Context Hub: Configurar Incident Management como un origen de datos

Document created by RSA Information Design and Development on Feb 9, 2017
Version 1Show Document
  • View in full screen mode
  

En este tema se describe el procedimiento para configurar Incident Management como un origen de datos para Context Hub.

Para usar el servicio Context Hub con el fin de obtener información contextual desde el servicio Incident Management, debe configurar Incident Management como un origen de datos para Context Hub. Utilice los procedimientos de este tema para agregar Incident Management como un origen de datos para el servicio Context Hub y configurar las respuestas (si es necesario) para Incident Management.

Las respuestas son diferentes tipos de información de contexto que están disponibles para un origen de datos. La configuración de estas respuestas para el origen Incident Management controla lo que aparece en el panel Búsqueda de contexto que se muestra en las vistas de Investigation cuando se realiza una búsqueda de contexto. Los tipos de respuestas para el origen de datos Incident Management son Incidentes y Alertas.

Las respuestas para cada origen de datos ya están configuradas con valores predeterminados con el fin de ofrecer un rendimiento óptimo. Puede ver o editar los valores predeterminados mediante el procedimiento de este tema.

Requisitos previos

Garantice que:

  • Context Hub está habilitado y el servicio está disponible en Administration > vista Servicios de Security Analytics.
  • El servicio Incident Management está disponible y la contraseña de la base de datos de Incident Management se tiene a mano.

Procedimientos

Agregar el origen de datos Incident Management

Para agregar Incident Management como un origen de datos para Context Hub:

  1. En el menú de Security Analytics, seleccione Administration > Servicios.
    Se muestra la vista Servicios.
  2. En el panel Servicios, seleccione el servicio Context Hub y haga clic en settings.png> Ver > Configuración.
    Se muestra la vista Configuración de servicios de Context Hub.
  3. En la pestaña Orígenes de datos, haga clic en Icon.png > Incident Management
    Se muestra el cuadro de diálogo Agregar origen de datos.
  1. Proporcione los siguientes detalles de conexión de la base de datos:
  • Habilitar: Seleccione Habilitar para habilitar el origen de datos Incident Management. Esta opción está habilitada de manera predeterminada (seleccionada).
  • Servicio: Seleccione el servicio Incident Management que está disponible.
    Los valores de los siguientes campos se completan automáticamente. Cambie los valores si es necesario.
    • Host de base de datos: El nombre de host o la dirección IP de la base de datos de Incident Management.
    • Puerto de base de datos: El puerto predeterminado es 27017.
    • Nombre de base de datos: El nombre predeterminado de la base de datos es im.
    • Nombre de usuario: El nombre de usuario predeterminado es im.
  • Contraseña: Ingrese la contraseña para conectarse a la base de datos de Incident Management. La contraseña predeterminada es im.

  • Rendimiento Consultas simultáneas: Puede configurar la cantidad máxima de consultas simultáneas que define el servicio Context Hub y que se ejecutarán contra los orígenes de datos configurados. El valor predeterminado es 10.
  1. Haga clic en Probar conexión para probar la conexión entre Context Hub y el origen de datos.
  2. Haga clic en Guardar para guardar la configuración.
    Incident Management se agrega como un origen de datos para Context Hub configurado. El origen de datos Incident Management agregado se muestra en la pestaña Orígenes de datos.
    F-DS-tab.png

Configurar respuestas para el origen de datos Incident Management

Para ver/editar respuestas para el origen de datos Incident Management:

  1. En la pestaña Orígenes de datos, seleccione el origen Incident Management y haga clic en ic-actns2.png.
    Se muestra el cuadro de diálogo Configurar respuestas de Incident Management.F-Conf-IM-resp.png
  2. En el panel izquierdo, seleccione cada respuesta (Incidentes o Alertas) para ver y editar la configuración.
  3. Configure los siguientes campos:

                                    
    CampoDescripción
    HabilitarEsta opción está habilitada de manera predeterminada (seleccionada) y se puede utilizar para habilitar o deshabilitar la respuesta seleccionada.
    Límite

    Ingrese la cantidad máxima de registros (incidentes o alertas) que se mostrarán en el panel Búsqueda de contexto de las vistas de Investigation cuando se realice la búsqueda de contexto.
    El valor predeterminado es 50.

    Por ejemplo, si el límite se configura en 10, solo se muestran 10 registros según la hora en primer lugar y, a continuación, la prioridad de los incidentes y la gravedad de las alertas.

    Consultar últimosSeleccione la duración (en días) para la cual se debe obtener la información contextual del tipo de respuesta seleccionado. El valor predeterminado es Últimos 7 días.
    Usar cachéSeleccione la casilla de verificación para habilitar el almacenamiento en caché de las respuestas. Cuando se habilita, Context Hub almacena los resultados de búsqueda en la caché. Las solicitudes subsiguientes para el mismo valor de metadatos se obtienen de la caché durante el tiempo configurado (Vencimiento de la caché).
    Vencimiento de la cachéEl tiempo (en minutos) que los resultados de búsqueda se almacenan en caché una vez que se realiza la búsqueda de contexto. El valor predeterminado es 30 minutos.
  4. Haga clic en Guardar para guardar la configuración del origen de datos Incident Management.

Próximos pasos 

Después de completar la configuración, puede usar la opción Búsqueda de contexto en Investigar > vista Navegar o en Investigation > vista Eventos para obtener información contextual. Para obtener instrucciones, consulte el tema Ver el contexto adicional de un punto de datos de la Guía de Investigation y Malware Analysis.

You are here
Table of Contents > Configuración básica > Paso 2. Configurar orígenes de datos para Context Hub > Configurar Incident Management como un origen de datos para Context Hub

Attachments

    Outcomes