Context Hub:メタ タイプとメタ キーのマッピングの管理

Document created by RSA Information Design and Development on Feb 15, 2017
Version 1Show Document
  • View in full screen mode
  

このトピックでは、管理者向けにContext Hubのメタ タイプとInvestigationのメタ キーとのマッピングを管理する方法を説明します。

Context Hubサービスを使用すると、Investigationビューでメタ値のコンテキスト ルックアップを実行できます。これらのメタ値は、それぞれが属するカテゴリーに基づいてメタ タイプにグループ化されます。たとえば、ip.srcip.dstなどのSecurity Analytics Investigationのメタ キーは、Context Hubではメタ タイプIPにグループ化されます。そのメタ タイプIPは、Incident Managementデータベースではalert.events.source.device.ip_addressalert.events.destination.device.ip_addressなどのメタにマッピングされます。

Investigationのメタ キーとメタ タイプのマッピングは、[Administration]>[システム]>[Investigation]ビューの[コンテキスト ルックアップ]タブで管理者が構成できます。管理者は、Context Hubでサポートされるメタ タイプのリストにInvestigationのメタ キーを追加したり、それらを削除したりできます。 

Context Hubサービスでは、メタ タイプとメタ キーのデフォルトのマッピングが事前に構成されています。デフォルトのマッピングは、特定の環境向けにカスタム マッピングを作成する必要がある場合を除き、ほとんどの構成環境に使用できます。 

注:新しいメタ タイプを追加することはできません。

デフォルトのマッピングは次のとおりです。

                                       
メタ タイプの名前メタ キー
IPdevice.ip、ip.src、ip.dst、paddr、ip.addr、alias.ip
USERuser.src、user.dst、username
DOMAINdomain.src、domain.dst
MAC_ADDRESSeth.dst、eth.src、alias.mac
FILE_NAMEfilename、sourcefile
FILE_HASHchecksum
HOSTdevice.host、alias.host

手順

Investigationのメタ キーのマッピングを管理するには、次の手順を実行します。

  1. Security Analyticsメニューで、[Administration]>[システム]を選択します。
  2. [オプション]パネルで、[Investigation]を選択します。

    [Investigation]パネルが表示されます。

  3. コンテキスト ルックアップ]タブを選択します。

    meta-key-mapping.png

  4. メタ タイプを選択すると、そのメタ タイプがマッピングされているデフォルトのメタ キーが表示されます。
  5. メタ キーを追加するには、ic-add.pngをクリックしてメタ キーを入力します。
  6. メタ キーを削除するには、メタ キーを選択してic-delete.pngをクリックします。
  7. 適用]をクリックして、変更を保存します。

新しいメタ キーを追加した場合、Investigationビューで、そのメタ キーのメタ値に対応する[コンテキスト ルックアップ]メニュー オプションが有効になります。

[Investigation]パネルの詳細については、「システム構成ガイド」の「[Investigation]パネル」トピックを参照してください。

You are here
Table of Contents > 追加の手順 > メタ タイプとメタ キーのマッピングの管理

Attachments

    Outcomes