Context Hubサービスの概要

Document created by RSA Information Design and Development on Apr 18, 2018
Version 1Show Document
  • View in full screen mode
 

 

Context Hubサービスは、対応ビューと調査ビューの両方で、エンリッチメント ルックアップ機能を提供します。管理者は、Context Hubサービスとデータ ソースを構成して、必要なデータ ソースのコンテキスト ルックアップをアナリストが行えるようにすることができます。

Context Hubサービスでは、IPアドレス、ユーザ、ドメイン、MACアドレス、ファイル名、ファイル ハッシュ、ホストなどのメタ タイプに対するエンリッチメント ルックアップをデフォルトでサポートします。

次のデータ ソースはNetWitness Suiteのサポート対象であり、構成することでエンリッチなデータを提供します。

リスト:ブラック リスト、ホワイト リスト、ウォッチ リストからコンテキスト情報を提供します。

RSA Archer:常時監視が必要なデバイス、またはIPやホストに基づく特定の資産の重要な情報を提供します。

Active Directory:疑わしいユーザかどうかの判断を支援する、ユーザのコンテキスト情報を提供します。

RSA NetWitness® Endpoint:侵害されたEndpointデバイスがあるかどうかの判断を支援する、エンドポイント モジュールやマシン インジケータのコンテキスト情報を提供します。

Respond:Respondで取得可能な特定のメタのコンテキスト情報を提供し、コンテキスト データに基づいてアナリストがより迅速に対応できるようにします。

Live Connect:RSA Live Connect脅威インテリジェンス コミュニティ サーバから受け取ったIPアドレス、ドメイン、ファイル ハッシュを提供します。

 

Context Hubの構成の概要

コンテキスト ルックアップを効果的に実施するために、管理者は各ステップを適切な順序で実行してサービスを構成する必要があります。管理>[サービス]で、Context Hubサービスのデータ ソースは、Context Hubサービスの[構成]ビューで管理者が構成できます。管理者は、必要に応じて、カスタム メタ キーのコンテキスト ルックアップを構成できます。また、リストをインポートしたりエクスポートしたりできます。

次のワークフローでは、Context Hubサービスを構成する方法について説明します。

Context Hubサービスの仕組みのワークフロー

Context HubサービスはプライマリESAホストにプリインストールされており、NetWitness Suiteに自動的に追加されます。

注:NetWitness Suite導入環境で使用できるContext Hubサービス インスタンスは1つのみです。NetWitness SuiteにESAサービスが複数ある場合は、Context Hub用の適切なESAホストを選択する必要があります。ESAホストでContext Hubを構成するには最低8 GBの領域が必要です。

 

 

 

Next Topic:Context Hubのデータ ソースの構成
You are here
Table of Contents > Context Hubの仕組み

Attachments

    Outcomes