Decoder: Crear un feed personalizado

Document created by RSA Information Design and Development on Apr 23, 2018
Version 1Show Document
  • View in full screen mode
 

Puede crear un feed personalizado mediante el asistente Feed personalizado. Para realizar este procedimiento, necesita un archivo de datos de feed en formato .csv.xml. Si también tiene un archivo de definición de feed relacionado en formato .xml, que describe la estructura del archivo de datos del feed, puede usarlo para crear un feed. Con el asistente Feed personalizado, se pueden crear feeds basados en un archivo de datos de feed o basados en un archivo de datos de feed y el archivo de definición de feed correspondiente.

Nota: A partir de 10.6.1 o superior, NetWitness Suite es compatible con Structured Threat Information Expression (STIX). Para obtener más información acerca de STIX y la creación de un feed personalizado de STIX.

El archivo de datos de feed y, de manera opcional, el archivo de definición de feed (.xml) deben estar disponibles en el sistema de archivos local para crear un feed personalizado según demanda. Para crear un feed personalizado recurrente, los archivos deben estar disponibles en una URL a la que se pueda acceder desde el servidor de NetWitness Suite.

Para crear un feed personalizado:

 

  1. Vaya a CONFIGURAR > Feeds personalizados y en el panel Feeds, haga clic en El ícono Agregar.
    Se muestra la vista Feeds personalizados.

    Ejemplo de la vista Feeds

  2. Haga clic en Feed personalizado y en Siguiente.
    El asistente Configurar un feed personalizado se muestra con el formulario Definir feed abierto.

    Asistente Configurar un feed personalizado cuando se abre por primera vez
  3. Seleccione el Tipo de feed: CSV o STIX.
  4. Para definir un feed basado en un archivo de datos de feed con formato .csv, seleccione Valor predeterminado en el campo Tipo de feed.

  5. Para definir una tarea de feed según demanda que se ejecute una sola vez, seleccione Ad hoc en el campo Tipo de tarea de feed y realice una de las siguientes acciones:
    1. (Condicional) Para definir un feed basado en un archivo de datos de feed con formato .csv, escriba el Nombre del feed, seleccione un archivo de contenido .csv en el sistema de archivos local y haga clic en Siguiente.
    2. (Condicional) Para definir un feed basado en un archivo de feed XML, seleccione Opciones avanzadas.

      Se muestran las opciones avanzadas:


      Asistente Configurar un feed personalizado en la pestaña Definir feed


    3. Seleccione un archivo de feed XML en el sistema de archivos local, elija el Separador (el valor predeterminado es coma), especifique los caracteres de Comentario que se utilizarán en el archivo de datos del feed (el valor predeterminado es #) y haga clic en Siguiente.
    4. Se muestra el formulario Seleccionar servicios. Este es un ejemplo del formulario de un feed basado en un archivo de datos de feed sin archivo de definición de feed. Si define un feed basado en un archivo de definición de feed, la pestaña Definir columnas no es necesaria.

      Asistente Configurar un feed personalizado en la pestaña Seleccionar servicios

  6. Para definir una tarea de feed recurrente que se ejecute de manera repetida a intervalos especificados durante un rango de fechas especificado:

    1. Seleccione Recurrente en el campo Tipo de tarea de feed.

      En el formulario Definir feed se incluyen los campos de un feed recurrente.

      Este es un ejemplo de la sección Definir feed.

    2. En el campo URL, escriba la dirección URL en la cual está ubicado el archivo de datos del feed, por ejemplo, http://<hostname>/<feeddatafile>.csv, y haga clic en Verificar.

      NetWitness Suite verifica la ubicación en la cual está almacenado el archivo con el fin de comprobar automáticamente el archivo más reciente antes de cada recurrencia.

    3. (Opcional) Si la URL tiene acceso restringido y se solicita autenticación con nombre de usuario y contraseña, seleccione Autenticada.

      NetWitness Suite proporciona su nombre de usuario y contraseña para autenticación en la dirección URL.

    4. Si desea que el servidor de NetWitness acceda a la dirección URL del feed a través de un proxy, seleccione Usar proxy. Para obtener más información sobre la configuración de un proxy, consulte “Configurar el proxy de NetWitness Suite” en la Guía de configuración del sistema. De forma predeterminada, la casilla de verificación Usar proxy no está seleccionada.
    5. Para definir el intervalo de recurrencia, puede realizar alguna de las siguientes acciones:

      • Especifique la cantidad de minutos, horas o días entre cada recurrencia del feed.
      • Especifique la recurrencia cada semana y seleccione los días de la semana.
    6. Para definir el rango de días para la ejecución recurrente del feed, especifique la hora y la Fecha inicial y la hora y la Fecha de finalización.

      Este es un ejemplo de la sección Definir feed con el campo Nombre rellenado.

  7. (Condicional) Si desea definir un feed basado en un archivo de feed XML:

    • Escriba el Nombre del feed y seleccione Opciones avanzadas.

      Se muestran los campos Opciones avanzadas.

    • Seleccione un archivo de feed XML del sistema de archivos local, elija el Separador (la opción predeterminada es coma), especifique los caracteres de Comentario que se utilizarán en el archivo de datos del feed (la opción predeterminada es #) y haga clic en Siguiente.

      Se muestra el formulario Seleccionar servicios.

      Esta es la sección Seleccionar servicios.

  8. Para identificar los servicios en los cuales se implementará el feed, realice una de las siguientes acciones:

    1. Seleccione uno o más Decoders y Log Decoders y haga clic en Siguiente.
    2. Haga clic en la pestaña Grupos y seleccione un grupo. Haga clic en Siguiente.

      Se muestra el formulario Definir columnas.

  9. Para asignar columnas en el formulario Definir columnas, haga lo siguiente:

    1. Defina el tipo de Índice: IP, Rango de IP o No IP, y seleccione la columna de índice.
    2. (Condicional) Si el tipo de índice es IP o Rango de IP y la dirección IP está en notación CIDR, seleccione CIDR.
    3. (Condicional) Si el tipo de índice es No IP, se muestran ajustes adicionales. Seleccione el tipo de servicio, las Claves de devolución de llamadas y, de manera opcional, la opción Truncar dominio.

      Esta es la sección Definir columnas con la lista desplegable Claves de devolución de llamadas abierta.

    4. En la lista desplegable, seleccione la clave de idioma que se aplicará a los datos en cada columna. Los metadatos que se muestran en la lista desplegable se basan en los metadatos disponibles para los valores definidos del servicio. También puede agregar otros metadatos de acuerdo con su pericia avanzada.

      Este es un ejemplo de la sección Definir columnas.

    5. Haga clic en Siguiente.

      Se muestra el formulario Revisión.

      Este es un ejemplo del formulario Revisión.

  10. Antes de hacer clic en Finalizar, puede hacer lo siguiente:

    • Hacer clic en Cancelar para cerrar el asistente sin guardar la definición del feed.
    • Hacer clic en Restablecer para borrar los datos del asistente.
    • Hacer clic en Siguiente para ver el formulario siguiente (si no se encuentra en el último formulario).
    • Hacer clic en Anterior para ver el formulario anterior (si no se encuentra en el primer formulario)
  11. Revise la información del feed y haga clic en Finalizar si los datos son correctos.
  12. Después de crear correctamente el archivo de definición del feed, el asistente Crear feed se cierra, el feed y el archivo de token correspondiente aparecen en la Feed grid y la barra de progreso muestra que se completó la tarea. Puede expandir o contraer la entrada para ver cuántos servicios se incluyeron y cuáles tuvieron éxito.
    ..



 
You are here
Table of Contents > Configurar feeds y analizadores > Crear un feed personalizado

Attachments

    Outcomes