Live: Erstellen eines benutzerdefinierten STIX-Feeds

Document created by RSA Information Design and Development on May 11, 2018Last modified by RSA Information Design and Development on May 22, 2018
Version 2Show Document
  • View in full screen mode
 

Sie können mithilfe einer CSV- oder STIX-formatierten Feeddatendatei einen benutzerdefinierten Feed in RSA NetWitness Suite erstellen.

Hinweis: NetWitness Suite unterstützt nur die STIX-Versionen (Structured Threat Information Expression) 1.0, 1.1 und 1.2.

Hinweis: Version 10.6.1 und neuere Versionen von Security Analytics unterstützen Structured Threat Information Expression (STIX).

Structured Threat Information Expression (STIX™) ist eine strukturierte Sprache zur Beschreibung von Cyber-Threat-Informationen, um diese durchgängig gemeinsam nutzen, speichern und analysieren zu können. Weitere Informationen zu STIX finden Sie unter https://stixproject.github.io/.

Achtung: Wenn ein wiederkehrender STIX-Feed konfiguriert ist und Sie Security Analytics von 10.6.x auf NetWitness Suite 11.0 aktualisieren, müssen Sie den wiederkehrenden STIX-Feed erneut konfigurieren.

In NetWitness Suite werden STIX-Feeds (.xml) des Typs „Indicator“ oder „Observable“ unterstützt, die Eigenschaften enthalten wie z. B. IP-Adressen, Datei-Hashes, Domain-Namen, URIs und E-Mail-Adressen. Nur die Eigenschaftswerte des Operators „gleich“ werden unterstützt. Und Attribute wie z. B. Typ und Titel werden ebenfalls von STIX (.xml) gelesen. STIX (.xml) wird nur mit einem einzigen STIX_Package unterstützt.

TAXII (Trusted Automated eXchange of Indicator Information) ist der wichtigste Transportmechanismus für Informationen zu Cyberbedrohungen, die in STIX dargestellt werden. Organisationen können mithilfe der TAXII-Services Informationen zu Cyberbedrohungen sicher und automatisiert freigeben.

Die STIX- und TAXII-Communitys arbeiten eng zusammen, um sicherzustellen, dass das Paket, das sie für die Weitergabe von Informationen über Bedrohungen anbieten, auch weiterhin vollständig ist.

Abgesehen vom TAXII-Server können sich STIX-Daten auch auf einem REST-Server befinden. Sie können die STIX-Datei vom REST-Server durch Angabe der URL des REST-Servers abrufen. Beispiel: http://stixrestserver.internal.com.

Für einen bedarfsorientierten benutzerdefinierten Feed müssen die Feeddatendatei (.csv oder STIX [.xml]) und optional die Feeddefinitionsdatei (.xml) auf dem lokalen Dateisystem verfügbar sein. Für einen wiederkehrenden benutzerdefinierten Feed müssen die Dateien unter einer URL verfügbar sein, auf die der NetWitness Suite-Server Zugriff hat.

So erstellen Sie einen benutzerdefinierten STIX-Feed:

  1. Navigieren Sie zu Konfigurieren > Benutzerdefinierte Feeds.

    Die Ansicht „Feeds“ wird angezeigt.

  2. Klicken Sie auf der Symbolleiste auf .

    Das Dialogfeld „Feed einrichten“ wird angezeigt.

  3. Um den Feedtyp auszuwählen, klicken Sie auf Benutzerdefinierter Feed und auf Weiter.

    Der Assistent „Benutzerdefinierten Feed konfigurieren“ wird angezeigt und das Formular „Feed definieren“ geöffnet.

  4. Definieren Sie einen Feed auf Grundlage einer STIX-formatierten .xml-Datei. Wählen Sie STIX im Feld Feed-Typ aus.

  5. Um eine bedarfsorientierte Feedaufgabe zu definieren, die einmal ausgeführt wird, wählen Sie im Feld Typ der Feedaufgabe die Option Ad-hoc aus und fahren Sie mit einer der folgenden Aktionen fort:

    1. (Bedingungsabhängig) Um einen auf einer STIX-formatierten .xml-Datei basierenden Feed zu definieren, geben Sie einen Namen für den Feed ein, wählen Sie eine STIX-formatierte .xml-Inhaltsdatei unter Datei im lokalen Dateisystem aus und klicken Sie auf Weiter.

    2. (Bedingungsabhängig) Um einen auf einer XML-Feeddatei basierenden Feed zu definieren, wählen Sie Erweiterte Optionen aus.

      „Erweiterte Optionen“ wird angezeigt:

    3. Wählen Sie eine XML-Feeddatei aus dem lokalen Dateisystem aus. Treffen Sie eine Auswahl für das Trennzeichen (Standard ist Komma), legen Sie die Kommentarzeichen fest, die in der Feeddatendatei verwendet werden (Standard ist #), und klicken Sie auf Weiter.
    4. Das Formular Services auswählen wird angezeigt. Dies ist ein Beispiel eines Formulars für einen Feed, der auf einer Feeddatendatei ohne Feeddefinitionsdatei basiert. Wenn Sie einen Feed definieren, der auf einer Feeddefinitionsdatei basiert, ist die Registerkarte Spalten definieren nicht erforderlich.

  6. So definieren Sie einen wiederkehrenden Feed, der innerhalb eines bestimmten Datumsbereichs in spezifischen Zeitabständen wiederholt ausgeführt wird:

    1. Wählen Sie im Feld Typ der Feedaufgabe die Option Wiederkehrend aus.

      Das Formular „Feed definieren“ enthält die Felder für einen wiederkehrenden Feed.

    2. Geben Sie im Feld URL eine der folgenden URLs ein:

      • Um einen wiederkehrenden Feed basierend auf STIX zu definieren, der STIX-Pakete von einem TAXII-Server abruft, geben Sie die URL des Erkennungsservice des TAXII-Servers ein, z. B. http://hailataxii.com/taxii-discovery-service.

        Hinweis: Ein Context Hub-Service, der auf dem Event Stream Analysis-Host installiert ist, muss für den angegebenen TAXII-Server erreichbar sein.

      • Um einen wiederkehrenden Feed auf Grundlage einer STIX-formatierten XML-Datei unter Verwendung des REST-Servers zu definieren, geben Sie die URL des REST-Servers ein, unter der sich die STIX-Datendatei befindet, z. B. http://stixrestserver.internal.com.

      NetWitness Suite überprüft die Verbindung zum Server. So kann NetWitness Suite vor jedem erneuten Aufruf automatisch die aktuelle Datei abrufen.

    3. Wenn Sie nicht möchten, dass NetWitness Suite das SSL-Zertifikat des REST-Servers überprüft, wählen Sie Allen Zertifikaten vertrauen aus. Diese Option ist standardmäßig aktiviert.
    4. Klicken Sie für die Clientauthentifizierung mit der REST-URL im Feld Zertifikat auf Durchsuchen und wählen Sie das selbst signierte Zertifikat aus. Folgende Zertifikatformate werden unterstützt: CER, CRT mit Base64- und DER-kodierten Dateien.
    5. (Optional) Wenn der Zugriff auf die URL beschränkt ist und eine Authentifizierung mithilfe Ihres Benutzernamens und Passworts erfordert, wählen Sie Authentifiziert aus.

      NetWitness Suite stellt Ihren Benutzernamen und Ihr Passwort zur Authentifizierung bei der URL bereit.

    6. Wählen Sie TAXII-fähiger Server aus, wenn Sie eine TAXII-Sammlung aus der Liste auswählen möchten.
      Für eine gültige URL werden eine oder mehrere TAXII-Sammlungen, die die STIX-Datendatei enthalten, auf Grundlage Ihrer Anmeldedaten angezeigt. Wählen Sie die erforderliche TAXII-Sammlung aus der Liste aus. Von einem TAXII-Server kann nur eine Sammlung für einen Feed hinzugefügt werden.

      Hinweis: Es werden zwar mehrere Feeds von mehreren TAXII-Servern unterstützt, pro TAXII-Server aber nur ein Konto (Benutzername und Passwort).

    7. Wenn der NetWitness Suite-Server über einen Proxy auf die Feed-URL zugreifen soll, wählen Sie Proxy verwenden aus. Weitere Informationen zur Konfiguration eines Proxys finden Sie im Thema Konfigurieren des Proxys für NetWitness Suite im Systemkonfigurationsleitfaden. Standardmäßig ist das Kontrollkästchen Proxy verwenden nicht aktiviert.
    8. (Optional) Klicken Sie auf Überprüfen, um die Einstellungen zu testen.

    Hinweis: Vergewissern Sie sich, dass alle erforderlichen Verbindungsparameter wie z. B. „Authentifizierung“, „Proxy“, „Zertifikatvertrauen“, „TAXII-fähiger Server“ usw. konfiguriert sind, bevor Sie auf Überprüfen klicken.

    1. Führen Sie eine der folgenden Aktionen durch, um das Wiederholungsintervall für die Weitergabe an Decoder oder Log Decoder zu definieren:

      • Legen Sie die Anzahl der Minuten, Stunden oder Tage zwischen den Wiederholungen des Feeds fest.
      • Legen Sie eine wöchentliche Wiederholung fest und wählen Sie die Wochentage aus.
    2. Geben Sie zum Definieren des Datumsbereichs für die Ausführung der Feedwiederholungen das Startdatum und die Startzeit sowie das Enddatum und die Endzeit an. Das Startdatum sollte als das Datum definiert werden, ab dem die Daten abgerufen werden sollen. Stellen Sie sicher, dass sich das Startdatum nicht innerhalb der nächsten 180 Tage befindet.

  7. (Bedingungsabhängig) Gehen Sie folgendermaßen vor, wenn Sie einen Feed auf Grundlage einer XML-Feeddatei definieren möchten:

    • Geben Sie den Namen des Feeds ein und wählen Sie Erweiterte Optionen aus.

      Die Felder „Erweiterte Optionen“ werden angezeigt.

    • Wählen Sie eine XML-Feeddatei aus dem lokalen Dateisystem und das Trennzeichen aus (Standard ist Komma), legen Sie die Kommentarzeichen fest, die in der Feeddatendatei verwendet werden (Standard ist #).

    • Geben Sie im Feld STIX-Daten entfernen, die älter sind als die Anzahl der Tage an, für die vom TAXII-Server abgerufene STIX-Pakete gespeichert werden sollen. Die STIX-Pakete, die älter als die angegebene Anzahl von Tagen sind, werden automatisch gelöscht.
    • Klicken Sie auf Weiter.
      Das Formular „Services auswählen“ wird angezeigt.
  1. Um Services zu identifizieren, für die der Feed bereitgestellt werden soll, führen Sie eine der folgenden Aktionen aus:

    1. Wählen Sie einen oder mehrere Decoder und Log Decoder aus und klicken Sie auf Weiter.
    2. Im Fall eines STIX-Feeds ist standardmäßig „Context Hub“ ausgewählt. Sie dürfen diese Auswahl nicht aufheben. Außerdem können Sie einen oder mehrere Decoder und Log Decoder auswählen und auf Weiter oder auf die Registerkarte Gruppen klicken und eine Gruppe auswählen. Klicken Sie auf Weiter.

      Wenn die Daten vom STIX-Server sehr umfangreich sind, wird die folgende Meldung angezeigt:

      • Wenn Sie auf Weiter warten klicken, wartet er weiter, bis die Beispieldaten abgerufen werden oder ein Timeout (10 Minuten) erfolgt, je nachdem, was früher eintritt. Bei einem Timeout werden auch nach 10 Minuten keine Beispieldaten abgerufen.
      • Wenn Sie auf Ohne Beispieldaten zuordnen klicken, wird die Spalte für die Zuordnung ohne Beispieldaten angezeigt.

      Das Formular „Spalten definieren“ wird angezeigt.

  2. So ordnen Sie im Formular „Spalten definieren“ Spalten zu:

    1. Definieren Sie den Indextyp: IP, IP-Bereich oder Nicht IP und wählen Sie die Indexspalte aus.
    2. (Bedingungsabhängig) Wenn der Indextyp IP oder IP-Bereich ist und die IP-Adresse in CIDR-Notation angegeben ist, wählen Sie CIDR aus.
    3. (Bedingungsabhängig) Wenn der Indextyp Nicht IP ist, werden zusätzliche Einstellungen angezeigt. Wählen Sie den Servicetyp und die Callback-Schlüssel aus und wählen Sie optional Domain abschneiden aus.

      Hinweis:
      - Wenn der Indextyp „Nicht IP“ lautet, können Sie mehrere Indexspalten in den Indexspalten auswählen. Die Werte aus allen ausgewählten Spalten werden in der ersten Indexspalte zusammengeführt, die Sie ausgewählt haben, und die zusammengeführten Werte werden für die Analyse an den Log Decoder übertragen. Beispiel: Wenn Sie in den Indexspalten 2, 4, 7 als Indexspalten auswählen, werden die Werte aus den Spalten 2, 4 und 7 in der Spalte 2 zusammengeführt und die Werte für die Analyse an Log Decoder übertragen.
      - Für Spalten wie „Indicator Title“, „Indicator Description“, „Observable Title“ oder „Observable Description“ kann keine Indexierung erfolgen, da keine Suche für diese Spalten durchgeführt werden kann.

    4. Wählen Sie in der Drop-down-Liste den Sprachschlüssel aus, der auf die Daten in jeder Spalte angewendet werden soll. Die in der Drop-down-Liste aufgeführten Metadaten basieren auf den für die Servicedefinitionswerte verfügbaren Metadaten. Sie können auch andere Metadaten hinzufügen, die auf erweitertem Know-how basieren.

    5. Klicken Sie auf Weiter.

      Das Formular Überprüfung wird angezeigt.

  3. Bevor Sie auf Fertigstellen klicken, können Sie jederzeit Folgendes tun:

    • Auf Abbrechen klicken, um den Assistenten zu schließen, ohne die Feeddefinition zu speichern
    • Auf Zurücksetzen klicken, um die Daten im Assistenten zu löschen
    • Auf Weiter klicken, um das nächste Formular anzuzeigen (wenn nicht das letzte Formular angezeigt wird)
    • Auf Vorheriges klicken, um das vorherige Formular anzuzeigen (wenn nicht das erste Formular angezeigt wird)
  4. Überprüfen Sie die Feedinformationen und klicken Sie auf Fertigstellen, wenn diese korrekt sind.
  5. Nach der erfolgreichen Erstellung der Feeddefinitionsdatei wird der Assistent für das Erstellen von Feeds geschlossen. Der Feed und die zugehörige Tokendatei werden im Feedraster aufgeführt und die Fertigstellung wird in einem Fortschrittsbalken nachverfolgt. Sie können den Eintrag ein- oder ausblenden, um festzustellen, wie viele Services enthalten sind und welche erfolgreich waren.

Hinweis: Integrität und Zustand gibt Warnmeldungen aus, falls der verfügbare Heap-Speicher des Context Hub-Servers sehr niedrig ist. Wenn der Status des Context Hub-Servers aufgrund von Speichermangel fehlerhaft ist. Weitere Informationen zum Troubleshooting bei einem OutOfMemoryError auf einem Contexthub-Server finden Sie unter „Troubleshooting“ im Handbuch Live-Services-Management.

MetaCallback-Feeds unter Verwendung des CIDR-Indexbereichs für IPv4 und IPv6

In diesem Abschnitt wird beschrieben, wie Sie CIDR-Indexbereiche für IPv4 und IPv6 in benutzerdefinierten MetaCallback-Feeds verwenden. Wie bei anderen benutzerdefinierten Feeds müssen Sie eine Feeddatendatei im CSV-Format und eine Feeddefinitionsdatei im XML-Format erstellen.

Hinweis: Die Verwendung von MetaCallback-Feeds mit CIDR-Indexbereichen wird nur über den Assistenten „Erweiterte Konfiguration“ oder die REST-Schnittstelle unterstützt.

Das folgende Beispiel zeigt den Inhalt einer CSV-Datei und einer XML-Datei für einen MetaCallback-Feed unter Verwendung der CIDR-Indexbereiche für IPv4 oder IPv6.

.csv file:

192.168.0.0/24, Sydney
192.168.1.0/24, Melbourne

.xml file:

<?xml version="1.0" encoding="UTF-8"?>

<FDF xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:noNamespaceSchemaLocation="feed-definitions.xsd">

<FlatFileFeed name="ip_test" path="ip_test.csv" separator="," comment="#">

<MetaCallback name="DstIP" valuetype="IPv4" apptype="0" truncdomain="false">

<Meta name="ip.dst"/>

</MetaCallback>

<LanguageKeys>

<LanguageKey name="alert" valuetype="Text" />

</LanguageKeys>

<Fields>

<Field index="1" type="index" range="cidr"/>

<Field index="2" type="value" key="alert" />

</Fields>

</FlatFileFeed>

</FDF>

Hinweis: Um einen CIDR-Indexbereich für Feeds mit einzelnen oder mehreren MetaCallbacks des Werttyps IPv4 oder IPv6 zu konfigurieren, MUSS das Feld des Typs „Index“ ein Bereichsattribut mit range="cidr" enthalten. Darüber hinaus wird die Konfiguration von „cidr“-Indexbereichen für Feeds mit MetaCallbacks mehrerer verschiedener Werttypen nicht unterstützt.

You are here
Table of Contents > Zusätzliche Verfahren > Managen von benutzerdefinierten Feeds > Erstellen eines benutzerdefinierten STIX-Feeds

Attachments

    Outcomes