UEBA: Starten von Untersuchungen für Nutzer mit hohem Risiko

Document created by RSA Information Design and Development on Apr 28, 2019
Version 1Show Document
  • View in full screen mode

Nach der Identifizierung der Nutzer mit hohem Risiko können Sie mit der Untersuchung selbiger beginnen.

So untersuchen Sie Nutzer mit hohem Risiko:

  1. Melden Sie sich bei NetWitness Platform an und gehen Sie zu Untersuchen > Benutzer. Führen Sie eine der folgenden Aktionen aus:

    1. Wählen Sie auf der Registerkarte Übersicht im Bereich Benutzer mit hohem Risiko einen zu untersuchenden Nutzer aus und klicken Sie entweder auf den Nutzernamen oder auf die Nutzerbewertung.
    2. Klicken Sie auf der Registerkarte Benutzer auf den Namen des zu untersuchenden Nutzers.
      Die Ansicht „Benutzerprofil“ wird angezeigt.
  2. Um die Warnmeldungen des Nutzers zu untersuchen, klicken Sie auf den Namen der Warnmeldung im Bereich Benutzerrisikobewertung. Die folgenden Informationen werden angezeigt:
    • Die Namen der Warnmeldungen
    • Der Zeitrahmen der Warnmeldung (stündlich oder täglich)
    • Das Schweregrad-Symbol
    • Der Beitrag zur Nutzerpunktzahl (z. B. +20)
    • Die Datenquellen für die Warnmeldung (z. B. Anmeldung)
      Der mittlere Bereich ist der Bereich „Warnmeldungsfluss“. In diesem Bereich wird eine Zeitleiste von mit der Bildung der Warnmeldung zusammenhängenden Ereignisse bereitgestellt. Mithilfe der Zeitleiste der Ereignisse können Sie feststellen, ob die Warnmeldung ein tatsächliches Risiko darstellt oder nicht.
  3. Um die Indikatoren im Zusammenhang mit der Warnmeldung eines Nutzers zu untersuchen, wählen Sie im Bereich Benutzerrisikobewertung eine Warnmeldung und dann einen Indikator aus. Die folgenden Informationen werden angezeigt:
    • Der Indikatorname und eine Beschreibung des Indikatortyps
    • Beitrag zur Warnmeldung
    • Die Anomaliewerte
    • Die Datenquelle der Ereignisse, die im Indikator gefunden werden
      Die Anzeige im mittleren Bereich ändert sich abhängig vom ausgewählten Indikator.

You are here
Table of Contents > Untersuchen von Nutzern mit hohem Risiko > Starten von Untersuchungen für Nutzer mit hohem Risiko

Attachments

    Outcomes