Context Hub: Administrar el mapeo de tipos de metadatos y claves de metadatos

Document created by RSA Information Design and Development on Apr 23, 2018
Version 1Show Document
  • View in full screen mode
 

Como administrador, puede administrar el mapeo de los tipos de metadatos de Context Hub con claves de metadatos de NetWitness.

El servicio Context Hub proporciona búsqueda de contexto para valores de metadatos en las vistas Respond e Investigation. Estos valores de metadatos se agrupan en tipos de metadatos según la categoría a la cual pertenecen. Por ejemplo, las claves de metadatos de NetWitness Suite Respond e Investigation, como ip.src y ip.dst, se agrupan en el tipo de metadatos IP en Context Hub. A la vez, el tipo de metadatos IP se mapea a metadatos como alert.events.source.device.ip_address y alert.events.destination.device.ip_address en la base de datos de RESPOND.

En la vista ADMIN> Sistema > Investigation, la pestaña Búsqueda de contexto permite al administrador configurar el mapeo de claves de metadatos y tipos de metadatos de NetWitness. El administrador puede agregar claves de metadatos a la lista de tipos de metadatos compatibles con Context Hub o quitarlas de ella. 

El servicio Context Hub está preconfigurado con un mapeo predeterminado de tipos de metadatos y claves de metadatos, el cual debería funcionar en la mayoría de las implementaciones, a menos que se creen algunos mapeos personalizados para su implementación específica. 

Nota: No puede agregar un tipo de metadatos nuevo.

A continuación se muestra el mapeo predeterminado:

                                       
Nombre de tipo de metadatosClaves de metadatos
IP

device.ip, ip.src, ip.dst, ip.addr,ipv6.src, alias.ip, ipv6.addr, device.ipv6,forward.ip, forward.ipv6,ipv6.dst, ipv6.addr, stransaddr, transaddr

USERuser.src, user.dst, username, event user
DOMAINdomain.src, domain.dst,fqdn, web.domain, domain, sdomain, ddomain
MAC_ADDRESSeth.dst, eth.src, alias.mac
FILE_NAMEfilename, sourcefile
FILE_HASHchecksum
HOSTdevice.host, alias.host, host.src, host.dst

Procedimiento

Para administrar el mapeo de claves de metadatos de Investigation:

  1. Vaya a ADMIN > Sistema.
  2. En el panel de opciones, seleccione Investigation.

    Se muestra el panel Configuración de Investigation.

  3. Seleccione la pestaña Búsqueda de contexto.

    Mapee al menos una clave de metadatos con un tipo de metadatos.

  4. Seleccione un tipo de metadatos para ver las claves de metadatos predeterminadas que están mapeadas con este tipo de metadatos.
  5. Para agregar una clave de metadatos, haga clic en e ingrese la clave de metadatos.
  6. Para eliminar una clave de metadatos, seleccione la clave de metadatos y haga clic en.
  7. Para guardar los cambios, haga clic en Aplicar.
  8. Para agregar nuevos metadatos, se deben incluir en el archivo de índice personalizado del Concentrator. Por ejemplo, si desea agregar metadatos "fqdn", debe agregar una nueva entrada:<key name="fqdn" description="Fully Qualified Domain Name="IndexValues" form-at="Text" valueMax="100" /> en el archivo de índice. Para obtener más información sobre cómo incluir nuevos metadatos en el archivo de índice, consulte el tema Personalización del índice de la Guía de ajuste de la base de datos de Core. Después de agregar los nuevos metadatos, haga clic en la opción Cambiar a Investigate de la vista Responder para ver la información contextual.

En caso de que se agregue una clave de metadatos nueva, la opción de menú Búsqueda de contexto se habilita para los valores de metadatos bajo esa clave de metadatos. Para obtener más información, consulte el tema “Panel Configuración de Investigation“ de la Guía de configuración del sistema

You are here
Table of Contents > Administración de Context Hub > Administrar el mapeo de tipos de metadatos y claves de metadatos

Attachments

    Outcomes