Investigation: Administrar listas y valores de lista en Investigation

Document created by RSA Information Design and Development on Feb 9, 2017Last modified by Susan Ewald on Feb 28, 2017
Version 2Show Document
  • View in full screen mode
  

Los analistas pueden agregar listas y valores de lista para el enriquecimiento de Context Hub en las vistas de Investigation. El servicio Context Hub se incluye en RSA Security Analytics 10.6 y versiones superiores.

Cuando el servicio Context Hub está habilitado y configurado, Security Analytics proporciona datos de enriquecimiento desde Incident Management, listas personalizadas y ECAT directamente en las vistas Navegar y Eventos. Una indicación visual destaca los valores de metadatos para los cuales los datos de enriquecimiento están disponibles en las vistas de Investigation y puede hacer clic en el valor destacado para buscar la información contextual e inteligencia.

Además, desde el panel Valores en las vistas Navegar y Eventos, puede ver listas, editar valores de metadatos en una lista existente o crear una nueva lista. Cuando agrega valores de metadatos a una lista, puede investigar los valores de metadatos con la opción de búsqueda de contexto.

Requisitos previos

Para que un analista administre listas en Investigation, el administrador debe:

  • Habilitar el servicio Context Hub.
  • Asignar una función de analista con permiso Manage List from Investigation al usuario que llevará a cabo la búsqueda de contexto en las vistas de Investigation.
  • Configurar funciones y permisos adecuados, como se describe en “Permisos de funciones” y “Administrar usuarios con funciones y permisos” en la Guía de administración de usuarios y seguridad del sistema.

Agregar valores de metadatos a una lista existente

Para agregar valores de metadatos a una lista existente en Context Hub:

  1. Mientras investiga un servicio en la vista Navegar, haga clic con el botón secundario en un valor de metadatos (por ejemplo, valores bajo Dirección IP de origen, Dirección IP de destino o Nombre de usuario) y seleccione Agregar/eliminar de la lista en el menú contextual.
    F-rc-meta-list.png
    Se muestra el cuadro de diálogo Agregar/eliminar de la lista.
  2. En el campo Lista, seleccione una o más listas de la opción de menú desplegable al cual se debe agregar el valor de metadatos.
    F-add-remove-list1.png
  3. Haga clic en Guardar.
    El valor de metadatos se agrega a las listas seleccionadas.

Quitar un valor de metadatos de una lista de Context Hub en Investigation

Para quitar un valor de metadatos de la lista:

  1. En el cuadro de diálogo Agregar/eliminar de la lista, en el campo Lista, vea las listas que incluyen el valor de metadatos.
  2. Haga clic en el icono Eliminar (x) de cada lista que no debe incluir el valor de metadatos.
  3. Haga clic en Guardar.
    El valor de metadatos se elimina de la lista eliminada.

Crear una nueva lista en Investigation

Para crear una lista de Context Hub en Investigation:

  1. En el cuadro de diálogo Agregar/eliminar de la lista, haga clic en Crear lista nueva.
    F-add-remove-list2.png
  2. En el campo Nombre de lista, ingrese un nombre único para la lista.
  3. En el campo Descripción, ingrese una descripción de la lista.
  4. Haga clic en Crear para crear la lista.
  5. Haga clic en Guardar para agregar el valor de metadatos a la lista creada.
    Estas listas se consideran orígenes de datos para la recuperación de información de contexto.
You are here
Table of Contents > Realizar una investigación > Actuar conforme a un punto de desglose en la vista Navegar > Administrar listas y valores de lista en Investigation

Attachments

    Outcomes