Context Hub : Configurer Incident Management en tant que source de données

Document created by RSA Information Design and Development on Feb 3, 2017
Version 1Show Document
  • View in full screen mode
  

Cette rubrique décrit la procédure permettant de configurer Incident Management en tant que source de données pour Context Hub.

Pour utiliser le service Context Hub afin qu'il récupère des informations contextuelles à partir du service Incident Management, vous devez configurer Incident Management en tant que source de données pour Context Hub. Utilisez les procédures de cette rubrique pour ajouter Incident Management en tant que source de données pour le service Context Hub et configurer les réponses (si nécessaire) pour Incident Management.

Les réponses sont différents types d'informations contextuelles disponibles pour une source de données. La configuration de ces réponses pour la source Incident Management contrôle ce qui apparaît dans le panneau Recherche contextuelle qui s'affiche dans les vues Investigation lorsqu'une recherche contextuelle est réalisée. Les types de réponse pour la source de données Incident Management sont Incidents et Alertes.

Les réponses pour chaque source de données sont déjà configurées avec des valeurs par défaut afin d'optimiser la performance. Vous pouvez afficher ou modifier les valeurs par défaut en utilisant la procédure de cette rubrique.

Conditions préalables

Assurez-vous que :

  • le service Context Hub est activé et qu'il est disponible dans Administration > vue Services de Security Analytics.
  • Le service Incident Management est disponible et le mot de passe de la base de données Incident Management est mis de côté.

Procédures

Ajouter une source de données Incident Management

Pour ajouter Incident Management en tant que source de données pour Context Hub :

  1. Dans le menu Security Analytics, sélectionnez Administration > Services.
    La vue Services s'affiche.
  2. Dans le panneau Services, sélectionnez le service Context Hub, puis cliquez sur settings.png> Vue > Configuration.
    La vue Configuration des services de Context Hub s'affiche.
  3. Sous l'onglet Sources de données, cliquez sur Icon.png > Incident Management
    La boîte de dialogue Ajouter une source de données s'affiche.
  1. Fournissez les détails suivants sur la connexion de la base de données :
  • Activer : sélectionnez Activer pour activer la source de données Incident Management. Cette option est activée par défaut (cochée).
  • Service : Sélectionnez le service Gestion des incidents disponible.
    Les valeurs sont générées automatiquement pour les champs suivants. Modifiez les valeurs si nécessaire.
    • Hôte de base de données : nom d'hôte ou adresse IP de la base de données Incident Management.
    • Port de la base de données : le port par défaut est le port 27017.
    • Nom de la base de données : le nom par défaut de la base de données est im.
    • Nom d'utilisateur : le nom d'utilisateur par défaut est im.
  • Mot de passe : saisissez le mot de passe pour se connecter à la base de données Incident Management. Le mot de passe par défaut est im.

  • Nbre max. Requêtes simultanées : vous pouvez configurer le nombre maximum de requêtes simultanées définies par le service Context Hub à exécuter sur les sources de données configurées. La valeur par défaut est 10.
  1. Cliquez sur Tester la connexion pour tester la connexion entre Context Hub et la source de données.
  2. Cliquez sur Enregistrer pour enregistrer les paramètres.
    Incident Management est ajouté en tant que source de données pour le Context Hub configuré. La source de données Incident Management s'affiche sous l'onglet Sources de données.
    F-DS-tab.png

Configurer les réponses pour la source de données Incident Management

Pour afficher/modifier les réponses pour la source de données Incident Management :

  1. Sous l'onglet Sources de données, sélectionnez la source Incident Management et cliquez sur ic-actns2.png.
    La boîte de dialogue Configurer les réponses Incident Management s'affiche.F-Conf-IM-resp.png
  2. Dans le panneau de gauche, sélectionnez chaque réponse (Incidents ou Alertes) pour afficher et modifier les paramètres.
  3. Configurez les champs suivants :

                                    
    ChampDescription :
    ActiverCette option est désactivée par défaut (cochée) et peut être utilisée pour activer ou désactiver la réponse sélectionnée.
    Limite

    Saisissez le nombre maximum d'enregistrements (incidents ou alertes) à afficher dans le panneau Recherche contextuelle des vues Investigation lorsque la recherche contextuelle est réalisée.
    La valeur par défaut est 50.

    Par exemple, si la limite est fixée à 10, seuls 10 enregistrements s'affichent, selon un critère de temps puis de priorité, pour les incidents et la gravité des alertes.

    Requête dans les derniersSélectionnez la période (en jours) pendant laquelle les informations contextuelles du type de réponse sélectionné seront collectées. La valeur par défaut est 7 derniers jours.
    Utiliser le cacheCochez la case pour activer le cache de réponse. Lorsqu'elle est activée, Context Hub stocke les résultats de recherche dans le cache. Les demandes suivantes pour la même valeur méta sont gérées à partir du cache pour la durée configurée (Expiration du cache).
    Expiration du cachePériode (en minutes) pendant laquelle les résultats de la recherche sont stockés dans le cache après l'exécution de la recherche contextuelle. La valeur par défaut est 30 minutes.
  4. Cliquez sur Enregistrer pour enregistrer les paramètres de la source de données Incident Management.

Étapes suivantes 

Après avoir terminé la configuration, vous pouvez utiliser l'option Recherche contextuelle dans la vue Examiner > Naviguer ou la vue Investigation > Événements pour récupérer des informations contextuelles. Pour savoir comment procéder, consultez la section Afficher un contexte supplémentaire pour un point de données dans le Guide Investigation et Malware Analysis.

You are here
Table of Contents > Configuration basique > Étape 2. Configurer des sources de données pour Context Hub > Configurer Incident Management en tant que source de données pour Context Hub

Attachments

    Outcomes