Context Hub:Archerをデータ ソースとして構成

Document created by RSA Information Design and Development on Apr 18, 2018Last modified by RSA Information Design and Development on Apr 29, 2019
Version 2Show Document
  • View in full screen mode
 

ArcherをContext Hubのデータ ソースとして構成し、Context Hubサーバを使用してArcherからコンテキスト情報をフェッチすることができます。 ArcherをContext Hubサービスのデータ ソースとして追加し、(必要に応じて)Archer用に設定を構成するには、本トピックの手順を使用します。 

前提条件

Archerデータ ソースを構成する前に次のことを確認します。

  • NetWitness Platformの[管理]>[サービス]ビューでContext Hubサービスが使用できること。
  • ArcherにDevicesアプリケーションがインストールされ、ライセンスが有効であること。

 

ArcherをContext Hubのデータ ソースとして追加するには、次の手順を実行します。

  1. 管理]>[サービス]に移動します。
    [サービス]ビューが表示されます。
  2. Context Hubサービスを選択し、>[表示]>[構成]をクリックします。
    [サービス]の[構成]ビューが表示されます。
  3. データ ソース]タブで、[]>[RSA Archer]をクリックします。
    データ ソースの追加]ダイアログが表示されます。
    Add Archer as a data source
  4. 次の情報を入力します。

    • 有効化]チェックボックスはデフォルトでオンになっています。このオプションがオフになっている場合は保存ボタンが無効化され、データ ソースの追加やコンテキスト情報の表示ができません。
    • 次のフィールドを入力します。
      • 名前:Archerデータ ソースの名前を入力します。
      • ホスト:Archerサーバのインストール先のホスト名またはIPアドレスを入力します。
      • SSL:デフォルトではこのオプションが選択され、ArcherへのSSL通信が有効になっています。
      • すべての証明書を信頼証明書を検証せずにデータ ソースを追加するには、このチェックボックスをオンにします。このオプションをオフにした場合、接続に成功するにはArcherサーバの証明書をアップロードする必要があります。
      • ポート:デフォルトのポートは443です。
      • ユーザ名:Archerサーバのユーザ名を入力します。
      • パスワード:Archerサーバのパスワードを入力します。
      • インスタンス: データ抽出元のインスタンス名を入力します。RSA Archerインスタンスは、固有のコンテンツを格納したデータベース、そのデータベースへの接続 、インタフェース、ログインで構成される単一の環境です。オフィスの 場所や地域ごと、または開発環境、テスト環境、本番環境といった環境ごとに別のインスタンスを用意できます。 インスタンス データベースは、特定の1つのインスタンスのRSA Archerコンテンツを格納します。
      • コンテキスト ベース:ファイルが格納されている仮想ディレクトリの名前を入力します。たとえば、RSA ArcherのWebアドレスがhttps://archer.company.com/rsaarcher/default.aspxの場合は、rsaarcherと指定します。 Webアドレスがhttps://archer.company.com/default.aspxの場合は、RSA ArcherはIISのルートにインストールされているため、このフィールドを空にする必要があります。
      • 最大 同時実行クエリ数:Context Hubサービスが構成されたデータ ソースに対して実行するクエリの最大同時実行数を設定できます。デフォルト値は10です。
  5. 接続のテスト]をクリックして、Context HubとArcherデータ ソースの間の接続をテストします。
  6. 保存]をクリックします。
    ArcherがContext Hubのデータ ソースとして追加され、[データ ソース]タブに表示されます。
    Added Archer as a Data Source
 

データ ソースを追加したら、データ ソースの設定を構成できます。手順については、「Context Hubのデータ ソース設定の構成 」を参照してください。[対応]ビューまたは[調査]ビューの[コンテキスト サマリ]パネルにコンテキスト データを表示します。手順については、「NetWitness Respondユーザ ガイド」と「Investigateユーザ ガイド」を参照してください。

Archerデータ ソースの構成

必要なデータ ソースを構成した後は、お客様の要件に基づいて、データ ソースの設定をカスタマイズできます。

設定にアクセスし構成するには、次のようにします。

  1. 管理]>[サービス]に移動します。
    [サービス]ビューが表示されます。
  2. [サービス]パネルで、Context Hubサービスを選択し、>[表示]>[構成]をクリックします。
    Context Hubの[サービス]の[構成]ビューが表示されます。
  3. 設定を構成するデータ ソースを選択し、[アクション]列でをクリックします。
    次のスクリーンショットは[RSA Archerの構成]ダイアログの例です。
    Data source settings configuration
  4. 設定]タブ。次のフィールドを設定します。
  5.                    
    フィールド説明
    有効化このオプションはデフォルトで有効(オン)に設定されています。選択したデータ ソースからのレスポンスを有効化または無効化することができます。
    キャッシュ設定

    Context Hubからのすべてのルックアップは、構成した時間Context Hubのキャッシュに保存できます。それ以降の同じリクエストに対するレスポンスは、Context Hubのキャッシュからフェッチされます。
    次のキャッシュ設定を定義できます。

    • キャッシュ有効:デフォルトでは、このチェック ボックスが選択されていて、クエリのレスポンスをキャッシュします。
    • キャッシュ有効期間(分):クエリの結果がキャッシュに保持される最大時間。デフォルトの時間は30分、構成可能な最大数は7200分です。
  6. 設定]をクリックします。次のフィールドを設定します。


                           
フィールド説明
属性構成のエクスポート設定]の[属性構成のエクスポート]で、[エクスポート]をクリックしてArcher属性構成をエクスポートします。属性構成には、IP、ホスト、MACに関してArcherから詳細情報を表示するときに、コンテキスト ルックアップに表示される属性が含まれます。JSON構成ファイルがダウンロードされ、コンテキスト パネルのリストに表示されるのと同じ順番でファイル内に属性のリストが含まれています。
属性構成のインポート

属性構成を変更する必要がある場合は、[設定]の[属性構成のインポート]で[参照]をクリックします。変更した属性構成を含むJSONファイルを選択します。

ユーザがコンテキストを表示すると、インポートした属性構成に記述された順番でコンテキスト ルックアップ パネルに属性が表示されます。

:属性構成の変更をインポートする前に、既存の属性構成をバックアップできます。

データ プリフェッチ設定設定]の[データ プリフェッチ設定]はデータのプリフェッチに役立ちます。[定期実行のスケジュール設定]構成すると、Respondで目的のエンティティの上にカーソルを置いたときに、より迅速にデータを取得できます。
定期実行のスケジュール設定定期実行間隔]フィールドに値を入力するか、ドロップダウンを使用してプリフェッチの間隔を構成します。ドロップダウン リストから、期間の単位を選択できます。有効な値は、分、時間、日、または週です。
  1. 次のオプションのいずれかをクリックします。

    • キャンセル:変更をキャンセルするには、このオプションを選択します。
    • 保存:変更を保存するには、このオプションを選択します。
    • 保存と終了:保存してダイアログを閉じるには、このオプションを選択します。

注:データ ソースの設定を構成した後に、[管理]>[サービス]>[表示]>[エクスプローラ]に移動し、Context Hubの構成パラメータを構成することができます。[エクスプローラ]ビューで構成に変更を加えた場合、Context Hubサービスを再起動する必要があります。

 

You are here
Table of Contents > Archerをデータ ソースとして構成

Attachments

    Outcomes