Decoder: Erstellen eines benutzerdefinierten STIX-Feeds

Document created by RSA Information Design and Development on May 9, 2018
Version 1Show Document
  • View in full screen mode
 

Structured Threat Information Expression (STIX™) ist eine strukturierte Sprache zur Beschreibung von Cyber-Threat-Informationen, um diese durchgängig gemeinsam nutzen, speichern und analysieren zu können. Weitere Informationen zu STIX finden Sie unter https://stixproject.github.io/.

Sie können einen benutzerdefinierten Feed mithilfe einer STIX-formatierten Feeddatendatei (.xml) in RSA NetWitness Suite erstellen. NetWitness Suite unterstützt nur die Versionen 1.0, 1.1 und 1.2 von Structured Threat Information Expression (STIX).

Achtung: Wenn ein wiederkehrender STIX-Feed konfiguriert ist und Sie Security Analytics von 10.6.x auf NetWitness Suite 11.0 aktualisieren, müssen Sie den wiederkehrenden STIX-Feed erneut konfigurieren.

In NetWitness Suite werden STIX-Feeds des Typs „Indicator“ oder „Observable“ unterstützt, die Eigenschaften enthalten wie z. B. IP-Adressen, Datei-Hashes, Domain-Namen, URIs und E-Mail-Adressen. Die Eigenschaftswerte des Operators „gleich“ werden unterstützt. Attribute wie z. B. Typ und Titel werden ebenfalls von STIX gelesen. Eine STIX-Datei mit einem einzelnen STIX_Package wird unterstützt.

TAXII (Trusted Automated eXchange of Indicator Information) ist der wichtigste Transportmechanismus für Informationen zu Cyberbedrohungen, die in STIX dargestellt werden. Unternehmen können mithilfe der TAXII-Services Informationen zu Cyberbedrohungen auf sichere und automatisierte Weise freigeben.

Die STIX- und TAXII-Communitys arbeiten eng zusammen, um sicherzustellen, dass sie auch weiterhin ein vollständiges Paket für die Weitergabe von Informationen über Bedrohungen anbieten.

Abgesehen vom TAXII-Server können sich STIX-Daten auch auf einem REST-Server befinden. Sie können die STIX-Datei vom REST-Server durch Angabe der URL des REST-Servers abrufen. Zum Beispiel http://stixrestserver.internal.com.

Für einen bedarfsorientierten benutzerdefinierten Feed müssen die STIX-Feeddatendatei und optional die Feeddefinitionsdatei im .xml-Format auf dem lokalen Dateisystem verfügbar sein. Für einen wiederkehrenden benutzerdefinierten Feed müssen die Dateien unter einer URL verfügbar sein, auf die der NetWitness Suite-Server Zugriff hat.

So erstellen Sie einen benutzerdefinierten STIX-Feed:

  1. Navigieren Sie zu Konfigurieren > Benutzerdefinierter Feed.

    Die Ansicht „Benutzerdefinierter Feed“ wird angezeigt.
    Ansicht „Benutzerdefinierter Feed“

  2. Klicken Sie in der Symbolleiste auf Symbol zum Hinzufügen.

    Das Dialogfeld Feed einrichten wird angezeigt.

    Dialogfeld „Feed einrichten“

  3. Um den Feedtyp auszuwählen, klicken Sie auf Benutzerdefinierter Feed und auf Weiter.

    Der Assistent Benutzerdefinierten Feed konfigurieren wird mit geöffnetem Formular Feed definieren angezeigt.

    Formular „Feed definieren“; „STIX“ und „Ad-hoc“ sind ausgewählt

  4. Definieren Sie einen Feed basierend auf einer STIX-formatierten .xml-Datei. Wählen Sie STIX im Feld Feed-Typ aus.

  5. Um eine bedarfsorientierte Feedaufgabe zu definieren, die einmal ausgeführt wird, wählen Sie im Feld Typ der Feedaufgabe die Option Ad-hoc aus und fahren Sie mit einer der folgenden Aktionen fort:

    1. (Bedingungsabhängig) Um einen auf einer STIX-formatierten .xml-Datei basierenden Feed zu definieren, geben Sie einen Namen für den Feed ein, wählen Sie eine STIX-formatierte .xml-Inhaltsdatei unter Datei im lokalen Dateisystem aus, und klicken Sie auf Weiter.
    2. (Bedingungsabhängig) Um einen auf einer XML-Feeddatei basierenden Feed zu definieren, wählen Sie Erweiterte Optionen aus.

      Die Erweiterten Optionen werden angezeigt.

      Formular „Feed definieren“, die erweiterten Optionen werden angezeigt

    3. Wählen Sie eine XML-Feeddatei aus dem lokalen Dateisystem aus. Wählen Sie das Trennzeichen (Standard ist Komma) aus, legen Sie die Kommentarzeichen fest, die in der Feeddatendatei verwendet werden (Standard ist #), und klicken Sie auf Weiter.
      Das Formular „Services auswählen“ wird angezeigt. Dies ist ein Beispiel eines Formulars für einen Feed, der auf einer Feeddatendatei ohne Feeddefinitionsdatei basiert. Wenn Sie einen Feed definieren, der auf einer Feeddefinitionsdatei basiert, ist die Registerkarte Spalten definieren nicht erforderlich.

      Formular „Services auswählen“

  6. So definieren Sie einen wiederkehrenden Feed, der innerhalb eines bestimmten Datumsbereichs in spezifischen Zeitabständen wiederholt ausgeführt wird:

    1. Wählen Sie im Feld Typ der Feedaufgabe die Option Wiederkehrend aus.

      Das Formular Feed definieren enthält die Felder für einen wiederkehrenden Feed.

      Formular „Feed definieren“; „STIX“ und „Wiederholt“ sind ausgewählt

    2. Gehen Sie im Feld URL wie folgt vor:

      • Um einen wiederkehrenden Feed basierend auf STIX zu definieren, der STIX-Pakete von einem TAXII-Server abruft, geben Sie die URL des Erkennungsservices des TAXII-Servers ein, z. B. http://hailataxii.com/taxii-discovery-service.

        Hinweis: Ein Context Hub-Service, der auf dem Event Stream Analysis-Host installiert ist, muss für den angegebenen TAXII-Server erreichbar sein.

      • Um einen wiederkehrenden Feed basierend auf einer STIX-formatierten .xml-Datei unter Verwendung des REST-Servers zu definieren, geben Sie die URL des REST-Servers ein, unter der sich die STIX-Datendatei befindet, z. B. http://stixrestserver.internal.com.

        Formular „Feed definieren“; „STIX“ und „Wiederholt“ sind ausgewählt

      NetWitness Suite überprüft die Verbindung zum Server. So kann NetWitness Suite vor jedem erneuten Aufruf automatisch die neueste Datei abrufen.

    3. Wenn Sie nicht möchten, dass NetWitness Suite das SSL-Zertifikat des REST-Servers überprüft, wählen Sie Allen Zertifikaten vertrauen. Diese Option ist standardmäßig aktiviert.
    4. Für die Clientauthentifizierung mit der REST-URL klicken Sie im Feld Zertifikat auf Durchsuchen und wählen Sie das selbst signierte Zertifikat aus. Folgende Zertifikatformate werden unterstützt: .cer, .crt mit Base64- und DER-kodierten Dateien.
    5. (Optional) Wenn der Zugriff auf die URL beschränkt ist und eine Authentifizierung mithilfe Ihres Benutzernamens und Passworts erfordert, wählen Sie Authentifiziert aus.

      NetWitness Suite stellt Ihren Benutzernamen und Ihr Passwort zur Authentifizierung bei der URL bereit.

    6. Wählen Sie Für TAXII aktivierter Server, wenn Sie eine TAXII-Sammlung aus der Liste auswählen möchten.
      Für eine gültige URL werden eine oder mehrere TAXII Sammlungen, die die STIX-Datendatei enthalten, basierend auf Ihren Anmeldedaten angezeigt. Wählen Sie die erforderliche TAXII-Sammlung aus der Liste aus. Von einem TAXII-Server kann nur eine Sammlung für einen Feed hinzugefügt werden.

      Hinweis: Es werden zwar mehrere Feeds von mehreren TAXII-Servern unterstützt, es wird aber pro TAXII-Server nur ein Konto (Benutzername und Passwort) unterstützt.

    7. Wenn der NetWitness Suite-Server über einen Proxy auf die Feed-URL zugreifen soll, wählen Sie Proxy verwenden aus. Weitere Informationen zur Konfiguration eines Proxys finden Sie im Thema „Konfigurieren des Proxys für NetWitness Suite“ im Systemkonfigurationsleitfaden. (Navigieren Sie zu Master Table of Contents für Version 11.0, um Dokumente zu NetWitness Suite 11.0 zu suchen.) Standardmäßig ist das Kontrollkästchen Proxy verwenden nicht aktiviert.
    8. (Optional) Klicken Sie auf Überprüfen, um die Einstellungen zu testen.

      Hinweis: Vergewissern Sie sich, dass alle erforderlichen Verbindungsparameter wie z. B. „Authentifizierung“, „Proxy“, „Zertifikatvertrauen“, „Für TAXII aktivierter Server“ usw. konfiguriert sind, bevor Sie auf „Überprüfen“ klicken.

    9. Führen Sie einen der folgenden Schritte aus, um das Intervall für Push-Vorgänge zum Decoder oder Log Decoder zu definieren:

      • Legen Sie die Anzahl der Minuten, Stunden oder Tage zwischen den Wiederholungen des Feeds fest.
      • Legen Sie eine wöchentliche Wiederholung fest und wählen Sie die Wochentage aus.
    10. Geben Sie zum Definieren des Datumsbereichs für die Ausführung der Feedwiederholungen das Startdatum und die Startzeit sowie das Enddatum und die Endzeit an. Das Startdatum sollte als das Datum definiert werden, ab dem die Daten abgerufen werden sollen.

  7. (Bedingungsabhängig) Wenn Sie einen Feed auf Basis einer XML-Feeddatei definieren möchten, gehen Sie wie folgt vor:

    • Geben Sie den Namen des Feeds ein und wählen Sie Erweiterte Optionen aus.

      Die Felder „Erweiterte Optionen“ werden angezeigt.

    • Wählen Sie eine XML-Feeddatei aus dem lokalen Dateisystem und das Trennzeichen aus (Standard ist Komma), legen Sie die Kommentarzeichen fest, die in der Feeddatendatei verwendet werden (Standard ist #).

    • Geben Sie im Feld STIX-Daten entfernen, die älter sind als die Anzahl der Tage an, für die vom TAXII-Server abgerufene STIX-Pakete gespeichert werden sollen. Die STIX-Pakete, die älter als die angegebene Anzahl von Tagen sind, werden automatisch gelöscht.
    • Klicken Sie auf Weiter.

      Das Formular „Services auswählen“ wird angezeigt.

  1. Um Services zu identifizieren, für die der Feed bereitgestellt werden soll, führen Sie eine der folgenden Aktionen aus:

    1. Wählen Sie einen oder mehrere Decoder und Log Decoder aus und klicken Sie auf Weiter.
    2. Im Falle eines STIX-Feeds ist standardmäßig Context Hub ausgewählt. Sie dürfen diese Auswahl nicht aufheben. Außerdem können Sie einen oder mehrere Decoder und Log Decoder auswählen und auf Weiter oder auf die Registerkarte Gruppen klicken und eine Gruppe auswählen. Klicken Sie auf Weiter.

      Formular „Services auswählen“, Context Hub ausgewählt

      Wenn die Daten vom STIX-Server sehr umfangreich sind, wird die folgende Meldung angezeigt:
      „Das Abrufen der Beispieldaten dauert länger als erwartet. Wählen Sie eine der folgenden Optionen.“ Sie haben zwei Möglichkeiten: Sie können weiterhin warten oder eine Zuordnung ohne Beispieldaten vornehmen.

      • Wenn Sie auf Weiter warten klicken, wartet der Assistent für Feeds weiterhin, bis die Beispieldaten abgerufen werden oder ein Timeout (10 Minuten) erfolgt, je nachdem, was früher eintritt. Wenn ein Timeout erfolgt, werden keine Beispieldaten abgerufen.
      • Wenn Sie auf Ohne Beispieldaten zuordnen klicken, wird die Spalte für die Zuordnung ohne Beispieldaten angezeigt.

      Das Formular „Spalten definieren“ wird angezeigt.

  2. So ordnen Sie Spalten im Formular „Spalten definieren“ zu:

    1. Definieren Sie den Indextyp: IP, IP-Bereich oder Nicht IP und wählen Sie die Indexspalte aus.
    2. (Bedingungsabhängig) Wenn der Indextyp IP oder IP-Bereich ist und die IP-Adresse in CIDR-Notation angegeben ist, wählen Sie CIDR aus.
    3. (Bedingungsabhängig) Wenn der Indextyp Nicht IP lautet, werden zusätzliche Einstellungen angezeigt. Wählen Sie den Servicetyp und die Callback-Schlüssel aus und wählen Sie optional Domain abschneiden aus.

      Formular „Spalten definieren“, mit ausgewählter IP-Adresse

      • Wenn der Indextyp „Nicht IP“ lautet, können Sie mehrere Indexspalten unter „Indexspalten“ auswählen. Die Werte aus allen ausgewählten Spalten werden in der ersten Indexspalte zusammengeführt, die Sie ausgewählt haben, und die zusammengeführten Werte werden für die Analyse an den Log Decoder übertragen. Beispiel: Wenn Sie unter „Indexspalten“ 2, 4, 7 als Indexspalten auswählen, werden die Werte aus den Spalten 2, 4 und 7 in der Spalte 2 zusammengeführt und die Werte für die Analyse an Log Decoder übertragen.
      • Für Spalten wie „Indicator Title“, „Indicator Description“, „Observable Title“ oder „Observable Description“ kann keine Indexierung erfolgen, da keine Suche für diese Spalten durchgeführt werden kann.
    4. Wählen Sie in der Drop-down-Liste den Sprachschlüssel aus, der auf die Daten in jeder Spalte angewendet werden soll. Die in der Drop-down-Liste aufgeführten Metadaten basieren auf den für die Servicedefinitionswerte verfügbaren Metadaten. Sie können auch andere Metadaten hinzufügen, die auf erweitertem Know-how basieren.

    5. Klicken Sie auf Weiter.

      Das Formular Überprüfung wird angezeigt.

      Formular „Überprüfung“

  3. Bevor Sie auf Fertigstellen klicken, können Sie jederzeit Folgendes tun:

    • Auf Abbrechen klicken, um den Assistenten zu schließen, ohne die Feeddefinition zu speichern
    • Auf Zurücksetzen klicken, um die Daten im Assistenten zu löschen
    • Auf Weiter klicken, um das nächste Formular anzuzeigen (wenn nicht das letzte Formular angezeigt wird)
    • Auf Vorheriges klicken, um das vorherige Formular anzuzeigen (wenn nicht das erste Formular angezeigt wird)
  4. Überprüfen Sie die Feedinformationen und klicken Sie auf Fertigstellen, wenn diese korrekt sind.
  5. Nach der erfolgreichen Erstellung der Feeddefinitionsdatei wird der Assistent für das Erstellen von Feeds geschlossen. Der Feed und die zugehörige Tokendatei werden im Feedraster aufgeführt und die Fertigstellung wird in einem Fortschrittsbalken nachverfolgt. Sie können den Eintrag ein- oder ausblenden, um festzustellen, wie viele Services enthalten sind und welche erfolgreich waren.

Ansicht „Benutzerdefinierte Feeds“ mit hinzugefügten Feeds

Hinweis: Integrität und Zustand gibt Warnmeldungen aus, falls der verfügbare Heap-Speicher des Context Hub-Servers sehr niedrig ist. Wenn der Status des Context Hub-Servers aufgrund von Speichermangel fehlerhaft ist. Weitere Informationen zum Troubleshooting bei einem OutOfMemoryError auf einem Contexthub-Server finden Sie unter „Troubleshooting“ im Handbuch Live-Services-Management.

You are here
Table of Contents > Konfigurieren von Feeds und Parsern > Erstellen eines benutzerdefinierten STIX-Feeds

Attachments

    Outcomes