Decoder: Ansicht „Services-Konfiguration“ – Registerkarte „Feeds“

Document created by RSA Information Design and Development on May 9, 2018Last modified by RSA Information Design and Development on Apr 28, 2019
Version 2Show Document
  • View in full screen mode
 

Feeds und Parser sind Lua-Programme, die geladen und kompiliert werden, wenn entweder erfasste Daten in Ermittlungen verarbeitet oder Daten mit Decodern erfasst werden. Am häufigsten werden sie für die Extrahierung statischer Metadaten und zur Identifizierung von Services verwendet.

Hinweis: NetWitness-Versionen vor 11.0 verwendeten zusätzlich zu Lua-Programmen FLEXPARSE-Programme. Flexparsers sind in NetWitness Platform 11.0 veraltet. Wenn nicht anders angegeben, gilt jede Aussage über Decoder auch für Log Decoder.

NetWitness Platform verwendet Feeds, um Metadaten basierend auf extern definierten Metawerten zu erstellen. Ein Feed ist eine Liste von Daten, die bei der Erfassung oder Verarbeitung von Sitzungen mit diesen abgeglichen werden. Für jeden Treffer werden zusätzliche Metadaten erstellt. Diese Daten können schadhafte IPs erkennen und klassifizieren oder zusätzliche Informationen mit einbeziehen, wie etwa Abteilung und Standort, basierend auf internen Netzwerkzuordnungen. Einige Beispiele für Feeds sind Bedrohungsfeeds zur Identifizierung von BOTNets, DHCP-Zuordnungen oder auch Active Directory-Informationen wie physischer Standort oder logische Abteilung.

Feeds können hinzugefügt, entfernt und aktualisiert werden, während ein Decoder ausgeführt wird, ohne die Erfassung zu beeinträchtigen. Die Registerkarte „Feeds“ (ADMIN > Services > wählen Sie einen Service aus und klicken Sie auf The actions drop-down menu > Ansicht > Konfiguration > Feeds) stellt eine Benutzeroberfläche für das Managen von Feeds auf Decodern bereit.

Was möchten Sie tun?

                       
BenutzerrolleZielDokumentation
AdministratorKonfigurieren von FeedsKonfigurieren von Feeds und Parsern
AdministratorProtokollparser aktivieren und deaktivierenAktivieren und Deaktivieren von Parsern und Protokollparsern

Verwandte Themen

Überblick

Dies ist ein Beispiel für die Registerkarte Feeds.

This is the Feeds tab for a Decoder.

             
1Symbolleiste der Registerkarte „Feeds“ – bietet Optionen zur Arbeit mit Feeds im Raster
2Feedraster – Listet alle Feeds auf, die gegenwärtig auf dem Decoder bereitgestellt sind

Symbolleiste der Registerkarte „Feeds“

                   
FunktionBeschreibung
The Feed Upload icon Zeigt das Dialogfeld „Feeds hochladen“ an.
The delete icon Löscht die ausgewählten Feeds.

Liste der Feeds

Die Liste der Feeds bietet eine Auflistung aller gegenwärtig bereitgestellten Feeds für den Decoder.

                     
SpalteBeschreibung
Name Der Name des Feeds oder der Feeddatei.
Live Zeigt an, ob der Feed von Live stammt. Mögliche Werte sind Ja, Nein oder N/A.
  • Ja = Installiert über Live
  • Nein = Installiert über NetWitness Platform
  • N/A = Der Feed hat keine von NetWitness Platform erstellte Attributdatei, um das Installationsdatum nachzuverfolgen. Der Feed wurde möglicherweise manuell installiert, nicht über NetWitness Platform oder Live Services. Manuell installierte Feeds arbeiten weiterhin korrekt.
Installationsdatum Das Datum des Feeds wurde per Push auf den Service übertragen.
You are here
Table of Contents > Decoder- und Log Decoder-Referenzen > Ansicht „Service-Konfiguration“ – Registerkarte „Feeds“

Attachments

    Outcomes