Context Hub:Live Connectをデータ ソースとして構成

Document created by RSA Information Design and Development Employee on Apr 18, 2018Last modified by RSA Information Design and Development Employee on Apr 29, 2019
Version 2Show Document
  • View in full screen mode
 

このトピックでは、Context HubのLive Connectデータ ソースを構成する手順について説明します。 

RSA Live Connectはクラウド ベースの脅威インテリジェンス サービスです。このサービスは、RSA NetWitness® PlatformおよびRSA NetWitness® Endpointのカスタマー コミュニティを含むさまざまなソースから、IPアドレスやドメイン、ファイルなどの脅威インテリジェンス データを収集して分析し、評価します。

RSA Live ConnectはLiveサービスの一部であり、[システム]>[Liveサービス]パネルから構成できます。Liveサービスの詳細情報については、「システム構成ガイド」の「Liveサービス設定の構成」トピックを参照してください。

RSA Live Connect Threat Insightsにより、アナリストは、調査プロセスで役立つIP関連情報などの脅威インテリジェンス データをLive Connectサービスから取り込むことができます。デフォルトでは、Threat Insights付加的なLiveサービスで有効化されています。Context Hubサービスを構成すると、Live ConnectはContext Hubのデータ ソースとして自動的に追加されます。

前提条件

次の事項を確認:

  • Context Hubサービスが有効化されており、NetWitness Platformの[管理]>[サービス]ビューで使用できること。
  • RSA Liveアカウントが有効であること。

注:Liveアカウントの作成については「ステップ1. Liveアカウントの作成」トピック(「Liveサービス管理ガイド」)を参照してください。

デフォルトでは、Threat Insightsは[付加的なLiveサービス]セクションで有効化されています。Live Connectデータ ソースの設定を開始する前に、ご自身のLiveアカウントでサインインしていること、そしてContext Hubが有効になっていることを確認してください。Live Connectは自動的にContext Hubのデータ ソースとして追加されます。

LiveアカウントとLiveサービスの構成の詳細情報については、「システム構成ガイド」の「Liveサービス設定の構成」トピックを参照してください。

Context Hubサービスを構成する方法については、「ステップ1. Context Hubサービスの追加」トピック(「Context Hub構成ガイド」)を参照してください。

Live Connectデータ ソースの有効化と無効化

Context HubでLive Connectデータ ソースを有効化および無効化するには:

  1. [管理]>[システム]に移動します。
  2. 左側のナビゲーションパネルで、[Liveサービス]を選択します。
  3. 付加的なLiveサービス]セクションで[Threat Insights]を有効にします。


  4. 適用]をクリックします。
    Live Connectデータ ソースがContext Hubサービスで有効になります。
  5. 確認するには、[データ ソース]タブに移動して使用可能なソースを表示します。
    使用可能なソースのリストにLive Connectのソースが追加され、[有効]フィールドが緑色の丸()になっているはずです。
    Live Connect data source added
  6. Live Connectデータ ソースを無効にするには、[付加的なLiveサービス]パネルで[Threat Insights]を無効にして[適用]をクリックします。

    Live Connectデータ ソースがContext Hubサービスで無効になります。

    注:Threat Insightsが無効の場合、Live Connectの[コンテキスト ルックアップ]パネル([調査]の[ナビゲート]ビューおよび[イベント]ビュー内)にLive Connectデータ ソースの構成を促すメッセージが表示されます。Live Connectのコンテキスト データを表示するには、Threat Insightsを有効にする必要があります。

Live Connectデータ ソースの編集

Context HubでLive Connectデータ ソースを編集するには:

  1. メイン メニューで、[管理]>[サービス]を選択します。
    [サービス]ビューが表示されます。
  2. サービス]パネルで、Context Hubサービスを選択し、>[表示]>[構成]を選択します。
    [サービス]の[構成]ビューが表示されます。
  3. データ ソース]タブで、Live Connectデータ ソースを選択し、をクリックします。

    データ ソースの編集]ダイアログが表示されます。


  4. 必須入力フィールドを編集します。
  5.                
    フィールド説明
    最大 同時実行クエリ数Context Hubサービスがデータ ソースに対して実行するクエリの最大同時実行数を設定できます。デフォルト値は25です。
  6. Live Connectionとプロキシの設定を編集するには次の手順を実行します。

    • Live Connectionの設定の編集については、「システム構成ガイド」の「Liveサービス構成パネル]トピックを参照してください。

    • プロキシ設定の編集については、「システム構成ガイド」の「HTTPプロキシ設定パネル」トピックを参照してください。

  7. 接続のテスト]をクリックして、Context Hubとデータ ソースとの接続をテストします。

  8. 保存]をクリックして設定を保存します。

次のステップ 

構成を完了すると、[対応]ビューまたは[調査]ビューの[コンテキスト サマリ]パネルにコンテキスト データを表示できます。詳細については、「RSA NetWitness Respondユーザ ガイド」と「RSA NetWitness InvestigationおよびMalware Analysisガイド」を参照してください。

You are here
Table of Contents > Live Connectデータ ソースの構成

Attachments

    Outcomes