Context Hub:データ ソースとしてのリストの構成

Document created by RSA Information Design and Development on Apr 18, 2018
Version 1Show Document
  • View in full screen mode
 

データ ソースとしてのリストは、Context Hubサービスを使用して、コンテキスト ルックアップをサポートするメタ タイプのコンテキスト情報をフェッチします。1つ以上のリストを作成し、関連するリスト値をリストに追加することができます。IPのブラックリスト、IPのホワイトリストなど、意味のあるリストを作成してください。リストにはIPアドレス、MACアドレス、ユーザ名、ホスト名、ドメイン名、ファイル名、ファイル ハッシュなどのサポート対象のエンティティを含めることができます。[データ ソース]タブで、単一列リストまたは複数列リストをインポートできます。

リストの値はCSV形式で外部から提供され、次の2通りの方法でアクセスできます。

  • ローカル ファイル ストア:ローカルの場所からファイルを共有します。
  • HTTP(S):Webサーバ上の場所を使用してファイルを共有します。

注:メタ マッピング構成時にプリフェッチ設定を使用して、一定間隔でデータをフェッチする繰り返しジョブも設定できます。

前提条件

リストデータ ソースを構成する前に、次のことを確認します。

  • ユーザが管理者権限を持つこと。
  • NetWitness Suiteの[管理]>[サービス]ビューでContext Hubサービスが使用できること。
  • ローカル ファイル ストアまたはHTTP(S)サーバを使用している場合は、記載されているパスにCSVファイルがあること
    。リモートのローカル ファイル ストアの場合は、ファイルがマウントされているかローカル ドライブに配置されていること/var/lib/netwitness/contexthub-server/data
  • NetWitnessユーザにファイルへの読み取り権限が付与されていること。

ローカル ファイル ストアを使用したリスト データ ソースの追加

データ ソースとしてリストを追加するには次の操作を行います。

  1. 管理]>[サービス]に移動します。
    [サービス]ビューが表示されます。
  2. Context Hubサービスを選択して[]>[表示]>[構成]をクリックします。
    Context Hubの[サービス]の[構成]ビューが表示されます。
  3. データ ソース]タブの[]>[リスト]をクリックします。
    データ ソースの追加]ダイアログが表示されます。
  4. 有効化]チェックボックスはデフォルトでオンになっています。このオプションがオフになっている場合は保存ボタンが無効化され、データ ソースの追加、[リスト]タブでのリストの表示、コンテキスト情報の表示ができません。
  5. ローカル ファイル ストア]接続タイプを選択します。
    データ ソースとしてのリストの追加
  1. 次のデータベース接続の詳細を指定します。
  • ローカル ファイル ストア接続タイプの情報を次のフィールドに入力します。
    • 名前: リスト データ ソースの名前を入力します。
    • パス: Context Hubサービスが実行中のデータ フォルダ/var/lib/netwitness/contexthub-server/data内のすべてのデータ ファイルが表示されます。ドロップダウン リストから、ファイル名を選択します。
      RFC1480に準拠する最大32列のCSVファイルがサポートされます。
    • (オプション)説明:選択したファイルの説明を追加します。
    • 列ヘッダーあり:最初の行をCSVファイルの列ヘッダーとみなすには、このオプションを選択してください。このオプションを選択しない場合は、次の画面で列ヘッダーを入力する必要があります。

    注: 接続の種類がローカル ファイル ストアの場合、ファイルをマウントまたはローカル ドライブにコピーできる必要があります。また、ユーザはContext Hubマシンの/var/lib/netwitness/contexthub-server/dataフォルダの読み取り権限を持つ必要があります。

  1. 検証]をクリックします。
    検証に失敗した場合は、データ ソースを追加することはできません。
  2. 次へ]をクリックします。
    次のダイアログが表示されます。

  3. 以下のいずれかを選択してください。
    追加:既存のリストにインポートされた値を追加するには、このオプションを選択します。
    上書き:インポートされた値を使用して既存のリストを置き換えるには、このオプションを選択します。
  4. リスト値の有効期間] セクションの[有効化]オプションは、デフォルトではオフの状態です。検索したリストの値を指定した日数だけキャッシュに持ちたい場合は[有効化]チェックボックスをオンにして[有効期間(日数)]フィールドに保持期間を入力します。
  5. 次の画面では、列ヘッダーをメタに割り当てることで、少なくとも1個のメタ キーを1個以上のメタ タイプにマップします。各フィールドの説明は次のとおりです。
  • 列ヘッダー:メタ タイプに割り当てるCSVファイルのヘッダーを表示します。
  • メタ マッピング:列ヘッダー フィールドをメタ タイプに割り当てます。
  • :インポートしたCSVファイルの最初の3個の値を表示します。
  1. 保存]をクリックします。

HTTP(S)を使用したリスト データ ソースの追加

データ ソースとしてリストを追加するには次の操作を行います。

  1. 管理]>[サービス]を選択します。
    [サービス]ビューが表示されます。
  2. Context Hubサービスを選択して[]>[表示]>[構成]をクリックします。
    Context Hubの[サービス]の[構成]ビューが表示されます。
  3. データ ソース]タブの[]>[リスト]をクリックします。
    データ ソースの追加]ダイアログが表示されます。
  4. 接続タイプとしてHTTP(S)を選択します。

  • HTTP(S)の接続タイプの情報を次のフィールドに入力します。
    • 名前: リスト データ ソースの名前を入力します。
    • URL:HTTP(S)で使用可能なCSVファイルのパスを、リストが保存されているリモート マシンのホスト名およびIPアドレスとともに入力します。URLの形式は次のとおりにしてください。https://<Hostname or IP-address of the HTTP(S)server>:<Port on which the HTTP(S) server is hosted>/<Absolute path of CSV file>。例:https://10.1.1.1:443/contexthub_lists/multi_user_list.csv
    • (オプション)説明:選択したファイルの説明を追加します。
    • ユーザ名(オプション): ベーシック認証が必要なHTTP(S)サーバに接続する際のユーザ名を入力します。
    • パスワード(オプション): ベーシック認証が必要なHTTP(S)サーバに接続する際のパスワードを入力します。
    • 列ヘッダーあり:ヘッダーを含むCSVファイルをインポートする場合は、このオプションを選択します。このオプションを選択してヘッダーを含まないCSVをインポートすると、最初の列は編集できるヘッダーとして扱われます。
    • SSL: HTTPSで始まるURLを入力すると自動的に選択されます。HTTPで始まるURLを入力した場合、このチェックボックスは選択されません。

    • すべての証明書を信頼:証明書を検証せずにデータ ソースを追加するには、このチェックボックスをオンにします。このオプションをオフにした場合、接続に成功するには .cerまたは.crt形式の有効なHTTP(S)サーバ証明書をアップロードする必要があります。
  1. 接続のテスト]をクリックして、Context Hubとデータ ソースとの接続をテストします。
  2. 保存]をクリックして設定を保存します。
    リストが構成済みContext Hubのデータ ソースとして追加され、[データ ソース]タブに表示されます。


次のステップ.

  • 特定のリストから値を追加、編集、削除します。
  • データ ソースの設定を構成して[コンテキスト]]パネルに表示するデータ ソース フィールドを決定します。手順については、「Context Hubのデータ ソース設定の構成 」を参照してください。
  • リストをインポートまたはエクスポートします。詳細については、「Context Hubのリストのインポートとエクスポート」を参照してください。
  • [対応]ビューまたは[調査]ビューの[コンテキスト サマリ]パネルにコンテキスト データを表示します。詳細については、「RSA NetWitness Respondユーザ ガイド」と「RSA Netwitness 調査およびマルウェア解析ユーザ ガイド」を参照してください。
Previous Topic:Context Hubのデータ ソースの構成
You are here
Table of Contents > Context Hubのデータ ソースの構成 > データ ソースとしてのリストの構成

Attachments

    Outcomes