Context Hub:データ ソースとしてのIncident Managementの構成

Document created by RSA Information Design and Development on Feb 15, 2017
Version 1Show Document
  • View in full screen mode
  

このトピックでは、Incident ManagementをContext Hubのデータ ソースとして構成する手順について説明します。

Context Hubサービスを使用してIncident Managementサービスからコンテキスト情報をフェッチするには、Incident ManagementをContext Hubのデータ ソースとして構成する必要があります。このトピックの手順に従って、Incident ManagementをContext Hubサービスのデータ ソースとして追加し、Incident Managementのレスポンスの構成(必要な場合)を行ってください。

レスポンスには、データ ソースで使用可能なさまざまなタイプのコンテキスト情報が含まれます。Incident Managementソースのレスポンスを構成することで、を実行したときにInvestigationビューの[コンテキスト ルックアップ]パネルに表示される情報を制御できます。Incident Managementデータ ソースのレスポンスのタイプには、インシデントアラートがあります。

各データ ソースのレスポンスは、パフォーマンスが最適になるようにデフォルト値が事前に設定されています。デフォルト値は、このトピックの手順に従って表示や編集が可能です。

前提条件

次の事項を確認:

  • Context Hubサービスが有効化されていて、Security Analyticsの[Administration]>[サービス]ビューで使用できること。
  • Incident Managementサービスが利用可能で、Incident Managementデータベースのパスワードが手元にあること。

手順

Incident Managementデータ ソースの追加

Incident ManagementをContext Hubのデータ ソースとして追加するには、次の手順を実行します。

  1. Security Analyticsメニューで、[Administration]>[サービス]を選択します。
    [サービス]ビューが表示されます。
  2. [サービス]パネルで、Context Hubサービスを選択し、settings.png>[表示]>[構成]をクリックします。
    Context Hubサービスの[構成]ビューが表示されます。
  3. データ ソース]タブで、Icon.png>[Incident Management]をクリックします。 
    データ ソースの追加]ダイアログが表示されます。
  1. 次のデータベース接続の詳細を指定します。
  • 有効化:[有効化]を選択して、Incident Managementデータ ソースを有効にします。このオプションはデフォルトで有効(オン)に設定されています。
  • サービス:使用可能なIncident Managementサービスを選択します。
    以下のフィールドの値は自動的に入力されます。必要に応じて値を変更します。
    • データベース ホスト:Incident Managementデータベースのホスト名またはIPアドレス。
    • データベース ポート:デフォルトのポートは27017です。
    • データベース名:デフォルトのデータベース名はimです。
    • ユーザー名:デフォルトのユーザー名はimです。
  • パスワード:Incident Managementデータベースに接続するためのパスワードを入力します。デフォルトのパスワードはimです。

  • 最大 同時実行クエリー数:Context Hubサービスで構成済みデータ ソースに対して実行するクエリーの最大同時実行数を設定できます。デフォルト値は10です。
  1. 接続のテスト]をクリックして、Context Hubとデータ ソースとの接続をテストします。
  2. 保存]をクリックして設定を保存します。
    Incident Managementが構成済みのContext Hubのデータ ソースとして追加され、追加したIncident Managementデータ ソースが[データ ソース]タブに表示されます。
    F-DS-tab.png

Incident Managementデータ ソースのレスポンスの構成

Incident Managementデータ ソースのレスポンスを表示/編集するには、次の手順を実行します。

  1. データ ソース]タブで、Incident Managementソースを選択し、 ic-actns2.pngをクリックします。
    Incident Managementのレスポンスの構成]ダイアログが表示されます。F-Conf-IM-resp.png
  2. 左側のパネルで、各レスポンス(インシデントまたはアラート)を選択し、設定を表示して編集します。
  3. 次のフィールドを設定します。

                                    
    フィールド説明
    有効化このオプションはデフォルトで有効(オン)に設定されています。選択した応答を有効または無効にすることができます。
    件数

    コンテキスト ルックアップを実行したときにInvestigationビューの[コンテキスト ルックアップ]パネルに表示するレコード(インシデントまたはアラート)の最大数を入力します。
    デフォルト値は50です。

    たとえば、制限を10に設定すると、時間を基準に最初の10個のレコードだけが表示されます。時間が同じであれば、インシデントの場合は優先度、アラートの場合は重大度に基づいて表示されるレコードが決まります。

    クエリーの対象期間選択したレスポンス タイプのコンテキスト情報をフェッチする期間(日数)を選択します。デフォルト値は7日です。
    キャッシュを使用するレスポンスのキャッシュを有効にする場合は、このチェックボックスをオンにします。有効にすると、Context Hubのキャッシュにルックアップ結果が保存されます。以降に同じメタ値に対するリクエストを行うと、キャッシュの有効期間の間はキャッシュからデータが提供されます。
    キャッシュ有効期間コンテキスト ルックアップの実行後にルックアップ結果をキャッシュに保存する時間(分)。デフォルト値は30分です。
  4. 保存]をクリックしてIncident Managementデータ ソースの設定を保存します。

次のステップ 

構成が完了したら、Investigate>[ナビゲート]ビューまたはInvestigation>[イベント]ビューの[コンテキスト ルックアップ]オプションを使用してコンテキスト情報をフェッチできます。手順については、「InvestigationおよびMalware Analysisガイド」の「データ ポイントの追加コンテキストの表示」トピックを参照してください。

You are here
Table of Contents > 基本的な設定 > ステップ2:Context Hubのデータ ソースの構成 > Context Hubのデータ ソースとしてのIncident Managementの構成

Attachments

    Outcomes