Decoder: Crear un feed personalizado de STIX

Document created by RSA Information Design and Development on Apr 23, 2018
Version 1Show Document
  • View in full screen mode
 

Structured Threat Information Expression (STIX™) es un lenguaje estructurado para describir información de amenazas cibernéticas, de modo que se pueda compartir, almacenar y analizar de manera coherente. Para obtener más información acerca de STIX, consulte https://stixproject.github.io/.

Puede crear un feed personalizado con un archivo de datos de feed con formato STIX (.xml) en RSA NetWitness Suite. NetWitness Suite es compatible con Structured Threat Information Expression (STIX) versiones 1.0, 1.1 y 1.2 solamente.

Precaución: Si se configura un feed recurrente STIX y se actualiza Security Analytics de 10.6.x a NetWitness Suite 11.0, debe volver a configurar el feed recurrente STIX.

En NetWitness Suite, se admiten los feeds STIX de tipo Indicador u Observable, que contienen propiedades como direcciones IP, hashes de archivo, nombres de dominio, URI y direcciones de correo electrónico. Solo se admiten los valores de propiedades en el operador Es igual a. Los atributos, como Tipo y Título, también se leen desde STIX. Se admite un archivo STIX con un solo STIX_Package.

TAXII (Trusted Automated eXchange of Indicator Information) es el mecanismo de transporte principal para obtener información de amenazas cibernéticas que se representa en STIX. Mediante los servicios TAXII, las organizaciones pueden compartir la información sobre amenazas cibernéticas de manera segura y automatizada.

Las comunidades de STIX y TAXII trabajan en estrecha colaboración para asegurarse de proporcionar de forma constante una plataforma completa para el uso compartido de inteligencia de amenazas.

Aparte del servidor TAXII, los datos STIX también pueden residir en un servidor de REST y puede buscar el archivo STIX desde el servidor de REST mediante la dirección URL del servidor de REST. Por ejemplo, http://stixrestserver.internal.com.

El archivo de datos de feed STIX y, de manera opcional, el archivo de definición de feed, ambos en formato .xml, deben estar disponibles en el sistema de archivos local para un feed personalizado según demanda. Para crear un feed personalizado recurrente, los archivos deben estar disponibles en una URL a la que se pueda acceder desde el servidor de NetWitness Suite.

Para crear un feed personalizado de STIX:

  1. Vaya a Configurar > Feeds personalizados.

    Se muestra la vista Feeds personalizados.
    la vista Feeds personalizados

  2. En la barra de herramientas, haga clic en el ícono Agregar.

    Se muestra el cuadro de diálogo Configurar feed.

    el cuadro de diálogo Configurar feed

  3. Para seleccionar el tipo de feed, haga clic en Feed personalizado y luego en Siguiente.

    El asistente Configurar un feed personalizado se muestra con el formulario Definir feed abierto.

    el formulario Definir feed, con las opciones STIX y Ad hoc seleccionadas

  4. Para definir un feed basado en un archivo .xml con formato STIX, seleccione STIX en el campo Tipo de feed.

  5. Para definir una tarea de feed según demanda que se ejecute una sola vez, seleccione Ad hoc en el campo Tipo de tarea de feed y realice una de las siguientes acciones:

    1. (Condicional) Para definir un feed basado en un archivo .xml con formato STIX, escriba el Nombre del feed, seleccione un Archivo de contenido .xml con formato STIX en el sistema de archivos local y haga clic en Siguiente.
    2. (Condicional) Para definir un feed basado en un archivo de feed XML, seleccione Opciones avanzadas.

      Se muestran las opciones avanzadas.

      el formulario Definir feed, que muestra Opciones avanzadas

    3. Seleccione un archivo de feed XML del sistema de archivos local, elija el Separador (el valor predeterminado es coma), especifique los caracteres de Comentario que se utilizarán en el archivo de datos del feed (el valor predeterminado es #) y haga clic en Siguiente.
      Se muestra el formulario Seleccionar servicios. Este es un ejemplo del formulario de un feed basado en un archivo de datos de feed sin archivo de definición de feed. Si define un feed basado en un archivo de definición de feed, la pestaña Definir columnas no es necesaria.

      el formulario Seleccionar servicios

  6. Para definir una tarea de feed recurrente que se ejecute de manera repetida a intervalos especificados durante un rango de fechas especificado:

    1. Seleccione Recurrente en el campo Tipo de tarea de feed.

      En el formulario Definir feed se incluyen los campos de un feed recurrente.

      el formulario Definir feed, con las opciones STIX y Recurrente seleccionadas

    2. En el campo URL, realice una de las siguientes acciones:

      • Para definir un feed recurrente basado en STIX que extrae paquetes de STIX desde un servidor de TAXII, ingrese la URL del servicio de descubrimiento del servidor de TAXII, por ejemplo, http://hailataxii.com/taxii-discovery-service.

        Nota: El servicio Context Hub instalado en el host de Event Stream Analysis debe ser accesible para el servidor de TAXII especificado.

      • Para definir un feed recurrente basado en un archivo .xml con formato STIX mediante el servidor de REST, ingrese la dirección URL del servidor de REST donde se encuentra el archivo de datos STIX, por ejemplo, http://stixrestserver.internal.com.

        el formulario Definir feed, con las opciones STIX y Recurrente seleccionadas

      NetWitness Suite verifica la conexión con el servidor, para que NetWitness Suite pueda comprobar automáticamente el archivo más reciente antes de cada recurrencia.

    3. Si no desea que NetWitness Suite verifique el certificado SSL del servidor de REST, seleccione Confiar en todos los certificados. Esta opción está habilitada de manera predeterminada (seleccionada).
    4. Para la autenticación de cliente con la URL de REST, en el campo Certificado, haga clic en Navegar y seleccione el certificado autofirmado. Los formatos de certificados compatibles son .cer, .crt con archivos con codificación Base64 y DER.
    5. (Opcional) Si la URL tiene acceso restringido y se solicita autenticación con nombre de usuario y contraseña, seleccione Autenticada.

      NetWitness Suite proporciona su nombre de usuario y contraseña para autenticación en la dirección URL.

    6. Seleccione Servidor habilitado para TAXII si desea seleccionar una recopilación de TAXII de la lista.
      Para una URL válida, en función de sus credenciales se muestra una o más recopilaciones TAXII que contienen el archivo de datos STIX. Seleccione la recopilación TAXII requerida en la lista. Solo se puede agregar una recopilación desde un servidor de TAXII para un feed.

      Nota: Aunque se admiten varios feeds de múltiples servidores de TAXII, solo se admite una cuenta (nombre de usuario y contraseña) con cada servidor de TAXII.

    7. Si desea que el servidor de NetWitness Suite acceda a la dirección URL del feed a través de un proxy, seleccione Usar proxy. Para obtener más información sobre la configuración de un proxy, consulte “Configurar el proxy de NetWitness Suite” en la Guía de configuración del sistema. (Vaya a la Tabla maestra de contenido para la versión 11.0 para buscar los documentos de NetWitness Suite 11.0.) De forma predeterminada, la casilla de verificación Usar proxy no está seleccionada.
    8. (Opcional) Haga clic en Verificar para probar la configuración.

      Nota: Asegúrese de que todos los parámetros de conexión requeridos, como Autenticación, Proxy, Confianza de certificados, Servidor habilitado para TAXII, etc., estén configurados antes de hacer clic en Verificar.

    9. Para definir el intervalo de recurrencia para migrar a Decoder o Log Decoder, realice alguna de las siguientes acciones:

      • Especifique la cantidad de minutos, horas o días entre cada recurrencia del feed.
      • Especifique la recurrencia cada semana y seleccione los días de la semana.
    10. Para definir el rango de días para la ejecución recurrente del feed, especifique la hora y la Fecha inicial y la hora y la Fecha de finalización. La Fecha de inicio debe definirse desde cuando desea buscar los datos.

  7. (Condicional) Si desea definir un feed basado en un archivo de feed XML:

    • Escriba el Nombre del feed y seleccione Opciones avanzadas.

      Se muestran los campos Opciones avanzadas.

    • Seleccione un archivo de feed XML del sistema de archivos local, elija el Separador (el valor predeterminado es coma), especifique los caracteres de Comentario que se utilizarán en el archivo de datos del feed (el valor predeterminado es #).

    • En el campo Quitar datos de STIX más antiguos que, especifique la cantidad de días durante los cuales se almacenarán los paquetes de STIX que se extraen del servidor de TAXII. Los paquetes de STIX más antiguos que la cantidad especificada de días se eliminan automáticamente.
    • Haga clic en Siguiente.

      Se muestra el formulario Seleccionar servicios.

  1. Para identificar los servicios en los cuales se implementará el feed, realice una de las siguientes acciones:

    1. Seleccione uno o más Decoders y Log Decoders y haga clic en Siguiente.
    2. En el caso del feed STIX, Context Hub se selecciona de manera predeterminada y no se permite deseleccionar la opción. Además, puede seleccionar uno o más Decoders y Log Decoders y hacer clic en Siguiente o en la pestaña Grupos y seleccionar un grupo. Haga clic en Siguiente.

      el formulario Seleccionar servicios, con la opción Context Hub seleccionada

      Si los datos del servidor de STIX son de gran tamaño, se muestra el siguiente mensaje:
      “La búsqueda de datos de ejemplo está tardando más de lo previsto. Elija una de las siguientes opciones”. Tiene dos opciones: continuar esperando o mapear sin datos de ejemplo.

      • Si hace clic en Continuar esperando, el asistente Feed continúa esperando hasta que se buscan los datos de ejemplo o se agota el tiempo de espera (10 minutos), lo que primero ocurra. Si se agota el tiempo de espera, no se recuperan datos de ejemplo.
      • Si hace clic en Mapear sin datos de ejemplo, se muestra la columna de mapeo sin los datos de ejemplo.

      Se muestra el formulario Definir columnas.

  2. Para asignar columnas en el formulario Definir columnas, haga lo siguiente:

    1. Defina el tipo de Índice: IP, Rango de IP o No IP
      y seleccione la columna de índice.
    2. (Condicional) Si el tipo de índice es IP o Rango de IP y la dirección IP está en notación CIDR, seleccione CIDR.
    3. (Condicional) Si el tipo de índice es No IP, se muestran ajustes adicionales. Seleccione el tipo de servicio, las Claves de devolución de llamadas y, de manera opcional, la opción Truncar dominio.

      el formulario Definir columnas con la opción IP seleccionada

      • Si el tipo de índice es No IP, puede seleccionar varias columnas de índice en las columnas de índice. Los valores de todas las columnas seleccionadas se combinan en la primera columna de índice que seleccionó y los valores combinados se envían a Log Decoder para análisis. Por ejemplo, en las columnas de índice si selecciona 2,4,7 como columnas de índice, los valores de las columnas 2,4 y 7 se combinan en la columna 2 y los valores se envían a Log Decoder para análisis.
      • La indexación no se puede hacer para las columnas como Título del indicador, Descripción del indicador, Título observable, Descripción observable, ya que la búsqueda no se puede realizar para esas columnas.
    4. En la lista desplegable, seleccione la clave de idioma que se aplicará a los datos en cada columna. Los metadatos que se muestran en la lista desplegable se basan en los metadatos disponibles para los valores definidos del servicio. También puede agregar otros metadatos de acuerdo con su pericia avanzada.

    5. Haga clic en Siguiente.

      Se muestra el formulario Revisión.

      el formulario Revisión

  3. Antes de hacer clic en Finalizar, puede hacer lo siguiente:

    • Hacer clic en Cancelar para cerrar el asistente sin guardar la definición del feed.
    • Hacer clic en Restablecer para borrar los datos del asistente.
    • Hacer clic en Siguiente para ver el formulario siguiente (si no se encuentra en el último formulario).
    • Hacer clic en Anterior para ver el formulario anterior (si no se encuentra en el primer formulario).
  4. Revise la información del feed y haga clic en Finalizar si los datos son correctos.
  5. Después de crear correctamente el archivo de definición del feed, el asistente Crear feed se cierra, el feed y el archivo de token correspondiente aparecen en la cuadrícula Feed y la barra de progreso rastrea la finalización de la tarea. Puede expandir o contraer la entrada para ver cuántos servicios se incluyeron y cuáles tuvieron éxito.

la vista Feeds personalizados con feeds agregados

Nota: Estado y condición genera alertas cuando la memoria en montón disponible del servidor de Context Hub está en un nivel críticamente bajo. Si el servidor de Context Hub está en mal estado debido a la falta de memoria. Para obtener más información sobre cómo solucionar problemas de OutOfMemoryError en el servidor de Contexthub, consulte “Solución de problemas” en la Guía de administración de servicios de Live.

You are here
Table of Contents > Configurar feeds y analizadores > Crear un feed personalizado de STIX

Attachments

    Outcomes