Context Hub: Registerkarte „Listen“

Document created by RSA Information Design and Development on May 9, 2018Last modified by RSA Information Design and Development on Apr 28, 2019
Version 2Show Document
  • View in full screen mode
 

Auf der Registerkarte Listen können Sie Listen für Context Hub erstellen und konfigurieren. Navigieren Sie zu ADMIN > SERVICES > Context-Hub-Service > Ansicht > Konfiguration > Registerkarte Listen.

Auf der Registerkarte „Listen“ des Context-Hub-Services können Sie eine oder mehrere Listen erstellen und der Liste entsprechende Listenwerte hinzufügen. Diese Listen werden automatisch als Datenquellen für den Context-Hub-Service berücksichtigt.

Diese Listen können mit Elementen gefüllt werden. Dafür werden entweder externe oder benutzerdefinierte CSV-Dateien importiert oder Metawerte mithilfe der Option „Zu Liste hinzufügen/Aus Liste entfernen“ in den Ansichten „Ermittlungen“ und „Reagieren“ hinzugefügt.

Hinweis: Sie können Listen auch über die Ansichten „Reagieren“ und „Investigation“ erstellen und Listenwerte hinzufügen. Weitere Informationen finden Sie im RSA NetWitness Respond – Benutzerhandbuch und dem Leitfaden zu RSA NetWitness Investigation und Malware Analysis.

Workflow

Dieser Workflow zeigt das Verfahren zum Konfigurieren von Listen für den Context-Hub-Service und zum Anzeigen von kontextbezogenen Informationen in den Ansichten „Reagieren“ und „Untersuchen“.

Workflow to explain the actions of the Context Hub Lists tab

Das Erstellen einer oder mehrerer Listen ist die erste Aufgabe in diesem Workflow. Die Listen können unterstützte Metadaten wie IP-Adresse, Benutzer, Host, Domain, MAC-Adresse, Dateinamen oder Datei-Hash enthalten. Die nächste Aufgabe ist das Analysieren oder Verwenden der Listendaten zum Anzeigen kontextbezogener Daten in den Ansichten „Reagieren“ und „Untersuchen“.

Was möchten Sie tun?

                                                     
Rolle ZielDetails anzeigen
AdministratorListendatenquelle für Context Hub konfigurieren*Konfigurieren von Listen als Datenquelle
Administrator/AnalystKontextbezogene Informationen in der Ansicht „Reagieren“ anzeigen

Weitere Informationen finden Sie im NetWitness Respond – Benutzerhandbuch.

Administrator/Analyst

Listen und Listenwerte in Investigation managen

Weitere Informationen finden Sie im Leitfaden zu Investigation und Malware Analysis.

Administrator/Analyst

Eine Liste erstellen

Weitere Informationen finden Sie im NetWitness Respond – Benutzerhandbuch und dem Leitfaden zu Investigation und Malware Analysis.

Administrator/AnalystListe aktualisierenWeitere Informationen finden Sie im NetWitness Respond – Benutzerhandbuch und dem Leitfaden zu Investigation und Malware Analysis.

Administrator/Analyst

Liste löschen

Weitere Informationen finden Sie im NetWitness Respond – Benutzerhandbuch und dem Leitfaden zu Investigation und Malware Analysis.

Administrator/AnalystEine Liste importierenImportieren oder Exportieren von Listen für Context Hub

Administrator/Analyst

Exportieren von Listen

Importieren oder Exportieren von Listen für Context Hub

*Sie können diese Aufgabe hier abschließen (das ist die Registerkarte „Context Hub-Listen“).

Verwandte Themen

Überblick

Das folgende Beispiel zeigt, wie Sie Listen für den Context-Hub-Service hinzufügen.

Die Registerkarte „Liste“ besteht aus dem Bereich Listen und dem Bereich Listenwerte. Der Bereich Listen verfügt über eine Symbolleiste mit Optionen zum Hinzufügen, Löschen, Importieren und Exportieren von Listen. Die Einträge unter Listenname sind Listen, die für den Context-Hub-Service hinzugefügt oder importiert werden. 

Standardmäßig sind 10 leere Einspaltenlisten in RSA NetWitness Platform11.1 verfügbar. Diese Listen sind leer und Sie müssen diesen Listen Informationen hinzufügen. Die standardmäßigen 10 Listennamen werden in den ESA-Regeln verwendet. Weitere Informationen zu den ESA-Regeln finden Sie im Warnmeldungen mit ESA-Korrelationsregeln – Benutzerhandbuch. Nutzern, die ein Upgrade von früheren Versionen durchführen, werden diese neuen Listen zusätzlich zu ihren zuvor erstellten Listen angezeigt. Die standardmäßig verfügbaren Listen sind: 

  • Admin_Accounts
  • Guest_Accounts
  • Service_Accounts
  • User_Blacklist
  • User_Whitelist
  • Host_Whitelist
  • Domain_Controllers
  • IP_Blacklist
  • IP_Whitelist
  • Host_Blacklist

Hinweis: Wenn bereits vor der Aktualisierung oder Installation von RSA NetWitness Platform10,6 eine Liste mit dem gleichen Namen existiert, dann wird diese Liste beibehalten. Entweder benennen Sie diese Liste vor der Aktualisierung auf 11.1 um oder aktualisieren die Inhalte so, dass sie in ESA-Regeln verwendet werden können.

Die Listen sind auf der Registerkarte „ESA-Regeln“ in „KONFIGURIEREN > ESA-Regeln > Einstellungen > Erweiterungsquellen“ verfügbar. Weitere Informationen zu den ESA-Regeln finden Sie im Handbuch zum Versenden von Warnmeldungen mit ESA für Version 11.1.
Der Bereich Listenwerte verfügt über eine Symbolleiste mit Optionen zum Hinzufügen, Löschen und Importieren von Listenwerten für die ausgewählte Liste. Die Einträge unter Wert identifizieren jeden in der Liste enthaltenen Listeneintrag.

Screenshot describing the List tab features.

                                         
1Klicken Sie auf , um eine neue Liste hinzuzufügen.
2Name, der die Liste identifiziert.
3Beschreibung der Liste
4Klicken Sie auf , um Listen in Context Hub zu importieren.
5Klicken Sie auf , um eine Liste auf den lokalen Rechner zu exportieren.
6Klicken Sie auf , um Listenwerte in eine ausgewählte Liste zu importieren.
7Klicken Sie auf , um eine Entitätszuordnung hinzuzufügen oder zu bearbeiten.

8

Zeigt die benutzerdefinierte(n) Liste(n), die Context Hub hinzugefügt wird/werden.

9Zeigt die Listenwerte an, die der ausgewählten Liste hinzugefügt werden.

Symbolleiste

In der folgenden Tabelle werden die Aktionen der Symbolleiste beschrieben.

                           
FunktionBeschreibung

Fügen Sie eine neue Liste hinzu.

Weitere Informationen finden Sie unter Konfigurieren von Listen als Datenquelle.

Löschen einer Liste.

Wenn Sie eine Liste aus Context Hub löschen, wird die Liste nicht mehr als Datenquelle für das Abrufen von kontextbezogenen Informationen betrachtet.

Importieren Sie Listen in Context Hub.

Weitere Informationen finden Sie unter Importieren oder Exportieren von Listen für Context Hub.

Exportieren Sie eine Liste auf den lokalen Rechner.

Weitere Informationen finden Sie unter Importieren oder Exportieren von Listen für Context Hub.

Optionen der Ansicht „Liste“

In der folgenden Tabelle werden die Listenkonfigurationen beschrieben.

                       
FunktionBeschreibung
ListennameEindeutiger Name zur Identifizierung der Liste
BeschreibungBeschreibung der Liste
SpeichernSpeichert die an der Liste durchgeführten Änderungen.

Nächste Schritte 

Nach Abschluss der Konfiguration können Sie die kontextbezogenen Daten im Bereich „Kontextübersicht“ der Ansicht „Reagieren“ oder der Ansicht „Untersuchen“ anzeigen. Anweisungen dazu finden Sie im Thema Navigieren zum Bereich Kontextübersicht und Anzeigen von zusätzlichem Kontext im Leitfaden zu Investigation und Malware Analysis.

Next Topic:Troubleshooting
You are here
Table of Contents > Referenzen zu Context Hub > Registerkarte „Context Hub-Listen“

Attachments

    Outcomes