Context Hubサービスの概要

Document created by RSA Information Design and Development on Apr 18, 2018Last modified by RSA Information Design and Development on Apr 29, 2019
Version 2Show Document
  • View in full screen mode
 

 

Context Hubサービスは、対応ビューと調査ビューの両方で、エンリッチメント ルックアップ機能を提供します。管理者は、Context Hubサービスとデータ ソースを構成して、必要なデータ ソースのコンテキスト ルックアップをアナリストが行えるようにすることができます。

Context Hubサービスでは、IPアドレス、ユーザ、ドメイン、MACアドレス、ファイル名、ファイル ハッシュ、ホストなどのメタ タイプに対するエンリッチメント ルックアップをデフォルトでサポートします。

次のデータ ソースはNetWitness Platformのサポート対象であり、構成によりエンリッチメント データを提供します。

Lists:ブラック リスト、ホワイト リスト、ウォッチ リストからコンテキスト情報を提供します。

RSA Archer:IPやホストに基づき、常時監視が必要なデバイスや特定の資産の重要な情報を提供します。

Active Directory:疑わしいユーザかどうかの判断を支援するため、ユーザのコンテキスト情報を提供します。

RSA NetWitness® Endpoint:侵害されたEndpointデバイスかどうかの判断を支援するため、Endpointモジュールやマシン インジケータのコンテキスト情報を提供します。

Respond:Respondで取得可能な特定のメタのコンテキスト情報を提供し、コンテキスト データに基づいてアナリストがより迅速に対応できるようにします。

Live Connect:RSA Live Connect脅威インテリジェンス コミュニティ サーバから受け取ったIPアドレス、ドメイン、ファイル ハッシュを提供します。

 

Context Hubの構成の概要

コンテキスト ルックアップを効果的に実施するために、管理者は各ステップを適切な順序で実行してサービスを構成する必要があります。[管理]>[サービス]で、Context Hubサービスの[構成]ビューを表示し、Context Hubサービスのデータ ソースを構成することができます。管理者は、必要に応じて、カスタム メタ キーのコンテキスト ルックアップを構成できます。また、リストをインポートしたりエクスポートしたりできます。

次のワークフローは、Context Hubサービスの構成方法を示しています。

Workflow on how Context Hub service works

Context HubサービスはプライマリESAホストにプリインストールされており、NetWitness Platformに自動的に追加されます。

注:NetWitness Platform導入環境で使用できるContext Hubサービス インスタンスは1つのみです。NetWitness PlatformにESAサービスが複数ある場合は、Context Hub用の適切なESAホストを選択する必要があります。Context Hubを構成するには、ESAホストに最低8 GBの領域が必要です。

 

 

 

You are here
Table of Contents > Context Hubの仕組み

Attachments

    Outcomes