UEBA: Ergreifen von Maßnahmen für Nutzer mit hohem Risiko

Document created by RSA Information Design and Development on Apr 28, 2019
Version 1Show Document
  • View in full screen mode

Nach der Ermittlung können Sie Maßnahmen gegen die risikoreichen Nutzer ergreifen und damit weitere Schäden durch böswillige Angreifer in Ihrer Organisation reduzieren oder verhindern. Sie können eine der folgenden Maßnahmen ergreifen:

    • Geben Sie an, ob eine Warnmeldung kein Risiko ist
    • Speichern Sie das Verhaltensprofil für den in Ihrer Umgebung gefundenen Anwendungsfall
    • Zum Verfolgen der Nutzeraktivität können Sie Nutzer in die Überwachungsliste aufnehmen und das Nutzerprofil überwachen

Geben Sie an, ob eine Warnmeldung kein Risiko ist.

So geben Sie an, ob eine Warnmeldung kein Risiko ist:

  1. Melden Sie sich bei NetWitness Platform an und gehen Sie zu Ermittlung > Benutzer.

  2.  Auf den folgenden Registerkarten ergreifen Sie Maßnahmen für die Nutzer:
    1. Wählen Sie auf der Registerkarte Übersicht im Bereich Benutzer mit hohem Risiko einen Nutzer aus und klicken Sie entweder auf denNutzernamen oder auf die Nutzerbewertung.
    2. Klicken Sie auf der Registerkarte Benutzer auf den Benutzernamen.
      Die Ansicht „Benutzerprofil“ wird angezeigt.
  3. Wenn die Warnmeldung kein Risiko darstellt, klicken Sie auf Kein Risiko. User Profile View, Not a Risk button
    Wenn eine Warnmeldung als Kein Risikomarkiert wird, reduziert sich die Benutzerbewertung automatisch.

Speichern von Verhaltensmustern

Die Kombination der Warnmeldungstypen und Indikatoren, die Sie bei der forensischen Untersuchung auswählen, ist ein Verhaltensprofil. Sie können das Verhaltensprofil speichern, damit Sie diesen Anwendungsfall in Zukunft überwachen können.

Wenn z. B. Angreifer einen Brute-Force-Angriff auf die Nutzerkonten Ihrer Organisation vornehmen, können Filter für den Warnmeldungtyp „Brute-Force“ auswählen. Dieser Filter kann als Favorit gespeichert werden. So können Sie zukünftige Brute-Force-Versuche proaktiv überwachen. Klicken Sie dazu auf den Favoriten. So können Sie erkennen, ob neue Nutzer Opfer dieses Angriffstyps geworden sind.

So speichern Sie ein Verhaltensprofil:

  1. Melden Sie sich bei NetWitness Platform an und gehen Sie zu Ermittlung > Benutzer.
    Die Registerkarte „Übersicht“ wird angezeigt.
  2. Klicken Sie auf die Registerkarte Benutzer.
  3. Wählen Sie im Bereich Favoriten im Drop-down-Menü Warnmeldungstyp die Warnmeldung und im Drop-down-Menü Indikatoren die Indikatoren aus.
  4. Klicken Sie auf In Favoriten speichern.
    Users tab, Save to Favorites
  5. Geben Sie im Dialog Filter speichern den Namen des Filters ein und klicken Sie auf Ok.
    Save Filter dialog
    Das Verhaltensprofil wird gespeichert und im Bereich „Favoriten“ angezeigt. Zum Überwachen der Nutzer können Sie in den Favoriten auf das Profil klicken.

Hinzufügen aller Nutzer in der Überwachungsliste

Wenn Sie Nutzer und deren jüngste Aktivität nachverfolgen möchten, um eine sofortige Untersuchung zu beginnen, können Sie die Nutzer der Überwachungsliste hinzufügen. So können Sie jederzeit überprüfen, ob die Risikobewertung gestiegen ist.

So fügen Sie der Überwachungsliste alle Nutzer hinzu:

  1. Melden Sie sich bei NetWitness Platform an und gehen Sie zu Ermittlung > Benutzer.
    Die Registerkarte „Übersicht“ wird angezeigt.
  2. Wählen Sie die Registerkarte Benutzer aus.
  3. Wählen Sie mithilfe von Filtern Nutzer bestimmter Kategorien aus.
  4. Klicken Sie auf Alle zur Überwachungsliste hinzufügen.
    Users tab, Add All to Watchlist button

    Die Liste der Nutzer wird in die Überwachungsliste aufgenommen.

Anzeigen eines Nutzerprofils

Das Nutzerüberwachungsprofil ist eine Liste der Nutzer, die Sie auf potenzielle Bedrohungen überwachen möchten. Im Nutzerüberwachungsprofil wird ein Nutzer markiert, damit im Dashboard ein schneller Verweis auf den Nutzer erstellt wird. Dabei handelt es sich im Wesentlichen um ein Lesezeichen, mit Sie verdächtige Nutzer überwachen können.

So überwachen Sie ein Nutzerprofil:

  1. Melden Sie sich bei NetWitness Platform an und gehen Sie zu Ermittlung > Benutzer. Führen Sie eine der folgenden Aktionen aus:
    1.  Wählen Sie auf der Registerkarte Übersicht im Bereich Benutzer mit hohem Risiko einen Nutzer aus und klicken Sie entweder auf den Nutzernamen oder auf die Nutzerbewertung.
    2.  Klicken Sie auf der Registerkarte Benutzer auf einen Benutzernamen.
      Die Ansicht „Benutzerprofil“ wird angezeigt.
  2. Klicken Sie in oben rechts im Nutzerprofil auf Überwachungsprofil.
    User Profile view, Watch Profile buttonDer Nutzer wird in die Überwachungsliste aufgenommen.
 
You are here
Table of Contents > Untersuchen von Nutzern mit hohem Risiko > Ergreifen von Maßnahmen für Nutzer mit hohem Risiko

Attachments

    Outcomes