc
: para crear un feed según demanda.
Recurrente: para actualizar el archivo .csv o .xml de manera persistente y almacenarlo en una ubicación accesible para NetWitness Suite , de modo que NetWitness Suite descargue un archivo a intervalos regulares y lo inserte en los dispositivos descendentes.
(Pestaña Definir feed) NombreEl nombre del feed personalizado en el archivo de datos del feed. Corresponde al atributo flatfeedfile name en el archivo de definición del feed. Por ejemplo, Feed de prueba de DNS dinámico.

Nota: Ahora puede usar caracteres especiales para definir el nombre del feed personalizado.

(Pestaña Definir feed) Archivo/NavegarEste es el nombre del archivo de datos del feed. Corresponde al atributo flatfeedfile path en el archivo de definición del feed. Por ejemplo, dynamic_dns.csv.
(Pestaña Opciones avanzadas) Archivo de feed XMLEl nombre del archivo de definición del feed. Por ejemplo, dynamic_dns.xml.
(Pestaña Opciones avanzadas) SeparadorEl carácter separador que se utiliza para separar atributos en el archivo de datos del feed. Corresponde al atributo latfeedfile separator en el archivo de definición del feed. Por ejemplo, una coma.
(Pestaña Opciones avanzadas) ComentarioEl carácter que se utiliza para identificar un comentario en el archivo de datos del feed. Corresponde al atributo flatfeedfile comment en el archivo de definición del feed. Por ejemplo, #.
(Pestaña Definir columnas, Definir índice) Tipo El tipo de valor de búsqueda en la posición del índice del archivo de datos de feed.
IP significa que cada fila del archivo de datos del feed contiene una dirección IP en la posición del valor de búsqueda. El valor de la dirección IP está en formato de punto decimal (por ejemplo, 10.5.187.42).
Rango de IP significa que cada columna del archivo de datos de feed contiene un rango de direcciones IP en la posición del valor de búsqueda. El rango de direcciones IP está en formato CIDR (por ejemplo, 192.168.2.0/24).
No IP significa que cada fila del archivo de datos de feed contiene un valor de metadatos distinto a una dirección IP en la posición del valor de búsqueda. Los campos Tipo de servicio, Truncar dominio y Claves de devolución de llamadas se activan en los índices No IP.
(Pestaña Definir columnas, Definir índice) CIDREspecifica que el valor de la dirección IP en la posición de búsqueda está en formato CIDR. El atributo CIDR define el formato de dirección IP del campo en notación Classless Inter-Domain Routing (CIDR).
(Pestaña Definir columnas, Definir índice)
Tipo de servicio
Para un índice No IP, el tipo de servicio entero para filtrar las búsquedas de metadatos. Corresponde al atributo MetaCallback apptype en el archivo de definición del feed. Un valor de 0 indica que no hay filtrado por tipo de servicio.
(Pestaña Definir columnas, Definir índice) 
Truncar dominio
Para un índice No IP, en los valores de metadatos que contienen nombres de dominio (por ejemplo, nombres de host), el sistema puede quitar el elemento específico de host en los datos. Truncar dominio corresponde al atributo MetaCallback truncdomain. Si el valor es www.example.com, se trunca a example.com. Con un valor Falso se selecciona sin truncamiento y con un valor Verdadero, truncamiento.
(Pestaña Definir columnas, Definir índice) 
Claves de devolución de llamadas
En un índice No IP, se pueden seleccionar en la lista desplegable las claves de metadatos disponibles para coincidencia en lugar de ip.src/ip.dst (los valores predeterminados para un tipo de índice IP). Clave de devolución de llamadas corresponde al atributo MetaCallback name y la columna de índice del archivo csv debe contener datos que puedan coincidir con la clave de metadatos seleccionada. Por ejemplo, si elige la clave de metadatos de nombre de usuario, la columna de índice del archivo csv debe completarse con los usuarios que se deban hacer coincidir.
(Pestaña Definir columnas, Definir índice) 
Columna de índice
Identifica la columna en el archivo de datos de feed que proporciona el valor de búsqueda para la fila. Cada posición en cada fila del archivo de datos de feed se identifica con un atributo Field index en el archivo de definición de feed. Un campo con un índice de 1 es la primera entrada en una fila, el segundo campo tiene un índice de 2, el tercer campo tiene un índice de 3 y así sucesivamente.
(DEFINIR VALORES) Clave El nombre de LanguageKey, según se define en el archivo de definición del feed, para el cual se crean los metadatos a partir de esta fila del archivo de datos del feed. Corresponde al atributo Field key en el archivo de definición del feed. Una clave se aplica solamente a un campo cuyo tipo está configurado en value. En el archivo de definición del feed, hay una lista de LanguageKeys desde index.xml o un nombre de resumen si se usan Nombre de fuente y Nombre del destino. Por ejemplo, reputation es un nombre de resumen de reputation.src y reputation.dst. El atributo Field key hace referencia a este valor.

Archivos de ejemplo para un feed MetaCallback con rango de índice CIDR para IPv4 e IPv6

Estos archivos de ejemplo muestran cómo usar rangos de índice CIDR para IPv4 e IPv6 en feeds MetaCallback personalizados. Al igual que con otros feeds personalizados, debe crear el archivo de datos de feed en formato .csv y un archivo de definición de feed en formato .xml.

Nota: El uso de feeds MetaCallback con rangos de índice CIDR solo se admite mediante el asistente Configuración avanzada o la interfaz de REST.

En el siguiente ejemplo se muestra el contenido de un archivo .csv y un archivo .xml para un feed MetaCallback con rangos de índice CIDR para IPv4 o IPv6.

.csv file:

192.168.0.0/24, Sydney
192.168.1.0/24, Melbourne

.xml file:

<?xml version="1.0" encoding="UTF-8"?>

<FDF xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:noNamespaceSchemaLocation="feed-definitions.xsd">

<FlatFileFeed name="ip_test" path="ip_test.csv" separator="," comment="#">

<MetaCallback name="DstIP" valuetype="IPv4" apptype="0" truncdomain="false">

<Meta name="ip.dst"/>

</MetaCallback>

<LanguageKeys>

<LanguageKey name="alert" valuetype="Text" />

</LanguageKeys>

<Fields>

<Field index="1" type="index" range="cidr"/>

<Field index="2" type="value" key="alert" />

</Fields>

</FlatFileFeed>

</FDF>

Nota: Para configurar un rango de índice CIDR para los feeds con uno o varios MetaCallbacks de tipo de valor IPv4 o IPv6, el campo de índice de tipo DEBE contener un atributo de rango con range="cidr". Además, no se admite la configuración de rangos de índice “cidr” para los feeds con MetaCallbacks de varios tipos de valor diferente.

You are here
Table of Contents > Configurar feeds y analizadores > Estructura de archivos de definición de feed personalizado

Attachments

    Outcomes