UEBA: Identifizieren von Nutzern mit hohem Risiko

Document created by RSA Information Design and Development on Apr 28, 2019
Version 1Show Document
  • View in full screen mode

Sie können risikoreiche Nutzer in Ihrer Umgebung auf folgende Weise identifizieren:

  • Anzeigen der fünf Nutzer mit dem höchsten Risiko
  • Anzeigen aller Nutzer mit hohem Risiko
  • Anzeigen von Nutzern bestimmter Gruppen
  • Anzeigen von Nutzern basierend auf forensischer Untersuchung

Anzeigen der fünf Nutzer mit dem höchsten Risiko

Auf der Registerkarte Übersicht können Sie die Liste der fünf Nutzer mit dem höchsten Risiko in Ihrer Umgebung zusammen mit der Nutzerbewertung anzeigen.

So zeigen Sie die fünf Nutzer mit dem höchsten Risiko an:

Melden Sie sich bei NetWitness Platform an und gehen Sie zu Untersuchen > Benutzer.
Auf der Registerkarte „Übersicht“ werden die Nutzer mit dem höchsten Risiko im Bereich „Benutzer mit hohem Risiko“ angezeigt.
Overview tab, High Risk Users panel

Anzeigen aller Nutzer mit hohem Risiko

Auf der Registerkarte Benutzer können Sie eine Liste aller risikoreichen Nutzer in Ihrer Umgebung zusammen mit der Nutzerbewertung und der Gesamtzahl der den Nutzern zugeordneten Warnmeldungen anzeigen.

So zeigen Sie alle Nutzer mit hohem Risiko an:

  1. Melden Sie sich bei NetWitness Platform an und gehen Sie zu Untersuchen > Benutzer.
    Die Registerkarte „Übersicht“ wird angezeigt.

  2. Klicken Sie auf die Registerkarte Benutzer.
    Die Liste aller risikoreichen Nutzer wird angezeigt.

Anzeigen von Nutzern bestimmter Gruppen

Auf der Registerkarte Benutzer können Sie mithilfe verschiedener Filter Zielgruppen von Nutzern mit hohem Risiko identifizieren.

So zeigen Sie Nutzer bestimmter Gruppen an:

  1. Melden Sie sich bei NetWitness Platform an und gehen Sie zu Untersuchen > Benutzer.
    Die Registerkarte „Übersicht“ wird angezeigt.

  2. Klicken Sie auf die Registerkarte Benutzer.
  3. Führen Sie im Bereich Filter einen der folgenden Schritte aus:
    • Benutzer mit hohem Risiko: Zum Anzeigen aller Nutzer mit hohem Risiko in Ihrer Umgebung wählen Sie Benutzer mit hohem Risiko aus. Standardmäßig werden risikoreiche Nutzer zusammen mit ihrer Nutzerbewertung angezeigt.

    • Benutzerüberwachungsliste: Zum Anzeigen der Lister der Nutzer, die Sie der Überwachungsliste hinzugefügt haben und für die Sie bestimmte Änderungen überwachen möchten, wählen Sie Benutzerüberwachungsliste aus.

    • Administratornutzer: Zum Anzeigen aller in den Ereignissen als Administrator markierter Nutzer wählen Sie Administratornutzer aus.

Hinweis: Sie können Nutzer einer oder mehrerer Gruppen durch Auswahl eines oder mehrerer Filter anzeigen. Wenn Sie zum Beispiel die Liste der Administratornutzer mit hohem Risiko anzeigen möchten, wählen Sie die Filter Administratornutzer und Benutzer mit hohem Risiko aus.

Anzeigen von Nutzern basierend auf forensischer Untersuchung

Auf der Registerkarte Benutzer können Sie Warnmeldungstypen und Indikatoren als Filter für die Anzeige von Nutzern mit hohem Risiko basierend auf forensischer Untersuchung verwenden. Weitere Informationen zur forensischen Untersuchung finden Sie unter Forensischer Workflow im Thema Einführung.

So zeigen Sie Nutzer basierende auf einer bestimmten forensischen Untersuchungen an:

  1. Melden Sie sich bei NetWitness Platform an und gehen Sie zu Untersuchen > Benutzer.
    Die Registerkarte „Übersicht“ wird angezeigt.

  2. Klicken Sie auf die Registerkarte Benutzer.
  3. Zum Erstellen eines Verhaltensfilters mithilfe von Warnmeldungstypen wählen Sie in der Drop-down-Liste Warnmeldungstypen einen oder mehrere Warnmeldungen aus.

  4. Zum Erstellen eines Verhaltensfilters mithilfe von Indikatoren wählen Sie in der Drop-down-Liste Indikatoren einen oder mehrere Indikatoren aus.

Hinweis: Sie können eine Kombination aus einem oder mehreren Warnmeldungstypen und Indikatoren auswählen und so einen auf Ihren Anforderungen basierenden Verhaltensfilter erstellen. Zum Überwachen von ungewöhnlichem Zugriff auf vertrauliche Dateien und des Diebstahls sensibler Daten können Sie einen Verhaltensfilter mit den Warnmeldungstypen Ungewöhnlicher Dateizugriff und den Indikatoren Ungewöhnliche Dateioperation erstellen.

Speichern Sie diese Verhaltensfilter als Favoriten für zukünftige Untersuchungen.

You are here
Table of Contents > Untersuchen von Nutzern mit hohem Risiko > Identifizieren von Nutzern mit hohem Risiko

Attachments

    Outcomes