Context Hub: Konfigurieren von Listen als Datenquelle

Document created by RSA Information Design and Development on May 9, 2018
Version 1Show Document
  • View in full screen mode
 

Listen als Datenquellen nutzen den Context Hub-Service, um kontextbezogene Informationen für die Metadatentypen abzurufen, die eine Kontextabfrage unterstützen. Sie können eine oder mehrere Listen erstellen und ihnen entsprechende Listenwerte hinzufügen. Stellen Sie sicher, dass Sie aussagekräftige Listen erstellen, z. B. schwarze oder weiße Listen für IPs. Die Listen können unterstützte Einheiten wie IP-Adresse, MAC-Adresse, Benutzername, Hostname, Domainname, Dateiname oder Datei-Hash enthalten. Sie können eine einspaltige Liste oder eine Liste mit mehreren Spalten von der Registerkarte „Datenquelle“ importieren.

Listenwerte sind im CSV-Format an einem externen Speicherort verfügbar. Für den Zugriff stehen die folgenden zwei Methoden zur Verfügung:

  • Lokaler Dateispeicher: Sie können eine Datei von einem lokalen Standort aus freigeben.
  • HTTP(S): Sie können eine Datei von einem Speicherort auf einem Webserver aus freigeben.

Hinweis: Sie können während der Konfiguration von Meta-Zuordnungen mithilfe der Pre-Fetch-Einstellungen auch einen wiederkehrenden Job einrichten, der Daten in regelmäßigen Abständen abruft.

Voraussetzungen

Bevor Sie eine Listen-Datenquelle konfigurieren, stellen Sie Folgendes sicher:

  • Benutzer sollten über Administratorberechtigungen verfügen.
  • Der Context Hub-Service ist in der Ansicht ADMIN > Services von NetWitness Suite verfügbar.
  • Wenn Sie einen lokalen Dateispeicher oder einen HTTP(S)-Server verwenden, sollte der erwähnte Pfad die CSV-Datei enthalten.
    Im Falle eines lokalen Remote-Dateispeichers muss die Datei gemountet oder auf dem lokalen Laufwerkspeicherort /var/lib/netwitness/contexthub-server/data abgelegt werden.
  • Der NetWitness-Benutzer muss für den Zugriff auf die Datei über Leseberechtigung verfügen.

Hinzufügen von Listendatenquellen über lokalen Dateispeicher

So fügen Sie eine Liste als Datenquelle hinzu:

  1. Navigieren Sie zu ADMIN > Services.
    Die Ansicht „Services“ wird angezeigt.
  2. Wählen Sie den Context Hub-Service aus und klicken Sie auf > Ansicht > Konfiguration.
    Die Ansicht „Service-Konfiguration“ von Context Hub wird angezeigt.
  3. Klicken Sie auf der Registerkarte Datenquellen auf  > LISTEN
    Das Dialogfeld Datenquelle hinzufügen wird angezeigt
  4. Das Kontrollkästchen Aktivieren ist standardmäßig ausgewählt. Wenn diese Option nicht aktiviert wird, ist die Schaltfläche zum Speichern deaktiviert. Sie können keine Datenquelle hinzufügen, die Liste nicht auf der entsprechenden Registerkarte abrufen und keine kontextbezogenen Informationen anzeigen.
  5. Wählen Sie den Verbindungstyp Lokaler Dateispeicher.
    Hinzufügen einer Liste als Datenquelle
  1. Geben Sie die folgenden Datenbankverbindungsdetails an:
  • Füllen Sie die folgenden Felder für den Verbindungstyp „Lokaler Dateispeicher“ aus:
    • Name: Geben Sie einen Namen für die Datenquelle an.
    • Pfad: Dieses Feld zeigt alle Datendateien an, die im Datenordner /var/lib/netwitness/contexthub-server/data verfügbar sind, wo der Context Hub-Service ausgeführt wird. Wählen Sie den Dateinamen in der Drop-down-Liste aus.
      Maximal 32 Spalten werden für die CSV-Datei unterstützt, die den RFC1480-Standards entspricht.
    • (Optional) Beschreibung: Fügen Sie eine Beschreibung für die ausgewählte Datei hinzu.
    • Mit Spaltenüberschriften: Wählen Sie diese Option aus, um die erste Zeile aus der CSV-Datei als Spaltenüberschrift zu verwenden. Wenn Sie diese Option nicht auswählen, müssen Sie die Spaltenüberschriften am nächsten Bildschirm eingeben.

    Hinweis: Für den Verbindungstyp „Lokaler Dateispeicher“ kann die Datei gemountet oder auf das lokale Laufwerk kopiert werden. Darüber hinaus muss der Benutzer über Leseberechtigung für den Ordner /var/lib/netwitness/contexthub-server/data verfügen, der sich auf der Context Hub-Maschine befindet.

  1. Klicken Sie auf Validieren.
    Wenn die Validierung fehlschlägt, können Sie die Datenquelle nicht hinzufügen.
  2. Klicken Sie auf Weiter.
    Das nächste Dialogfeld wird angezeigt.

  3. Wählen Sie eine der folgenden Optionen:
    Anfügen – Wählen Sie diese Option, um die importierten Werte einer vorhandenen Liste hinzuzufügen.
    Überschreiben – Wählen Sie diese Option, um die Werte in einer vorhandenen Liste durch die importierten Werte zu ersetzen.
  4. Im Abschnitt Ablaufdatum des Listenwerts ist die Option Aktivieren standardmäßig deaktiviert. Wenn Sie die gesuchten Listenwerte für eine bestimmte Anzahl von Tagen im Cache speichern möchten, markieren Sie das Kontrollkästchen Aktivieren und geben die Anzahl der Tage, für die Listenwerte aufbewahrt werden sollen, in das Feld Lebensdauer (Tage) ein.
  5. Ordnen Sie im nächsten Bildschirm mindestens einen Metaschlüssel einem oder mehreren Metadatentypen zu, indem Sie eine Spaltenüberschrift mit Metadaten zuordnen. Die Beschreibung für jedes Feld lautet wie folgt:
  • Spaltenüberschrift: Zeigt die Kopfzeilen der CSV-Datei an, die einem Metadatentyp zugeordnet werden muss.
  • Metazuordnung: Ordnet einem Metadatentyp ein Spaltenüberschriftsfeld zu.
  • Werte: Zeigt die ersten drei Werte aus der importierten Liste an.
  1. Klicken Sie auf Speichern.

Hinzufügen von Listendatenquellen mithilfe von HTTP(S)

So fügen Sie eine Liste als Datenquelle hinzu:

  1. Wählen Sie die Optionen ADMINServices aus.
    Die Ansicht „Services“ wird angezeigt.
  2. Wählen Sie den Context Hub-Service aus und klicken Sie auf > Ansicht > Konfiguration.
    Die Ansicht „Service-Konfiguration“ von Context Hub wird angezeigt.
  3. Klicken Sie auf der Registerkarte Datenquellen auf  > LISTEN
    Das Dialogfeld Datenquelle hinzufügen wird angezeigt.
  4. Wählen Sie den Verbindungstyp HTTP(S).

  • Füllen Sie die folgenden Felder für den Verbindungstyp HTTP(S) aus:
    • Name: Geben Sie einen Namen für die Datenquelle an.
    • URL: Geben Sie neben dem Pfad der CSV-Datei auf dem HTTP(S)-Speicherort auch den Hostnamen oder die IP-Adresse der Remote-Maschine an, auf der die Liste gespeichert ist. Die URL ist in folgendem Format anzugeben: https://<Hostname or IP-address of the HTTP(S)server>:<Port on which the HTTP(S) server is hosted>/<Absolute path of CSV file>. Zum Beispiel: https://10.1.1.1:443/contexthub_lists/multi_user_list.csv
    • (Optional) Beschreibung: Fügen Sie eine Beschreibung für die ausgewählte Datei hinzu.
    • (Optional) Benutzername: Geben Sie den Benutzernamen für die Verbindung zum HTTP(S)-Server an, der grundlegende Authentifizierung erfordert.
    • (Optional) Passwort: Geben Sie das Passwort für die Verbindung zum HTTP(S)-Server an, der grundlegende Authentifizierung erfordert.
    • Mit Spaltenüberschriften: Wählen Sie diese Option, wenn Sie eine CSV-Datei mit Kopfzeilen importieren möchten. Wenn diese Option ausgewählt ist und Sie die CSV-Datei ohne Kopfzeilen importieren, so wird die erste Zeile, die bearbeitet werden kann, als Header betrachtet.
    • SSL: Wenn Sie eine URL mit HTTPS in dieses Feld eingeben, wird dieses automatisch ausgewählt. Wenn Sie eine URL mit HTTP eingeben, ist dieses Kontrollkästchen nicht aktiviert.

    • Allen Zertifikaten vertrauen: Markieren Sie dieses Kontrollkästchen, um die Datenquelle ohne Validierung des Zertifikats hinzuzufügen. Wenn Sie diese Option deaktivieren, müssen Sie ein gültiges HTTP(S)-Serverzertifikat im CER- oder CRT-Format hochladen, um erfolgreich eine Verbindung herstellen zu können.
  1. Klicken Sie auf Verbindung testen, um die Verbindung zwischen Context Hub und Datenquelle zu testen.
  2. Klicken Sie auf Speichern, um die Einstellungen zu speichern.
    Die Liste wird als Datenquelle für den konfigurierten Context Hub hinzugefügt und auf der Registerkarte Datenquellen angezeigt.


Nächste Schritte:

  • Fügen Sie Werte hinzu, bearbeiten Sie sie oder entfernen Sie sie aus einer bestimmten Liste.
  • Konfigurieren Sie die Einstellungen für die Datenquelle, um die Datenquellenfelder zu bestimmen, die im Bereich „Kontext“ angezeigt werden sollen. Anweisungen finden Sie unter Konfigurieren der Einstellungen von Datenquellen für den Context Hub .
  • Importieren und exportieren Sie Listen. Weitere Informationen finden Sie unter Importieren oder Exportieren von Listen für Context Hub.
  • Zeigen Sie kontextbezogene Daten im Bereich „Kontextübersicht“ der Ansicht „Reagieren“ oder der Ansicht „Untersuchen“ an. Weitere Informationen finden Sie im RSA NetWitness Respond – Benutzerhandbuch und dem Leitfaden zu RSA NetWitness Investigation und Malware Analysis.
Previous Topic:Konfigurieren von Datenquellen für Context Hub
You are here
Table of Contents > Konfigurieren von Datenquellen für Context Hub > Konfigurieren von Listen als Datenquelle

Attachments

    Outcomes