UEBA: Ansicht „Warnmeldungen“

Document created by RSA Information Design and Development on Apr 28, 2019
Version 1Show Document
  • Comment0
  • View in full screen mode

Auf der Registerkarte „Warnmeldungen“ werden Details zu allen Warnmeldungen in Ihrer Umgebung angezeigt. Sie können forensische Informationen zu verdächtigen Aktivitäten in Ihrer Umgebung anzeigen, die auf einem bestimmten Zeitrahmen basieren.

Workflow

Investigate Top Users and Alerts workflow diagram

Was möchten Sie tun?

                                      
NutzerrolleZielDokumentation
UEBA-AnalystUntersuchen von Warnmeldungen in meiner Umgebung.* Untersuchen von Top-Warnmeldungen
UEBA-Analyst

Sortieren von Warnmeldungen, um meine Untersuchung zu fokussieren.*

Filtern von Warnmeldungen
UEBA-Analyst

Untersuchen von Incidents anhand von Bedrohungsindikatoren.*

Untersuchen von Indikatoren
UEBA-AnalystTeilen von Warnmeldungsdaten im Tabellenformat.Top-Warnmeldungen verwalten
UEBA-AnalystSchnelles Anzeigen einer Zusammenfassung von Nutzerwarnmeldungen.Anzeigen von Warnmeldungszusammenfassungen für Nutzer

*Sie können diese Aufgaben hier durchführen.

Verwandte Themen

Überblick

Alerts tab with callouts for each panel

So greifen Sie auf diese Ansicht zu:

  1. Navigieren Sie zu Ermittlung > Nutzer.

    Die Registerkarte „Übersicht“ wird angezeigt.

  2. Klicken Sie auf Warnmeldungen.

Die Registerkarte „Warnmeldungen“ enthält folgende Bereiche:

             
1Bereich „Filter“
2Bereich „Alerts“

Bereich „Filter“

Verwenden Sie den Bereich „Filter“, um Ihre Untersuchung von Warnmeldungen zu verfeinern. Die Filter werden automatisch angewendet, wenn Sie Ihre Auswahl treffen. Sie können alle derzeit eingestellten Filter löschen, indem Sie auf Löschen klicken.

In der folgenden Tabelle werden die Filtertypen beschrieben.

                                      
FilternameBeschreibungOptionen
Schweregrad

Filtert die Liste der Warnmeldungen so, dass Warnmeldungen für einen oder mehrere Schweregrade angezeigt werden.

Kritisch, Hoch, Mittel oder Niedrig.
FeedbackFiltert die Liste der Warnmeldungen so, dass Warnmeldungen für einen oder mehrere Feedbacktypen angezeigt werden.Wählen Sie „Alle“, „Kein Feedback“ oder „Kein Risiko“ aus.
EntitätFiltert die Liste der Warnmeldungen so, dass nur Warnmeldungen für einen bestimmten Nutzernamen angezeigt werden.NA.
IndikatorenFiltert die Liste der Warnmeldungen so, dass Warnmeldungen für einen oder mehrere Indikatoren angezeigt werden.

Beispiele für Indikatoren sind:

  • Active Directory – ungewöhnliche lange Anmeldezeit
  • Authentifizierung – Anmeldung an mehreren Computern
  • Mehrere Dateizugriffsfehler

Datumsbereich

Filtert die Liste der Warnmeldungen so, das Warnmeldungen angezeigt werden, die in einem bestimmten Zeitraum erstellt wurden.

Letzte Woche, letzter Monat oder ein benutzerdefinierter Zeitraum

Bereich „Warnmeldungen“

Der Bereich „Warnmeldungen“ zeigt für jede Warnmeldung die folgenden Informationen an:

  • Schweregrad-Symbol: Ein Symbol neben der Warnmeldung, das den Schweregrad der Warnmeldung anzeigt
  • Name der Warnmeldung: Der Name der Warnmeldung und ihr Zeitrahmen
  • Entitätsname: Der Name der Entität (Nutzerkonto), von der die Warnmeldung erzeugt wurde
  • Startzeit: Datum und Uhrzeit der ersten Erkennung dieser Warnmeldung
  • Indikatorenanzahl: Die Anzahl der einzigartigen Verhaltensanomalien (Indikatoren), die der Warnmeldung zugeordnet sind
  • Status: Zeigt an, ob die Warnmeldung mit „Unüberprüft“ oder „Kein Risiko“ markiert wurde
  • Feedback: Zeigt an, ob ein Feedbackwert für die Warnmeldung zugewiesen wurde

Am Anfang jeder Warnmeldungszeile befindet sich ein Symbol, mit dem die Warnmeldung erweitert werden kann, um zusätzliche Details anzuzeigen. Nach dem Erweitern werden folgende Felder angezeigt:

  • Indikatorname: Der Name jedes einzelnen Indikators, der der Warnung zugeordnet ist
  • Anomaliewert: Der Wert des Indikators, der den Betrag oder Wert der Abweichung darstellt, wenn er sich vom normalen Verhalten des Nutzers unterscheidet
  • Datenquelle: Die Art der Daten, in denen der Indikator gefunden wurde
  • Startzeit: Datum und Uhrzeit, an denen dieser Indikator zum ersten Mal erkannt wurde
  • Ereignisanzahl: Die Anzahl der Ereignisse im Indikator

Die Daten, die derzeit im zentralen Bereich angezeigt werden, können in eine CSV-Datei exportiert werden, indem Sie oben rechts im Bereich auf „Export“ klicken.

Previous Topic:Ansicht „Nutzer“
You are here
Table of Contents > Referenz > Ansicht „Warnmeldungen“

Attachments

    Outcomes

      Visibility: RSA NetWitness Logs & Network 11.x Documentation (German)12 Views
      Last modified on Apr 28, 2019 1:16 PM
      Ratings: