Context Hub : Configurer Archer en tant que source de données

Document created by RSA Information Design and Development on Apr 18, 2018Last modified by RSA Information Design and Development on Apr 28, 2019
Version 3Show Document
  • View in full screen mode
 

Vous pouvez configurer Archer comme source de données pour Context Hub et utiliser le service Context Hub pour récupérer des informations contextuelles à partir d'Archer.  Utilisez les procédures de cette rubrique pour ajouter Archer comme source de données pour le service Context Hub et configurer les paramètres (si nécessaire) pour Archer. 

Conditions préalables

Avant de configurer la source de données Archer, vérifiez que :

  • le service Context Hub est disponible dans la vue ADMIN> Services de NetWitness Platform.
  • Archer est installé avec une licence pour l'application Périphériques.

 

Pour ajouter Archer comme source de données pour Context Hub :

  1. Accédez à ADMINServices.
    La vue Services s'affiche.
  2. Sélectionnez le service Context Hub, puis cliquez sur  > Vue > Config
    La vue Configuration des Services s'affiche.
  3. Sous l'onglet Sources de données, cliquez sur Archer
    La boîte de dialogue Ajouter une source de données s'affiche.
    Add Archer as a data source
  4. Fournissez les informations suivantes :

    • Par défaut, la case Activer est activée. Si cette option est désactivée, le bouton Enregistrer est désactivé et vous ne pouvez pas ajouter la source de données et afficher les informations contextuelles.
    • Renseignez les champs suivants :
      • Nom : Indiquez le nom de la source de données Archer.
      • Hôte : Indiquez le nom d'hôte ou l'adresse IP où le serveur Archer est installé.
      • SSL: Par défaut, cette option est sélectionnée et permet d'établir une communication SSL avec Archer.
      • Approuver tous les certificats : Activez cette case pour ajouter la source de données sans valider le certificat. Si vous désactivez cette option, vous devez télécharger un certificat de serveur Endpoint valide pour que la connexion soit établie.
      • Port : Le port par défaut est 443.
      • Nom d'utilisateur : Saisissez le nom d'utilisateur du serveur Archer.
      • Mot de passe: Saisissez le mot de passe du serveur Archer.
      • Instance : Saisissez le nom de l'instance à partir de laquelle vous souhaitez extraire des données. Une instance de RSA Archer est une configuration unique qui inclut un contenu unique dans une base de données, la connexion à la base de données, l'interface et la connexion. Vous pouvez avoir des instances individuelles pour chaque emplacement ou région, ou pour les environnements de développement, de test et de production. La base de données de l'instance stocke le contenu de RSA Archer pour une instance spécifique.
      • Base contextuelle : Saisissez le nom du répertoire virtuel où les fichiers sont stockés. Par exemple, rsaarcher situé à l'adresse Web RSA Archer https://archer.company.com/rsaarcher/default.aspx. Si les fichiers sont stockés dans l'adresse Web par défaut IIS https://archer.company.com/default.aspx, ce champ doit être vide.
      • Nbre max. Requêtes simultanées : Vous pouvez configurer le nombre maximum de requêtes simultanées définies par le service Context Hub à exécuter sur les sources de données configurées. La valeur par défaut est 10.
  5. Cliquez sur Tester la connexion pour tester la connexion entre la source de données Archer et Context Hub.
  6. Cliquez sur Enregistrer.
    Archer est ajouté comme source de données pour Context Hub et s'affiche dans l'onglet Sources de données.
    Added Archer as a Data Source
 

Après avoir ajouté la source de données, vous pouvez configurer les paramètres de cette source de données. Pour savoir comment procéder, reportez-vous à la section Configurer les paramètres de source de données pour Context Hub . Vous pouvez afficher les données contextuelles dans le panneau Récapitulatif du contexte de la vue Répondre ou Enquêter. Pour savoir comment procéder, reportez-vous au Guide d'utilisation de NetWitness Respond et au Guide d'utilisation Investigation et Malware Analysis.

Configurer la source de données Archer

Une fois que vous avez configuré les sources de données requises, vous pouvez personnaliser les paramètres des sources de données en fonction de vos besoins.

Pour accéder aux paramètres et les configurer :

  1. Accédez à ADMIN> Services.
    La vue Services s'affiche.
  2. Dans le panneau Services, sélectionnez le service Context Hub, puis cliquez sur > Vue > Config.
    La vue Configuration des services de Context Hub s'affiche.
  3. Sélectionnez la source de données pour laquelle vous souhaitez configurer les paramètres, puis cliquez sur dans la colonne Actions.
    La capture d'écran suivante est un exemple de la boîte de dialogue Configuration de RSA Archer :
    Data source settings configuration
  4. Dans l’onglet Paramètres. Configurez les champs suivants :
  5.                    
    ChampDescription
    ActiverCette option est activée par défaut (cochée) et peut être utilisée pour activer ou désactiver la réponse de la source de données sélectionnée.
    Paramètres du cache

    Toute recherche de Context Hub peut être stockée dans le cache de Context Hub pour une durée configurée. La réponse à toute demande ultérieure correspondante sera extraite à partir du cache de Context Hub.
    Cette section permet de définir les paramètres de cache suivants pour la requête :

    • Cache activé : Par défaut, cette case est cochée et la réponse à la requête est mise en cache.
    • Expiration du cache (minutes) : Durée maximale de conservation de la requête dans le cache. La durée par défaut est de 30 minutes et la durée maximale de 7 200 minutes. Vous pouvez les configurer.
  6. Cliquez sur Paramètres du cache. Configurez les champs suivants 


                           
ChampDescription
Exporter la configuration des attributsDans Paramètres, Exporter la configuration des attributs, cliquez sur Exporter pour exporter la configuration des attributs Archer. Il s'agit des attributs visibles dans la recherche contextuelle lors de l'affichage des détails d'Archer pour une adresse IP, un hôte ou un Mac. Un fichier de configuration JSON est téléchargé et l'ordre des attributs synchronisés avec la liste dans le panneau contextuel est conservé dans le fichier JSON.
Configuration des attributs d'importation

Si vous souhaitez mettre à jour ou modifier les paramètres de configuration dans Paramètres, Importer la configuration des attributs, cliquez sur Parcourir. Sélectionnez le fichier JSON contenant les attributs de configuration.

Les attributs apparaissent dans le panneau Recherche contextuelle lorsqu'un utilisateur affiche le contexte, dans l'ordre dans lequel ils ont été importés.

Remarque : Vous pouvez sauvegarder les attributs précédents avant d'importer les modifications apportées aux attributs existants.

Paramètres de la lecture préalable des donnéesDans Paramètres, Paramètres de la lecture préalable des données permet d’effectuer une lecture préalable des données. Configurez la Récurrence régulière pour fournir des données plus rapidement lorsque vous survolez avec la souris l'entité souhaitée dans Respond.
Récurrence régulièreDans le champ Répéter tous les, entrez une valeur ou utilisez la liste déroulante pour configurer la périodicité de la prérécupération. La durée de temps par défaut peut être sélectionnée dans la liste déroulante pour configurer la durée de la périodicité. Les valeurs disponibles sont les minutes, les heures, les jours ou les semaines.
  1. Cliquez sur l'une des options suivantes :

    • Annuler - Sélectionnez cette option pour annuler les modifications.
    • Enregistrer - Sélectionnez cette option pour enregistrer les modifications.
    • Enregistrer et fermer - Sélectionnez cette option pour enregistrer et fermer la boîte de dialogue.

Remarque : Une fois les paramètres de source de données configurés, vous pouvez configurer les paramètres de configuration de Context Hub en accédant à ADMIN> Services> Vue > Explorer. Veillez à redémarrer le service Context Hub si vous apportez des modifications de configuration dans la vue Explorer.

 

You are here
Table of Contents > Configurer Archer en tant que source de données

Attachments

    Outcomes