Untersuchen: Suchen von zusätzlichem Kontext in der Ansicht „Ereignisanalyse“

Document created by RSA Information Design and Development on Apr 28, 2019
Version 1Show Document
  • View in full screen mode
 

 

Die Informationen in diesem Thema gelten für RSA NetWitness® Platform Version 11.2 und höher.In früheren Versionen können Sie auch zusätzlichen Kontext in der Ansicht „Navigation“ oder „Ereignisse“ suchen, wie unter Suchen von weiteren Kontexten in den Ansichten „Navigation“ und „Ereignisse“ beschrieben.

In der Ansicht „Ereignisanalyse“ oder der Ansicht „Navigation“ können Sie Details und Informationen zu Elementen nachschlagen, die mit einem Ereignis im Context Hub verknüpft sind. Diese Elemente oder Entitäten sind Kennungen, z. B. eine IP-Adresse, ein Benutzername, ein Hostname, ein Domain-Name, ein Dateiname oder ein Datei-Hash. Die Daten aus konfigurierten Quellen wie RSA NetWitness Endpoint können Ihnen helfen, die Vorfälle zu verstehen.

Hinweis: Damit Sie kontextbezogene Informationen anzeigen können, muss Ihr Administrator den Context-Hub-Service in RSA NetWitness Platform hinzufügen und Datenquellen für den Context-Hub-Service konfigurieren wie im Context-Hub-Konfigurationsleitfaden beschrieben. Analysten müssen eine Rolle mit der Berechtigung Context Lookup haben, wie unter „Rollenberechtigungen“ und „Managen von Nutzern mit Rollen und Berechtigungen“ im Handbuch Systemsicherheit und Benutzerverwaltung beschrieben wird. Navigieren Sie zu Masterinhaltsverzeichnis, worüber alle Dokumente für NetWitness Platform Logs & Network 11.x aufgerufen werden können.

Der Context Hub ist ein zentralisierter Service, der Daten zu Entitäten aus mehreren konfigurierbaren Datenquellen aggregiert. Diese Daten können Ihre Untersuchung durch zusätzlichen Kontext über die sofortigen Ergebnisse einer bestimmten Abfrage hinaus erweitern. Zum Beispiel kann Ihnen der Context Hub sagen, ob eine bestimmte Entität in Incidents, Warnmeldungen, Feeds oder Veröffentlichungen von Communityinformationen erwähnt wurde.

Im Bereich „Ereignisse“, der Kopfzeile des Ereignisses oder dem Bereich „Ereignis-Metadaten“ werden unterstrichene Entitäten angezeigt. Wenn eine Entität unterstrichen ist, werden Informationen zu diesem Entitätentyp in Context Hub von NetWitness Platform aufgefüllt. Möglicherweise sind zusätzliche Informationen zu dieser Entität im Context Hub verfügbar.

Hinweis: Active Directory-Entitäten mit verfügbaren Kontextinformationen sind nicht unterstrichen, aber Sie können den Mauszeiger über diese Entitäten bewegen, um zu sehen, ob Kontextinformationen verfügbar sind.

In der folgenden Abbildung werden unterstrichene Entitäten im Bereiche „Ereignisse“ mit dem geöffneten Kontextwerkzeug dargestellt.

example of underlined events and the hover box in the Event Analysis view
Die Kontext-Kurzinformation besteht aus zwei Abschnitten: Kontexthighlights und -aktionen.

  • Die Informationen im Abschnitt Kontexthighlights helfen Ihnen, die Aktionen zu bestimmen, die Sie durchführen möchten. Es können verwandte Daten für Incidents, Warnmeldungen, Listen, Endpunkt, Live Connect, Bedeutung und Risiko für Bestände angezeigt werden. Abhängig von Ihren Daten können Sie möglicherweise auf diese Elemente klicken, um weitere Informationen anzuzeigen.
  • Im Abschnitt Aktionen werden die verfügbaren Aktionen aufgeführt. Im obigen Beispiel sind die Optionen „Zu Liste hinzufügen/Aus Liste entfernen“, „Zu „Ermittlungen“ > Navigation“ wechseln“, „Zu Archer wechseln“ und „Zu Endpunkt-Thick-Client wechseln“ verfügbar.

In der folgenden Abbildung sind unterstrichene Entitäten in den Bereichen „Ereignis-Kopfzeile“ und „Ereignis-Metadaten“ dargestellt.

underlined entities in the Event Header and Event Meta panel

Wenn Sie in den Kontext-Kurzinformationen auf „Kontext anzeigen“ klicken, fragt der Context Hub die konfigurierten Datenquellen nach relevanten Informationen ab und auf der rechten Seite des Browserfensters wird der Bereich für die Kontextabfrage geöffnet. Der Bereich „Kontextabfrage“ wird mit den Informationen aus dem Context Hub gefüllt, sobald diese verfügbar sind. Im Bereich „Kontextabfrage“ können Sie einzelne Datenquellen anzeigen und weiter durchsuchen. Eine detaillierte Beschreibung der Informationen, die für jede Datenquelle im Bereich „Kontextabfrage“ angezeigt werden, finden Sie unter Bereich „Kontextabfrage“. Sie können auch alle verfügbaren Aktionen im Abschnitt „Aktionen“ durchführen.

So zeigen Sie Informationen im Bereich „Kontextabfrage“ in der Ansicht „Ereignisanalyse“ an:

  1. Bewegen Sie den Mauszeiger über verschiedene Metawerte, um die für die Daten verfügbaren Datenquellen anzuzeigen.
    In einer Kontext-Kurzinformation wird eine Liste der für die ausgewählten Metawerte verfügbaren Kontextdaten angezeigt.
  2. Klicken Sie in den Kontext-Kurzinformationen auf Kontext anzeigen, um den Bereich „Kontextabfrage“ zu öffnen.
    Der Bereich „Kontextabfrage“ wird auf der rechten Seite des Browserfensters geöffnet. Der Bereich „Kontextabfrage“ wird mit den Informationen aus dem Context Hub gefüllt, sobald diese verfügbar sind.
    the Context Lookup panel
  3. Zum Durchführen von Aktionen für eine Entität wählen Sie eine der verfügbaren Aktionen in den Kontext-Kurzinformationen aus: Zu Liste hinzufügen/Aus Liste entfernen, Zu „Ermittlungen“ > „Navigation“ wechseln, Zu Archer wechseln, Zu Endpunkt-Thick-Client wechseln. Weitere Informationen finden Sie unter Wechseln zu „Ermittlungen“ > „Navigation“, Wechseln zu Archer, Wechseln zu NetWitness Endpoint-Thick-Client und Hinzufügen einer Entität zu einer Whitelist.

    Hinweis: Die Aktion „Zu Archer wechseln“ ist deaktiviert, wenn die Archer-Daten nicht verfügbar sind oder wenn die Archer-Datenquelle nicht reagiert. Überprüfen Sie, ob die RSA Archer-Konfiguration aktiviert und richtig konfiguriert ist. Das Gleiche gilt für „Zu NetWitness Endpoint-Thick-Client wechseln“. Wenn diese Option deaktiviert ist, überprüfen Sie, ob der NetWitness Endpoint-Thick-Client korrekt installiert und konfiguriert ist.

    Hinzufügen einer Entität zu einer Whitelist

    Sie können eine beliebige unterstrichene Entität aus einer Kontext-Kurzinformation zu einer Liste, etwa einer Whitelist oder Blacklist, hinzufügen. Zum Beispiel können Sie zur Reduzierung falsch positiver Ergebnisse eine unterstrichene Domain zur eine Whitelist hinzufügen, um sie aus den verwandten Entitäten auszuschließen.

    1. Bewegen Sie den Mauszeiger in den Bereichen „Ereignisse“, „Ereignis-Kopfzeile“ oder „Ereignis-Metadaten“ über die unterstrichene Entität, die Sie einer Context-Hub-Liste hinzufügen möchten. (Active Directory-Entitäten mit Kontextdaten können ebenfalls hinzugefügt werden, werden aber nicht unterstrichen.)
      Ein Kontextwerkzeug mit den verfügbaren Aktionen wird angezeigt.
    2. Klicken Sie im Abschnitt AKTIONEN der Kurzinformation auf Zu Liste hinzufügen/Aus Liste entfernen.
      Das Dialogfeld „Zu Liste hinzufügen/Aus Liste entfernen“ zeigt die verfügbaren Listen.

    3. Wählen Sie eine oder mehrere Listen aus und klicken Sie auf Speichern.
      Die Entität wird den ausgewählten Listen hinzugefügt. Das Dialogfeld Dialogfeld „Zu Liste hinzufügen/Aus Liste entfernen“bietet zusätzliche Informationen.

    Eine Liste erstellen

    Sie können Listen im Context Hub aus der Ansicht „Ereignisanalyse“ erstellen. Abgesehen von der Verwendung von Listen für Whitelist- und Blacklist-Entitäten können Sie Listen verwenden, um Entitäten auf abnormales Verhalten zu überwachen. Beispielsweise können Sie zur Verbesserung der Sichtbarkeit einer verdächtigen IP-Adresse und Domain unter Investigation diese in zwei separate Listen übernehmen. Eine Liste könnte für Domains sein, die verdächtigt werden, mit Befehls- und Kontrollverbindungen in Zusammenhang zu stehen, und eine andere Liste könnte für IP-Adressen sein, die mit Remotezugriffen über Trojaner-Verbindungen in Zusammenhang stehen. Sie können dann Indikatoren für Infizierungen anhand dieser Listen identifizieren.

    So erstellen Sie eine Liste in Context Hub:

    1. Bewegen Sie den Mauszeiger in den Bereichen „Ereignisse“, „Ereignis-Kopfzeile“ oder „Ereignis-Metadaten“ über die unterstrichene Entität, die Sie einer Context-Hub-Liste hinzufügen möchten. (Active Directory-Entitäten mit Kontextdaten können ebenfalls zu einer neuen Liste hinzugefügt werden, werden aber nicht unterstrichen.)
      Ein Kontextwerkzeug mit den verfügbaren Aktionen wird angezeigt.
    2. Klicken Sie im Abschnitt AKTIONEN der Kurzinformation auf Zu Liste hinzufügen/Aus Liste entfernen.
    3. Klicken Sie im Dialogfeld „Zu Liste hinzufügen/Aus Liste entfernen“ auf Neue Liste erstellen.
    4. Geben Sie einen eindeutigen LISTENNAMEN für die Liste ein. Bei dem Listennamen wird nicht zwischen Groß- und Kleinschreibung unterschieden.
    5. (Optional) Geben Sie eine BESCHREIBUNG für die Liste ein.
      Analysten mit den entsprechenden Berechtigungen können Listen auch im CSV-Format exportieren, um sie für die weitere Nachverfolgung und Analyse an andere Analysten zu senden. Im Context Hub-Konfigurationsleitfaden finden Sie zusätzliche Informationen.

    Wechseln zu „Ermittlungen“ > „Navigation“

    Für eine gründlichere Ermittlung einer Entität können Sie die Ansicht „Navigation“ öffnen.

    1. Bewegen Sie den Mauszeiger in den Bereichen „Ereignisse“, „Ereignis-Kopfzeile“ oder „Ereignis-Metadaten“ über eine beliebige unterstrichene Entität. (Active Directory-Entitäten mit Kontextdaten können ebenfalls untersucht werden, werden aber nicht unterstrichen.)
    2. Wählen Sie im Abschnitt AKTIONEN der Kurzinformation Zu „Ermittlungen“ > „Navigation“ wechseln aus.
      Die Ansicht „Navigation“ wird geöffnet, sodass Sie eine umfassendere Ermittlung durchführen können. Weitere Informationen finden Sie unter Untersuchen von Metadaten in der Ansicht „Navigation“.

    Wechseln zu Archer

    Wenn Sie mehr Details zum Gerät in RSA Archer® Cyber Incident & Breach Response anzeigen möchten, können Sie auf die Seite mit den Gerätedetails wechseln. Diese Informationen werden nur für IP-Adresse, Host und Mac-Adresse angezeigt.

    1. Bewegen Sie den Mauszeiger in den Bereichen „Ereignisse“, „Ereignis-Kopfzeile“ oder „Ereignis-Metadaten“ über eine unterstrichene Entität (IP-Adresse, Host und Mac-Adresse).
    2. Wählen Sie im Abschnitt AKTIONEN der Kurzinformation Zu Archer wechseln aus.
    3. Wenn Sie in der Anwendung angemeldet sind, wird die Seite mit den Gerätedetails in Reaktion auf Cyber-Incidents und Sicherheitsverletzungen von RSA Archer geöffnet. Anderenfalls wird der Anmeldebildschirm angezeigt.

     

    Hinweis: Der Link „Zu Archer wechseln“ ist deaktiviert, wenn die Archer-Daten nicht verfügbar sind oder wenn die Archer-Datenquelle nicht reagiert. Überprüfen Sie, ob die RSA Archer-Konfiguration aktiviert und richtig konfiguriert ist.

    Weitere Informationen finden Sie im Archer-Integrationsleitfaden.

    Wechseln zu NetWitness Endpoint-Thick-Client

    Wenn bei Ihnen die NetWitness Endpoint-Thick-Clientanwendung installiert ist, können Sie sie über die Kontext-Kurzinformation starten. Von dort können Sie verdächtige IP-Adressen, Hosts oder MAC-Adressen weiter untersuchen.

    1. Bewegen Sie den Mauszeiger in den Bereichen „Ereignisse“, „Ereignis-Kopfzeile“ oder „Ereignis-Metadaten“ über eine beliebige unterstrichene Entität.
    2. Wählen Sie im Abschnitt AKTIONEN der Kurzinformation Zu Endpunkt-Thick-Client wechseln aus.
      Die NetWitness Endpoint-Thick-Clientanwendung wird außerhalb des Webbrowsers geöffnet.

Hinweis: Version 4.4 des NetWitness Endpoint (NWE)-Thick-Client muss auf demselben Server installiert sein, die NWE-Metaschlüssel müssen in der table-map.xml-Datei auf dem Log Decoder und die NWE-Metaschlüssel müssen in der index-concentrator-custom.xml-Datei vorhanden sein. Der NWE-Thick-Client ist eine reine Windows-Anwendung. Umfassende Anweisungen zur Installation finden Sie im NetWitness Endpoint-Benutzerhandbuch für Version 4.4.

 
You are here
Table of Contents > Analysieren von Raw-Ereignissen und Metadaten in der Ansicht „Ereignisanalyse“ > Suchen von zusätzlichem Kontext in der Ansicht „Ereignisanalyse“

Attachments

    Outcomes