Decoder: Verwenden von benutzerdefinierten Feeds

Document created by RSA Information Design and Development Employee on May 9, 2018Last modified by RSA Information Design and Development Employee on Apr 28, 2019
Version 2Show Document
  • Comment0
  • View in full screen mode
 

Der Assistent von NetWitness Platform für benutzerdefinierte Feeds ermöglicht eine schnelle Erstellung und Bereitstellung von benutzerdefinierten Decoderfeeds auf der Basis einer deterministischen Logik, die die für die ausgewählten Decoder und Log Decoder spezifischen Metaschlüssel bereitstellt. Auch wenn der Assistent Benutzer sowohl durch die Schritte zur Erstellung eines bedarfsorientierten Feeds als auch eines wiederkehrenden Feeds führt, ist es hilfreich, das Format und den Inhalt einer Feeddatei bei der Erstellung eines Feeds zu verstehen.

Feeddateinamen in RSA NetWitness Platform haben das Format <filename>.feed. Um einen Feed zu erstellen, erfordert NetWitness Platform eine Feeddatendatei im .csv - oder .xml-Format und eine Feeddefinitionsdatei im .xml-Format, in der die Struktur der Feeddatendatei beschrieben ist. Der Assistent für benutzerdefinierte Feeds kann die Feeddefinitionsdatei basierend auf einer Feeddatendatei oder basierend auf einer Feeddatendatei und der entsprechenden Feeddefinitionsdatei erstellen.

Die Dateien, mit denen Sie einen bedarfsorientierten Feed erstellen, müssen in Ihrem lokalen Dateisystem gespeichert sein. Die Dateien, die zur Erstellung eines wiederkehrenden Feeds verwendet werden, müssen unter einer zugänglichen URL gespeichert werden, sodass NetWitness Platform die jeweils aktuelle Version der Datei bei jedem erneuten Aufruf abrufen kann. Nachdem ein NetWitness Platform-Feed erstellt wurde, können Sie diesen in Ihr lokales Dateisystem herunterladen, die Feeddateien bearbeiten und dann den NetWitness Platform-Feed bearbeiten, um die aktualisierten Feeddateien zu verwenden.

Beispiel für eine Feeddefinitionsdatei

Dies ist ein Beispiel für eine Feeddefinitionsdatei mit dem Namen dynamic_dns.xml, die NetWitness Platform auf Grundlage Ihrer Einträge im Assistenten für benutzerdefinierte Feeds erstellt. Sie definiert die Struktur der Feeddatendatei namens dynamic_dns.csv.

Hinweis: Der Feeddateipfad sollte .csv sein, unabhängig vom Feedtyp (Standard oder STIX).

<?xml version="1.0" encoding="utf-8"?>
<FDF xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:noNamespaceSchemaLocation="feed-definitions.xsd">

    <FlatFileFeed name="Dynamic DNS Domain Feed"
        path="dynamic_dns.csv"
        separator=","
        comment="#"
        version="1">

        <MetaCallback
            name="alias.host"
            valuetype="Text"
            apptype="0"
            truncdomain="true"/>

        <LanguageKeys>
            <LanguageKey name="threat.source" valuetype="Text" />
            <LanguageKey name="threat.category" valuetype="Text" />
            <LanguageKey name="threat.desc" valuetype="Text" />
        </LanguageKeys>

        <Fields>
            <Field index="1" type="index" key="alias.host" />
            <Field index="4" type="value" key="threat.desc" />
            <Field index="2" type="value" key="threat.source" />
            <Field index="3" type="value" key="threat.category" />
        </Fields>
    </FlatFileFeed>

 </FDF>

Feeddefinitions-Äquivalente für benutzerdefinierte Feed-Assistentenparameter

Der NetWitness Platform-Assistent für benutzerdefinierte Feeds bietet Optionen, mit denen Sie die Struktur der Feeddefinitionsdatei definieren können. Diese entsprechen direkt Attributen in der Feeddefinitionsdatei (.xml).

                                                                   
NetWitness Platform-ParameterFeeddefinitionsdatei-Äquivalent
(Registerkarte „Feed definieren“) FeedtypAuswählen:
Standard – zum Definieren eines Feeds auf Grundlage einer CSV-formatierten Feeddatendatei
STIX – zum Definieren eines Feeds auf Grundlage einer STIX-formatierten XML-Datei
(Registerkarte „Feed definieren“) Typ der FeedaufgabeAuswählen:
Ad-hoc – zur Erstellung eines Feeds nach Bedarf
Wiederkehrend – zur dauerhaften Aktualisierung der CSV- oder XML-Datei und deren Speicherung an einem Ort, der für NetWitness Platform zugänglich ist, sodass NetWitness Platform eine Datei in regelmäßigen Abständen herunterlädt und an nachgelagerte Geräte überträgt.
(Registerkarte Feed definieren) NameDer benutzerdefinierte Feedname in der Feeddatendatei. Er entspricht dem Attribut flatfeedfile name in der Feeddefinitionsdatei. Zum Beispiel „Dynamic DNS Test Feed“.

Hinweis: Sie können für den Namen des benutzerdefinierten Feeds Sonderzeichen verwenden.

(Registerkarte Feed definieren) Datei/DurchsuchenDies ist der Name der Feeddatendatei. Er entspricht dem Attribut flatfeedfile path in der Feeddefinitionsdatei. Beispiel: dynamic_dns.csv
(Registerkarte Erweiterte Optionen) XML-FeeddateiDer Name der Feeddefinitionsdatei. Beispiel: dynamic_dns.xml.
(Registerkarte Erweiterte Optionen) TrennzeichenDas verwendete Trennzeichen, um die Attribute in der Feeddatendatei voneinander zu trennen. Er entspricht dem latfeedfile separator in der Feeddefinitionsdatei. Zum Beispiel ein Komma.
(Registerkarte Erweiterte Optionen) KommentarDas verwendete Zeichen, um einen Kommentar in der Feeddatendatei zu kennzeichnen. Er entspricht dem Attribut flatfeedfile comment in der Feeddefinitionsdatei. Beispiel: #
(Registerkarte Spalten definieren, Index definieren) Typ Der Typ des Suchwerts in der Indexposition der Feeddatendatei.
IP bedeutet, dass jede Zeile in der Feeddatendatei eine IP-Adresse in der Suchwertposition enthält. Der IP-Wert wird in Dezimalpunktschreibweise angegeben (z. B. 10.5.187.42).
IP-Bereich bedeutet, dass jede Zeile in der Feeddatendatei einen IP-Adressbereich in der Suchwertposition enthält. Der IP-Bereich wird im CIDR-Format angegeben (z. B. 192.168.2.0/24).
Nicht IP bedeutet, dass jede Zeile in der Feeddatendatei einen Metadatenwert außer IP-Adressen in der Suchwertposition enthält. Die Felder „Servicetyp“, „Domain abschneiden“ und „Rückrufschlüssel“ werden für einen Nicht-IP-Index aktiv.
(Registerkarte Spalten definieren, Index definieren) CIDRGibt an, dass der IP-Wert in der Suchwertposition im CIDR-Format ist. Das Attribut CIDR stellt das Format der IP-Adresse im Feld auf die CIDR-(Classless Inter-Domain Routing)-Notation ein.
(Registerkarte „Spalten definieren“, „Index definieren“)
Servicetyp		Für einen Nicht IP-Index ist dies der Servicetyp (in Form einer Ganzzahl) zum Filtern von Metaabfragen. Er entspricht dem Attribut MetaCallback apptype in der Feeddefinitionsdatei. Ein Wert von 0 zeigt an, dass nicht nach Servicetyp gefiltert wird.
(Registerkarte „Spalten definieren“, „Index definieren“)
Domain abschneiden		Bei einem Nicht IP-Index kann das System für Metawerte, die Domainnamen enthalten (zum Beispiel Hostnamen), das hostspezifische Element in den Daten entfernen. „Domain abschneiden“ entspricht dem MetaCallback truncdomain-Attribut. Der Wert www.example.com wird z. B. auf example.com gekürzt. False steht für keine Kürzung und True steht für Kürzung.
(Registerkarte „Spalten definieren“, „Index definieren“)
Rückrufschlüssel		Bei einem Nicht IP-Index sind die verfügbaren Metaschlüssel zur Zuordnung anstelle von ip.src/ip.dst (die Standards für den IP-Indextyp) aus der Drop-down-Liste auswählbar. Der Rückrufschlüssel entspricht dem Attribut MetaCallback name und die Indexspalte der CSV-Datei muss die Daten enthalten, die zu dem ausgewählten Metaschlüssel passen. Wenn zum Beispiel der Metaschlüssel „Benutzername“ ausgewählt wurde, muss die Indexspalte der CSV-Datei dazu passende Benutzer enthalten.
(Registerkarte „Spalten definieren“, „Index definieren“)
Indexspalte		Identifiziert die Spalte in der Feeddatendatei, die den Suchwert für die Zeile bereitstellt. Jede Position in jeder Zeile der Feeddatendatei wird durch ein Feldindex-Attribut in der Feeddefinitionsdatei identifiziert. Ein Feld mit einem Index von 1 ist der erste Eintrag in einer Zeile, das zweite Feld hat einen Index von 2, das dritte Feld hat einen Index von 3 und so weiter.
(WERTE DEFINIEREN)Schlüssel Der Name des LanguageKey, wie in der Feeddefinitionsdatei definiert, für den Metadaten von dieser Zeile der Feeddatendatei erstellt werden. Er entspricht dem Attribut Field key in der Feeddefinitionsdatei. Ein Schlüssel gilt nur für Felder vom Typ value. In der Feeddefinitionsdatei gibt es eine Liste von LanguageKeys aus index.xml oder einen zusammenfassenden Namen, wenn Quellenname und Zielname verwendet werden. reputation ist zum Beispiel ein zusammenfassender Name für reputation.src und reputation.dst. Dieser Wert wird vom Schlüsselattribut „Feld“ referenziert.

Beispieldateien für einen MetaCallback-Feed mithilfe des CIDR-Indexbereichs für IPv4 und IPv6

Diese Beispieldateien zeigen die Verwendung der CIDR-Indexbereiche für IPv4 und IPv6 in benutzerdefinierten MetaCallback-Feeds. Wie bei anderen benutzerdefinierten Feeds müssen Sie eine Feeddatendatei im CSV-Format und eine Feeddefinitionsdatei im XML-Format erstellen.

Hinweis: Die Verwendung von MetaCallback-Feeds mit CIDR-Indexbereichen wird nur über den Assistenten „Erweiterte Konfiguration“ oder die REST-Schnittstelle unterstützt.

Das folgende Beispiel zeigt den Inhalt einer .csv-Datei und einer .xml-Datei für einen MetaCallback-Feed unter Verwendung der CIDR-Indexbereiche für IPv4 oder IPv6.

.csv file:

192.168.0.0/24, Sydney
192.168.1.0/24, Melbourne

.xml file:

<?xml version="1.0" encoding="UTF-8"?>

<FDF xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:noNamespaceSchemaLocation="feed-definitions.xsd">

<FlatFileFeed name="ip_test" path="ip_test.csv" separator="," comment="#">

<MetaCallback name="DstIP" valuetype="IPv4" apptype="0" truncdomain="false">

<Meta name="ip.dst"/>

</MetaCallback>

<LanguageKeys>

<LanguageKey name="alert" valuetype="Text" />

</LanguageKeys>

<Fields>

<Field index="1" type="index" range="cidr"/>

<Field index="2" type="value" key="alert" />

</Fields>

</FlatFileFeed>

</FDF>

Hinweis: Um einen CIDR-Indexbereich für Feeds mit einzelnen oder mehreren MetaCallbacks des Werttyps IPv4 oder IPv6 zu konfigurieren, MUSS das Feld des Typs „Index“ ein Bereichsattribut mit range="cidr" enthalten. Darüber hinaus wird die Konfiguration von „cidr“-Indexbereichen für Feeds mit MetaCallbacks mehrerer verschiedener Werttypen nicht unterstützt.

You are here
Table of Contents > Konfigurieren von Feeds und Parsern > Definition benutzerdefinierter Feeds – Dateistruktur

Attachments

    Outcomes

      Visibility: RSA NetWitness Logs & Network 11.x Documentation (German)85 Views
      Last modified on Apr 28, 2019 9:54 AM
      Ratings: