Context Hub: Konfigurieren von Archer als Datenquelle

Document created by RSA Information Design and Development on May 9, 2018Last modified by RSA Information Design and Development on Apr 28, 2019
Version 2Show Document
  • View in full screen mode
 

Sie können Archer als Datenquelle für Context Hub konfigurieren und mithilfe des Context Hub-Servers kontextbezogene Informationen aus Archer abrufen.  Verwenden Sie die Verfahren in diesem Thema, um Archer als Datenquelle für den Context-Hub-Service hinzuzufügen, und konfigurieren Sie die Einstellungen (falls erforderlich) für Archer. 

Voraussetzungen

Bevor Sie eine Archer-Datenquelle konfigurieren, stellen Sie Folgendes sicher:

  • Der Context-Hub-Service ist in der Ansicht ADMIN > Services von NetWitness Platform verfügbar.
  • Archer wird mit der Anwendung „Licensed Devices“ installiert.

 

So fügen Sie Archer als Datenquelle für Context Hub hinzu:

  1. Gehen Sie zu ADMIN > Services.
    Die Ansicht „Services“ wird angezeigt.
  2. Wählen Sie den Context-Hub-Service aus und klicken Sie auf > Ansicht > Konfigurieren.
    Die Ansicht „Services-Konfiguration“ wird angezeigt.
  3. Klicken Sie auf der Registerkarte Datenquellen auf > Archer
    Das Dialogfeld Datenquelle hinzufügen wird angezeigt.
    Add Archer as a data source
  4. Stellen Sie folgende Informationen bereit:

    • Das Kontrollkästchen Aktivieren ist standardmäßig ausgewählt. Wenn diese Option nicht aktiviert wird, ist die Schaltfläche zum Speichern deaktiviert. Sie können keine Datenquelle hinzufügen und keine kontextbezogenen Informationen anzeigen.
    • Geben Sie Werte für die folgenden Felder ein:
      • Name: Geben Sie einen Namen für die Archer-Datenquelle ein.
      • Host: Geben Sie den Hostnamen oder die IP-Adresse ein, unter dem bzw. der der Archer-Server installiert ist.
      • SSL: Diese standardmäßig ausgewählte Option aktiviert die SSL-Kommunikation mit Archer.
      • Allen Zertifikaten vertrauen: Markieren Sie dieses Kontrollkästchen, um die Datenquelle ohne Validierung des Zertifikats hinzuzufügen. Wenn Sie diese Option deaktivieren, müssen Sie ein gültiges Endpunktserverzertifikat hochladen, um erfolgreich eine Verbindung herstellen zu können.
      • Port: Der Standardport ist 443.
      • Benutzername: Geben Sie den Benutzernamen für den Archer-Server ein.
      • Passwort: Geben Sie das Passwort für den Archer-Server ein.
      • Instanz: Geben Sie den Namen der Instanz ein, aus der Sie Daten extrahieren möchten. Eine RSA Archer-Instanz ist eine einzige Einrichtung, die einzigartige Inhalte in einer Datenbank, die Verbindung mit der Datenbank, die Schnittstelle und die Anmeldung enthält. Sie können individuelle Instanzen für jeden Bürostandort oder jede Region oder für Entwicklungs-, Test- und Produktionsumgebungen einrichten. In der Instanzendatenbank werden die RSA Archer-Inhalte für eine bestimmte Instanz gespeichert.
      • Kontextbasis: Geben Sie das virtuelle Verzeichnis ein, in dem die Dateien gespeichert werden. Zum Beispiel: „rsaarcher“ unter der RSA Archer-Internetadresse https://archer.company.com/rsaarcher/default.aspx. Wenn die Dateien unter der IIS-Standardinternetadresse https://archer.company.com/default.aspx gespeichert werden, muss dieses Feld leer bleiben.
      • Max. gleichzeitige Anfragen: Sie können die vom Context-Hub-Service definierte maximale Anzahl der gleichzeitigen Abfragen konfigurieren, die an den konfigurierten Datenquellen ausgeführt werden können. Der Standardwert ist 10.
  5. Klicken Sie auf Verbindung testen, um die Verbindung zwischen Context Hub und Datenquelle zu testen.
  6. Klicken Sie auf Speichern.
    Archer wird als Datenquelle für Context Hub hinzugefügt und auf der Registerkarte Datenquellen angezeigt.
    Added Archer as a Data Source
 

Nach dem Hinzufügen der Datenquelle können Sie die Einstellungen für die Datenquelle konfigurieren. Anweisungen finden Sie unter Konfigurieren der Einstellungen von Datenquellen für den Context Hub . Sie können auch die kontextbezogenen Daten im Bereich „Kontextübersicht“ der Ansicht „Respond“ oder der Ansicht „Investigate“ anzeigen. Anweisungen hierzu finden Sie im NetWitness Respond – Benutzerhandbuch und dem Leitfaden zu Investigation und Malware Analysis.

Konfigurieren von Archer-Datenquellen

Nachdem Sie die erforderlichen Datenquellen konfiguriert haben, können Sie die Einstellungen für die Datenquellen entsprechend Ihren Anforderungen anpassen.

So rufen Sie Einstellungen auf und konfigurieren sie:

  1. Navigieren Sie zu ADMIN > Services.
    Die Ansicht „Services“ wird angezeigt.
  2. Wählen Sie im Bereich Services den Context-Hub-Service aus und klicken Sie auf Ansicht > Konfiguration.
    Die Ansicht „Service-Konfiguration“ von Context Hub wird angezeigt.
  3. Wählen Sie die Datenquelle aus, für die Sie die Einstellungen konfigurieren möchten, und klicken Sie auf in der Spalte „Aktionen“.
    Der folgende Screenshot ist ein Beispiel für das Dialogfeld „RSA Archer konfigurieren“:
    Data source settings configuration
  4. Auf der Registerkarte Einstellungen. Konfigurieren Sie die folgenden Felder:
  5.                    
    FeldBeschreibung
    AktivierenDiese Option ist standardmäßig aktiviert und kann verwendet werden, um die Antwort von der ausgewählten Datenquelle zu aktivieren oder zu deaktivieren.
    Cacheeinstellungen

    Alle Abfragen von Context Hub können eine konfigurierte Zeit lang im Context Hub-Cache gespeichert werden. Antworten auf nachfolgende übereinstimmende Anforderungen werden aus dem Context Hub-Cache abgerufen.
    Verwenden Sie diesen Abschnitt, um die folgenden Cacheeinstellungen für Abfragen zu definieren:

    • Cache aktiviert: Standardmäßig ist dieses Kontrollkästchen aktiviert und die Abfrageantwort wird zwischengespeichert.
    • Cacheablauf (Minuten): Die maximale Zeit, die die Abfrage im Cache aufbewahrt wird. Der Standardwert lautet 30 Minuten und maximal können Sie 7200 Minuten konfigurieren.
  6. Klicken Sie auf Cacheeinstellungen. Konfigurieren Sie die folgenden Felder


                           
FeldBeschreibung
Attributkonfiguration exportierenKlicken Sie unter Einstellungen, Attributkonfiguration exportieren auf Exportieren, um die Archer-Attributkonfiguration zu exportieren. Dies sind die Attribute, die beim Anzeigen von Archer-Details für eine IP, einen Host oder einen Mac in der Kontextabfrage sichtbar sind. Eine JSON-Konfigurationsdatei wird heruntergeladen und die Reihenfolge der Attribute, die mit dem Bereich „Kontext“ synchron sind, wird in der JSON-Datei beibehalten.
Attributkonfiguration importieren

Wenn Sie die Konfigurationseinstellungen aktualisieren oder bearbeiten möchten, klicken Sie unter Einstellungen, Attributkonfiguration importieren auf Durchsuchen. Wählen Sie die JSON-Datei mit den Konfigurationsattributen aus.

Die Attribute werden im Bereich „Kontextabfrage“ angezeigt, wenn ein Nutzer den Kontext in der Reihenfolge ansieht, in der er importiert wurde.

Hinweis: Sie können die vorherigen Attribute sichern, bevor Sie Änderungen an bestehenden Attributen importieren.

Einstellungen Daten-Pre-FetchUnter Einstellungen, Einstellungen Daten-Pre-Fetch können die Daten abgerufen werden. Konfigurieren Sie Geplante Wiederholung, um Daten schneller zur Verfügung zu stellen, wenn Sie mit der Maus auf die gewünschte Entity in Respond zeigen.
Geplante WiederholungGeben Sie im Feld Wiederholungsintervall einen Wert ein oder verwenden Sie das Drop-Down-Menü, um die Wiederholung für Prefetch zu konfigurieren. Die Standard-Zeitdauer kann aus der Drop-Down-Liste ausgewählt werden, um die Dauer der Wiederholung zu konfigurieren. Verfügbare Werte sind Minuten, Stunden, Tage oder Wochen.
  1. Klicken Sie auf eine der folgenden Optionen:

    • Abbrechen – Wählen Sie diese Option, um die Änderungen zu verwerfen.
    • Speichern – Wählen Sie diese Option, um die Änderungen zu speichern.
    • Speichern und schließen – Wählen Sie diese Option, um zu speichern und das Dialogfeld zu schließen.

Hinweis: Nach dem Konfigurieren der Datenquelleneinstellungen können Sie die Parameter für die Context Hub-Konfiguration konfigurieren, indem Sie zu ADMIN > Services > Ansicht > Durchsuchen navigieren. Stellen Sie sicher, dass Sie den Context-Hub-Service neu starten, wenn Sie in der Ansicht „Durchsuchen“ Konfigurationsänderungen vornehmen.

 

You are here
Table of Contents > Konfigurieren von Archer als Datenquelle

Attachments

    Outcomes