Context Hub:メタ タイプとメタ キーのマッピングの管理

Document created by RSA Information Design and Development on Apr 18, 2018
Version 1Show Document
  • View in full screen mode
 

管理者として、NetWitnessメタ キーを使用してContext Hubのメタ タイプ マッピングを管理します。

Context Hubサービスを使用すると、[Respond]および[調査]ビューでメタ値のコンテキスト ルックアップを実行できます。これらのメタ値は、それぞれが属するカテゴリーに基づいてメタ タイプにグループ化されます。たとえば、ip.srcip.dstのようなNetWitness SuiteRespondおよびInvestigationのメタ キーは、Context Hubのメタ タイプIPにグループ化されます。そのメタ タイプIPは、対応データベースではalert.events.source.device.ip_addressalert.events.destination.device.ip_addressなどのメタにマッピングされます。

管理>[システム]>[Investigation]ビューの[コンテキスト ルックアップ]では、NetWitnessメタ キーとメタ タイプのマッピングを構成することができます。管理者は、Context Hubでサポートされるメタ タイプのリストにメタ キーを追加したり、それらを削除したりできます。 

Context Hubサービスでは、メタ タイプとメタ キーのデフォルトのマッピングが事前に構成されています。デフォルトのマッピングは、特定の環境向けにカスタム マッピングを作成する必要がある場合を除き、ほとんどの構成環境に使用できます。 

注:新しいメタ タイプを追加することはできません。

デフォルトのマッピングは次のとおりです。

                                       
メタ タイプの名前メタ キー
IP

device.ip、ip.src、ip.dst、ip.addr、ipv6.src、alias.ip、ipv6.addr、device.ipv6、forward.ip、forward.ipv6、ipv6.dst、ipv6.addr、stransaddr、transaddr

USERuser.src、user.dst、username、event user
DOMAINdomain.src、domain.dst、fqdn、web.domain、 domain、sdomain、ddomain
MAC_ADDRESSeth.dst、eth.src、alias.mac
FILE_NAMEfilename、sourcefile
FILE_HASHchecksum
HOSTdevice.host、alias.host、host.src、host.dst

手順

Investigationのメタ キーのマッピングを管理するには、次の手順を実行します。

  1. 管理>[システム]に移動します。
  2. [オプション]パネルで、[Investigation]を選択します。

    [Investigation]パネルが表示されます。

  3. コンテキスト ルックアップ]タブを選択します。

    少なくとも1個のメタ キーをメタ タイプにマップします。

  4. メタ タイプを選択すると、そのメタ タイプがマッピングされているデフォルトのメタ キーが表示されます。
  5. メタ キーを追加するには、をクリックしてメタ キーを入力します。
  6. メタ キーを削除するには、メタ キーを選択してをクリックします。
  7. 適用]をクリックして、変更を保存します。
  8. 新しいメタを追加するには、Concentratorのカスタム インデックス ファイルに含まれる必要があります。たとえば、メタ「fqdn」を追加する場合は、新しいエントリー<key name="fqdn" description="Fully Qualified Domain Name="IndexValues" form-at="Text" valueMax="100" />をインデックス ファイルに追加する必要があります。インデックス ファイルに新しいメタを追加する方法の詳細については、「Core Database Tuning Guide」の「Index Customization」トピックを参照してください。新しいメタを追加した後は、ピボットをクリックしてコンテキスト情報を表示し、[対応]ビューのオプションを調査することができます。

新しいメタ キーを追加した場合、そのメタ キーのメタ値に対応する[コンテキスト ルックアップ]メニュー オプションが有効になります。詳細については、「システム構成ガイド」の「Investigation Configurationパネル」トピックを参照してください。

You are here
Table of Contents > Context Hubの管理 > メタ タイプとメタ キーのマッピングの管理

Attachments

    Outcomes