Context Hub : Gérer le mappage du type de méta et de la clé méta par défaut

Document created by RSA Information Design and Development on Feb 3, 2017
Version 1Show Document
  • View in full screen mode
  

Cette rubrique fournit des instructions destinées à un administrateur pour gérer le mappage des types méta Context Hub à l'aide des clés méta Investigation.

Le service Context Hub fournit une recherche contextuelle des métavaleurs dans les vues Investigation. Ces métavaleurs sont regroupées en types de métadonnées selon la catégorie à laquelle ils appartiennent. Les clés méta de Security Analytics Investigation, par exemple ip.src et ip.dst, sont regroupées dans le type de métadonnées IP au sein de Context Hub. Le type de métadonnées IP est mappé à son tour à des métadonnées telles que alert.events.source.device.ip_address et alert.events.destination.device.ip_address dans la base de données Incident Management.

Dans Administration > Système > vue Investigation, l'onglet Recherche contextuelle permet à l'administrateur de configurer le mappage des clés méta aux types de métadonnées Investigation. L'administrateur peut ajouter ou supprimer des clés méta de procédure d'enquête à la liste des types de métadonnées pris en charge par Context Hub. 

Le service Context Hub est préconfiguré avec un mappage par défaut des types de métadonnées aux clés méta. Il est censé fonctionner pour la plupart des déploiements, sauf si des mappages personnalisés sont créés pour votre déploiement spécifique. 

Remarque : Vous ne pouvez pas ajouter un nouveau type de métadonnées.

Le mappage par défaut est indiqué cidessous :

                                       
Nom de type de métadonnéesClés méta
IPdevice.ip, ip.src, ip.dst, paddr, ip.addr, alias.ip
USERuser.src, user.dst, username
DOMAINdomain.src, domain.dst
MAC_ADDRESSeth.dst, eth.src, alias.mac
FILE_NAMEfilename, sourcefile
FILE_HASHchecksum
HÔTEdevice.host, alias.host

Procédure

Pour gérer le mappage des clés méta Investigation :

  1. Dans le menu Security Analytics, sélectionnez Administration > Système.
  2. Dans le panneau des options, sélectionnez Procédures d'enquête.

    Le panneau Configuration des procédures d'enquête s’affiche.

  3. Sélectionnez l'onglet Recherche contextuelle.

    meta-key-mapping.png

  4. Sélectionnez un type de métadonnées pour visualiser les clés méta par défaut mappées à ce type de métadonnées.
  5. Pour ajouter une clé méta, cliquez sur ic-add.png, puis saisissez la clé méta.
  6. Pour supprimer une clé méta, sélectionnezla, puis cliquez sur ic-delete.png.
  7. Pour enregistrer les modifications, cliquez sur Appliquer.

Si une nouvelle clé méta est ajoutée, l'option de menu Recherche contextuelle est activée pour les métavaleurs situées sous la clé méta en question dans les vues Investigation.

Pour plus d'informations sur le Panneau Configuration des procédures d'enquête, reportez-vous à Panneau Configuration des procédures d'enquête dans le Guide de configuration système.

You are here
Table of Contents > Procédures supplémentaires > Gérer le mappage du type de méta et de la clé méta par défaut

Attachments

    Outcomes