Decoder: Erstellen eines benutzerdefinierten Feeds

Document created by RSA Information Design and Development on May 9, 2018Last modified by RSA Information Design and Development on Apr 28, 2019
Version 2Show Document
  • View in full screen mode
 

Mit dem Assistenten für benutzerdefinierte Feeds können Sie einen benutzerdefinierten Feed erstellen. Zum Abschluss dieses Verfahrens benötigen Sie eine Feeddatendatei im .csv- oder .xml-Format. Wenn Sie auch eine zugeordnete Feeddefinitionsdatei im .xml-Format haben, die die Struktur der Feeddatendatei beschreibt, können Sie die Feeddefinitionsdatei verwenden, um einen Feed zu erstellen. Der Assistent für benutzerdefinierte Feeds kann den Feed basierend auf einer Feeddatendatei oder basierend auf einer Feeddatendatei und der entsprechenden Feeddefinitionsdatei erstellen.

Hinweis: Version 10.6.1 und neuere Versionen von NetWitness Platform unterstützen Structured Threat Information Expression (STIX). Weitere Informationen zu STIX und dem Erstellen eines benutzerdefinierten STIX-Feeds finden Sie in „Erstellen eines benutzerdefinierten STIX-Feeds“ im Konfigurationsleitfaden für Decoder und Log Decoder.

Für einen bedarfsorientierten benutzerdefinierten Feed müssen die Feeddatendatei und optional die Feeddefinitionsdatei (.xml) auf dem lokalen Dateisystem verfügbar sein. Für einen wiederkehrenden benutzerdefinierten Feed müssen die Dateien unter einer URL verfügbar sein, auf die der NetWitness Platform-Server Zugriff hat.

Hinweis: Bei der Erstellung eines quell- und zielbasierten Feeds auf einem Log Decoder wird nur der Quellmetaschlüssel ausgefüllt. Sie können keinen bereichsbasierten oder CIDR-Feed verwenden. Sie müssen jede einzelne IP-Adresse auflisten. Zur Behebung dieses Problems erstellen Sie zwei verschiedene Feeds mithilfe von IP-Adressen, dann können Sie CIDR in diesen Feeds verwenden.

So erstellen Sie einen benutzerdefinierten Feed:

  1. Navigieren Sie zu Konfigurieren > Benutzerdefinierte Feeds.
  2. Klicken Sie im Bereich Feeds auf add icon.
    Die Ansicht „Benutzerdefinierte Feeds“ wird angezeigt.
    An example of the Feeds view
  3. Klicken Sie auf Benutzerdefinierter Feed und dann auf Weiter.
    Der Assistent „Benutzerdefinierten Feed konfigurieren“ wird mit geöffnetem Formular „Feed definieren“ angezeigt.

  4. Wählen Sie den Feedtyp aus: CSV oder STIX.
  5. Zum Definieren eines Feeds auf Grundlage einer .csv-formatierten Feeddatendatei wählen Sie CSV (Standardwert) im Feld Feed-Typ aus.
  6. Um eine bedarfsorientierte Feedaufgabe zu definieren, die einmal ausgeführt wird, wählen Sie im Feld Typ der Feedaufgabe die Option Ad-hoc aus und fahren Sie mit einer der folgenden Aktionen fort:
    1. (Bedingungsabhängig) Um einen auf einer CsvFileFeed-Datei basierenden Feed zu definieren, aktivieren Sie das Kontrollkästchen Als CSV-Feeddatei hochladen, geben Sie einen Namen für den Feed ein, wählen Sie eine .csv-Inhaltsdatei aus dem lokalen Dateisystem aus und klicken Sie auf Weiter. Wenn Sie das Kontrollkästchen nicht aktivieren, wird die .csv-Datei eine FlatFileFeed-Datei sein.
    2. Hinweis: Wenn Sie das Kontrollkästchen „Als CSV-Feeddatei hochladen“ aktivieren, sind die XML-Feedoptionen unter „Erweitert“ nicht verfügbar.

    1. (Bedingungsabhängig) Um einen auf einer XML-Feeddatei basierenden Feed zu definieren, wählen Sie Erweiterte Optionen aus.
    2. Hinweis: Stellen Sie sicher, dass das Kontrollkästchen „Als CSV-Feeddatei hochladen“ deaktiviert ist.

    3. „Erweiterte Optionen“ wird angezeigt:
      Configure Cust Feed wizard in the Define Feed tab
    4. Wählen Sie eine XML-Feeddatei aus dem lokalen Dateisystem aus, wählen Sie das Trennzeichen aus (Standard ist Komma), legen Sie die Kommentarzeichen fest, die in der Feeddatendatei verwendet werden sollen (Standard ist #), und klicken Sie auf Weiter.
      Das Formular „Services auswählen“ wird angezeigt. Dies ist ein Beispiel eines Formulars für einen Feed, der auf einer Feeddatendatei ohne Feeddefinitionsdatei basiert. Wenn Sie einen Feed definieren, der auf einer Feeddefinitionsdatei basiert, ist die Registerkarte „Spalten definieren“ nicht erforderlich.
      Configure a Custom Feed wizard in the Select Services tab
  7. So definieren Sie einen wiederkehrenden Feed, der innerhalb eines bestimmten Datumsbereichs in spezifischen Zeitabständen wiederholt ausgeführt wird:
    1. Wählen Sie im Feld Typ der Feedaufgabe Option Wiederholt aus.
      Das Formular „Feed definieren“ enthält die Felder für einen wiederkehrenden Feed.
      This is an example of the Define Feed section.
    2. Geben Sie im Feld URL die URL ein, an der sich die Feeddatendatei befindet, z. B. http://<hostname>/<feeddatafile>.csv, und klicken Sie auf Überprüfen. NetWitness Platform verifiziert den Speicherort, an dem die Datei gespeichert ist, sodass bei jedem erneuten Aufruf automatisch nach der neuesten Datei gesucht werden kann.

    3. (Optional) Wenn der Zugriff auf die URL beschränkt ist und eine Authentifizierung mit Ihrem Benutzernamen und Passwort erfordert, wählen Sie Authentifiziert aus.
      NetWitness Platform stellt Ihren Benutzernamen und Ihr Passwort zur Authentifizierung bei der URL bereit.

    4. Wenn der NetWitness-Server über einen Proxy auf die Feed-URL zugreifen soll, wählen Sie Proxy verwenden aus. Weitere Informationen zur Konfiguration eines Proxys finden Sie im Thema „Konfigurieren des Proxys für NetWitness Platform“ im Systemkonfigurationsleitfaden. Standardmäßig ist das Kontrollkästchen Proxy verwenden nicht aktiviert.
    5. Führen Sie eine der folgenden Aktionen durch, um das Intervall für Wiederholungen zu definieren:
      Legen Sie die Anzahl der Minuten, Stunden oder Tage zwischen den Wiederholungen des Feeds fest.
      Legen Sie eine wöchentliche Wiederholung fest und wählen Sie die Wochentage aus.
    6. Geben Sie zum Definieren des Datumsbereichs für die Ausführung der Feedwiederholungen das Startdatum und die Startzeit sowie das Enddatum und die Endzeit an.
      This is an example of the Define Feed section with the Name field filled.
  8. (Bedingungsabhängig) Wenn Sie einen Feed auf Grundlage einer XML-Feeddatei definieren möchten:
    - Geben Sie den Namen des Feeds ein und wählen Sie Erweiterte Optionen aus. Die Felder für „Erweiterte Optionen“ werden angezeigt.
    - Wählen Sie eine XML-Feeddatei aus dem lokalen Dateisystem aus, wählen Sie das Trennzeichen aus (Standard ist Komma), legen Sie unter Anmerkung das Kommentarzeichen fest, das in der Feeddatendatei verwendet werden soll (Standard ist #), und klicken Sie auf Weiter. Das Formular „Services auswählen“ wird angezeigt.
    This is the Select Services section.
  9. Um Services zu identifizieren, für die der Feed bereitgestellt werden soll, führen Sie eine der folgenden Aktionen aus:
    1. Wählen Sie einen oder mehrere Decoder und Log Decoder aus und klicken Sie auf Weiter
    2. Klicken Sie auf die Registerkarte Gruppen und wählen Sie eine Gruppe aus. Klicken Sie auf Weiter.
      Das Formular Spalten definieren wird angezeigt.
  10. So ordnen Sie Spalten im Formular Spalten definieren zu:
    1. Definieren Sie den Indextyp: IPIP-Bereich oder Nicht IP und wählen Sie die Indexspalte aus.
    2. (Bedingungsabhängig) Wenn der Indextyp IP oder IP-Bereich ist und die IP-Adresse in CIDR-Notation angegeben ist, wählen Sie CIDR aus.
    3. (Bedingungsabhängig) Wenn der Indextyp Nicht IP ist, werden zusätzliche Einstellungen angezeigt. Wählen Sie den Servicetyp und die Rückrufschlüssel aus und wählen Sie optional Domain abschneiden aus.
      This is the Define Columns section with the Callback Key(s) drop-down open.

    4. Wählen Sie in der Drop-down-Liste den Sprachschlüssel aus, der auf die Daten in jeder Spalte angewendet werden soll. Die in der Drop-down-Liste aufgeführten Metadaten basieren auf den für die Servicedefinitionswerte verfügbaren Metadaten. Sie können auch andere Metadaten hinzufügen, wenn Sie über entsprechendes Fachwissen verfügen.
      This is an example of the Define Columns section.
    5. Klicken Sie auf Weiter.
      Das Formular Überprüfung wird angezeigt.
      This is an example of the Review form.
  11. Bevor Sie auf Fertigstellen klicken, können Sie jederzeit Folgendes tun:
  • Auf Abbrechen klicken, um den Assistenten zu schließen, ohne die Feeddefinition zu speichern
  • Auf Zurücksetzen klicken, um die Daten im Assistenten zu löschen
  • Auf Weiter klicken, um das nächste Formular anzuzeigen (wenn nicht das letzte Formular angezeigt wird)
  • Auf Vorheriges klicken, um das vorherige Formular anzuzeigen (wenn nicht das erste Formular angezeigt wird)
  1. Überprüfen Sie die Feedinformationen und klicken Sie auf Fertigstellen, wenn diese korrekt sind.
  2. Nach der erfolgreichen Erstellung der Feeddefinitionsdatei wird der Assistent für das Erstellen von Feeds geschlossen. Der Feed und die zugehörige Tokendatei werden im Feedraster aufgeführt und die Fertigstellung wird in einem Fortschrittsbalken nachverfolgt. Sie können den Eintrag ein- oder ausblenden, um festzustellen, wie viele Services enthalten sind und welche erfolgreich waren.
    Custom Feeds tab in Configure menu
You are here
Table of Contents > Konfigurieren von Feeds und Parsern > Erstellen eines benutzerdefinierten Feeds

Attachments

    Outcomes