Context Hub:リストをデータ ソースとして構成

Document created by RSA Information Design and Development on Apr 18, 2018Last modified by RSA Information Design and Development on Apr 29, 2019
Version 2Show Document
  • View in full screen mode
 

リストのデータ ソースは、Context Hubサービスを使用して、コンテキスト ルックアップがサポートするメタ タイプのコンテキスト情報をフェッチします。1つ以上のリストを作成し、関連する値をリストに追加することができます。IPのブラックリスト、IPのホワイトリストなど、意味のあるリストを作成してください。リストにはIPアドレス、MACアドレス、ユーザ名、ホスト名、ドメイン名、ファイル名、ファイル ハッシュなどのサポート対象のエンティティを含めることができます。[データ ソース]タブで、単一列リストまたは複数列リストをインポートできます。また、作成したFeed(STIX Feedを除く)はすべてリストに変換され、コンテキスト ルックアップに表示できます。Context Hubが構成されていないか、サービスがダウンしている場合、Context Hubが起動すればいつでも、Feedは利用可能になります。Feedの作成の詳細については、『Liveサービス管理ガイド』を参照してください。

注:Feedを作成すると、Feedと同じ名前のリストが自動的に生成されます。リスト名がすでに存在する場合は、新しいリストの名前の末尾には番号「2」が付けられます。たとえば、既存のFeed名がtest1.csvの場合、新しいリストの名前はtest2.csvになります。

リストの値はCSV形式で外部から提供され、次の2通りの方法でアクセスできます。

  • ローカル ファイル ストア:ローカルの場所からファイルを共有します。
  • HTTP(S):Webサーバ上の場所を使用してファイルを共有します。

注:メタ マッピング構成時にプリフェッチ設定を使用して、一定間隔でデータをフェッチする定期実行ジョブを設定することもできます。

前提条件

Listsデータ ソースを構成する前に、次の点を確認します。

  • ユーザが管理者権限を持つこと。
  • NetWitness Platformの[管理]>[サービス]ビューでContext Hubサービスが使用できること。
  • ローカル ファイル ストアまたはHTTP(S)サーバを使用する場合は、指定するパスにCSVファイルが存在すること
    。ローカル ファイル ストアがリモートの場合は、ファイルをマウントするか次のローカル ドライブに配置すること:/var/lib/netwitness/contexthub-server/data
  • NetWitnessユーザにファイルへの読み取り権限が付与されていること。

注意:ESAのエンリッチメント ソースとして使用するContext Hubリストを作成する場合は、リスト名にスペースや特殊文字を含めたり、先頭を数字にすることはできません。この命名規則に従っていない場合は、リストをESAのエンリッチメント ソースに追加しようとすると、エラー メッセージが表示され、リストを追加できません。

ローカル ファイル ストアを使用したリスト データ ソースの追加

データ ソースとしてリストを追加するには、次の手順を実行します。

  1. [管理]>[サービス]に移動します。

    [サービス]ビューが表示されます。

  2. Context Hubサービスを選択して>[表示]>[構成]をクリックします。

    Context Hubの[サービス]の[構成]ビューが表示されます。

  3. データ ソース]タブの>[リスト]をクリックします。

    データ ソースの追加]ダイアログが表示されます。

  4. 有効化]チェックボックスはデフォルトでオンになっています。このオプションがオフになっている場合は保存ボタンが無効化され、データ ソースの追加、[リスト]タブでのリストの表示、コンテキスト情報の表示ができません。
  5. ローカル ファイル ストア]接続タイプを選択します。

    Add List as a Data Source

  6. データベースの接続の詳細を指定します。ローカル ファイル ストアの情報を次のフィールドに入力します。

    • 名前: リスト データ ソースの名前を入力します。
    • パス: Context Hubサービスが実行中のデータ フォルダ/var/lib/netwitness/contexthub-server/data内のすべてのデータ ファイルが表示されます。ドロップダウン リストから、ファイル名を選択します。
      RFC1480に準拠する最大32列のCSVファイルがサポートされます。
    • (オプション)説明:選択したファイルの説明を追加します。
    • 列ヘッダーあり:最初の行をCSVファイルの列ヘッダーとみなすには、このオプションを選択してください。このオプションを選択しない場合は、次の画面で列ヘッダーを入力する必要があります。
  7. 検証]をクリックします。

    検証に失敗した場合は、データ ソースを追加することはできません。

  8. 次へ]をクリックします。

    次のダイアログが表示されます。


  9. 以下のいずれかのオプションを選択します。

    • 追加:既存のリストにインポートされた値を追加するには、このオプションを選択します。
    • 上書き:インポートされた値を使用して既存のリストを置き換えるには、このオプションを選択します。
  10. リスト値の有効期間] セクションの[有効化]オプションは、デフォルトではオフの状態です。検索したリストの値を指定した日数だけキャッシュに持ちたい場合は[有効化]チェックボックスをオンにして[有効期間(日数)]フィールドに保持期間を入力します。
  11. 次の画面では、列ヘッダーをメタにマッピングすることにより、少なくとも1個のメタ キーを1個以上のメタ タイプにマッピングします。各フィールドの説明は次のとおりです。

    • 列ヘッダー:メタ タイプに割り当てるCSVファイルのヘッダーを表示します。
    • メタ マッピング:列ヘッダー フィールドをメタ タイプにマッピングします。
    • :インポートしたCSVファイルの最初の3個の値を表示します。
  12. 保存]をクリックします。

HTTP(S)を使用したリスト データ ソースの追加

データ ソースとしてリストを追加するには次の操作を行います。

  1. 管理]>[サービス]を選択します。

    [サービス]ビューが表示されます。

  2. Context Hubサービスを選択して>[表示]>[構成]をクリックします。

    Context Hubの[サービス]の[構成]ビューが表示されます。

  3. データ ソース]タブの>[リスト]をクリックします。

    データ ソースの追加]ダイアログが表示されます。

  4. 接続タイプとしてHTTP(S)を選択します。

    • HTTP(S)の接続タイプの情報を次のフィールドに入力します。
      • 名前: リスト データ ソースの名前を入力します。
      • URL:HTTP(S)経由で取得するCSVファイルのパスを、リストが保存されているリモート マシンのホスト名またはIPアドレスを含めて入力します。URLは次の形式で指定してください。https://<Hostname or IP-address of the HTTP(S)server>:<Port on which the HTTP(S) server is hosted>/<Absolute path of CSV file>(例:https://10.1.1.1:443/contexthub_lists/multi_user_list.csv
      • (オプション)説明:選択したファイルの説明を追加します。
      • (オプション)ユーザ名:ベーシック認証が必要なHTTP(S)サーバに接続する際のユーザ名を入力します。
      • (オプション)パスワード:ベーシック認証が必要なHTTP(S)サーバに接続する際のパスワードを入力します。
      • 列ヘッダーあり:ヘッダーを含むCSVファイルをインポートする場合は、このオプションを選択します。このオプションを選択してヘッダーを含まないCSVをインポートすると、最初の行は編集可能なヘッダーとして扱われます。
      • SSL: HTTPSで始まるURLを入力すると自動的に選択されます。HTTPで始まるURLを入力した場合、このチェックボックスは選択されません。

      • すべての証明書を信頼:証明書を検証せずにデータ ソースを追加するには、このチェックボックスをオンにします。このオプションをオフにした場合、接続に成功するには .cerまたは.crt形式の有効なHTTP(S)サーバ証明書をアップロードする必要があります。
  5. 接続のテスト]をクリックして、Context Hubとデータ ソースとの接続をテストします。
  6. 保存]をクリックして設定を保存します。

    リストがContext Hubのデータ ソースとして追加され、[データ ソース]タブに表示されます。



次のステップ:

  • 特定のリストから値を追加、編集、削除します。
  • データ ソースの設定を構成して[コンテキスト]パネルに表示するデータ ソースのフィールドを決定します。手順については、「Context Hubのデータ ソース設定の構成 」を参照してください。
  • リストをインポートまたはエクスポートします。詳細については、「Context Hubのリストのインポートとエクスポート」を参照してください。
  • [対応]ビューまたは[調査]ビューの[コンテキスト サマリ]パネルにコンテキスト データを表示します。詳細については、『RSA NetWitness Respondユーザ ガイド』と『RSA NetWitness Investigationユーザー ガイド』を参照してください。
You are here
Table of Contents > リストをデータ ソースとして構成

Attachments

    Outcomes