Context Hub: Managen der Metadatentyp- und Metaschlüsselzuordnung

Document created by RSA Information Design and Development on May 9, 2018
Version 1Show Document
  • View in full screen mode
 

Als Administrator verwalten Sie die Zuordnung der Context Hub-Metadatentypen zu Netwitness-Metaschlüsseln.

Der Context Hub-Service stellt eine Kontextabfrage für Metawerte in den Respond- und Investigation-Ansichten bereit. Diese Metawerte werden basierend auf der Kategorie, zu der Sie gehören, in Metadatentypen gruppiert. Beispiel: Metaschlüssel von NetWitness Suite Respond und Investigation, wie ip.src und ip.dst, werden in Context Hub im Metadatentyp IP gruppiert. Der Metadatentyp IP wiederum ist Metawerten wie alert.events.source.device.ip_address und alert.events.destination.device.ip_address in der Reagieren-Datenbank zugeordnet.

In der Ansicht ADMIN> System > Investigation kann der Administrator auf der Registerkarte „Kontextabfrage“ die Zuordnung der Investigation-Metaschlüssel und des Investigation-Metadatentyps konfigurieren. Der Administrator kann Metaschlüssel zur Liste der von Context Hub unterstützten Metadatentypen hinzufügen oder entfernen. 

Der Context Hub-Service ist mit einer Standardzuordnung von Metadatentyp und Metaschlüssel vorkonfiguriert, die erwartungsgemäß mit den meisten Bereitstellungen funktioniert, solange keine benutzerdefinierten Zuordnungen für Ihre spezielle Bereitstellung erstellt werden. 

Hinweis: Sie können keinen neuen Metadatentyp hinzufügen.

Die Standardzuordnung ist unten beschrieben:

                                       
Name des MetadatentypsMetaschlüssel
IP

device.ip, ip.src, ip.dst, ip.addr,ipv6.src, alias.ip, ipv6.addr, device.ipv6,forward.ip, forward.ipv6,ipv6.dst, ipv6.addr, stransaddr, transaddr

USERuser.src, user.dst, username, event user
DOMAINdomain.src, domain.dst,fqdn, web.domain, domain, sdomain, ddomain
MAC_ADDRESSeth.dst, eth.src, alias.mac
FILE_NAMEfilename, sourcefile
FILE_HASHchecksum
HOSTdevice.host, alias.host, host.src, host.dst

Verfahren

So managen Sie die Metaschlüsselzuordnung:

  1. Navigieren Sie zu ADMIN > System.
  2. Wählen Sie im Bereich „Optionen“ die Option Investigation aus.

    Der Bereich Investigation-Konfiguration wird angezeigt.

  3. Wählen Sie die Registerkarte Kontextabfrage aus.

    Ordnen Sie mindestens einem Metaschlüssel einen Metadatentyp zu.

  4. Wählen Sie einen Metadatentyp aus, um die Standardmetaschlüssel anzuzeigen, die diesem Metadatentyp zugeordnet sind.
  5. Um einen Metaschlüssel hinzuzufügen, klicken Sie auf und geben Sie den Metaschlüssel ein.
  6. Um einen Metaschlüssel zu entfernen, wählen Sie den Metaschlüssel aus und klicken auf .
  7. Klicken Sie zum Speichern der Änderungen auf Anwenden.
  8. Um neue Metadaten hinzufügen, müssen diese in der benutzerdefinierten Indexdatei für den Concentrator enthalten sein. Beispiel: Wenn Sie einen Metatyp „Fqdn“ hinzufügen möchten, müssen Sie einen neuen Eintrag hinzufügen: <key name="fqdn" description="Fully Qualified Domain Name="IndexValues" form-at="Text" valueMax="100" />. Weitere Informationen zum Hinzufügen neuer Metadaten in der Indexdatei finden Sie unter „Indexanpassung“ im Tuningleitfaden für die Core-Datenbank. Nachdem Sie die neuen Metadaten hinzugefügt haben, können Sie die kontextbezogenen Informationen anzeigen, indem Sie in der Ansicht „Reagieren“ auf die Option „Zu Ermittlungen wechseln“ klicken.

Falls ein neuer Metaschlüssel hinzugefügt wird, wird unter diesem Metaschlüssel die Menüoption „Kontextabfrage“ aktiviert. Weitere Informationen finden Sie im Thema Bereich „Investigation-Konfigurationsbereich“ im Systemkonfigurationsleitfaden.

You are here
Table of Contents > Managen von Context Hub > Managen der Metadatentyp- und Metaschlüsselzuordnung

Attachments

    Outcomes