Decoder: Crear un feed personalizado

Document created by RSA Information Design and Development on Apr 23, 2018Last modified by RSA Information Design and Development on Apr 28, 2019
Version 2Show Document
  • View in full screen mode
 

Puede crear un feed personalizado mediante el asistente Feed personalizado. Para realizar este procedimiento, necesita un archivo de datos de feed en formato .csv.xml. Si también tiene un archivo de definición de feed relacionado en formato .xml, que describe la estructura del archivo de datos del feed, puede usarlo para crear un feed. Con el asistente Feed personalizado, se pueden crear feeds basados en un archivo de datos de feed o basados en este y el archivo de definición de feed correspondiente.

Nota: A partir de 10.6.1 o superior, NetWitness Platform es compatible con Structured Threat Information Expression (STIX). Para obtener más información acerca de STIX y la creación de un feed personalizado de STIX, consulte “Crear un feed personalizado de STIX” en la Guía de configuración de Decoder y Log Decoder.

El archivo de datos de feed y, de manera opcional, el archivo de definición de feed (.xml) deben estar disponibles en el sistema de archivos local para crear un feed personalizado según demanda. Para crear un feed personalizado recurrente, los archivos deben estar disponibles en una URL a la que se pueda acceder desde el servidor de NetWitness Platform.

Nota: Cuando crea un feed basado en origen y destino en un Log Decoder, este completa solamente la clave de metadatos de origen. No puede utilizar feed de CIDR o basado en rango. Debe enumerar cada dirección IP. Para resolver este problema, cree dos feeds distintos con el uso de direcciones IP. En ellos puede usar CIDR.

Para crear un feed personalizado:

  1. Vaya a CONFIGURAR > Feeds personalizados.
  2. En el panel Feeds, haga clic en add icon.
    Se muestra la vista Feeds personalizados.
    An example of the Feeds view
  3. Haga clic en Feed personalizado y en Siguiente.
    El asistente Configurar un feed personalizado se muestra con el formulario Definir feed abierto.

  4. Seleccione el Tipo de feed: CSV o STIX.
  5. Para definir un feed basado en un archivo de datos de feed con formato .csv, seleccione CSV (que es el valor predeterminado) en el campo Tipo de feed.
  6. Para definir una tarea de feed según demanda que se ejecute una sola vez, seleccione Ad hoc en el campo Tipo de tarea de feed y realice una de las siguientes acciones:
    1. (Condicional) Para definir un feed basado en un archivo CsvFileFeed, seleccione la casilla de verificación Cargar como feed de archivo csv, escriba el Nombre del feed, seleccione un archivo de contenido .csv en el sistema de archivos local y haga clic en Siguiente. Si no selecciona la casilla de verificación, el archivo .csv será un archivo FlatFileFeed.
    2. Nota: Cuando selecciona la casilla de verificación Cargar como feed de archivo csv, las opciones del feed XML en Avanzada no están disponibles.

    1. (Condicional) Para definir un feed basado en un archivo de feed XML, seleccione Opciones avanzadas.
    2. Nota: Asegúrese de que la casilla de verificación Cargar como feed de archivo csv esté deseleccionada.

    3. Se muestran las opciones avanzadas:
      Configure Cust Feed wizard in the Define Feed tab
    4. Seleccione un archivo de feed XML en el sistema de archivos local, elija el Separador (el valor predeterminado es coma), especifique los caracteres de Comentario que se utilizan en el archivo de datos del feed (el valor predeterminado es #) y haga clic en Siguiente.
      Se muestra el formulario Seleccionar servicios. Este es un ejemplo del formulario de un feed basado en un archivo de datos de feed sin archivo de definición de feed. Si define un feed basado en un archivo de definición de feed, la pestaña Definir columnas no es necesaria.
      Configure a Custom Feed wizard in the Select Services tab
  7. Para definir una tarea de feed recurrente que se ejecute de manera repetida en intervalos especificados durante un período especificado, haga lo siguiente:
    1. Seleccione Recurrente en el campo Tipo de tarea de feed.
      En el formulario Definir feed se incluyen los campos de un feed recurrente.
      This is an example of the Define Feed section.
    2. En el campo URL, ingrese la dirección URL donde se encuentra el archivo de feed de datos, por ejemplo, http://<hostname>/<feeddatafile>.csv, y haga clic en Verificar. NetWitness Platform verifica la ubicación en la cual está almacenado el archivo para permitir la comprobación automática el archivo más reciente antes de cada recurrencia.

    3. (Opcional) Si la URL tiene acceso restringido y se solicita autenticación con nombre de usuario y contraseña, seleccione Autenticada.
      NetWitness Platform proporciona a la dirección URL su nombre de usuario y contraseña para la autenticación.

    4. Si desea que el servidor de NetWitness acceda a la dirección URL del feed a través de un proxy, seleccione Usar proxy. Para obtener más información sobre la configuración de un proxy, consulte “Configurar el proxy de NetWitness Platform” en la Guía de configuración del sistema. De manera predeterminada, la casilla de verificación Usar proxy no está seleccionada.
    5. Para definir el intervalo de recurrencia, puede realizar alguna de las siguientes acciones:
      - Especifique la cantidad de minutos, horas o días entre cada recurrencia del feed.
      - Especifique la recurrencia semanal y seleccione los días de la semana.
    6. Para definir el rango de fechas para la ejecución recurrente del feed, especifique la hora y la Fecha de inicio y la hora y laFecha de finalización.
      This is an example of the Define Feed section with the Name field filled.
  8. (Condicional) Si desea definir un feed basado en un archivo de feed XML:
    - Escriba el Nombre del feed y seleccione Opciones avanzadas. Se muestran los campos Opciones avanzadas.
    - Seleccione un archivo de feed XML en el sistema de archivos local, elija el Separador (el valor predeterminado es coma), especifique los caracteres de Comentario que se utilizan en el archivo de datos del feed (el valor predeterminado es #) y haga clic en Siguiente. Se muestra el formulario Seleccionar servicios.
    This is the Select Services section.
  9. Para identificar los servicios en los cuales se implementará el feed, realice una de las siguientes acciones:
    1. Seleccione uno o más Decoders y Log Decoders y haga clic en Siguiente
    2. Haga clic en la pestaña Grupos y seleccione un grupo. Haga clic en Siguiente.
      Se muestra el formulario Definir columnas.
  10. Para asignar columnas en el formulario Definir columnas, haga lo siguiente:
    1. Defina el tipo de Índice: IP, Rango de IP o No IP, y seleccione la columna de índice.
    2. (Condicional) Si el tipo de índice es IP o Rango de IP y la dirección IP está en notación CIDR, seleccione CIDR.
    3. (Condicional) Si el tipo de índice es No IP, se muestran ajustes adicionales. Seleccione el tipo de servicio, las Claves de devolución de llamadas y, de manera opcional, la opción Truncar dominio.
      This is the Define Columns section with the Callback Key(s) drop-down open.

    4. En la lista desplegable, seleccione la clave de idioma que se aplicará a los datos en cada columna. Los metadatos que se muestran en la lista desplegable se basan en los metadatos disponibles para los valores definidos del servicio. También puede agregar otros metadatos de acuerdo con su pericia avanzada.
      This is an example of the Define Columns section.
    5. Haga clic en Siguiente.
      Se muestra el formulario Revisión.
      This is an example of the Review form.
  11. Antes de hacer clic en Finalizar, puede hacer lo siguiente:
  • Hacer clic en Cancelar para cerrar el asistente sin guardar la definición del feed.
  • Hacer clic en Restablecer para borrar los datos del asistente.
  • Hacer clic en Siguiente para ver el formulario siguiente (si no se encuentra en el último formulario).
  • Hacer clic en Anterior para ver el formulario anterior (si no se encuentra en el primer formulario)
  1. Revise la información del feed y haga clic en Finalizar si los datos son correctos.
  2. Después de crear correctamente el archivo de definición del feed, el asistente Crear feed se cierra, el feed y el archivo de token correspondiente aparecen en la cuadrícula Feed y la barra de progreso muestra que se completó la tarea. Puede expandir o contraer la entrada para ver cuántos servicios se incluyeron y cuáles tuvieron éxito.
    Custom Feeds tab in Configure menu
You are here
Table of Contents > Configurar feeds y analizadores > Crear un feed personalizado

Attachments

    Outcomes