Context Hub : Gérer le mappage du type de méta et de la clé méta par défaut

Document created by RSA Information Design and Development on Apr 18, 2018Last modified by Susan Ewald on Apr 18, 2018
Version 2Show Document
  • View in full screen mode
 

En tant qu’administrateur, vous gérez le mappage des types de méta Context Hub avec les clés méta NetWitness.

Le service Context Hub fournit une recherche contextuelle des métavaleurs dans les vues Répondre et Procédure d’enquête. Ces métavaleurs sont regroupées en types de métadonnées selon la catégorie à laquelle ils appartiennent. Les clés méta de NetWitness Suite Respond et Investigation, par exemple ip.src et ip.dst, sont regroupées dans le type de métadonnées IP dans Context Hub. Le type de métadonnées IP est mappé à son tour à des métadonnées telles que alert.events.source.device.ip_address et alert.events.destination.device.ip_address dans la base de données RÉPONDRE.

Dans la vue ADMIN> Système > Procédure d’enquête, l'onglet Recherche contextuelle permet à l'administrateur de configurer le mappage des clés méta et du type de méta dans NetWitness. L'administrateur peut ajouter ou supprimer des clés méta à la liste des types de métadonnées pris en charge par Context Hub. 

Le service Context Hub est préconfiguré avec un mappage par défaut des types de métadonnées aux clés méta. Il est censé fonctionner pour la plupart des déploiements, sauf si des mappages personnalisés sont créés pour votre déploiement spécifique. 

Remarque : Vous ne pouvez pas ajouter un nouveau type de métadonnées.

Le mappage par défaut est indiqué cidessous :

                                       
Nom de type de métadonnéesClés méta
IP

device.ip, ip.src, ip.dst, ip.addr,ipv6.src, alias.ip, ipv6.addr, device.ipv6,forward.ip, forward.ipv6,ipv6.dst, ipv6.addr, stransaddr, transaddr

USERuser.src, user.dst, username, event user
DOMAINdomain.src, domain.dst,fqdn, web.domain, domain, sdomain, ddomain
MAC_ADDRESSeth.dst, eth.src, alias.mac
FILE_NAMEfilename, sourcefile
FILE_HASHchecksum
HÔTEdevice.host, alias.host, host.src, host.dst

Procédure

Pour gérer le mappage des clés méta Investigation :

  1. Accédez à ADMIN > Système.
  2. Dans le panneau des options, sélectionnez Procédure d'enquête.

    Le panneau Configuration des procédures d'enquête s’affiche.

  3. Sélectionnez l'onglet Recherche contextuelle.

    Mappez au moins une clé méta à un type de métadonnées.

  4. Sélectionnez un type de métadonnées pour visualiser les clés méta par défaut mappées à ce type de métadonnées.
  5. Pour ajouter une clé méta, cliquez sur , puis saisissez la clé méta.
  6. Pour supprimer une clé méta, sélectionnez-la, puis cliquez sur .
  7. Pour enregistrer les modifications, cliquez sur Appliquer.
  8. Pour ajouter un nouveau méta, il doit être inclus dans le fichier d’index personnalisé du Concentrator. Par exemple, si vous souhaitez ajouter un méta nom de domaine complet, vous aurez besoin ajouter une nouvelle entrée : key name="fqdn" description="Fully Qualified Domain Name="IndexValues" form-at="Text" valueMax="100" /> dans le fichier d’index. Pour plus d’informations sur l’ajout d’un nouveau méta dans le fichier d’index, consultez la rubrique Index Customization dans le documentCore Database Tuning Guide. Une fois que vous avez ajouté le nouveau méta, vous pouvez afficher les informations contextuelles en cliquant sur l’option Pivoter vers la fonction Enquêter dans la vue Répondre.

Si une nouvelle clé méta est ajoutée, l'option de menu Recherche contextuelle est activée pour les métavaleurs situées sous la clé méta. Pour plus d'informations, consultez la rubrique Panneau Configuration des procédures d'enquête dans le Guide de configuration système.

You are here
Table of Contents > Managing Context Hub > Manage Meta Type and Meta Key Mapping

Attachments

    Outcomes