Context-Hub-Service – Überblick

Document created by RSA Information Design and Development on May 9, 2018Last modified by RSA Information Design and Development on Apr 28, 2019
Version 2Show Document
  • View in full screen mode
 

 

Context Hub ist ein Service, der Anreicherungsabfragefunktionen in den Ansichten für Reaktion und Untersuchungen bereitstellt. Ein Administrator kann den Context-Hub-Service und die Datenquellen zum Aktivieren eines Analysten konfigurieren, der Kontextabfragen für die erforderlichen Datenquellen durchführt.

Der Context-Hub-Service unterstützt standardmäßig Erweiterungsabfragen für Metadatentypen wie z. B. IP-Adresse, Benutzer, Domain, MAC-Adresse, Dateiname, Datei-Hash und Host.

Die folgenden Datenquellen werden von NetWitness Platform unterstützt und übergeben bei entsprechender Konfiguration angereicherte Daten.

Lists: Bietet kontextbezogene Informationen aus einer Liste von Blacklists, Whitelists oder Watchlists.

RSA Archer: Bietet wichtige Informationen zu einem Gerät oder einer bestimmte Ressource, basierend auf der IP-Adresse oder dem Host, der konstante Überwachung erfordert.

Active Directory: bietet kontextbezogene Informationen zu einem Benutzer, um zu bestimmen, ob dieser verdächtig ist oder nicht.

RSA NetWitness® Endpoint: Bietet Kontextinformationen zu Endpunktmodulen und Maschinen, um zu bestimmen, ob eines der Endpunktgeräte infiziert ist.

Respond: Bietet kontextbezogene Daten zu bestimmten Metadaten, die in Respond verfügbar sind und es Analysten ermöglichen, schneller und basierend auf Kontextdaten zu reagieren.

Live Connect: Bietet kontextbezogene Daten zu IP-Adressen, Domains und Datei-Hashes vom RSA Live Connect Threat Intelligence Community Server.

 

Übersicht über die Konfiguration von Context Hub

Der Administrator muss jeden Schritt in der richtigen Reihenfolge ausführen, um die Services so zu konfigurieren, dass Kontextabfragen effektiv durchgeführt werden. In der Ansicht ADMIN > Services > „Service-Konfiguration“ des Context-Hub-Services kann ein Administrator Datenquellen für den Context-Hub-Service konfigurieren. Der Administrator kann bei Bedarf Kontextabfragen für benutzerdefinierte Metaschlüssel konfigurieren. Darüber hinaus kann er Listen importieren oder exportieren.

Im folgenden Workflow wird beschrieben, wie der Context-Hub-Service konfiguriert werden kann:

Workflow on how Context Hub service works

Der Context-Hub-Service ist auf dem primären ESA-Host vorinstalliert und wird NetWitness Platform automatisch hinzugefügt.

Hinweis: Sie können nur eine Instanz des Context-Hub-Services in Ihrer NetWitness Platform-Bereitstellung aktivieren.Wenn mehrere ESA-Services in NetWitness Platform vorhanden sind, müssen Sie den entsprechenden ESA-Host für Context Hub auswählen.Für die Konfiguration von Context Hub auf einem ESA-Host sind mindestens 8 GB Speicherplatz erforderlich.

 

 

 

You are here
Table of Contents > Funktionsweise von Context Hub

Attachments

    Outcomes