Context Hub:Context Hubのデータ ソース設定の構成

Document created by RSA Information Design and Development on Apr 18, 2018
Version 1Show Document
  • View in full screen mode
 

必要なデータ ソースを構成した後は、お客様の要件に基づいて、データ ソースの設定をカスタマイズできます。

設定にアクセスし構成するには、次のようにします。

  1. 管理]>[サービス]に移動します。
    [サービス]ビューが表示されます。
  2. [サービス]パネルで、Context Hubサービスを選択し、>[表示]>[構成]をクリックします。
    Context Hubの[サービス]の[構成]ビューが表示されます。
  3. 設定を構成するデータ ソースを選択し、[アクション]列でをクリックします。
    次のスクリーンショットの例は、NetWitness Endpointの設定ダイアログです。
    データ ソース設定の構成
  4. 次のフィールドを設定します。
  5.                                            
    フィールド説明
    有効化このオプションはデフォルトで有効(オン)に設定されています。選択したデータ ソースからのレスポンスを有効化または無効化することができます。
    キャッシュ設定

    Context Hubからのすべてのルックアップは、構成した時間Context Hubのキャッシュに保存できます。一致する以後のリクエストに対するレスポンスは、Context Hubのキャッシュからフェッチされます。
    クエリのルックアップでは、次のキャッシュ設定を定義するためにこのセクションを使用します。

    • キャッシュ有効:デフォルトでは、このチェック ボックスが選択されていて、クエリのレスポンスをキャッシュします。
    • キャッシュ有効期間(分):クエリのルックアップがキャッシュに保持される最大時間。デフォルトの時間は30分、構成可能な最大数は7200分です。

    リスト値の有効期間

    有効化:リスト値を使用可能にする必要のある日数を定義するには、[有効化]を選択します。デフォルトで、このオプションは無効になっており、値は保持されます。

    有効期間(日数):リスト値を保持する日数を入力します。

    メタ マッピング

    Context Hubに格納されている任意のリストは、ルックアップに使用できる必要があります。Context Hubのルックアップは、メタ タイプやエンティティに基づいて行われます。例:IP、HOST、MAC ADDRESS、DOMAIN、FILE_NAME、FILE_HASH、USER。

    メタ タイプ:Context Hubで使用可能なエンティティ。

    Context Hubフィールド:リスト データ ソースの追加時に追加したCSVファイルの列ヘッダー。

    最小IIOCスコアNetWitness Endpontモジュールのコンテキスト情報をフェッチする場合に考慮すべき最小IIOCスコア。

    クエリの対象期間(日数)

    コンテキスト データをクエリする必要のある期間(日数)。

    制限コンテキスト ルックアップの実行時に表示するレコードの最大数。

    繰り返し間隔

    必要なインターバルでコンテキスト データの取得と保存を行う繰り返しスケジュールを構成します。

  6. 次のオプションのいずれかをクリックします。

    • キャンセル:変更をキャンセルするには、このオプションを選択します。
    • 保存:変更を保存するには、このオプションを選択します。
    • 保存して閉じる:保存してダイアログを閉じるには、このオプションを選択します。

選択したデータ ソースに基づいてレスポンス グループは異なります。次の表では、すべてのデータ ソースのレスポンス グループについて説明します。

                                           
データ ソース(接続)サポートされているレスポンス グループフィールドの設定
リスト アイコンリストリスト

メタ マッピング
メタ タイプ
Context Hubフィールド

設定
データ プリフェッチ設定
繰り返し作業のスケジュール設定
リスト値の有効期限

キャッシュ設定
キャッシュ有効
キャッシュ有効期間(分):最小30分、最大7200分

ArcherアイコンRSA ArcherArcher

キャッシュ設定
キャッシュ有効
キャッシュ有効期間(分)

Active DirectoryアイコンActive Directoryユーザ

メタ マッピング

メタ タイプ

Context Hubフィールド

設定

データ プリフェッチ設定

繰り返し作業のスケジュール設定

リスト値の有効期間

キャッシュ設定

キャッシュ有効

キャッシュ有効期間(分):最小30分、最大7200分

EndpointアイコンRSA Endpoint             
IOC
コンピューター
モジュール
             
キャッシュ設定

キャッシュ設定

設定
コンテキスト パネル設定

キャッシュ設定
Respond          
アラート アイコンアラート
インシデント アイコンインシデント

コンテキスト パネル設定
データ プリフェッチ設定
クエリの対象期間(日数)

キャッシュ設定
キャッシュ有効
キャッシュ有効期間(分)

Live ConnectアイコンLive Connect             
ドメイン
ファイル
IP

キャッシュ設定

設定
コンテキスト パネル設定

注:データ ソースの設定を構成した後に、[管理]>[サービス]>[ビュー]>[エクスプローラ]に移動することで、Context Hubの構成パラメータを構成することができます。[エクスプローラ]ビューで構成に変更を加えた場合、Context Hubサービスを再起動することを確認します。

You are here
Table of Contents > データ ソース設定の構成

Attachments

    Outcomes