Live: Crear un feed personalizado

Document created by RSA Information Design and Development on Apr 30, 2018
Version 1Show Document
  • View in full screen mode
 

En este tema se proporcionan instrucciones para crear un feed personalizado mediante un archivo .csv o un archivo de datos de feed con formato STIX en RSA NetWitness Suite.

Nota: A partir de 10.6.1 o superior, NetWitness Suite es compatible con Structured Threat Information Expression (STIX). Para obtener más información acerca de STIX y la creación de un feed personalizado de STIX, consulte Crear un feed personalizado de STIX.

Puede crear fácilmente un feed personalizado mediante el asistente de feed personalizado. Para realizar este procedimiento, necesita un archivo de datos de feed en formato .csv o .xml. Si también tiene un archivo de definición de feed relacionado en formato .xml, que describe la estructura del archivo de datos del feed, puede usarlo para crear un feed. Con el asistente Feed personalizado, se pueden crear feeds basados en un archivo de datos de feed o basados en un archivo de datos de feed y el archivo de definición de feed correspondiente.

Después de realizar este procedimiento, habrá creado un feed personalizado.

El archivo de datos de feed (.csv o STIX (.xml)) y, de manera opcional, el archivo de definición de feed (.xml) deben estar disponibles en el sistema de archivos local para un feed personalizado según demanda. Para crear un feed personalizado recurrente, los archivos deben estar disponibles en una URL a la que se pueda acceder desde el servidor de NetWitness Suite.

Para crear un feed personalizado:

  1. Vaya a CONFIGURAR > FEEDS PERSONALIZADOS.

    Se muestra la vista Feeds personalizados.

    Ejemplo de la vista Feeds

  2. En la barra de herramientas, haga clic en.

    Se muestra el cuadro de diálogo Configurar feed.

    Ejemplo del cuadro de diálogo Configurar feed

  3. Para seleccionar el tipo de feed, haga clic en Feed personalizado y luego en Siguiente.

    El asistente Configurar un feed personalizado se muestra con el formulario Definir feed abierto.

    Ejemplo del cuadro de diálogo Configurar un feed personalizado

  4. Para definir un feed basado en un archivo de datos de feed con formato .csv, seleccione Valor predeterminado en el campo Tipo de feed.

  5. Para definir una tarea de feed según demanda que se ejecute una sola vez, seleccione Ad hoc en el campo Tipo de tarea de feed y realice una de las siguientes acciones:

    1. (Condicional) Para definir un feed basado en un archivo de datos de feed con formato .csv, escriba el Nombre del feed, seleccione un archivo de contenido .csv en el sistema de archivos local y haga clic en Siguiente.
    2. (Condicional) Para definir un feed basado en un archivo de feed XML, seleccione Opciones avanzadas.

      Se muestran las opciones avanzadas:

      Ejemplo de Configurar un feed personalizado con opciones avanzadas

    3. Seleccione un archivo de feed XML en el sistema de archivos local, elija el Separador (el valor predeterminado es coma), especifique los caracteres de Comentario que se utilizarán en el archivo de datos del feed (el valor predeterminado es #) y haga clic en Siguiente.
    4. Se muestra el formulario Seleccionar servicios. Este es un ejemplo del formulario de un feed basado en un archivo de datos de feed sin archivo de definición de feed. Si define un feed basado en un archivo de definición de feed, la pestaña Definir columnas no es necesaria.

      Seleccione la vista Servicios del cuadro de diálogo Configurar un feed personalizado

  6. Para definir una tarea de feed recurrente que se ejecute de manera repetida a intervalos especificados durante un rango de fechas especificado:

    1. Seleccione Recurrente en el campo Tipo de tarea de feed.

      En el formulario Definir feed se incluyen los campos de un feed recurrente.

      Ejemplo del formulario Definir feed

    2. En el campo URL, escriba la dirección URL en la cual está ubicado el archivo de datos del feed, por ejemplo, http://<hostname>/<feeddatafile>.csv, y haga clic en Verificar.

      NetWitness Suite verifica la ubicación en la cual está almacenado el archivo con el fin de que NetWitness Suite pueda comprobar el archivo más reciente automáticamente antes de cada recurrencia.

    3. (Opcional) Si la URL tiene acceso restringido y se solicita autenticación con nombre de usuario y contraseña, seleccione Autenticada.

      NetWitness Suite proporciona su nombre de usuario y contraseña para autenticación en la dirección URL.

    4. Si desea que el servidor de NetWitness Suite acceda a la dirección URL del feed a través de un proxy, seleccione Usar proxy. Para obtener más información sobre la configuración de un proxy, consulte el tema Configurar el proxy de NetWitness Suite en la Guía de configuración del sistema. De forma predeterminada, la casilla de verificación Usar proxy no está seleccionada.
    5. Para definir el intervalo de recurrencia, puede realizar alguna de las siguientes acciones:

      • Especifique la cantidad de minutos, horas o días entre cada recurrencia del feed.
      • Especifique la recurrencia cada semana y seleccione los días de la semana.
    6. Para definir el rango de fechas para la ejecución recurrente del feed, especifique la hora y la Fecha de inicio y la hora y laFecha de finalización.

      Ejemplo de definición del rango de fechas

  7. (Condicional) Si desea definir un feed basado en un archivo de feed XML:

    • Escriba el Nombre del feed y seleccione Opciones avanzadas.

      Se muestran los campos Opciones avanzadas.

    • Seleccione un archivo de feed XML del sistema de archivos local, elija el Separador (la opción predeterminada es coma), especifique los caracteres de Comentario que se utilizarán en el archivo de datos del feed (la opción predeterminada es #) y haga clic en Siguiente.

      Se muestra el formulario Seleccionar servicios.

      Ejemplo del formulario Seleccionar servicios

  8. Para identificar los servicios en los cuales se implementará el feed, realice una de las siguientes acciones:

    1. Seleccione uno o más Decoders y Log Decoders y haga clic en Siguiente.
    2. Haga clic en la pestaña Grupos y seleccione un grupo. Haga clic en Siguiente.

      Se muestra el formulario Definir columnas.

  9. Para asignar columnas en el formulario Definir columnas, haga lo siguiente:

    1. Defina el tipo de Índice: IP, Rango de IP o No IP y seleccione la columna de índice.
    2. (Condicional) Si el tipo de índice es IP o Rango de IP y la dirección IP está en notación CIDR, seleccione CIDR.
    3. (Condicional) Si el tipo de índice es No IP, se muestran ajustes adicionales. Seleccione el tipo de servicio, las Claves de devolución de llamadas y, de manera opcional, la opción Truncar dominio.

      Ejemplo del formulario Definir columnas

    4. En la lista desplegable, seleccione la clave de idioma que se aplicará a los datos en cada columna. Los metadatos que se muestran en la lista desplegable se basan en los metadatos disponibles para los valores definidos del servicio. También puede agregar otros metadatos de acuerdo con su pericia avanzada.

      Seleccionar la clave de idioma

    5. Haga clic en Siguiente.

      Se muestra el formulario Revisión.

      Ejemplo del formulario Revisión

  10. Antes de hacer clic en Finalizar, puede hacer lo siguiente:

    • Hacer clic en Cancelar para cerrar el asistente sin guardar la definición del feed.
    • Hacer clic en Restablecer para borrar los datos del asistente.
    • Hacer clic en Siguiente para ver el formulario siguiente (si no se encuentra en el último formulario).
    • Hacer clic en Anterior para ver el formulario anterior (si no se encuentra en el primer formulario).
  11. Revise la información del feed y haga clic en Finalizar si los datos son correctos.
  12. Después de crear correctamente el archivo de definición del feed, el asistente Crear feed se cierra, el feed y el archivo de token correspondiente aparecen en la Feed grid y la barra de progreso muestra que se completó la tarea. Puede expandir o contraer la entrada para ver cuántos servicios se incluyeron y cuáles tuvieron éxito.

Feeds Metacallback con rango de índice CIDR para IPv4 e IPv6

En esta sección se describe cómo usar rangos de índice CIDR para IPv4 e IPv6 en feeds MetaCallback personalizados. Al igual que con otros feeds personalizados, debe crear el archivo de datos de feed en formato .csv y un archivo de definición de feed en formato .xml.

Nota: El uso de feeds MetaCallback con rangos de índice CIDR solo se admite mediante el asistente Configuración avanzada o la interfaz de REST.

En el siguiente ejemplo se muestra el contenido de un archivo .csv y un archivo .xml para un feed MetaCallback con rangos de índice CIDR para IPv4 o IPv6.

.csv file:

192.168.0.0/24, Sydney
192.168.1.0/24, Melbourne

.xml file:

<?xml version="1.0" encoding="UTF-8"?>

<FDF xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:noNamespaceSchemaLocation="feed-definitions.xsd">

<FlatFileFeed name="ip_test" path="ip_test.csv" separator="," comment="#">

<MetaCallback name="DstIP" valuetype="IPv4" apptype="0" truncdomain="false">

<Meta name="ip.dst"/>

</MetaCallback>

<LanguageKeys>

<LanguageKey name="alert" valuetype="Text" />

</LanguageKeys>

<Fields>

<Field index="1" type="index" range="cidr"/>

<Field index="2" type="value" key="alert" />

</Fields>

</FlatFileFeed>

</FDF>

Nota: Para configurar un rango de índice CIDR para los feeds con uno o varios MetaCallbacks de tipo de valor IPv4 o IPv6, el campo de índice de tipo DEBE contener un atributo de rango con range="cidr". Además, no se admite la configuración de rangos de índice “cidr” para los feeds con MetaCallbacks de varios tipos de valor diferente.

You are here
Table of Contents > Procedimientos adicionales > Administrar feeds personalizados > Crear un feed personalizado

Attachments

    Outcomes