Context Hub: Konfigurieren von Live Connect als Datenquelle

Document created by RSA Information Design and Development on May 9, 2018
Version 1Show Document
  • View in full screen mode
 

In diesem Thema wird das Verfahren zum Konfigurieren von Live Connect-Datenquellen für Context Hub beschrieben. 

Bei RSA Live Connect handelt es sich um einen cloudbasierten Bedrohungsinformationsservice. Dieser Service erfasst, analysiert und bewertet Intelligence-Daten zu Bedrohungen wie beispielsweise IP-Adressen, Domains und Dateien, die aus verschiedenen Quellen erfasst werden, unter anderem aus der Kunden-Community von RSA NetWitness® Suite und RSA NetWitness® Endpoint.

RSA Live Connect ist ein Teil der Live Services und kann aus dem Bereich „System > Live Services-Konfiguration“ heraus konfiguriert werden. Weitere Informationen zur Konfiguration von Live Services finden Sie im Thema Konfigurieren der Einstellungen von Live Services im Systemkonfigurationsleitfaden.

Bedrohungseinblicke durch RSA Live Connect ermöglichen Analysten das Abrufen von Daten zu Bedrohungen (z. B. IP-bezogene Informationen) vom Live Connect-Service, um sie bei Ermittlungen zu nutzen. Bedrohungseinblicke ist im Abschnitt Weitere Live-Services standardmäßig aktiviert. Wenn der Context Hub-Service konfiguriert wurde, wird Live Connect automatisch als Datenquelle für Context Hub hinzugefügt.

Voraussetzungen

Stellen Sie Folgendes sicher:

  • Context Hub ist aktiviert und der Service ist in der Ansicht „Admin > Services“ von NetWitness Suite verfügbar.
  • Das RSA Live-Konto ist verfügbar.

Hinweis: Hinweise zum Erstellen eines Live-Kontos finden Sie im Thema Schritt 1. Erstellen eines Live-Kontos im Handbuch Live-Services-Management.

Bedrohungseinblicke ist im Abschnitt Weitere Live-Services standardmäßig aktiviert. Stellen Sie vor dem Einrichten von Live Connect-Datenquellen sicher, dass Sie sich beim Live-Konto mit Ihren Anmeldedaten für das Live-Konto angemeldet haben und dass Context Hub aktiviert ist. Live Connect wird automatisch als Datenquelle für Context Hub hinzugefügt.

Weitere Informationen zur Konfiguration von Live-Konto und Live-Services finden Sie im Thema Konfigurieren der Einstellungen von Live-Services im Systemkonfigurationsleitfaden.

Informationen zur Konfiguration des Context Hub-Service finden Sie im Thema Schritt 1. Hinzufügen des Context Hub-Services im Context Hub-Konfigurationsleitfaden.

Aktivieren und Deaktivieren von Live Connect als Datenquelle

So aktivieren bzw. deaktivieren Sie Live Connect als Datenquelle für Context Hub:

  1. Navigieren Sie zu ADMIN > System.
  2. Wählen Sie im linken Navigationsbereich Live-Services aus.
  3. Aktivieren Sie im Abschnitt Weitere Live-Services die Option Bedrohungseinblicke.


  4. Klicken Sie auf Anwenden.
    Die Live Connect-Datenquelle wurde für den Context Hub-Service aktiviert.
  5. Um dies zu überprüfen, navigieren Sie zur Registerkarte Datenquellen und zeigen die verfügbaren Quellen an.
    Die Live Connect-Quelle muss der Liste der verfügbaren Quellen hinzugefügt werden und das Feld Enabled muss einen grünen Kreis () aufweisen.
    Live Connect-Datenquelle hinzugefügt
  6. Um eine Live Connect-Datenquelle zu deaktivieren, deaktivieren Sie Bedrohungseinblicke im Bereich „Weitere Live-Services“ und klicken auf Anwenden.

    Die Live Connect-Datenquelle wurde für den Context Hub-Service deaktiviert.

    Hinweis: Wenn „Bedrohungseinblicke“ deaktiviert ist, zeigt der Bereich „Kontextabfrage“ für Live Connect (in den Ansichten „Investigation > Navigieren“ und „Ereignis“) eine Nachricht an, die Live Connect-Datenquelle zu konfigurieren. Um kontextbezogene Daten für Live Connect anzuzeigen, müssen Sie Bedrohungseinblicke aktivieren.

Bearbeiten der Einstellungen für eine Live Connect-Datenquelle

So bearbeiten Sie eine Live Connect-Datenquelle für Context Hub:

  1. Wählen Sie im Hauptmenü die Optionen Admin > Services.
    Die Ansicht „Services“ wird angezeigt.
  2. Wählen Sie im Bereich Services den Context Hub-Service und klicken Sie auf > Ansicht > Konfiguration.
    Die Ansicht „Services-Konfiguration“ wird angezeigt.
  3. Wählen Sie auf der Registerkarte Datenquellen die Live Connect-Datenquelle aus und klicken Sie auf .

    Das Dialogfeld Datenquelle bearbeiten wird angezeigt.


  4. Bearbeiten Sie die erforderlichen Felder:
  5.                
    FeldBeschreibung
    Max. gleichzeitige AnfragenSie können die vom Context Hub-Service definierte maximale Anzahl der gleichzeitigen Abfragen konfigurieren, die an den konfigurierten Datenquellen ausgeführt werden können. Der Standardwert ist 25.
  6. Führen Sie folgende Schritte aus, um die Live-Verbindung und die Proxy-Einstellungen zu bearbeiten:

    • Hinweise zum Bearbeiten der Live-Verbindungseinstellungen finden Sie im Thema Bereich „Konfiguration der Live-Services“ im Systemkonfigurationsleitfaden.

    • Hinweise zum Bearbeiten der Proxy-Einstellungen finden Sie im Thema Bereich „HTTP-Proxyeinstellungen“ Thema im Systemkonfigurationsleitfaden.

  7. Klicken Sie auf Verbindung testen, um die Verbindung zwischen Context Hub und Datenquelle zu testen.

  8. Klicken Sie auf Speichern, um die Einstellungen zu speichern.

Nächste Schritte 

Nach Abschluss der Konfiguration können Sie die kontextbezogenen Daten im Bereich „Kontextübersicht“ der Ansicht „Reagieren“ oder der Ansicht „Untersuchen“ anzeigen. Weitere Informationen finden Sie im RSA NetWitness Respond – Benutzerhandbuch und dem Leitfaden zu RSA NetWitness Investigation und Malware Analysis.

You are here
Table of Contents > Konfigurieren von Datenquellen für Context Hub > Konfigurieren einer Live Connect-Datenquelle

Attachments

    Outcomes