Decoder: Ansicht „Services-Konfiguration“ – Registerkarte „Feeds“

Document created by RSA Information Design and Development on May 9, 2018
Version 1Show Document
  • View in full screen mode
 

Feeds und Parser sind Lua-Programme, die geladen und kompiliert werden, wenn entweder erfasste Daten in Ermittlungen verarbeitet oder Daten mit Decodern erfasst werden. Am häufigsten werden sie für die Extrahierung statischer Metadaten und zur Identifizierung von Services verwendet.

Hinweis: NetWitness-Versionen vor 11.0 verwendeten zusätzlich zu Lua-Programmen FLEXPARSE-Programme. Flexparsers sind in NetWitness Suite 11.0 veraltet. Wenn nicht anders angegeben, gilt jede Aussage über Decoder auch für Log Decoder.

NetWitness Suite verwendet Feeds, um Metadaten basierend auf extern definierten Metawerten zu erstellen. Ein Feed ist eine Liste von Daten, die bei der Erfassung oder Verarbeitung von Sitzungen mit diesen abgeglichen werden. Für jeden Treffer werden zusätzliche Metadaten erstellt. Diese Daten können schadhafte IPs erkennen und klassifizieren oder zusätzliche Informationen mit einbeziehen, wie etwa Abteilung und Standort, basierend auf internen Netzwerkzuordnungen. Einige Beispiele für Feeds sind Bedrohungsfeeds zur Identifizierung von BOTNets, DHCP-Zuordnungen oder auch Active Directory-Informationen wie physischer Standort oder logische Abteilung.

Feeds können hinzugefügt, entfernt und aktualisiert werden, während ein Decoder ausgeführt wird, ohne die Erfassung zu beeinträchtigen. Die Registerkarte „Feeds“ (ADMIN > Services > wählen Sie einen Service aus und klicken Sie auf Drop-down-Menü „Aktionen“ > Ansicht > Konfiguration > Feeds) stellt eine Benutzeroberfläche für das Managen von Feeds auf Decodern bereit.

Was möchten Sie tun?

                       
BenutzerrolleZielDokumentation
AdministratorKonfigurieren von FeedsKonfigurieren von Feeds und Parsern
AdministratorProtokollparser aktivieren und deaktivierenAktivieren und Deaktivieren von Parsern und Protokollparsern

Verwandte Themen

Überblick

Dies ist ein Beispiel für die Registerkarte Feeds.

Dies ist die Registerkarte „Feeds“ für einen Decoder.

             
1Symbolleiste der Registerkarte „Feeds“ – bietet Optionen zur Arbeit mit Feeds im Raster
2Feedraster – Listet alle Feeds auf, die gegenwärtig auf dem Decoder bereitgestellt sind

Symbolleiste der Registerkarte „Feeds“

                   
FunktionBeschreibung
„Upload für Feed“-Symbol Zeigt das Dialogfeld „Feeds hochladen“ an.
Löschen-Symbol Löscht die ausgewählten Feeds.

Liste der Feeds

Die Liste der Feeds bietet eine Auflistung aller gegenwärtig bereitgestellten Feeds für den Decoder.

                     
SpalteBeschreibung
Name Der Name des Feeds oder der Feeddatei.
Live Zeigt an, ob der Feed von Live stammt. Mögliche Werte sind Ja, Nein oder N/A.
  • Ja = Installiert über Live
  • Nein = Installiert über NetWitness Suite
  • N/A = Der Feed hat keine von NetWitness Suite erstellte Attributdatei, um das Installationsdatum nachzuverfolgen. Der Feed wurde möglicherweise manuell installiert, nicht über NetWitness Suite oder Live-Services. Manuell installierte Feeds arbeiten weiterhin korrekt.
Installationsdatum Das Datum des Feeds wurde per Push auf den Service übertragen.
You are here
Table of Contents > Decoder- und Log Decoder-Referenzen > Ansicht „Service-Konfiguration“ – Registerkarte „Feeds“

Attachments

    Outcomes