Context Hub:Context Hubのデータ ソース設定の構成

Document created by RSA Information Design and Development on Apr 18, 2018Last modified by RSA Information Design and Development on Apr 29, 2019
Version 2Show Document
  • View in full screen mode
 

必要なデータ ソースを構成した後は、お客様の要件に基づいて、データ ソースの設定をカスタマイズできます。

設定にアクセスし構成するには、次のようにします。

  1. 管理]>[サービス]に移動します。
    [サービス]ビューが表示されます。
  2. [サービス]パネルで、Context Hubサービスを選択し、>[表示]>[構成]をクリックします。
    Context Hubの[サービス]の[構成]ビューが表示されます。
  3. 設定を構成するデータ ソースを選択し、[アクション]列でをクリックします。
    次のスクリーンショットの例は、NetWitness Endpointの設定ダイアログです。
    Data source settings configuration
  4. 次のフィールドを設定します。
  5.                                            
    フィールド説明
    有効化このオプションはデフォルトで有効(オン)に設定されています。選択したデータ ソースからのレスポンスを有効化または無効化することができます。
    キャッシュ設定

    Context Hubからのすべてのルックアップは、構成した時間Context Hubのキャッシュに保存できます。それ以降の同じリクエストに対するレスポンスは、Context Hubのキャッシュからフェッチされます。
    次のキャッシュ設定を定義できます。

    • キャッシュ有効:デフォルトでは、このチェック ボックスが選択されていて、クエリのレスポンスをキャッシュします。
    • キャッシュ有効期間(分):クエリのルックアップがキャッシュに保持される最大時間。デフォルトの時間は30分、構成可能な最大数は7200分です。

    リスト値の有効期間

    有効化:リスト値が有効な日数を定義するには、[有効化]を選択します。デフォルトで、このオプションは無効になっており、値は保持されます。

    有効期間(日数):リスト値を保持する日数を入力します。

    メタ マッピング

    Context Hubに保存されたリストは、ルックアップで使用できる必要があります。Context Hubのルックアップは、メタ タイプやエンティティに基づいて行われます。例:IP、HOST、MAC ADDRESS、DOMAIN、FILE_NAME、FILE_HASH、USER。

    メタ タイプ:Context Hubで使用可能なエンティティ。

    Context Hubフィールド:リストの作成時に追加したCSVファイルの列ヘッダー。

    最小IIOCスコアNetWitness Endpontモジュールのコンテキスト情報をフェッチする場合に考慮すべき最小IIOCスコア。

    クエリの対象期間(日数)

    コンテキスト データをクエリする必要のある期間(日数)。

    件数コンテキスト ルックアップの実行時に表示するレコードの最大数。

    定期実行間隔

    必要なインターバルでコンテキスト データの取得と保存を行う繰り返しスケジュールを構成します。

  6. 次のオプションのいずれかをクリックします。

    • キャンセル:変更をキャンセルするには、このオプションを選択します。
    • 保存:変更を保存するには、このオプションを選択します。
    • 保存と終了:保存してダイアログを閉じるには、このオプションを選択します。

選択したデータ ソースによって、レスポンス グループは異なります。次の表では、各データ ソースのレスポンス グループについて説明します。

                                           
データ ソース(接続)サポートされるレスポンス グループフィールドの設定
List iconリストリスト

メタ マッピング
メタ タイプ
Context Hubフィールド

設定
データ プリフェッチ設定
定期実行のスケジュール設定
リスト値の有効期限

キャッシュ設定
キャッシュ有効
キャッシュ有効期間(分):最小30分、最大7200分

Archer iconRSA ArcherArcher

キャッシュ設定
キャッシュ有効
キャッシュ有効期間(分)

設定

属性構成のエクスポート

属性のエクスポート
データ プリフェッチ設定

定期実行のスケジュール設定

Active Directory iconActive Directoryユーザ

メタ マッピング

メタ タイプ

Context Hubフィールド

設定

データ プリフェッチ設定

定期実行のスケジュール設定

リスト値の有効期間

キャッシュ設定

キャッシュ有効

キャッシュ有効期間(分):最小30分、最大7200分

Endpoint iconRSA Endpoint             
IOC
マシン
モジュール
             
キャッシュ設定
キャッシュ有効
キャッシュ有効期間(分)
設定
コンテキスト パネル設定

キャッシュ設定
キャッシュ有効
キャッシュ有効期間(分)

設定
コンテキスト パネル設定

キャッシュ設定
キャッシュ有効
キャッシュ有効期間(分)
設定
最小IIOCスコア
コンテキスト パネル設定
Respond          
Alerts iconアラート
Incidents iconインシデント

コンテキスト パネル設定
データ プリフェッチ設定
クエリの対象期間(日数)

キャッシュ設定
キャッシュ有効
キャッシュ有効期間(分)

Live connect iconLive Connect             
ドメイン
ファイル
IP

キャッシュ設定
キャッシュ有効
キャッシュ有効期間(分)

設定
コンテキスト パネル設定

注:データ ソースの設定を構成した後に、[管理]>[サービス]>[表示]>[エクスプローラ]に移動し、Context Hubの構成パラメータを構成することができます。[エクスプローラ]ビューで構成に変更を加えた場合、Context Hubサービスを再起動する必要があります。

You are here
Table of Contents > データ ソース設定の構成

Attachments

    Outcomes