Untersuchen: Verwalten von Context Hub-Listen und -Listenwerten in Investigate

Document created by RSA Information Design and Development on May 14, 2018Last modified by RSA Information Design and Development on Oct 19, 2018
Version 3Show Document
  • View in full screen mode
 

Analysten können Listen und Listenwerte für die Context Hub-Erweiterung in den Ansichten „Navigation“ und „Ereignisse“ hinzufügen. Wenn der Context-Hub-Service aktiviert und konfiguriert ist, stellt NetWitness Suite Erweiterungsdaten von Incident Management, benutzerdefinierte Listen und NetWitness Endpoint direkt in den Ansichten „Navigation“ und „Ereignisse“ bereit. Eine visuelle Orientierungshilfe hebt Metawerte hervor, für die Erweiterungsdaten in den Investigate-Ansichten verfügbar sind, und Sie können auf den hervorgehobenen Wert klicken, um die Kontextinformationen und -daten anzuzeigen.

Darüber hinaus können Sie im Bereich „Werte“ in der Ansicht „Navigation“ und der Ansicht „Ereignisse“ Listen anzeigen, Metawerte in einer vorhandenen Liste bearbeiten oder eine neue Liste erstellen. Wenn Sie einer Liste Metawerte hinzufügen, können Sie mithilfe der Kontextabfrageoption Metawerte untersuchen.

Damit ein Analyst Listen in Investigate managen kann, muss der Administrator Folgendes tun:

  • Den Context-Hub-Service aktivieren.
  • Dem Benutzer, der die Kontextabfrage aus „Investigation“-Ansichten durchführen wird, eine Analystenrolle mit der Berechtigung Manage List from Investigation zuweisen.
  • Geeignete Rollen und Berechtigungen konfigurieren, wie in „Rollenberechtigungen“ und „Managen von Benutzern mit Rollen und Berechtigungen“ im Handbuch Systemsicherheit und Benutzerverwaltung beschrieben.

Hinzufügen von Metawerten zu einer vorhandenen Liste

So fügen Sie Metawerte zu einer vorhandenen Liste in Context Hub hinzu:

  1. Klicken Sie beim Untersuchen eines Services in der Ansicht Navigation oder der Ansicht Ereignisse mit der rechten Maustaste auf einen Metawert (zum Beispiel auf Werte unter „Quell-IP“, „Ziel-IP“ oder „Benutzername“) und wählen Sie Zu Liste hinzufügen/Aus Liste entfernen im Kontextmenü aus.
    Das Dialogfeld Zu Liste hinzufügen/Aus Liste entfernen wird angezeigt.
    Add/Remove from List dialog
  2. Wählen Sie im Feld Liste eine oder mehrere Listen aus der Drop-down-Option aus, der der Metawert hinzugefügt werden muss.
  3. Klicken Sie auf Speichern.
    Der Metawert wird den ausgewählten Listen hinzugefügt.

Entfernen eines Metawerts aus einer Context Hub-Liste

So entfernen Sie einen Metawert aus einer Liste:

  1. Zeigen Sie im Dialogfeld Zu Liste hinzufügen/Aus Liste entfernen im Feld Liste die Listen an, die den Metawert enthalten.
  2. Klicken Sie auf das Löschsymbol (x) für jede Liste, die den Metawert nicht enthalten soll.
  3. Klicken Sie auf Speichern.
    Der Metawert wird aus der gelöschten Liste entfernt.

Erstellen einer neuen Liste

So erstellen Sie eine Context Hub-Liste in Investigate:

  1. Klicken Sie im Dialogfeld Zu Liste hinzufügen/Aus Liste entfernen auf Neue Liste erstellen.
    Create New List options
  2. Geben Sie im Feld Listenname einen eindeutigen Namen für die Liste ein.
  3. Geben Sie im Feld Beschreibung die Beschreibung für die Liste ein.
  4. Klicken Sie auf Erstellen, um die Liste zu erstellen.
  5. Klicken Sie auf Speichern, um den Metawert der erstellten Liste hinzuzufügen.
    Diese Listen werden als Datenquellen für das Abrufen von Kontextinformationen betrachtet.
You are here
Table of Contents > Abfragen von und Reagieren auf Daten in den Ansichten „Navigation“ und „Ereignisse“ > Verwalten von Context Hub-Listen und -Listenwerten in Investigate

Attachments

    Outcomes