Context Hub: Konfigurieren der Einstellungen von Datenquellen für den Context Hub

Document created by RSA Information Design and Development on May 9, 2018
Version 1Show Document
  • View in full screen mode
 

Nachdem Sie die erforderlichen Datenquellen konfiguriert haben, können Sie die Einstellungen für die Datenquellen entsprechend Ihren Anforderungen anpassen.

So rufen Sie Einstellungen auf und konfigurieren sie:

  1. Navigieren Sie zu ADMIN > Services.
    Die Ansicht „Services“ wird angezeigt.
  2. Wählen Sie im Bereich Services den Context Hub-Service aus und klicken Sie auf Ansicht > Konfiguration.
    Die Ansicht „Service-Konfiguration“ von Context Hub wird angezeigt.
  3. Wählen Sie die Datenquelle aus, für die Sie die Einstellungen konfigurieren möchten, und klicken Sie auf in der Spalte „Aktionen“.
    Der folgende Screenshot zeigt ein Beispiel des Dialogfelds für NetWitness Endpoint-Einstellungen:
    Konfiguration von Datenquellen-Einstellungen
  4. Konfigurieren Sie die folgenden Felder:
  5.                                            
    FeldBeschreibung
    AktivierenDiese Option ist standardmäßig aktiviert und kann verwendet werden, um die Antwort von der ausgewählten Datenquelle zu aktivieren oder zu deaktivieren.
    Cacheeinstellungen

    Alle Abfragen von Context Hub können eine konfigurierte Zeit lang im Context Hub-Cache gespeichert werden. Antworten auf nachfolgende übereinstimmende Anforderungen werden aus dem Context Hub-Cache abgerufen.
    Verwenden Sie diesen Abschnitt, um die folgenden Cacheeinstellungen für Abfragen zu definieren:

    • Cache aktiviert: Standardmäßig ist dieses Kontrollkästchen aktiviert und die Abfrageantwort wird zwischengespeichert.
    • Cacheablauf (Minuten): Die maximale Zeit, die die Abfrage im Cache aufbewahrt wird. Der Standardwert lautet 30 Minuten und maximal können Sie 7200 Minuten konfigurieren.

    Ablaufdatum des Listenwerts

    Aktivieren: Wählen Sie „Aktivieren“ aus, um die Anzahl an Tagen zu definieren, für die die Listenwerte verfügbar sein müssen. Diese Option ist standardmäßig deaktiviert und die Werte werden beibehalten.

    Lebensdauer (Tage): Geben Sie die Anzahl an Tagen ein, für die die Listenwerte beibehalten werden sollen.

    Metazuordnung

    Listen, die in Context Hub gespeichert werden, müssen für eine Abfrage verfügbar gemacht werden. Die Abfrage in Context Hub wird je nach Metatyp oder Einheiten durchgeführt. Beispiele für IP, HOST, MAC-ADRESSE, DOMAIN, FILE_NAME, FILE_HASH, BENUTZER.

    Metadatentyp: Verfügbare Einheiten in Context Hub.

    Context Hub-Felder: Die Spaltenüberschrift aus der CSV-Datei, die Sie beim Hinzufügen der Listendatenquelle hinzugefügt haben.

    IIOC-MindestwertDer IIOC-Mindestwert, der für das Abrufen der Kontextinformationen von NetWitness Endpoint-Modulen zu berücksichtigen ist.

    Letzte Abfrage (Tage)

    Die Dauer (in Tagen), für die Kontextdaten abgefragt werden müssen.

    EinschränkungDie maximale Anzahl von Datensätzen, die bei einer Kontextabfrage angezeigt werden können.

    Wiederholungsintervall

    Konfigurieren Sie wiederkehrende Pläne, um Kontextdaten für die erforderlichen Intervallen abzurufen und zu speichern.

  6. Klicken Sie auf eine der folgenden Optionen:

    • Abbrechen – Wählen Sie diese Option, um die Änderungen zu verwerfen.
    • Speichern – Wählen Sie diese Option, um die Änderungen zu speichern.
    • Speichern und schließen – Wählen Sie diese Option, um zu speichern und das Dialogfeld zu schließen.

Basierend auf der Datenquelle, die Sie auswählen, unterscheiden sich die Antwortgruppen. Die folgende Tabelle beschreibt die Antwortgruppen für jede Datenquelle.

                                           
Datenquelle (Verbindung)Unterstützte AntwortgruppenFeldeinstellungen
Listen-Symbol ListeListe

Meta-Zuordnung
Metatyp
Context Hub-Felder

Einstellungen
Daten-Pre-Fetch-Einstellungen
Geplante Wiederholung
Ablaufdatum des Listenwerts

Cache-Einstellungen
Cache aktiviert
Cache-Ablauf (Minuten) [Min. sind 30 Minuten, Max. sind 7200 Minuten]

Archer-Symbol RSA ArcherArcher

Cache-Einstellungen
Cache aktiviert
Cache-Ablauf (Minuten)

Active Directory-SymbolActive DirectoryBenutzer

Metazuordnung

Metadatentyp

Context Hub-Felder

Einstellungen

Einstellungen Daten-Pre-Fetch

Geplante Wiederholung

Ablaufdatum des Listenwerts

Cacheeinstellungen

Cache aktiviert

Cache-Ablauf (Minuten) [Min. sind 30 Minuten, Max. sind 7200 Minuten]

Endpunkt-Symbol RSA Endpoint             
IOC
Rechner
Module
             
Cache-Einstellungen
Cache aktiviert
Cache-Ablauf (Minuten)
Einstellungen
Einstellungen Kontextbereich

Cache-Einstellungen
Cache aktiviert
Cache-Ablauf (Minuten)

Einstellungen
Einstellungen Kontextbereich

Cache-Einstellungen
Cache aktiviert
Cache-Ablauf (Minuten)
Einstellungen
IIOC-Mindestwert
Einstellungen Kontextbereich
Reagieren          
Warnmeldungen-Symbol-Warnmeldungen
Incidents-Symbol Incidents

Einstellungen Kontextbereich
Daten-Pre-Fetch-Einstellungen
Abfrage der letzten [Tage

Cache-Einstellungen
Cache aktiviert
Cache-Ablauf (Minuten)

Live Connect-Symbol Live Connect             
Domain
Datei
IP

Cache-Einstellungen
Cache aktiviert
Cache-Ablauf (Minuten)

Einstellungen
Einstellungen Kontextbereich

Hinweis: Nach dem Konfigurieren der Datenquelleneinstellungen können Sie die Parameter für die Context Hub-Konfiguration konfigurieren, indem Sie zu ADMIN > Services > Ansicht > Durchsuchen navigieren. Stellen Sie sicher, dass Sie den Context Hub-Service neu starten, wenn Sie in der Ansicht „Durchsuchen“ Konfigurationsänderungen vornehmen.

You are here
Table of Contents > Konfigurieren der Einstellungen von Datenquellen

Attachments

    Outcomes