Context Hub:[リスト]タブ

Document created by RSA Information Design and Development on Apr 18, 2018Last modified by RSA Information Design and Development on Apr 29, 2019
Version 2Show Document
  • View in full screen mode
 

[リスト]タブで、Context Hubのリストを作成して構成することができます。[管理]>[サービス]でContext Hubサービスを選択し、[表示]>[構成]>[リスト]タブに移動します。

Context Hubサービスの[リスト]タブでは、1つ以上のリストを作成し、リストに値を追加できます。これらのリストは、自動的にContext Hubサービスのデータ ソースとみなされます。

これらのリストの値は、外部のCSVファイルや、カスタムFeedのCSVファイルをインポートして入力できます。また、[調査]ビューおよび[対応]ビューで[リストへの追加/削除]オプションを使用してメタ値をリストに追加することができます。

注:リストの作成やリスト値の追加は、[調査]ビューおよび[対応]ビューからも実行できます。詳細については、「RSA Netwitness Respondユーザ ガイド」と「RSA Netwitness Investigateユーザ ガイド」を参照してください。

ワークフロー

このワークフローは、[対応]ビューおよび[調査]ビューのコンテキスト情報を表示するようにContext Hubサービスのリストを構成する手順を示しています。

Workflow to explain the actions of the Context Hub Lists tab

1つまたは複数のリストを作成することが、このワークフローの最初のタスクです。リストには、IP アドレス、ユーザ、ホスト、ドメイン、MACアドレス、ファイル名、ファイル ハッシュなどのサポートされているメタを含めることができます。次のタスクでは、リストのデータを分析または使用して、[調査]ビューおよび[対応]ビューにコンテキスト データを表示します。

実行したいことは何ですか?

                                                     
ロール 実行したいこと手順
管理者Context Hubのリスト データ ソースの構成*リストをデータ ソースとして構成
管理者/アナリスト[対応]ビューでのコンテキスト情報の表示

Netwitness Respondユーザ ガイド」を参照してください。

管理者/アナリスト

[調査]ビューでのリストとリスト値の管理

Investigateユーザ ガイド」を参照してください。

管理者/アナリスト

リストの作成

Netwitness Respondユーザ ガイド」と「Investigateユーザ ガイド」を参照してください。

管理者/アナリストリストの更新Netwitness Respondユーザ ガイド」と「Investigateユーザ ガイド」を参照してください。

管理者/アナリスト

リストの削除

Netwitness Respondユーザ ガイド」と「Investigateユーザ ガイド」を参照してください。

管理者/アナリストリストのインポートContext Hubのリストのインポートとエクスポート

管理者/アナリスト

リストのエクスポート

Context Hubのリストのインポートとエクスポート

*このタスクはここ(つまり、Context Hubの[リスト]タブ)で完了できます。

関連トピック

簡単な説明

次の例では、Context Hubサービスのリストを追加する方法を示しています。

[リスト]タブは、[リスト]パネルと[リスト値]パネルで構成されます。[リスト]パネルのツールバーには、リストを追加、削除、インポート、エクスポートするためのオプションがあります。[リスト名]の下に、Context Hubサービス用に追加またはインポートされたリストの一覧が表示されます。 

RSA NetWitness Platform 11.1では、デフォルトで10個の空の単一列リストが用意されています。これらのリストは空であり、リストに情報を追加する必要があります。既定の10個のリスト名はESAルールで使用されます。ESAルールの詳細については、『ESA相関ルールを使用したアラートのユーザ ガイド』を参照してください。以前のバージョンからアップグレードした場合は、以前に作成したリストに加えて、これらの新しいリストが表示されます。デフォルトで使用可能なリストは次のとおりです。 

  • Admin_Accounts
  • Guest_Accounts
  • Service_Accounts
  • User_Blacklist
  • User_Whitelist
  • Host_Whitelist
  • Domain_Controllers
  • IP_Blacklist
  • IP_Whitelist
  • Host_Blacklist

注:RSA NetWitness Platform 10.6を更新またはインストールする前に同じ名前のリストが既に存在する場合、そのリストは保持されます。11.1に更新する前にリストの名前を変更するか、ESAルールで使用できるようにコンテンツを更新してください。

リストは[構成]>[ESAルール]>[設定]>[エンリッチメント ソース]で利用できます。ESAルールの詳細については、バージョン11.1の『ESAを使用したアラート ガイド』を参照してください。
リスト値]パネルのツールバーには、選択したリストのリスト値を追加、削除、インポートするためのオプションがあります。[]の下に、リストに含まれる値の一覧が表示されます。

Screenshot describing the List tab features.

                                         
1 をクリックして新しいリストを追加します。
2リストを識別する名前。
3リストの説明。
4 をクリックしてContext Hubにリストをインポートします。
5 をクリックしてローカル マシンにリストをエクスポートします。
6 をクリックして選択したリストにリスト値をインポートします。
7 をクリックして、エンティティ マッピングを追加または編集します。

8

Context Hubに追加されているカスタム リストを表示します。

9選択したリストに追加されているリスト値を表示します。

ツールバー

次の表は、ツールバーのアクションについて説明しています。

                           
機能説明

新しいリストを追加します。

詳細については、「リストをデータ ソースとして構成」を参照してください。

リストを削除します。

Context Hubからリストを削除すると、そのリストはコンテキスト情報のデータ ソースとみなされなくなります。

Context Hubにリストをインポートします。

詳細については、「Context Hubのリストのインポートとエクスポート」を参照してください。

ローカル マシンにリストをエクスポートします。

詳細については、「Context Hubのリストのインポートとエクスポート」を参照してください。

[リスト]ビューのオプション

次の表に、リストの構成の説明を示します。

                       
機能説明
リスト名リストを識別する一意な名前。
説明リストの説明。
保存リストに加えた変更を保存します。

次のステップ 

構成を完了すると、[対応]ビューまたは[調査]ビューの[コンテキスト サマリ]パネルにコンテキスト データを表示できます。手順については、「Investigateユーザ ガイド」の「[コンテキスト サマリー]パネルへの移動と追加コンテキストの表示」を参照してください。

You are here
Table of Contents > Context Hubの参考情報 > Context Hubの[リスト]タブ

Attachments

    Outcomes