Live: Administrar feeds personalizados

Document created by RSA Information Design and Development on Apr 30, 2018
Version 1Show Document
  • View in full screen mode
 

En este tema se presenta la funcionalidad de feeds personalizados, la cual se implementa mediante el Asistente de feed personalizado en RSA NetWitness Suite con el fin de completar rápidamente los Decoders con feeds personalizados y de identidad.

Creación de feeds personalizados

Se usa Live > Feeds > Configurar feed > Asistente para configurar un feed personalizado para crear e implementar rápidamente feeds de Decoder basados en lógica determinista que ofrece las claves de metadatos específicas para los Decoders y los Log Decoders seleccionados. A pesar de que el asistente lo guiará por el proceso para crear feeds según demanda y recurrentes, debe comprender la forma y el contenido de un archivo de feed cuando crea un feed.

Los nombres de archivo de feed en RSA NetWitness Suite tienen el formato <filename>.feed. Para crear un feed, NetWitness Suite requiere un archivo de datos de feed en el formato .csv o .xml (para STIX) y un archivo de definición de feed en el formato .xml, el cual describe la estructura de un archivo de feed de datos. El asistente Configurar un feed personalizado puede crear un archivo de definición de feed basado en un archivo de datos de feed o en un archivo de datos de feed y en el archivo de definición de feed correspondiente.

Los archivos que se utilizan para crear un feed según demanda deben estar almacenados en el sistema de archivos local. Los archivos que se utilizan para crear un feed recurrente deben estar almacenados en una URL accesible, en la cual NetWitness Suite pueda buscar la versión actual del archivo para cada recurrencia. Después de la creación de un feed de NetWitness Suite, puede descargar el feed al sistema de archivos local, editar los archivos de feed y, a continuación, editar el feed de NetWitness Suite para usar los archivos de feed actualizados.

Archivo de definición de feed de muestra

Este es un ejemplo de un archivo de definición de feed denominado dynamic_dns.xml, que NetWitness Suite crea en función de las entradas de los asistentes de feed. Define la estructura del archivo de datos del feed denominado dynamic_dns.csv.

Nota: La ruta de archivo de feed debe ser .csv independientemente del tipo de feed (valor predeterminado o STIX).

<?xml version="1.0" encoding="utf-8"?>
<FDF xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:noNamespaceSchemaLocation="feed-definitions.xsd">

    <FlatFileFeed name="Dynamic DNS Domain Feed"
        path="dynamic_dns.csv"
        separator=","
        comment="#"
        version="1">

        <MetaCallback
            name="alias.host"
            valuetype="Text"
            apptype="0"
            truncdomain="true"/>

        <LanguageKeys>
            <LanguageKey name="threat.source" valuetype="Text" />
            <LanguageKey name="threat.category" valuetype="Text" />
            <LanguageKey name="threat.desc" valuetype="Text" />
        </LanguageKeys>

        <Fields>
            <Field index="1" type="index" key="alias.host" />
            <Field index="4" type="value" key="threat.desc" />
            <Field index="2" type="value" key="threat.source" />
            <Field index="3" type="value" key="threat.category" />
        </Fields>
    </FlatFileFeed>

</FDF>

Equivalentes de definición de feed para los parámetros del asistente Feed personalizado

El asistente de feeds de NetWitness Suite proporciona opciones para definir la estructura del archivo de feed de datos. Esto se corresponde directamente con los atributos en el archivo (.xml) de definición del feed. 

                                                                                         
Parámetro de NetWitness SuiteEquivalente en el archivo de definición del feed
Pestaña Definir feed
Tipo de feed Seleccione: Valor predeterminado: para definir un feed basado en un archivo de datos de feed con formato .csv . STIX: para definir un feed basado en un .xml con formato STIX.
Tipo de tarea de feed Seleccione: Ad hoc: para crear un feed según demanda. Recurrente: para crear un feed que se repite automáticamente.
Nombre El nombre del feed personalizado en el archivo de datos del feed. Corresponde al atributo flatfeedfile name en el archivo de definición del feed; por ejemplo, Feed de prueba de DNS dinámico.
Archivo/ Navegar Este es el nombre del archivo de datos del feed. Corresponde al atributo flatfeedfile path en el archivo de definición del feed; por ejemplo, dynamic_dns.csv.
(STIX, recurrente)

Confiar en todos los certificados

Si no desea validar el certificado del servidor REST, seleccione Confiar en todos los certificados. Esta opción está habilitada de manera predeterminada (seleccionada).

(STIX, recurrente)

Certificado/navegar

Para la autenticación de cliente con la URL de REST, en el campo Certificado, haga clic en Navegar y seleccione el certificado autofirmado. Los formatos de certificados compatibles son .cer, .crt con archivos con codificación Base64 y DER.

Pestaña Definir feed: Opciones avanzadas
 Archivo de feed XMLEl nombre del archivo de definición del feed, por ejemplo, dynamic_dns.xml.
Separador El carácter separador que se utiliza para separar atributos en el archivo de datos del feed. Corresponde al atributo flatfeedfile separator en el archivo de definición del feed; por ejemplo, una coma.
Comentario El carácter que se utiliza para identificar un comentario en el archivo de datos del feed. Corresponde al atributo flatfeedfile comment en el archivo de definición del feed; por ejemplo, #.
Quitar datos de STIX más antiguos que

La cantidad de días durante los cuales se deben almacenar los paquetes STIX que se descargan del servidor TAXII. Los paquetes STIX más antiguos que la cantidad especificada de días se eliminan automáticamente. El valor predeterminado es 180 días, que es el valor máximo.

Pestaña Seleccionar serviciosSeleccione los servicios a los cuales desea enviar el feed de datos.
(Pestaña Definir columnas, Definir índice) Tipo

El tipo de valor de búsqueda en la posición del índice del archivo de datos de feed.
IP significa que cada fila del archivo de datos del feed contiene una dirección IP en la posición del valor de búsqueda. El valor de la dirección IP está en formato de punto decimal (por ejemplo, 10.5.187.42).

Rango de IP significa que cada columna del archivo de datos de feed contiene un rango de direcciones IP en la posición del valor de búsqueda. El rango de direcciones IP está en formato CIDR (for example, 192.168.2.0/24). No IP significa que cada fila del archivo de datos de feed contiene un valor de metadatos distinto a una dirección IP en la posición del valor de búsqueda. Los campos Tipo de servicio, Truncar dominio y Claves de callback se activan en los índices No IP.
(Pestaña Definir columnas, Definir índice) CIDREspecifica que el valor de la dirección IP en la posición de búsqueda está en formato CIDR. El atributo CIDR define el formato de dirección IP del campo en notación Classless Inter-Domain Routing (CIDR).
(Pestaña Definir columnas, Definir índice)
Tipo de servicio
Para un índice No IP, el tipo de servicio entero para filtrar las búsquedas de metadatos. Corresponde al atributo MetaCallback apptype en el archivo de definición del feed. Un valor de 0 indica que no hay filtrado por tipo de servicio.
(Pestaña Definir columnas, Definir índice)
Truncar dominio
Para un índice No IP, en los valores de metadatos que contienen nombres de dominio (por ejemplo, nombres de host), el sistema puede quitar el elemento específico de host en los datos. Truncar dominio se corresponde con el atributo MetaCallback truncdomain. Si el valor es www.example.com, se trunca a example.com. Con un valor Falso se selecciona sin truncamiento y con un valor Verdadero, truncamiento.
(Pestaña Definir columnas, Definir índice)
Claves de devolución de llamadas
En un índice No IP, se pueden seleccionar en la lista desplegable las claves de metadatos disponibles para coincidencia en lugar de ip.src/ip.dst (los valores predeterminados para un tipo de índice IP). La clave de callback corresponde al atributo MetaCallback name y la columna de índice del archivo csv debe contener datos que puedan coincidir con la clave de metadatos seleccionada. Por ejemplo, si elige la clave de metadatos de nombre de usuario, la columna de índice del archivo csv debe completarse con los usuarios que se deban hacer coincidir.
(Pestaña Definir columnas, Definir índice)
Columna de índice
Identifica la columna en el archivo de datos de feed que proporciona el valor de búsqueda para la fila. Cada posición en cada fila del archivo de datos de feed se identifica con un atributo Field index en el archivo de definición de feed. Un campo con un índice de 1 es la primera entrada en una fila, el segundo campo tiene un índice de 2, el tercer campo tiene un índice de 3 y así sucesivamente. Puede seleccionar varias columnas de índice, si el tipo de Feed es STIX y el tipo de índice es no IP. Cuando selecciona varias columnas de índice se combinan los valores de todas las columnas seleccionadas en la primera columna de índice que seleccionó.
(DEFINIR VALORES) Clave El nombre de LanguageKey, según se define en el archivo de definición del feed, para el cual se crean los metadatos a partir de esta fila del archivo de datos del feed. Se corresponde con el atributo Field key en el archivo de definición del feed. Una clave se aplica solamente a un campo cuyo tipo está definido en valor. En el archivo de definición del feed, hay una lista de LanguageKeys desde index.xml o un nombre del resumen si se utiliza el nombre de origen y el nombre de destino. Por ejemplo, reputation es un nombre de resumen para reputation.src y reputation.dst). El atributo Field key hace referencia a este valor.

Próximos pasos 

Previous Topic:Exportar datos a RSA
You are here
Table of Contents > Procedimientos adicionales > Administrar feeds personalizados

Attachments

    Outcomes