Live: Managen von benutzerdefinierten Feeds

Document created by RSA Information Design and Development on May 11, 2018Last modified by RSA Information Design and Development on May 22, 2018
Version 2Show Document
  • View in full screen mode
 

Dieses Thema erläutert die Option zum Implementieren von benutzerdefinierten Feeds mithilfe des Assistenten für benutzerdefinierte Feeds in RSA NetWitness Suite um Decoder schnell mit benutzerdefinierten Feeds und Identitätsfeeds zu füllen.

Erstellung eines benutzerdefinierten Feeds

Mit dem Assistenten unter Live > Feeds > Feed einrichten > Benutzerdefinierten Feed konfigurierenkönnen Sie schnell Decoderfeeds erstellen und anwenden. Diese Feeds basieren auf der deterministischen Logik, die speziell für die ausgewählten Decoder und Log Decoder Metaschlüssel bereitstellt. Auch wenn Sie der Assistent sowohl durch die Schritte zur Erstellung eines bedarfsorientierten Feeds als auch eines wiederkehrenden Feeds führt, sollten Sie das Format und den Inhalt einer Feeddatei bei der Erstellung eines Feeds verstehen.

Feeddateinamen in RSA NetWitness Suite haben das Format <filename>.feed. Um einen Feed zu erstellen, erfordert NetWitness Suite eine FeedDatendatei im .csv- oder .xml -Format (für STIX) und eine Feeddefinitionsdatei im .xml-Format, in der die Struktur einer Feeddatendatei beschrieben ist. Der Assistent für die Konfiguration eines benutzerdefinierten Feeds kann die Feeddefinitionsdatei basierend auf einer Feeddatendatei oder auf einer Feeddatendatei und der entsprechenden Feedkonfigurationsdatei erstellen.

Die Dateien, mit denen Sie einen bedarfsorientierten Feed erstellen, müssen in Ihrem lokalen Dateisystem gespeichert sein. Die Dateien, die zur Erstellung eines wiederkehrenden Feeds verwendet werden, müssen unter einer zugänglichen URL gespeichert werden, sodass NetWitness Suite die jeweils aktuelle Version der Datei bei jedem erneuten Aufruf abrufen kann. Nachdem ein NetWitness Suite-Feed erstellt wurde, können Sie diesen in Ihr lokales Dateisystem herunterladen, die Feeddateien bearbeiten und dann den NetWitness Suite-Feed bearbeiten, um die aktualisierten Feeddateien zu verwenden.

Beispiel für eine Feeddefinitionsdatei

Dies ist ein Beispiel für eine Feeddefinitionsdatei mit dem Namen dynamic_dns.xml, die NetWitness Suite auf Grundlage Ihrer Einträge in den Feedassistenten erstellt. Sie definiert die Struktur der Feeddatendatei namens dynamic_dns.csv.

Hinweis: Der Feeddateipfad sollte .csv sein, unabhängig vom Feedtyp (Standard oder STIX).

<?xml version="1.0" encoding="utf-8"?>
<FDF xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:noNamespaceSchemaLocation="feed-definitions.xsd">

    <FlatFileFeed name="Dynamic DNS Domain Feed"
        path="dynamic_dns.csv"
        separator=","
        comment="#"
        version="1">

        <MetaCallback
            name="alias.host"
            valuetype="Text"
            apptype="0"
            truncdomain="true"/>

        <LanguageKeys>
            <LanguageKey name="threat.source" valuetype="Text" />
            <LanguageKey name="threat.category" valuetype="Text" />
            <LanguageKey name="threat.desc" valuetype="Text" />
        </LanguageKeys>

        <Fields>
            <Field index="1" type="index" key="alias.host" />
            <Field index="4" type="value" key="threat.desc" />
            <Field index="2" type="value" key="threat.source" />
            <Field index="3" type="value" key="threat.category" />
        </Fields>
    </FlatFileFeed>

</FDF>

Feeddefinitions-Äquivalente für benutzerdefinierte Feed-Assistentenparameter

Der NetWitness Suite-Feed-Assistent verfügt über Optionen zum Definieren der Struktur der Datenfeeddatei. Diese entsprechen direkt Attributen in der Feeddefinitionsdatei (.xml). 

                                                                                         
NetWitness Suite-ParameterFeeddefinitionsdatei-Äquivalent
Registerkarte Feed definieren
Feedtyp Wählen Sie Folgendes aus: Standard – zum Definieren eines Feeds auf Grundlage einer .csv -formatierten Feeddatendatei STIX – zum Definieren eines Feeds auf Grundlage einer STIX-formatierten .xml -Datei.
Typ der Feedaufgabe Auswählen: Ad-hoc - zur Erstellung eines Feeds nach Bedarf. Wiederkehrend - zur Erstellung eines automatisch wiederkehrenden Feeds.
Name Der benutzerdefinierte Feedname in der Feeddatendatei. Er entspricht dem Attribut flatfeedfile name in der Feeddefinitionsdatei; zum Beispiel Dynamic DNS Test Feed.
Datei/Durchsuchen Dies ist der Name der Feeddatendatei. Er entspricht dem Attribut flatfeedfile path in der Feeddefinitionsdatei; zum Beispiel dynamic_dns.csv.
(STIX, wiederkehrend)

Allen Zertifikaten vertrauen

Wählen Sie Allen Zertifikaten vertrauen aus, wenn Sie das Zertifikat des REST-Servers nicht überprüfen möchten. Diese Option ist standardmäßig aktiviert.

(STIX, wiederkehrend)

Zertifikat/Durchsuchen

Klicken Sie für die Clientauthentifizierung mit der REST-URL im Feld Zertifikat auf Durchsuchen und wählen Sie das selbst signierte Zertifikat aus. Folgende Zertifikatformate werden unterstützt: CER, CRT mit Base64- und DER-kodierten Dateien.

Registerkarte Feed definieren - Erweiterte Optionen
 XML-FeeddateiDer Name der Feeddefinitionsdatei, zum Beispiel dynamic_dns.xml..
Separator Das verwendete Trennzeichen, um die Attribute in der Feeddatendatei voneinander zu trennen. Er entspricht dem flatfeedfile separator in der Feeddefinitionsdatei; zum Beispiel ein Komma.
Anmerkung Das verwendete Zeichen, um einen Kommentar in der Feeddatendatei zu kennzeichnen. Er entspricht dem Attribut flatfeedfile comment in der Feeddefinitionsdatei, zum Beispiel #.
STIX-Daten entfernen, die älter sind als

Die Anzahl der Tage, über die die STIX-Pakete, die vom TAXII-Server heruntergeladen wurden, gespeichert werden müssen. Die STIX-Pakete, die älter als die angegebene Anzahl von Tagen sind, werden automatisch gelöscht. Der Standardwert beträgt 180 Tage, was auch dem Maximum entspricht.

Registerkarte Services auswählenWählen Sie die Services aus, an die Sie den Datenfeed senden möchten.
(Registerkarte Spalten definieren, Index definieren) Typ

Der Typ des Suchwerts in der Indexposition der Feeddatendatei.
IP bedeutet, dass jede Zeile in der Feeddatendatei eine IP-Adresse in der Suchwertposition enthält. Der IP-Wert wird in Dezimalpunktschreibweise angegeben (Zum Beispiel 10.5.187.42).

IP-Bereich bedeutet, dass jede Zeile in der Feeddatendatei einen IP-Adressbereich in der Suchwertposition enthält. Der IP-Bereich wird im CIDR-Format angegeben (zum Beispiel 192.168.2.0/24). Nicht IP bedeutet, dass jede Zeile in der Feeddatendatei einen Metadatenwert außer IP-Adressen in der Suchwertposition enthält. Die Felder Servicetyp, Domain abschneiden und Callback Keys werden für einen Nicht IP-Index aktiv.
(Registerkarte Spalten definieren, Index definieren) CIDRGibt an, dass der IP-Wert in der Suchwertposition im CIDR-Format ist. Das Attribut CIDR stellt das Format der IP-Adresse im Feld auf die CIDR-(Classless Inter-Domain Routing)-Notation ein.
(Registerkarte „Spalten definieren“, „Index definieren“)
Servicetyp
Für einen Nicht IP-Index, der ganzzahlige Servicetyp, um Metasuchwerte zu filtern. Er entspricht dem Attribut MetaCallback-Apptyp in der Feeddefinitionsdatei. Ein Wert von 0 zeigt an, dass nicht nach Servicetyp gefiltert wird.
(Registerkarte „Spalten definieren“, „Index definieren“)
Domain abschneiden
Für einen Nicht IP-Index, für Metawerte, die Domainnamen enthalten (zum Beispiel Hostnamen), kann das System das hostspezifische Element in den Daten entfernen. Domain abschneiden entspricht dem Attribut MetaCallback truncdomain. Wenn der Wert www.example.com ist, wird er auf example.com gekürzt. Ein Wert Falsch bedeutet, dass nicht gekürzt wird, Wahr bedeutet, dass gekürzt wird.
(Registerkarte „Spalten definieren“, „Index definieren“)
Callback-Schlüssel
Für einen Nicht IP-Index sind die verfügbaren Metaschlüssel zur Zuordnung anstelle von ip.src/ip.dst (die Standards für den IP-Indextyp) aus der Drop-down-Liste auswählbar. Der Rückrufschlüssel entspricht dem Attribut MetaCallbackname und die Indexspalte der CSV-Datei muss die Daten enthalten, die zu dem ausgewählten Metaschlüssel passen. Wenn zum Beispiel der Metaschlüssel „Benutzername“ ausgewählt wurde, muss die Indexspalte der CSV-Datei dazu passende Benutzer enthalten.
(Registerkarte „Spalten definieren“, „Index definieren“)
Indexspalte
Identifiziert die Spalte in der Feeddatendatei, die den Suchwert für die Zeile bereitstellt. Jede Position in jeder Zeile der Feeddatendatei wird durch ein Feldindex-Attribut in der Feeddefinitionsdatei identifiziert. Ein Feld mit einem Index von 1 ist der erste Eintrag in einer Zeile, das zweite Feld hat einen Index von 2, das dritte Feld hat einen Index von 3 und so weiter. Sie können mehrere Indexspalten auswählen, wenn der Feedtyp STIX und der Indextyp Nicht IP ist. Wenn Sie mehrere Indexspalten auswählen, werden die Werte aus allen ausgewählten Spalten in der ersten Indexspalte zusammengeführt, die Sie ausgewählt haben.
(WERTE DEFINIEREN)Schlüssel Der Name des LanguageKey, wie in der Feeddefinitionsdatei definiert, für den Metadaten von dieser Zeile der Feeddatendatei erstellt werden. Er entspricht dem Attribut Feldschlüssel in der Feeddefinitionsdatei. Ein Schlüssel gilt nur für ein Feld, dessen Typ auf Wert eingestellt ist. In der Feeddefinitionsdatei gibt es eine Liste von LanguageKeys von index.xml oder ein zusammenfassender Name, wenn Quellenname und Zielname verwendet werden. (Zum Beispiel ist reputation ein zusammenfassender Name für reputation.src und reputation.dst). Dieser Wert wird durch das Attribut Feldschlüssel referenziert.

Nächste Schritte 

You are here
Table of Contents > Zusätzliche Verfahren > Managen von benutzerdefinierten Feeds

Attachments

    Outcomes