UEBA: Untersuchen von Indikatoren

Document created by RSA Information Design and Development Employee on Apr 28, 2019
Version 1Show Document
  • Comment0
  • View in full screen mode

Auf der Registerkarte „WARNMELDUNGEN“ können Sie alle Indikatoren zu einer Warnmeldung anzeigen. Zu jedem Indikator wird zudem ein Anomaliewert in Klammern angezeigt. Sie sehen den Indikatornamen und eine Beschreibung des Indikatortyps, die Anomaliewerte und die Datenquelle der Ereignisse im Indikator. Sie können auch ein Diagramm mit Details zu einem bestimmten Indikator anzeigen. Sie können einen Indikator untersuchen, mit dem Sie über einen Zeitraum nach verwandten Aktivitäten suchen. Wechseln Sie dazu in die Ansicht UNTERSUCHEN > Ereignisse. In der Ansicht „Benutzer“ werden Werte, für die in eine andere Ansicht gewechselt werden kann, in Hellblau hervorgehoben. Zum Öffnen der Ansicht „Ereignis“ können Sie auf einen Wert klicken. In der Ansicht „Ereignis“ wird der ausgewählte Wert in allen Metaschlüsseln festgelegt und der Zeitbereich wird auf einen Tag eingestellt. Sie können den Zeitbereich ändern.

So zeigen Sie alle Bedrohungsindikatoren mit Warnmeldungen an:

  1. Melden Sie sich bei NetWitness Platform an und gehen Sie zu UNTERSUCHEN > Benutzer > WARNMELDUNGEN.
  2. Klicken Sie unter NAME DER WARNMELDUNG auf einen Warnmeldungsnamen.
    Die Indikatoren werden zusammen mit dem Anomaliewert, der Datenquelle und der Startzeit angezeigt.
    User Profile view with indicators displayed
  3. Klicken Sie unter Warnmeldungsfluss auf das Diagrammsymbol.
    Es wird ein Diagramm mit Details zu einem bestimmten Indikator anzeigt, einschließlich der Zeitleiste, in der die Anomalie aufgetreten ist, und dem mit dem Indikator verbundenen Benutzer. In der folgenden Abbildung ist ein Beispiel für ein Diagramm dargestellt. Die Art der Grafik kann abhängig von der Art der von NetWitness UEBA durchgeführten Analyse variieren. Weitere Informationen erhalten Sie unter Ansicht „Nutzerprofil“.
    User Provile view, alert flow graph

So wechseln Sie in die Ansicht „Ereignisse“:

  1. Navigieren Sie zu UNTERSUCHEN > Benutzer und wählen Sie eine Warnmeldung oder einen Benutzer aus.
  2. Wählen Sie unter Benutzerrisikobewertung einen Namen der Warnmeldung aus.
    Unter der Warnmeldung werden Indikatoren angezeigt.
    User Risk Score with Alert and Indicators
  3. Wählen Sie einen interessanten Indikator aus.
    Zum Umschalten geeignete Werte werden unten im Bereich hellblau hervorgehoben.
    User Profile view with values to use for pivot to Investigate
  4. Klicken Sie auf ein in blau hervorgehobenes Indikatorelement.
    In der geöffneten Ansicht „Ereignisse“ werden Details zum Indikatorelement angezeigt.
    Das Datum in der Ansicht „Ereignisse“ ist der Tag, an dem die Warnmeldung aufgetreten ist. Der Text im Suchfeld ist der von Ihnen ausgewählte Wert. Die angezeigten Ereignisse sind Ereignisse, die mit dem gewählten Wert zusammenhängen.

Informationen über die Untersuchung interessanter Elemente in der Ansicht „Ereignisse“ finden Sie unter „Untersuchen von Raw-Ereignissen in der Ansicht „Ereignisse“ im NetWitness Investigate – Benutzerhandbuch.

Weitere Informationen zu Bedrohungsindikatoren finden Sie im Abschnitt „Bedrohungsindikatoren“ in der Einführung.

You are here
Table of Contents > Untersuchen von Top-Warnmeldungen > Untersuchen von Indikatoren

Attachments

    Outcomes

      Visibility: RSA NetWitness Logs & Network 11.x Documentation (German)29 Views
      Last modified on Apr 28, 2019 1:16 PM
      Ratings: