Auf der Registerkarte „WARNMELDUNGEN“ können Sie alle Indikatoren zu einer Warnmeldung anzeigen. Zu jedem Indikator wird zudem ein Anomaliewert in Klammern angezeigt. Sie sehen den Indikatornamen und eine Beschreibung des Indikatortyps, die Anomaliewerte und die Datenquelle der Ereignisse im Indikator. Sie können auch ein Diagramm mit Details zu einem bestimmten Indikator anzeigen. Sie können einen Indikator untersuchen, mit dem Sie über einen Zeitraum nach verwandten Aktivitäten suchen. Wechseln Sie dazu in die Ansicht UNTERSUCHEN > Ereignisse. In der Ansicht „Benutzer“ werden Werte, für die in eine andere Ansicht gewechselt werden kann, in Hellblau hervorgehoben. Zum Öffnen der Ansicht „Ereignis“ können Sie auf einen Wert klicken. In der Ansicht „Ereignis“ wird der ausgewählte Wert in allen Metaschlüsseln festgelegt und der Zeitbereich wird auf einen Tag eingestellt. Sie können den Zeitbereich ändern.
So zeigen Sie alle Bedrohungsindikatoren mit Warnmeldungen an:
- Melden Sie sich bei NetWitness Platform an und gehen Sie zu UNTERSUCHEN > Benutzer > WARNMELDUNGEN.
- Klicken Sie unter NAME DER WARNMELDUNG auf einen Warnmeldungsnamen.
Die Indikatoren werden zusammen mit dem Anomaliewert, der Datenquelle und der Startzeit angezeigt.
- Klicken Sie unter Warnmeldungsfluss auf das Diagrammsymbol.
Es wird ein Diagramm mit Details zu einem bestimmten Indikator anzeigt, einschließlich der Zeitleiste, in der die Anomalie aufgetreten ist, und dem mit dem Indikator verbundenen Benutzer. In der folgenden Abbildung ist ein Beispiel für ein Diagramm dargestellt. Die Art der Grafik kann abhängig von der Art der von NetWitness UEBA durchgeführten Analyse variieren. Weitere Informationen erhalten Sie unter Ansicht „Nutzerprofil“.
So wechseln Sie in die Ansicht „Ereignisse“:
- Navigieren Sie zu UNTERSUCHEN > Benutzer und wählen Sie eine Warnmeldung oder einen Benutzer aus.
- Wählen Sie unter Benutzerrisikobewertung einen Namen der Warnmeldung aus.
Unter der Warnmeldung werden Indikatoren angezeigt.
- Wählen Sie einen interessanten Indikator aus.
Zum Umschalten geeignete Werte werden unten im Bereich hellblau hervorgehoben.
- Klicken Sie auf ein in blau hervorgehobenes Indikatorelement.
In der geöffneten Ansicht „Ereignisse“ werden Details zum Indikatorelement angezeigt.
Das Datum in der Ansicht „Ereignisse“ ist der Tag, an dem die Warnmeldung aufgetreten ist. Der Text im Suchfeld ist der von Ihnen ausgewählte Wert. Die angezeigten Ereignisse sind Ereignisse, die mit dem gewählten Wert zusammenhängen.
Informationen über die Untersuchung interessanter Elemente in der Ansicht „Ereignisse“ finden Sie unter „Untersuchen von Raw-Ereignissen in der Ansicht „Ereignisse“ im NetWitness Investigate – Benutzerhandbuch.
Weitere Informationen zu Bedrohungsindikatoren finden Sie im Abschnitt „Bedrohungsindikatoren“ in der Einführung.