調査:調査でのContext Hubリストおよびリスト値の管理

Document created by RSA Information Design and Development on Oct 19, 2018
Version 1Show Document
  • View in full screen mode
 

アナリストは、[ナビゲート]ビューと[イベント]ビューでContext Hubのリストとリスト値を追加できます。Context Hubサービスが有効化され、構成されている場合、NetWitness Suiteは、[ナビゲーション]ビューと[イベント]ビューで直接Incident Management、カスタム リスト、およびNetWitness Endpointからのエンリッチメント データを提供します。[調査]ビューではエンリッチメント データを使用できるメタ値はすぐにわかるようハイライト表示され、その値をクリックしてコンテキスト情報やインテリジェンスを検索できます。

さらに、[ナビゲート]ビューや[イベント]ビューの[値]パネルで、リストの表示、既存のリスト内のメタ値の編集、新しいリストの作成を実行できます。メタ値をリストに追加すると、コンテキスト ルックアップ オプションを使用してそのメタ値を調査できます。

アナリストが[調査]でリストを管理するためには、管理者が次のタスクを完了する必要があります。

  • Context Hubサービスを有効にします。
  • [調査]ビューからコンテキスト ルックアップを実行するユーザに、Manage List from Investigation権限を含んだアナリストのロールを割り当てます。
  • システム セキュリティとユーザ管理ガイド」にある「ロールの権限」と「ロールと権限によるユーザの管理」の説明に従って適切なロールと権限を設定します。

既存のリストへのメタ値の追加

Context Hubの既存のリストにメタ値を追加するには、次の手順を実行します。

  1. ナビゲート」ビューまたは[イベント]ビューでサービスを調査する時、メタ値(たとえば、[Source IP]、[Destination IP]、または[Username]の値)を右クリックし、コンテキスト メニューから[リストへの追加/削除]を選択します。
    リストへの追加/削除]ダイアログが表示されます。
    Add/Remove from List dialog
  2. リスト]フィールドで、メタ値を追加するリストをドロップダウン オプションから選択します。複数のリストを選択可能です。
  3. 保存]をクリックします。
    選択したリストにメタ値が追加されます。

Context Hubリストからのメタ値の削除

リストからメタ値を削除するには、次の手順を実行します。

  1. リストへの追加/削除]ダイアログの[リスト]フィールドで、メタ値を含むリストを表示します。
  2. メタ値を削除したいリストの削除アイコン(x)をクリックします。
  3. 保存]をクリックします。
    削除したリストから、メタ値が削除されます。

新しいリストの作成

[調査]でContext Hubリストを作成するには、次の手順を実行します。

  1. リストへの追加/削除]ダイアログで、[新しいリストの作成]をクリックします。
    Create New List options
  2. 名前]フィールドに、リストの一意の名前を入力します。
  3. 説明]フィールドに、リストの説明を入力します。
  4. 作成]をクリックしてリストを作成します。
  5. 保存]をクリックして、作成したリストにメタ値を追加します。
    これらのリストは、コンテキスト情報を取得するデータ ソースと見なされます。
You are here
Table of Contents > [ナビゲート]ビューおよび[イベント]ビューでのクエリとデータの処理 > 調査でのContext Hubリストおよびリスト値の管理

Attachments

    Outcomes