Context Hub-Service – Überblick

Document created by RSA Information Design and Development on May 9, 2018
Version 1Show Document
  • View in full screen mode
 

 

Context Hub ist ein Service, der Anreicherungsabfragefunktionen in den Ansichten für Reaktion und Untersuchungen bereitstellt. Ein Administrator kann den Context Hub-Service und die Datenquellen zum Aktivieren eines Analysten konfigurieren, der Kontextabfragen für die erforderlichen Datenquellen durchführt.

Der Context Hub-Service unterstützt standardmäßig Erweiterungsabfragen für Metadatentypen wie z. B. IP-Adresse, Benutzer, Domain, MAC-Adresse, Dateiname, Datei-Hash und Host.

Die folgenden Datenquellen werden von NetWitness Suite unterstützt und übergeben bei entsprechender Konfiguration angereicherte Daten.

Listen: Bietet kontextbezogene Informationen aus einer Liste von Blacklists, Whitelists oder Watchlists.

RSA Archer: Bietet wichtige Informationen zu einem Gerät oder einer bestimmte Ressource, basierend auf der IP-Adresse oder dem Host, der konstante Überwachung erfordert.

Active Directory: bietet kontextbezogene Informationen zu einem Benutzer, um zu bestimmen, ob dieser verdächtig ist oder nicht.

RSA NetWitness® Endpoint: Bietet Kontextinformationen zu Endpunktmodulen und Maschinen, um zu bestimmen, ob eines der Endpunktgeräte infiziert ist.

Respond: Bietet kontextbezogene Daten zu bestimmten Metadaten, die in Respond verfügbar sind und es Analysten ermöglichen, schneller und basierend auf Kontextdaten zu reagieren.

Live Connect: Bietet kontextbezogene Daten zu IP-Adressen, Domains und Datei-Hashes vom RSA Live Connect Threat Intelligence Community Server.

 

Übersicht über die Konfiguration von Context Hub

Der Administrator muss jeden Schritt in der richtigen Reihenfolge ausführen, um die Services so zu konfigurieren, dass Kontextabfragen effektiv durchgeführt werden. In der Ansicht ADMIN > Services > „Service-Konfiguration“ des Context Hub-Services kann ein Administrator Datenquellen für den Context Hub-Service konfigurieren. Der Administrator kann bei Bedarf Kontextabfragen für benutzerdefinierte Metaschlüssel konfigurieren. Darüber hinaus kann er Listen importieren oder exportieren.

Im folgenden Workflow wird beschrieben, wie der Context Hub-Service konfiguriert werden kann:

Workflow zur Funktionsweise des Context Hub-Service

Der Context Hub-Service ist auf dem primären ESA-Host vorinstalliert und wird der Netwitness-Suite automatisch hinzugefügt.

Hinweis: Sie können nur eine Instanz des Context Hub-Services in Ihrer NetWitness Suite-Bereitstellung aktivieren.Wenn mehrere ESA-Services in NetWitness Suite vorhanden sind, müssen Sie den entsprechenden ESA-Host für Context Hub auswählen.Für die Konfiguration von Context Hub auf einem ESA-Host sind mindestens 8 GB Speicherplatz erforderlich.

 

 

 

Next Topic:Konfigurieren von Datenquellen für Context Hub
You are here
Table of Contents > Funktionsweise von Context Hub

Attachments

    Outcomes