Context Hub: Pestaña Lista

Document created by RSA Information Design and Development on Apr 23, 2018Last modified by RSA Information Design and Development on Apr 28, 2019
Version 2Show Document
  • View in full screen mode
 

La pestaña Listas permite crear y configurar listas para Context Hub. Navegue a ADMIN > SERVICIOS > seleccione el servicio Context Hub > Ver > Configuración > pestaña Listas.

La pestaña Listas del servicio Context Hub permite crear una o más listas y agregar en ellas valores de lista pertinentes. Estas listas se consideran automáticamente como orígenes de datos para el servicio Context Hub.

Estas listas se pueden completar con elementos mediante la importación de archivos CSV de feeds personalizados o externos, o la adición de valores de metadatos a través de la opción Agregar/eliminar de la lista en las vistas de Investigation y Respond.

Nota: También puede crear listas y agregar valores de lista desde las vistas Respond e Investigation. Para obtener más información, consulte la Guía del usuario de RSA NetWitness Respond y la Guía de RSA NetWitness Investigation y Malware Analysis.

Flujo de trabajo

En este flujo de trabajo se muestra el procedimiento para configurar listas para el servicio Context Hub y para ver información contextual en las vistas Respond e Investigate.

Workflow to explain the actions of the Context Hub Lists tab

La creación de una o más listas es la primera tarea de este flujo de trabajo. Las listas pueden contener metadatos compatibles, como dirección IP, usuario, host, dominio, dirección MAC, nombre de archivo o hash de archivo. La tarea siguiente consiste en analizar o usar los datos de las listas para ver datos contextuales en las vistas Respond e Investigate.

¿Qué desea hacer?

                                                     
Función Deseo…Mostrarme cómo
AdministradorConfigurar el origen de datos Listas para Context Hub*Configurar listas como un origen de datos
Administrador/analistaVer información contextual en la vista Respond

Consulte la Guía del usuario de NetWitness Respond.

Administrador/analista

Administrar listas y valores de lista en Investigation

Consulte la Guía del usuario de Investigation y Malware Analysis.

Administrador/analista

Crear una lista

Consulte la Guía del usuario de NetWitness Respond y la Guía del usuario de Investigation y Malware Analysis

Administrador/analistaActualizar una listaConsulte la Guía del usuario de NetWitness Respond y la Guía del usuario de Investigation y Malware Analysis

Administrador/analista

Eliminar lista

Consulte la Guía del usuario de NetWitness Respond y la Guía del usuario de Investigation y Malware Analysis

Administrador/analistaImportar una listaImportar o exportar listas para Context Hub

Administrador/analista

Exportar lista

Importar o exportar listas para Context Hub

*Puede realizar esta tarea aquí (es decir, en la pestaña Listas de Context Hub).

Temas relacionados

Vista rápida

En el siguiente ejemplo se ilustra cómo agregar listas para el servicio Context Hub.

La pestaña Lista consta de los paneles Listas y Valores de lista. El panel Listas tiene una barra de herramientas con opciones para agregar, eliminar, importar y exportar listas. Las entradas bajo Nombre de lista son listas que se agregan o se importan para el servicio Context Hub. 

De manera predeterminada, están disponibles 10 listas de una sola columna vacías en RSA NetWitness Platform11.1. Estas listas están vacías y es necesario agregar información en ellas. Los 10 nombres de lista de uso inmediato se utilizan en reglas de ESA. Para obtener más información sobre las reglas de ESA, consulte la Guía del usuario de Alertas con ESA Correlation Rules. Los usuarios que actualizan desde versiones anteriores podrán ver estas listas nuevas además de sus listas creadas con anterioridad. Las listas disponibles de manera predeterminada son las siguientes: 

  • Admin_Accounts
  • Guest_Accounts
  • Service_Accounts
  • User_Blacklist
  • User_Whitelist
  • Host_Whitelist
  • Domain_Controllers
  • IP_Blacklist
  • IP_Whitelist
  • Host_Blacklist

Nota: Si ya existe una lista con el mismo nombre antes de la actualización a RSA NetWitness Platform10.6 o su instalación, esa lista se conservará. Cambie el nombre de esa lista antes de actualizar a 11.1 o actualice el contenido de tal manera que se pueda usar en las reglas de ESA.

Las listas están disponibles en la pestaña Reglas de ESA en CONFIGURAR > Reglas de ESA > Ajustes de configuración > Orígenes de enriquecimiento. Para obtener más información sobre las reglas de ESA, consulte la Guía de Alertas mediante ESA para la versión 11.1.
El panel Valores de lista tiene una barra de herramientas con opciones para agregar, eliminar e importar valores de lista en la lista seleccionada. Las entradas bajo Valor identifican cada entrada de lista que se incluye en la lista.

Screenshot describing the List tab features.

                                         
1Haga clic en para agregar una lista nueva.
2Nombre que identifica la lista.
3Descripción de la lista.
4Haga clic en para importar listas a Context Hub.
5Haga clic en para exportar una lista a la máquina local.
6Haga clic en para importar valores de lista a la lista seleccionada.
7Haga clic en para agregar o editar el mapeo de entidades.

8

Muestra las listas personalizadas que se agregan a Context Hub.

9Muestra los valores de lista que se agregan a la lista seleccionada.

Barra de herramientas

En la siguiente tabla se describen las acciones de la barra de herramientas.

                           
FunciónDescripción

Agregar una nueva lista.

Para obtener más información, consulte Configurar listas como un origen de datos.

Eliminar una lista.

Si elimina una lista de Context Hub, esta ya no se considera como un origen de datos para la recuperación de información contextual.

Importar listas a Context Hub.

Para obtener más información, consulte Importar o exportar listas para Context Hub.

Exportar una lista a la máquina local.

Para obtener más información, consulte Importar o exportar listas para Context Hub.

Opciones de la Vista de lista

En la siguiente tabla se describen las configuraciones de Listas.

                       
FunciónDescripción
Nombre de listaNombre único para identificar la lista.
DescripciónDescripción de la lista.
GuardarGuarda los cambios realizados en la lista.

Próximos pasos 

Después de completar la configuración, puede ver los datos contextuales en el panel Resumen de contexto de la vista Respond o la vista Investigate. Para obtener instrucciones, consulte Navegar al panel Resumen de contexto y ver contexto adicional de la Guía del usuario de Investigation y Malware Analysis.

You are here
Table of Contents > Referencias de Context Hub > Pestaña Listas de Context Hub

Attachments

    Outcomes