Présentation du service Context Hub

Document created by RSA Information Design and Development on Apr 18, 2018Last modified by Susan Ewald on Apr 18, 2018
Version 2Show Document
  • View in full screen mode
 

 

Context Hub est un service comportant une fonctionnalité de recherche de fournisseur d'enrichissement dans les vues Répondre et Procédure d'enquête. L’administrateur peut configurer le service Context Hub et les sources de données afin de permettre à l’analyste d’effectuer la recherche contextuelle pour les sources de données requises.

Par défaut, le service Context Hub prend en charge les recherches de fournisseur d’enrichissement pour les types de métadonnées tels que l’adresse IP, l’utilisateur, le domaine, l’adresse MAC, le nom de fichier, le hachage de fichier et l’hôte.

Les sources de données suivantes sont prises en charge par NetWitness Suite et fournissent des données enrichies lorsqu’elles sont configurées.

Listes - fournit des informations contextuelles à partir d’une liste de listes noires, de listes blanches ou de listes de surveillance.

RSA Archer - fournit des informations sur le degré de criticité d’un périphérique ou d’une ressource spécifique en fonction de l’adresse IP ou de l’hôte qui a besoin d’une surveillance constante.

Active Directory - fournit les informations contextuelles d’un utilisateur pour mieux déterminer si l’utilisateur est suspect ou non.

RSA NetWitness® Endpoint - fournit des informations contextuelles pour les indicateurs de module et d’ordinateur de point de terminaison et pour mieux déterminer si l’un des périphériques de point de terminaison est compromis.

Respond - fournit les informations contextuelles d’une métadonnée spécifique disponible dans Respond et permet à l’analyste de réagir plus vite en fonction des données contextuelles.

Live Connect - fournit des informations contextuelles pour les adresses IP, les domaines et les hachages de fichier dans le serveur de communauté des renseignements sur les menaces RSA Live Connect.

 

Présentation de la configuration de Context Hub

L'administrateur doit effectuer chaque étape dans l'ordre approprié pour configurer les services de telle manière qu’ils effectuent la recherche contextuelle de manière efficace. Dans la vue ADMIN> Services. Configuration des services du service Context Hub, les administrateurs peuvent configurer les sources de données pour le service Context Hub. Les administrateurs peuvent configurer les recherches contextuelles pour les clés méta personnalisées, si nécessaire. Ils peuvent aussi importer ou exporter des listes.

Le workflow ci-dessous présente la manière de configurer le service Context Hub :

Workflow du fonctionnement du service Context Hub

Le service Context Hub est préinstallé sur l’hôte ESA primaire et ajouté automatiquement à NetWitness Suite.

Remarque : Seule une instance de service Context Hub peut être activée dans votre déploiement NetWitness Suite. En cas d'existence de plusieurs services ESA dans NetWitness Suite, vous devez choisir l'hôte ESA approprié au service Context Hub. Un minimum de 8 Go d'espace est requis pour configurer Context Hub sur l'hôte ESA.

 

 

 

You are here
Table of Contents > How Context Hub Works

Attachments

    Outcomes