Context Hub : Configurer des listes en tant que sources de données

Document created by RSA Information Design and Development on Apr 18, 2018Last modified by Susan Ewald on Apr 18, 2018
Version 2Show Document
  • View in full screen mode
 

Répertorie lorsqu’une source de données utilise le service Context Hub pour extraire des informations contextuelles pour les types de métadonnées qui prennent en charge la recherche contextuelle. Vous pouvez créer une ou plusieurs listes et ajouter des valeurs de liste appropriées à la liste. Veillez à créer une liste significative, par exemple des adresses IP sur liste noire, des adresses IP sur liste blanche, et ainsi de suite. Ces listes peuvent contenir des entités prises en charge, par exemple une adresse IP, une adresse MAC, un nom d’utilisateur, un nom d’hôte, un nom de domaine, un nom de fichier ou un hachage de fichier. Dans l’onglet Source de données, vous pouvez importer une liste à une seule colonne ou à plusieurs colonnes.

Les valeurs de liste sont au format CSV, disponibles dans un emplacement externe et accessibles via les deux méthodes suivantes :

  • Zone de stockage de fichiers local : Vous pouvez partager un fichier à partir d’un emplacement local.
  • HTTP(S) : Vous pouvez partager un fichier à l’aide d’un emplacement de serveur Web.

Remarque : Vous pouvez également définir une tâche récurrente pour extraire les données à intervalles réguliers en utilisant les paramètres Lecture préalable lors de la configuration du mappage des métadonnées.

Conditions préalables

Avant de configurer la source de données Listes, vérifiez que :

  • L’utilisateur doit disposer des autorisations d’administration.
  • Le service Context Hub est disponible dans ADMIN> Services vue de NetWitness Suite.
  • Si vous utilisez le stockage de fichiers local ou un serveur HTTP(S), le chemin d’accès indiqué doit contenir le fichier CSV.
    En cas de stockage de fichiers locaux distant, le fichier doit être monté ou placé dans l’emplacement du disque local /var/lib/netwitness/contexthub-server/data.
  • L’utilisateur NetWitness doit avoir des autorisations en lecture pour accéder au fichier.

Ajouter une source de données de liste à l’aide d’une zone de stockage de fichiers local

Pour ajouter une liste en tant que source de données :

  1. Accédez à ADMINServices.
    La vue Services s'affiche.
  2. Sélectionnez le service Context Hub et cliquez sur > Vue > Config.
    La vue Configuration des services de Context Hub s'affiche.
  3. Sous l’onglet Sources de données, cliquez sur  > LISTES
    La boîte de dialogue Ajouter une source de données s'affiche.
  4. Par défaut, la case Activer est activée. Si cette option est désactivée, le bouton Enregistrer est désactivé, vous ne pouvez pas ajouter la source de données, afficher la liste dans l’onglet des listes liste et afficher les informations contextuelles.
  5. Sélectionnez le type de connexion de Zone de stockage de fichiers local.
    Pour ajouter une liste en tant que source de données
  1. Fournissez les détails suivants sur la connexion de la base de données :
  • Renseignez les champs suivants pour le type de connexion de la zone de stockage de fichiers local :
    • Nom : Indiquez un nom pour la source de données de liste.
    • Chemin : Ce champ affiche tous les fichiers de données disponibles dans le dossier de données /var/lib/netwitness/contexthub-server/data, dans lequel le service Context Hub s’exécute. Sélectionnez le nom du fichier dans la liste déroulante.
      32 colonnes de fichier CSV au maximum sont prises en charge, conformément aux normes qui sont conformes aux normes RFC1480.
    • (Facultatif) Description : Ajoutez une description pour le fichier sélectionné.
    • Avec en-têtes de colonne : Sélectionnez cette option pour considérer la première ligne comme les en-têtes de colonne du fichier CSV. Si vous ne sélectionnez pas cette option, vous devrez saisir les en-têtes de colonne dans l'écran suivant.

    Remarque : Pour le type de connexion du stockage de fichiers lLocal, le fichier peut être monté ou copié sur le disque local. En outre, l’utilisateur doit avoir l’autorisation de lecture pour le dossier /var/lib/netwitness/contexthub-server/data sur la machine de Context Hub.

  1. Cliquez sur Valider.
    Si la validation échoue, vous ne pouvez pas ajouter la source de données.
  2. Cliquez sur Suivant.
    La boîte de dialogue suivante s’affiche.

  3. Sélectionnez l'une des options suivantes :
    Ajouter : sélectionnez cette option pour ajouter les valeurs importées à une liste existante.
    Remplacer : sélectionnez cette option pour remplacer les valeurs d’une liste existante par les valeurs importées.
  4. Dans la section Expiration des valeurs de liste, l’option Activer est par défaut désactivée. Si vous souhaitez stocker les valeurs de liste consultées dans le cache pendant un nombre de jours spécifié,activez la case à cocher Activer et indiquez le nombre de jours dans le champ durée de vie (jours) pour les valeurs de liste à conserver.
  5. Dans l’écran suivant, mappez au moins une clé méta à un ou plusieurs types de métadonnées en mappant un en-tête de colonne à une métadonnée. La description de chaque champ est comme suit :
  • En-tête de colonne : Affiche les en-têtes du fichier CSV à mapper à un type de métadonnée.
  • Mappage de métadonnée : Mappez un champ d'en-tête de colonne à un type de métadonnée.
  • Valeurs : Affiche les trois premières valeurs de la liste importée.
  1. Cliquez sur Enregistrer.

Ajouter la source de données de liste à l’aide de HTTP(S)

Pour ajouter une liste en tant que source de données :

  1. Sélectionnez ADMINServices.
    La vue Services s'affiche.
  2. Sélectionnez le service Context Hub et cliquez sur > Vue > Config.
    La vue Configuration des services de Context Hub s'affiche.
  3. Sous l’onglet Sources de données, cliquez sur  > LISTES
    La boîte de dialogue Ajouter une source de données s'affiche.
  4. Sélectionnez le type de connexion HTTP(S).

  • Renseignez les champs suivants pour le type de connexion HTTP(S).
    • Nom : Indiquez un nom pour la source de données de liste.
    • URL : Saisissez le chemin d’accès du fichier CSV disponible à l’emplacement HTTP(S), ainsi que le nom d’hôte ou l’adresse IP de l’ordinateur distant sur lequel se trouve la liste. L’URL doit être au format : https://<Hostname or IP-address of the HTTP(S)server>:<Port on which the HTTP(S) server is hosted>/<Absolute path of CSV file>. Par exemple, https://10.1.1.1:443/contexthub_lists/multi_user_list.csv
    • (Facultatif) Description : Ajoutez une description pour le fichier sélectionné.
    • (Facultatif) Nom d'utilisateur Saisissez le nom d’utilisateur nécessaire pour se connecter au serveur HTTP(S) qui requiert une authentification de base.
    • (Facultatif) Mot de passe : Saisissez le mot de passe nécessaire pour se connecter au serveur HTTP(S) qui requiert une authentification de base.
    • Avec en-têtes de colonne : Sélectionnez cette option si vous souhaitez importer un fichier CSV avec des en-têtes. Si cette option est sélectionnée et que vous importez le fichier CSV sans les en-têtes, la première ligne sera considérée comme un en-tête modifiable.
    • SSL : Si vous saisissez une URL avec le protocole HTTPS dans ce champ, cette option est sélectionnée automatiquement. Si vous saisissez une URL avec le protocole HTTP, cette case est désactivée.

    • Approuver tous les certificats : Activez cette case pour ajouter la source de données sans valider le certificat. Si vous désactivez cette option, vous devez télécharger un certificat de serveur HTTP(S) au format .cer ou .crt valide pour que la connexion soit établie.
  1. Cliquez sur Tester la connexion pour tester la connexion entre Context Hub et la source de données.
  2. Cliquez sur Enregistrer pour enregistrer les paramètres.
    La liste est ajoutée comme source de données pour le Context Hub configuré et s’affiche dans l’onglet Sources de données.


Étapes suivantes :

  • Ajouter, modifier ou supprimer des valeurs d’une liste spécifique.
  • Configurer les paramètres de source de données afin de déterminer les champs de source de données à afficher dans le panneau Contexte. Pour savoir comment procéder, reportez-vous à la rubrique Configurer les paramètres de source de données pour Context Hub .
  • Importer et exporter une liste. Pour plus d'informations, reportez-vous à Importer ou exporter des listes pour Context Hub.
  • Affichez les données contextuelles dans le panneau Récapitulatif du contexte de la vue Répondre ou Enquêter. Pour plus d’informations, reportez-vous au Guide d’utilisation RSA NetWitness Respond et au Guide d’utilisation RSA Netwitness Investigation et Malware Analysis.
Previous Topic:How Context Hub Works
You are here
Table of Contents > Configure Lists as a Data Source

Attachments

    Outcomes