Context Hub: Konfigurieren von Listen als Datenquelle

Document created by RSA Information Design and Development on May 9, 2018Last modified by RSA Information Design and Development on Apr 28, 2019
Version 2Show Document
  • View in full screen mode
 

Listen als Datenquellen nutzen den Context-Hub-Service, um kontextbezogene Informationen für die Metadatentypen abzurufen, die eine Kontextabfrage unterstützen. Sie können eine oder mehrere Listen erstellen und ihnen entsprechende Listenwerte hinzufügen. Stellen Sie sicher, dass Sie aussagekräftige Listen erstellen, z. B. schwarze oder weiße Listen für IPs. Die Listen können unterstützte Einheiten wie IP-Adresse, MAC-Adresse, Benutzername, Hostname, Domainname, Dateiname oder Datei-Hash enthalten. Sie können eine einspaltige Liste oder eine Liste mit mehreren Spalten von der Registerkarte „Datenquelle“ importieren. Außerdem werden alle erstellten Feeds (ausgenommen STIX-Feeds) in Listen umgewandelt und in der Kontextabfrage angezeigt. Wenn Context Hub nicht konfiguriert oder der Service heruntergefahren ist, werden die Feeds zur Verfügung gestellt, wenn Context Hub betriebsbereit ist. Weitere Informationen zum Erstellen von Feeds finden Sie im Handbuch zum Live-Services-Management.

Hinweis: Wenn Sie einen Feed erstellen, wird automatisch eine Liste mit dem gleichen Namen wie der Feed erstellt. Wenn der Listenname bereits vorhanden ist, wird dem Namen der neuen Liste die Zahl „2“ vorangestellt. Wenn der Name des vorhandenen Feeds „test1.csv“ lautet, wird die neue Liste „test2.csv“ benannt.

Listenwerte sind im CSV-Format an einem externen Speicherort verfügbar. Für den Zugriff stehen die folgenden zwei Methoden zur Verfügung:

  • Lokaler Dateispeicher: Sie können eine Datei von einem lokalen Standort aus freigeben.
  • HTTP(S): Sie können eine Datei von einem Speicherort auf einem Webserver aus freigeben.

Hinweis: Sie können während der Konfiguration von Meta-Zuordnungen mithilfe der Pre-Fetch-Einstellungen auch einen wiederkehrenden Job einrichten, der Daten in regelmäßigen Abständen abruft.

Voraussetzungen

Bevor Sie eine Lists-Datenquelle konfigurieren, stellen Sie Folgendes sicher:

  • Benutzer sollten über Administratorberechtigungen verfügen.
  • Der Context-Hub-Service ist in der Ansicht ADMIN > Services von NetWitness Platform verfügbar.
  • Wenn Sie einen lokalen Dateispeicher oder einen HTTP(S)-Server verwenden, sollte der erwähnte Pfad die CSV-Datei enthalten.
    Im Falle eines lokalen Remote-Dateispeichers muss die Datei gemountet oder auf dem lokalen Laufwerkspeicherort /var/lib/netwitness/contexthub-server/data abgelegt werden.
  • Der NetWitness-Benutzer muss für den Zugriff auf die Datei über Leseberechtigung verfügen.

Achtung: Wenn Sie eine Context Hub-Liste erstellen, die als Anreicherungsquelle in ESA verwendet werden soll, darf der Name der Liste keine Leerzeichen oder Sonderzeichen enthalten bzw. nicht mit einer Zahl beginnen. Wenn Sie dieser Namenskonvention nicht folgen, wird eine Fehlermeldung angezeigt, wenn Sie versuchen, die Liste als Anreicherungsquelle in ESA hinzuzufügen, und Sie dürfen die Liste nicht hinzufügen.

Hinzufügen von Listendatenquellen über lokalen Dateispeicher

So fügen Sie eine Liste als Datenquelle hinzu:

  1. Navigieren Sie zu ADMIN > Services.

    Die Ansicht „Services“ wird angezeigt.

  2. Wählen Sie den Context Hub-Service aus und klicken Sie auf > Ansicht > Konfiguration.

    Die Ansicht „Service-Konfiguration“ von Context Hub wird angezeigt.

  3. Klicken Sie auf der Registerkarte Datenquellen auf  > LISTEN.

    Das Dialogfeld Datenquelle hinzufügen wird angezeigt

  4. Das Kontrollkästchen Aktivieren ist standardmäßig ausgewählt. Wenn diese Option nicht aktiviert wird, ist die Schaltfläche zum Speichern deaktiviert. Sie können keine Datenquelle hinzufügen, die Liste nicht auf der entsprechenden Registerkarte abrufen und keine kontextbezogenen Informationen anzeigen.
  5. Wählen Sie den Verbindungstyp Lokaler Dateispeicher.

    Add List as a Data Source

  6. Geben Sie die folgenden Datenbankverbindungsdetails an. Füllen Sie die folgenden Felder für den Verbindungstyp „Lokaler Dateispeicher“ aus:

    • Name: Geben Sie einen Namen für die Datenquelle an.
    • Pfad: Dieses Feld zeigt alle Datendateien an, die im Datenordner /var/lib/netwitness/contexthub-server/data verfügbar sind, wo der Context-Hub-Service ausgeführt wird. Wählen Sie den Dateinamen in der Drop-down-Liste aus.
      Maximal 32 Spalten werden für die CSV-Datei unterstützt, die den RFC1480-Standards entspricht.
    • (Optional) Beschreibung: Fügen Sie eine Beschreibung für die ausgewählte Datei hinzu.
    • Mit Spaltenüberschriften: Wählen Sie diese Option aus, um die erste Zeile aus der CSV-Datei als Spaltenüberschrift zu verwenden. Wenn Sie diese Option nicht auswählen, müssen Sie die Spaltenüberschriften am nächsten Bildschirm eingeben.
  7. Klicken Sie auf Überprüfen.

    Wenn die Validierung fehlschlägt, können Sie die Datenquelle nicht hinzufügen.

  8. Klicken Sie auf Weiter.

    Das nächste Dialogfeld wird angezeigt.


  9. Wählen Sie eine der folgenden Optionen aus:

    • Append – Wählen Sie diese Option, um die importierten Werte einer vorhandenen Liste hinzuzufügen.
    • Überschreiben – Wählen Sie diese Option, um die Werte in einer vorhandenen Liste durch die importierten Werte zu ersetzen.
  10. Im Abschnitt Ablaufdatum des Listenwerts ist die Option Aktivieren standardmäßig deaktiviert. Wenn Sie die gesuchten Listenwerte für eine bestimmte Anzahl von Tagen im Cache speichern möchten, markieren Sie das Kontrollkästchen Aktivieren und geben die Anzahl der Tage, für die Listenwerte aufbewahrt werden sollen, in das Feld Lebensdauer (Tage) ein.
  11. Ordnen Sie im nächsten Bildschirm mindestens einen Metaschlüssel einem oder mehreren Metadatentypen zu, indem Sie eine Spaltenüberschrift mit Metadaten zuordnen. Die Beschreibung für jedes Feld lautet wie folgt:

    • Spaltenüberschrift: Zeigt die Kopfzeilen der CSV-Datei an, die einem Metadatentyp zugeordnet werden muss.
    • Metazuordnung: Ordnet einem Metadatentyp ein Spaltenüberschriftsfeld zu.
    • Werte: Zeigt die ersten drei Werte aus der importierten Liste an.
  12. Klicken Sie auf Speichern.

Hinzufügen von Listendatenquellen mithilfe von HTTP(S)

So fügen Sie eine Liste als Datenquelle hinzu:

  1. Wählen Sie  ADMINServices aus.

    Die Ansicht „Services“ wird angezeigt.

  2. Wählen Sie den Context-Hub-Service aus und klicken Sie auf  > Ansicht > Konfiguration.

    Die Ansicht „Service-Konfiguration“ von Context Hub wird angezeigt.

  3. Klicken Sie auf der Registerkarte Datenquellen auf  > LISTEN.

    Das Dialogfeld Datenquelle hinzufügen wird angezeigt.

  4. Wählen Sie den Verbindungstyp HTTP(S).

    • Füllen Sie die folgenden Felder für den Verbindungstyp HTTP(S) aus:
      • Name: Geben Sie einen Namen für die Datenquelle an.
      • URL: Geben Sie neben dem Pfad der CSV-Datei auf dem HTTP(S)-Speicherort auch den Hostnamen oder die IP-Adresse der Remote-Maschine an, auf der die Liste gespeichert ist. Die URL ist in folgendem Format anzugeben: https://<Hostname or IP-address of the HTTP(S)server>:<Port on which the HTTP(S) server is hosted>/<Absolute path of CSV file>. Beispiel https://10.1.1.1:443/contexthub_lists/multi_user_list.csv
      • (Optional) Beschreibung: Fügen Sie eine Beschreibung für die ausgewählte Datei hinzu.
      • (Optional) Benutzername: Geben Sie den Benutzernamen für die Verbindung zum HTTP(S)-Server an, der grundlegende Authentifizierung erfordert.
      • (Optional) Passwort: Geben Sie das Passwort für die Verbindung zum HTTP(S)-Server an, der grundlegende Authentifizierung erfordert.
      • Mit Spaltenüberschriften: Wählen Sie diese Option, wenn Sie eine CSV-Datei mit Kopfzeilen importieren möchten. Wenn diese Option ausgewählt ist und Sie die CSV-Datei ohne Kopfzeilen importieren, so wird die erste Zeile, die bearbeitet werden kann, als Header betrachtet.
      • SSL: Wenn Sie eine URL mit HTTPS in dieses Feld eingeben, wird dieses automatisch ausgewählt. Wenn Sie eine URL mit HTTP eingeben, ist dieses Kontrollkästchen nicht aktiviert.

      • Allen Zertifikaten vertrauen: Markieren Sie dieses Kontrollkästchen, um die Datenquelle ohne Validierung des Zertifikats hinzuzufügen. Wenn Sie diese Option deaktivieren, müssen Sie ein gültiges HTTP(S)-Serverzertifikat im CER- oder CRT-Format hochladen, um erfolgreich eine Verbindung herstellen zu können.
  5. Klicken Sie auf Verbindung testen, um die Verbindung zwischen Context Hub und Datenquelle zu testen.
  6. Klicken Sie auf Speichern, um die Einstellungen zu speichern.

    Die Liste wird als Datenquelle für den konfigurierten Context Hub hinzugefügt und auf der Registerkarte Datenquellen angezeigt.



Nächste Schritte:

  • Fügen Sie Werte hinzu, bearbeiten Sie sie oder entfernen Sie sie aus einer bestimmten Liste.
  • Konfigurieren Sie die Einstellungen für die Datenquelle, um die Datenquellenfelder zu bestimmen, die im Bereich „Kontext“ angezeigt werden sollen. Anweisungen finden Sie unter Konfigurieren der Einstellungen von Datenquellen für den Context Hub .
  • Importieren und exportieren Sie Listen. Weitere Informationen finden Sie unter Importieren oder Exportieren von Listen für Context Hub.
  • Zeigen Sie kontextbezogene Daten im Bereich „Kontextübersicht“ der Ansicht „Reagieren“ oder der Ansicht „Untersuchen“ an. Weitere Informationen finden Sie im RSA NetWitness Respond – Benutzerhandbuch und dem Leitfaden zu RSA NetWitness Investigation und Malware Analysis.
You are here
Table of Contents > Konfigurieren von Listen als Datenquelle

Attachments

    Outcomes