Context Hub:メタ タイプとメタ キーのマッピングの管理

Document created by RSA Information Design and Development on Apr 18, 2018Last modified by RSA Information Design and Development on Apr 29, 2019
Version 2Show Document
  • View in full screen mode
 

管理者は、Context Hubのメタ タイプとNetWitnessメタ キーのマッピングを管理します。

Context Hubサービスを使用すると、[対応]ビューと[調査]ビューでメタ値のコンテキスト ルックアップを実行できます。これらのメタ値は、それぞれが属するカテゴリーに基づいてメタ タイプにグループ化されます。たとえば、NetWitness Platformの[対応]ビューや[調査]ビューに表示されるip.srcip.dstのようなメタ キーは、Context Hubでは、IPメタ タイプにグループ化されます。IPメタ タイプは、対応データベースではalert.events.source.device.ip_addressalert.events.destination.device.ip_addressなどのメタにマッピングされます。

[管理]>[システム]>[調査]ビューの[Context Lookup]では、NetWitnessメタ キーとメタ タイプのマッピングを構成することができます。管理者は、Context Hubでサポートされるメタ タイプのリストにメタ キーを追加したり、削除したりできます。 

Context Hubサービスでは、メタ タイプとメタ キーのデフォルトのマッピングが事前に構成されています。デフォルトのマッピングは、特定の環境向けにカスタム マッピングを作成する必要がある場合を除き、ほとんどの構成環境に使用できます。 

注:新しいメタ タイプを追加することはできません。

デフォルトのマッピングは次のとおりです。

                                       
メタ タイプの名前メタ キー
IP

device.ip、ip.src、ip.dst、ip.addr、ipv6.src、alias.ip、ipv6.addr、device.ipv6、forward.ip、forward.ipv6、ipv6.dst、ipv6.addr、stransaddr、transaddr

USERuser.src、user.dst、username、event user
DOMAINdomain.src、domain.dst、fqdn、web.domain、 domain、sdomain、ddomain
MAC_ADDRESSeth.dst、eth.src、alias.mac
FILE_NAMEfilename、sourcefile
FILE_HASHchecksum
HOSTdevice.host、alias.host、host.src、host.dst

手順

メタ キーのマッピングを管理するには、次の手順を実行します。

  1. [管理]>[システム]に移動します。
  2. [オプション]パネルで、[調査]を選択します。

    [調査]パネルが表示されます。

  3. Context Lookup]タブを選択します。

    Map atleast one meta key with a meta type.

  4. メタ タイプを選択すると、そのメタ タイプにマッピングされているデフォルトのメタ キーが表示されます。
  5. メタ キーを追加するには、をクリックしてメタ キーを入力します。
  6. メタ キーを削除するには、メタ キーを選択してをクリックします。
  7. 適用]をクリックして、変更を保存します。
  8. 新しいメタを追加する場合は、Concentratorのカスタム インデックス ファイルにそのメタ キーが含まれる必要があります。たとえば、「fqdn」というメタを追加する場合は、<key name="fqdn" description="Fully Qualified Domain Name="IndexValues" form-at="Text" valueMax="100" />という新しいエントリーをインデックス ファイルに追加する必要があります。インデックス ファイルに新しいメタを追加する方法の詳細については、「コア データベース チューニングガイド」の「インデックスのカスタマイズ」トピックを参照してください。新しいメタを追加した後は、[対応]ビューで[調査に移行]オプションをクリックして、コンテキスト情報を表示することができます。

新しいメタ キーを追加した場合、そのメタ キーのメタ値で[コンテキスト ルックアップ]メニュー オプションが有効になります。詳細については、「システム構成ガイド」の「[調査]パネル」トピックを参照してください。

You are here
Table of Contents > Context Hubの管理 > メタ タイプとメタ キーのマッピングの管理

Attachments

    Outcomes