Decoder: Erstellen eines benutzerdefinierten Feeds

Document created by RSA Information Design and Development on May 9, 2018
Version 1Show Document
  • View in full screen mode
 

Mit dem Assistenten für benutzerdefinierte Feeds können Sie einen benutzerdefinierten Feed erstellen. Zum Abschluss dieses Verfahrens benötigen Sie eine Feeddatendatei im .csv- oder .xml-Format. Wenn Sie auch eine zugeordnete Feeddefinitionsdatei im .xml-Format haben, die die Struktur der Feeddatendatei beschreibt, können Sie die Feeddefinitionsdatei verwenden, um einen Feed zu erstellen. Der Assistent für benutzerdefinierte Feeds kann den Feed basierend auf einer Feeddatendatei oder basierend auf einer Feeddatendatei und der entsprechenden Feeddefinitionsdatei erstellen.

Hinweis: Version 10.6.1 und neuere Versionen von NetWitness Suite unterstützen Structured Threat Information Expression (STIX). Weitere Informationen zu STIX und dem Erstellen eines benutzerdefinierten STIX-Feeds.

Für einen bedarfsorientierten benutzerdefinierten Feed müssen die Feeddatendatei und optional die Feeddefinitionsdatei (.xml) auf dem lokalen Dateisystem verfügbar sein. Für einen wiederkehrenden benutzerdefinierten Feed müssen die Dateien unter einer URL verfügbar sein, auf die der NetWitness Suite-Server Zugriff hat.

So erstellen Sie einen benutzerdefinierten Feed:

 

  1. Navigieren Sie zu Konfigurieren > Benutzerdefinierte Feeds und klicken Sie im Bereich Feeds auf Symbol zum Hinzufügen.
    Die Ansicht der benutzerdefinierte Feeds wird angezeigt..

    Beispiel für die Ansicht „Feeds“

  2. Klicken Sie auf Benutzerdefinierter Feed und dann auf Weiter.
    Der Assistent „Benutzerdefinierten Feed konfigurieren“ wird mit geöffnetem Formular „Feed definieren“ angezeigt.

    Konfigurieren eines Assistenten für benutzerdefinierte Feeds beim erstmaligen Öffnen
  3. Wählen Sie den Feedtyp aus: CSV oder STIX.
  4. Definieren Sie einen Feed auf Grundlage einer .csv-formatierten Feeddatendatei, indem Sie im Feld Feed-Typ die Option Standard auswählen.

  5. Um eine bedarfsorientierte Feedaufgabe zu definieren, die einmal ausgeführt wird, wählen Sie im Feld Typ der Feedaufgabe die Option Ad-hoc aus und fahren Sie mit einer der folgenden Aktionen fort:
    1. (Bedingungsabhängig) Um einen auf einer csv.-formatierten Datendatei basierenden Feed zu definieren, geben Sie einen Namen für den Feed ein, wählen Sie als Datei eine .csv-Inhaltsdatei im lokalen Dateisystem aus und klicken Sie auf Weiter.
    2. (Bedingungsabhängig) Um einen auf einer XML-Feeddatei basierenden Feed zu definieren, wählen Sie Erweiterte Optionen aus.

      Erweiterte Optionen werden angezeigt.


      Konfigurieren eines Assistenten für benutzerdefinierte Feeds auf der Registerkarte „Feed definieren“


    3. Wählen Sie eine XML-Feeddatei aus dem lokalen Dateisystem aus. Treffen Sie eine Auswahl für das Trennzeichen (Standard ist Komma), legen Sie die Kommentarzeichen fest, die in der Feeddatendatei verwendet werden (Standard ist #), und klicken Sie auf Weiter.
    4. Das Formular Services auswählen wird angezeigt. Dies ist ein Beispiel eines Formulars für einen Feed, der auf einer Feeddatendatei ohne Feeddefinitionsdatei basiert. Wenn Sie einen Feed definieren, der auf einer Feeddefinitionsdatei basiert, ist die Registerkarte Spalten definieren nicht erforderlich.

      Konfigurieren eines Assistenten für benutzerdefinierte Feeds auf der Registerkarte „Services auswählen“

  6. So definieren Sie einen wiederkehrenden Feed, der innerhalb eines bestimmten Datumsbereichs in spezifischen Zeitabständen wiederholt ausgeführt wird:

    1. Wählen Sie im Feld Typ der Feedaufgabe die Option Wiederkehrend aus.

      Das Formular Feed definieren enthält die Felder für einen wiederkehrenden Feed.

      Dies ist ein Beispiel für den Abschnitt „Feed definieren“.

    2. Geben Sie im Feld URL die URL ein, unter der sich die Feeddatendatei befindet, z. B. http://<hostname>/<feeddatafile>.csv, und klicken Sie auf Überprüfen.

      NetWitness Suite überprüft den Speicherort, an dem die Datei gespeichert ist, sodass bei jedem erneuten Aufruf automatisch nach der neuesten Datei gesucht werden kann.

    3. (Optional) Wenn der Zugriff auf die URL beschränkt ist und eine Authentifizierung mithilfe Ihres Benutzernamens und Passworts erfordert, wählen Sie Authentifiziert aus.

      NetWitness Suite stellt Ihren Benutzernamen und Ihr Passwort zur Authentifizierung bei der URL bereit.

    4. Wenn der NetWitness-Server über einen Proxy auf die Feed-URL zugreifen soll, wählen Sie Proxy verwenden aus. Weitere Informationen zur Konfiguration eines Proxys finden Sie im Thema „Konfigurieren des Proxys für NetWitness Suite“ im Systemkonfigurationsleitfaden. Standardmäßig ist das Kontrollkästchen Proxy verwenden nicht aktiviert.
    5. Führen Sie eine der folgenden Aktionen durch, um das Intervall für Wiederholungen zu definieren:

      • Legen Sie die Anzahl der Minuten, Stunden oder Tage zwischen den Wiederholungen des Feeds fest.
      • Legen Sie eine wöchentliche Wiederholung fest und wählen Sie die Wochentage aus.
    6. Geben Sie zum Definieren des Datumsbereichs für die Ausführung der Feedwiederholungen das Startdatum und die Startzeit sowie das Enddatum und die Endzeit an.

      Dies ist ein Beispiel des Abschnitts „Feed definieren“ mit ausgefülltem Namensfeld.

  7. (Bedingungsabhängig) Wenn Sie einen Feed auf Basis einer XML-Feeddatei definieren möchten, gehen Sie wie folgt vor:

    • Geben Sie den Namen des Feeds ein und wählen Sie Erweiterte Optionen aus.

      Die Felder „Erweiterte Optionen“ werden angezeigt.

    • Wählen Sie eine XML-Feeddatei aus dem lokalen Dateisystem aus Trennzeichen (Standard ist Komma), legen Sie die Kommentarzeichen fest, die in der Feeddatendatei verwendet werden (Standard ist #), und klicken Sie auf Weiter.

      Das Formular „Services auswählen“ wird angezeigt.

      Dies ist der Abschnitt „Services auswählen“.

  8. Um Services zu identifizieren, für die der Feed bereitgestellt werden soll, führen Sie eine der folgenden Aktionen aus:

    1. Wählen Sie einen oder mehrere Decoder und Log Decoder aus und klicken Sie auf Weiter.
    2. Klicken Sie auf die Registerkarte Gruppen und wählen Sie eine Gruppe aus. Klicken Sie auf Weiter.

      Das Formular Spalten definieren wird angezeigt.

  9. So ordnen Sie Spalten im Formular Spalten definieren zu:

    1. Definieren Sie den Indextyp: IPIP-Bereich oder Nicht IP und wählen Sie die Indexspalte aus.
    2. (Bedingungsabhängig) Wenn der Indextyp IP oder IP-Bereich ist und die IP-Adresse in CIDR-Notation angegeben ist, wählen Sie CIDR aus.
    3. (Bedingungsabhängig) Wenn der Indextyp Nicht IP ist, werden zusätzliche Einstellungen angezeigt. Wählen Sie den Servicetyp und die Callback-Schlüssel aus und wählen Sie optional Domain abschneiden aus.

      Dies ist der Abschnitt „Spalten definieren“, mit geöffneter Dropdown-Liste „Rückrufschlüssel“.

    4. Wählen Sie in der Drop-down-Liste den Sprachschlüssel aus, der auf die Daten in jeder Spalte angewendet werden soll. Die in der Drop-down-Liste aufgeführten Metadaten basieren auf den für die Servicedefinitionswerte verfügbaren Metadaten. Sie können auch andere Metadaten hinzufügen, die auf erweitertem Know-how basieren.

      Dies ist ein Beispiel für den Abschnitt „Spalten definieren“.

    5. Klicken Sie auf Weiter.

      Das Formular Überprüfung wird angezeigt.

      Dies ist ein Beispiel für das Formular „Überprüfung“.

  10. Bevor Sie auf Fertigstellen klicken, können Sie jederzeit Folgendes tun:

    • Auf Abbrechen klicken, um den Assistenten zu schließen, ohne die Feeddefinition zu speichern
    • Auf Zurücksetzen klicken, um die Daten im Assistenten zu löschen
    • Auf Weiter klicken, um das nächste Formular anzuzeigen (wenn nicht das letzte Formular angezeigt wird)
    • Auf Vorheriges klicken, um das vorherige Formular anzuzeigen (wenn nicht das erste Formular angezeigt wird)
  11. Überprüfen Sie die Feedinformationen und klicken Sie auf Fertigstellen, wenn diese korrekt sind.
  12. Nach der erfolgreichen Erstellung der Feeddefinitionsdatei wird der Assistent für das Erstellen von Feeds geschlossen. Der Feed und die zugehörige Tokendatei werden im Feedraster aufgeführt und die Fertigstellung wird in einem Fortschrittsbalken nachverfolgt. Sie können den Eintrag ein- oder ausblenden, um festzustellen, wie viele Services enthalten sind und welche erfolgreich waren.
    ..



 
You are here
Table of Contents > Konfigurieren von Feeds und Parsern > Erstellen eines benutzerdefinierten Feeds

Attachments

    Outcomes