Live: Erstellen eines benutzerdefinierten Feeds

Document created by RSA Information Design and Development on May 11, 2018Last modified by RSA Information Design and Development on May 22, 2018
Version 2Show Document
  • View in full screen mode
 

Dieses Thema enthält Anweisungen zur Erstellung eines benutzerdefiniertes Feeds mithilfe einer CSV- oder STIX-formatierten Feeddatendatei in RSA NetWitness Suite.

Hinweis: Version 10.6.1 und neuere Versionen von NetWitness Suite unterstützen Structured Threat Information Expression (STIX). Weitere Informationen zu STIX und dem Erstellen eines benutzerdefinierten STIX-Feeds finden Sie in Erstellen eines benutzerdefinierten STIX-Feeds.

Mit dem Assistenten für benutzerdefinierte Feeds können Sie auf einfache Weise einen benutzerdefinierten Feed erstellen. Zum Abschluss dieses Verfahrens benötigen Sie eine Feeddatendatei im .csv- oder .xml-Format. Wenn Sie auch eine zugeordnete Feeddefinitionsdatei im .xml-Format haben, die die Struktur der Feeddatendatei beschreibt, können Sie die Feeddefinitionsdatei verwenden, um einen Feed zu erstellen. Der Assistent für benutzerdefinierte Feeds kann den Feed basierend auf einer Feeddatendatei oder basierend auf einer Feeddatendatei und der entsprechenden Feeddefinitionsdatei erstellen.

Nach Abschluss dieses Verfahrens werden Sie einen benutzerdefinierten Feed erstellt haben.

Für einen bedarfsorientierten benutzerdefinierten Feed müssen die Feeddatendatei (.csv oder STIX [.xml]) und optional die Feeddefinitionsdatei (.xml) auf dem lokalen Dateisystem verfügbar sein. Für einen wiederkehrenden benutzerdefinierten Feed müssen die Dateien unter einer URL verfügbar sein, auf die der NetWitness Suite-Server Zugriff hat.

So erstellen Sie einen benutzerdefinierten Feed:

  1. Navigieren Sie zu KONFIGURIEREN > BENUTZERDEFINIERTE FEEDS.

    Die Ansicht „Benutzerdefinierte Feeds“ wird angezeigt.

    Beispiel für die Ansicht „Feeds“

  2. Klicken Sie auf der Symbolleiste auf .

    Das Dialogfeld Feed einrichten wird angezeigt.

    Beispiel für das Dialogfeld „Feed einrichten“

  3. Um den Feedtyp auszuwählen, klicken Sie auf Benutzerdefinierter Feed und auf Weiter.

    Der Assistent Benutzerdefinierten Feed konfigurieren wird mit geöffnetem Formular Feed definieren angezeigt.

    Beispiel für das Dialogfeld „Benutzerdefinierten Feed konfigurieren“

  4. Definieren Sie einen Feed auf Grundlage einer .csv-formatierten Feeddatendatei, indem Sie im Feld Feed-Typ die Option Standard auswählen.

  5. Um eine bedarfsorientierte Feedaufgabe zu definieren, die einmal ausgeführt wird, wählen Sie im Feld Typ der Feedaufgabe die Option Ad-hoc aus und fahren Sie mit einer der folgenden Aktionen fort:

    1. (Bedingungsabhängig) Um einen auf einer .csv-formatierten Datendatei basierenden Feed zu definieren, geben Sie einen Namen für den Feed ein, wählen Sie als Datei eine .csv-Inhaltsdatei im lokalen Dateisystem aus und klicken Sie auf Weiter.
    2. (Bedingungsabhängig) Um einen auf einer XML-Feeddatei basierenden Feed zu definieren, wählen Sie Erweiterte Optionen aus.

      Erweiterte Optionen werden angezeigt:

      Beispiel für die Konfiguration von benutzerdefinierten Feeds mit erweiterten Optionen

    3. Wählen Sie eine XML-Feeddatei aus dem lokalen Dateisystem aus. Treffen Sie eine Auswahl für das Trennzeichen (Standard ist Komma), legen Sie die Kommentarzeichen fest, die in der Feeddatendatei verwendet werden (Standard ist #), und klicken Sie auf Weiter.
    4. Das Formular Services auswählen wird angezeigt. Dies ist ein Beispiel eines Formulars für einen Feed, der auf einer Feeddatendatei ohne Feeddefinitionsdatei basiert. Wenn Sie einen Feed definieren, der auf einer Feeddefinitionsdatei basiert, ist die Registerkarte Spalten definieren nicht erforderlich.

      Ansicht „Services auswählen“ des Dialogfelds „Benutzerdefinierten Feed konfigurieren“

  6. So definieren Sie einen wiederkehrenden Feed, der innerhalb eines bestimmten Datumsbereichs in spezifischen Zeitabständen wiederholt ausgeführt wird:

    1. Wählen Sie im Feld Typ der Feedaufgabe die Option Wiederkehrend aus.

      Das Formular Feed definieren enthält die Felder für einen wiederkehrenden Feed.

      Ein Beispiel für das Formular „Feed definieren“

    2. Geben Sie im Feld URL die URL ein, unter der sich die Feeddatendatei befindet, z. B. http://<hostname>/<feeddatafile>.csv, und klicken Sie auf Überprüfen.

      NetWitness Suite verifiziert den Speicherort, an dem die Datei hinterlegt ist, sodass NetWitness Suite bei jedem erneuten Aufruf automatisch nach der aktuellen Datei suchen kann.

    3. (Optional) Wenn der Zugriff auf die URL beschränkt ist und eine Authentifizierung mithilfe Ihres Benutzernamens und Passworts erfordert, wählen Sie Authentifiziert aus.

      NetWitness Suite stellt Ihren Benutzernamen und Ihr Passwort zur Authentifizierung bei der URL bereit.

    4. Wenn der NetWitness Suite-Server über einen Proxy auf die Feed-URL zugreifen soll, wählen Sie Proxy verwenden aus. Weitere Informationen zur Konfiguration eines Proxys finden Sie im Thema Konfigurieren des Proxys für NetWitness Suite im Systemkonfigurationsleitfaden. Standardmäßig ist das Kontrollkästchen Proxy verwenden nicht aktiviert.
    5. Führen Sie eine der folgenden Aktionen durch, um das Intervall für Wiederholungen zu definieren:

      • Legen Sie die Anzahl der Minuten, Stunden oder Tage zwischen den Wiederholungen des Feeds fest.
      • Legen Sie eine wöchentliche Wiederholung fest und wählen Sie die Wochentage aus.
    6. Geben Sie zum Definieren des Datumsbereichs für die Ausführung der Feedwiederholungen das Startdatum und die Startzeit sowie das Enddatum und die Endzeit an.

      Ein Beispiel für die Definition des Datumsbereichs

  7. (Bedingungsabhängig) Gehen Sie so vor, wenn Sie einen Feed auf Grundlage einer XML-Feeddatei definieren möchten:

    • Geben Sie den Namen des Feeds ein und wählen Sie Erweiterte Optionen aus.

      Die Felder „Erweiterte Optionen“ werden angezeigt.

    • Wählen Sie eine XML-Feeddatei aus dem lokalen Dateisystem aus Trennzeichen (Standard ist Komma), legen Sie die Kommentarzeichen fest, die in der Feeddatendatei verwendet werden (Standard ist #), und klicken Sie auf Weiter.

      Das Formular „Services auswählen“ wird angezeigt.

      Ein Beispiel für das Formular „Services auswählen“

  8. Um Services zu identifizieren, für die der Feed bereitgestellt werden soll, führen Sie eine der folgenden Aktionen aus:

    1. Wählen Sie einen oder mehrere Decoder und Log Decoder aus und klicken Sie auf Weiter.
    2. Klicken Sie auf die Registerkarte Gruppen und wählen Sie eine Gruppe aus. Klicken Sie auf Weiter.

      Das Formular Spalten definieren wird angezeigt.

  9. So ordnen Sie Spalten im Formular Spalten definieren zu:

    1. Definieren Sie den Indextyp: IPIP-Bereich oder Nicht IP und wählen Sie die Indexspalte aus.
    2. (Bedingungsabhängig) Wenn der Indextyp IP oder IP-Bereich ist und die IP-Adresse in CIDR-Notation angegeben ist, wählen Sie CIDR aus.
    3. (Bedingungsabhängig) Wenn der Indextyp Nicht IP ist, werden zusätzliche Einstellungen angezeigt. Wählen Sie den Servicetyp und die Callback-Schlüssel aus und wählen Sie optional Domain abschneiden aus.

      Ein Beispiel für das Formular „Spalten definieren“

    4. Wählen Sie in der Drop-down-Liste den Sprachschlüssel aus, der auf die Daten in jeder Spalte angewendet werden soll. Die in der Drop-down-Liste aufgeführten Metadaten basieren auf den für die Servicedefinitionswerte verfügbaren Metadaten. Sie können auch andere Metadaten hinzufügen, die auf erweitertem Know-how basieren.

      Auswahl des Sprachschlüssels

    5. Klicken Sie auf Weiter.

      Das Formular Überprüfung wird angezeigt.

      Ein Beispiel für das Formular „Überprüfung“

  10. Bevor Sie auf Fertigstellen klicken, können Sie jederzeit Folgendes tun:

    • Auf Abbrechen klicken, um den Assistenten zu schließen, ohne die Feeddefinition zu speichern
    • Auf Zurücksetzen klicken, um die Daten im Assistenten zu löschen
    • Auf Weiter klicken, um das nächste Formular anzuzeigen (wenn nicht das letzte Formular angezeigt wird)
    • Auf Vorheriges klicken, um das vorherige Formular anzuzeigen (wenn nicht das erste Formular angezeigt wird)
  11. Überprüfen Sie die Feedinformationen und klicken Sie auf Fertigstellen, wenn diese korrekt sind.
  12. Nach der erfolgreichen Erstellung der Feeddefinitionsdatei wird der Assistent für das Erstellen von Feeds geschlossen. Der Feed und die zugehörige Tokendatei werden im Feedraster aufgeführt und die Fertigstellung wird in einem Fortschrittsbalken nachverfolgt. Sie können den Eintrag ein- oder ausblenden, um festzustellen, wie viele Services enthalten sind und welche erfolgreich waren.

MetaCallback-Feeds unter Verwendung des CIDR-Indexbereichs für IPv4 und IPv6

In diesem Abschnitt wird beschrieben, wie Sie CIDR-Indexbereiche für IPv4 und IPv6 in benutzerdefinierten MetaCallback-Feeds verwenden. Wie bei anderen benutzerdefinierten Feeds müssen Sie eine Feeddatendatei im CSV-Format und eine Feeddefinitionsdatei im XML-Format erstellen.

Hinweis: Die Verwendung von MetaCallback-Feeds mit CIDR-Indexbereichen wird nur über den Assistenten „Erweiterte Konfiguration“ oder die REST-Schnittstelle unterstützt.

Das folgende Beispiel zeigt den Inhalt einer CSV-Datei und einer XML-Datei für einen MetaCallback-Feed unter Verwendung der CIDR-Indexbereiche für IPv4 oder IPv6.

.csv file:

192.168.0.0/24, Sydney
192.168.1.0/24, Melbourne

.xml file:

<?xml version="1.0" encoding="UTF-8"?>

<FDF xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:noNamespaceSchemaLocation="feed-definitions.xsd">

<FlatFileFeed name="ip_test" path="ip_test.csv" separator="," comment="#">

<MetaCallback name="DstIP" valuetype="IPv4" apptype="0" truncdomain="false">

<Meta name="ip.dst"/>

</MetaCallback>

<LanguageKeys>

<LanguageKey name="alert" valuetype="Text" />

</LanguageKeys>

<Fields>

<Field index="1" type="index" range="cidr"/>

<Field index="2" type="value" key="alert" />

</Fields>

</FlatFileFeed>

</FDF>

Hinweis: Um einen CIDR-Indexbereich für Feeds mit einzelnen oder mehreren MetaCallbacks des Werttyps IPv4 oder IPv6 zu konfigurieren, MUSS das Feld des Typs „Index“ ein Bereichsattribut mit range="cidr" enthalten. Darüber hinaus wird die Konfiguration von „cidr“-Indexbereichen für Feeds mit MetaCallbacks mehrerer verschiedener Werttypen nicht unterstützt.

You are here
Table of Contents > Zusätzliche Verfahren > Managen von benutzerdefinierten Feeds > Erstellen eines benutzerdefinierten Feeds

Attachments

    Outcomes