This website uses cookies. By clicking OK, you consent to the use of cookies. Click Here to learn more about how we use cookies.
OK
Register Now
cancel
Turn on suggestions
Auto-suggest helps you quickly narrow down your search results by suggesting possible matches as you type.
Showing results for 
Search instead for 
Did you mean: 

Documentación de RSA NetWitness® Platform (Español)

Explore la documentación oficial de RSA NetWitness Platform (español) para obtener útiles tutoriales, instrucciones paso a paso y otros recursos valiosos.
cancel
Turn on suggestions
Auto-suggest helps you quickly narrow down your search results by suggesting possible matches as you type.
Showing results for 
Search instead for 
Did you mean: 
Versions
Collections
All Downloads

Product Resources

Las listas como un origen de datos usan el servicio Context Hub para obtener información contextual para los tipos de metadatos que son compatibles con la búsqueda de contexto. Puede crear una o más listas y agregar en ellas valores de lista pertinentes. Asegúrese de crear listas significativas, como direcciones IP en lista negra, direcciones IP en lista blanca, etc. Las listas pueden contener entidades compatibles, como dirección IP, dirección MAC, nombre de usuario, nombre de host, nombre de dominio, nombre de archivo o hash de archivo. Puede importar una lista de única columna o una lista de múltiples columnas en la pestaña Origen de datos. Además, todos los feeds (excepto los feeds STIX) que se crean se convierten en listas y se muestran en la búsqueda de contexto. Si Context Hub no está configurado o el servicio está inactivo, los feeds quedarán disponibles cuando Context Hub esté en funcionamiento. Para obtener más información sobre cómo crear feeds, consulte la Guía de administración de servicios de Live.

Nota: Cuando se crea un feed, se genera automáticamente una lista con el mismo nombre que el feed. Si el nombre de la lista ya existe, al nombre de la lista nueva se le agrega el número “2” como sufijo. Por ejemplo, si el nombre del feed existente es test1.csv, la lista nueva se denominará test2.csv.

Los valores de lista están en formato CSV disponible en una ubicación externa y se puede acceder a estos a través de los dos siguientes métodos:

  • Almacén de archivo local: Puede compartir un archivo desde una ubicación local.
  • HTTP(S): Puede compartir un archivo mediante una ubicación del servidor web.

Nota: También puede configurar un trabajo recurrente para buscar datos en intervalos regulares mediante el uso de la configuración Búsqueda previa al configurar el mapeo de metadatos.

Requisitos previos

Antes de configurar el origen de datos de Lists, asegúrese de que:

  • El usuario tenga permisos de Admin.
  • El servicio Context Hub esté disponible en la vista ADMIN> Servicios de NetWitness Platform.
  • Si usa el servidor de Almacén de archivo local o HTTP(S), la ruta mencionada debe contener el archivo CSV.
    En el caso de Almacén de archivo local remoto, el archivo se debe montar o colocar en la ubicación de la unidad local /var/lib/netwitness/contexthub-server/data.
  • El usuario de NetWitness tenga permiso de lectura para acceder al archivo.

Precaución: Si está creando una lista de Context Hub para utilizarla como origen de enriquecimiento en ESA, el nombre de la lista no puede incluir espacios ni caracteres especiales, ni comenzar con un número. Si no sigue esta convención de asignación de nombres, cuando intente agregar la lista como un origen de enriquecimiento en ESA, se mostrará un mensaje de error y no se le permitirá agregarla.

Agregar el origen de datos de Lista mediante Almacén de archivo local

Para agregar una lista como un origen de datos:

  1. Vaya a ADMINISTRAR > Servicios.

    Se muestra la vista Servicios.

  2. Seleccione el servicio Context Hub y haga clic en ic-actns.png> Ver > Configuración.

    Se muestra la vista Configuración de servicios de Context Hub.

  3. En la pestaña Orígenes de datos, haga clic en add.png > LISTAS.

    Se muestra el cuadro de diálogo Agregar origen de datos.

  4. La casilla de verificación Habilitar está seleccionada de manera predeterminada. Si esta opción está deseleccionada, el botón guardar está deshabilitado, no se puede agregar el origen de datos, no se puede ver la lista en la pestaña lista y no se puede ver la información contextual.

  5. Seleccione el tipo de conexión Almacén de archivo local.

    AddExtLsDS1_400x340.png

  6. Proporcione los siguientes detalles de conexión de la base de datos. Ingrese los siguientes campos para el tipo de conexión Almacén de archivo local:

    • Nombre: Proporcione un nombre para el origen de datos de lista.
    • Ruta: En este campo se muestran todos los archivos de datos disponibles en la carpeta de datos /var/lib/netwitness/contexthub-server/data, donde se ejecuta el servicio Context Hub. Seleccione el nombre de archivo en la lista desplegable.
      Se admite un máximo de 32 columnas del archivo CSV que cumplen con los estándares de RFC1480.
    • (Opcional) Descripción: Agregue una descripción para el archivo seleccionado.
    • Con encabezados de columna: Seleccione esta opción para considerar la primera fila como el encabezado de columna del archivo CSV. Si no selecciona esta opción, debe ingresar los encabezados de columna en la pantalla siguiente.

  7. Haga clic en Validar.

    Si la validación falla, no puede agregar el origen de datos.

  8. Haga clic en Siguiente.

    Se muestra el siguiente cuadro de diálogo.

    ListMetaMap_418x408.png

  9. Seleccione una de las siguientes opciones:

    • Agregar: Seleccione esta opción para agregar los valores importados a una lista existente.
    • Sobrescribir: Seleccione esta opción para reemplazar los valores en una lista existente por los valores importados.
  10. En la sección Vencimiento de valores de lista, la opción Habilitar está deseleccionada de manera predeterminada. Si desea almacenar los valores de lista buscados en la caché durante una cantidad especificada de días, seleccione la casilla de verificación Habilitar e ingrese la cantidad de días en el campo Tiempo de disponibilidad (días) para que se conserven los valores de lista.

  11. En la siguiente pantalla, mapee al menos una clave de metadatos con uno o más tipos de metadatos mediante el mapeo de un encabezado de columna con metadatos. La descripción de cada campo es el siguiente:

    • Encabezado de columna: Muestra los encabezados del archivo CSV que se deben mapear a un tipo de metadatos.
    • Mapeo de metadatos: Mapea un campo de encabezado de columna a un tipo de metadatos.
    • Valores: Muestra los primeros tres valores de la lista importada.
  12. Haga clic en Guardar.

Agregar el origen de datos de Lista mediante HTTP(S)

Para agregar Lista como un origen de datos:

  1. Seleccione ADMINISTRAR > Servicios.

    Se muestra la vista Servicios.

  2. Seleccione el servicio Context Hub y haga clic en ic-actns.png> Ver > Configuración.

    Se muestra la vista Configuración de servicios de Context Hub.

  3. En la pestaña Orígenes de datos, haga clic en add.png > LISTAS.

    Se muestra el cuadro de diálogo Agregar origen de datos.

  4. Seleccione el tipo de conexión HTTP(S).

    AddExtLsDS2_382x424.png

    • Ingrese los siguientes campos para el tipo de conexión HTTP(S):
      • Nombre: Proporcione un nombre para el origen de datos de lista.
      • URL: Ingrese la ruta del archivo CSV disponible en la ubicación de HTTP(S), junto con el nombre de host o la dirección IP de la máquina remota donde se almacena la lista. El formato de la dirección URL debe ser: https://<Hostname or IP-address of the HTTP(S)server>:<Port on which the HTTP(S) server is hosted>/<Absolute path of CSV file>Por ejemplo, https://10.1.1.1:443/contexthub_lists/multi_user_list.csv
      • (Opcional) Descripción: Agregue una descripción para el archivo seleccionado.
      • (Opcional) Nombre de usuario: Ingrese el nombre de usuario para conectarse al servidor de HTTP(S) que requiere autenticación básica.
      • (Opcional) Contraseña: Ingrese la contraseña para conectarse al servidor de HTTP(S) que requiere autenticación básica.
      • Con encabezados de columna: Seleccione esta opción si desea importar un archivo CSV con encabezados. Si se selecciona esta opción e importa el archivo CSV sin encabezados, la primera fila se considerará como un encabezado que se puede editar.

      • SSL: Si ingresa una dirección URL con HTTPS en este campo, esta opción se selecciona automáticamente. Si ingresa una dirección URL con HTTP, esta casilla de verificación no está seleccionada.

      • Confiar en todos los certificados: Seleccione esta casilla de verificación para agregar el origen de datos sin validar el certificado. Si deselecciona esta opción, debe cargar un certificado válido del servidor de HTTP(S) con formato cer o .crt para que la conexión sea correcta.
  5. Haga clic en Probar conexión para probar la conexión entre Context Hub y el origen de datos.

  6. Haga clic en Guardar para guardar la configuración.

    Lista se agrega como un origen de datos para el Context Hub configurado y se muestra en la pestaña Orígenes de datos.

    ListDS_Added_1089x318.png

Próximos pasos:

  • Agregue, edite o quite valores de una lista específica.
  • Configure los ajustes de origen de datos para determinar los campos de origen de datos que se mostrarán en el panel Contexto. Para obtener instrucciones, consulte Configurar ajustes de orígenes de datos de Context Hub .
  • Importe o exporte una lista. Para obtener más información, consulte Importar o exportar listas para Context Hub.
  • Vea los datos contextuales en el panel Resumen de contexto de la vista Respond o la vista Investigate. Para obtener más información, consulte la Guía del usuario de RSA NetWitness Respond y la Guía de RSA NetWitness Investigation y Malware Analysis.
You are here
Table of Contents > Configurar listas como un origen de datos
Labels (1)
Labels:
0 Likes
Was this article helpful? Yes No
No ratings

On this page

© 2020 RSA Security LLC or its affiliates.
All rights reserved.