Processus NetWitness Respond

Document created by RSA Information Design and Development on Apr 23, 2018Last modified by RSA Information Design and Development on Apr 29, 2019
Version 3Show Document
  • View in full screen mode
 

NetWitness Respond recueille des alertes provenant de plusieurs sources et permet de les regrouper logiquement et de démarrer un workflow Réponse aux incidents pour enquêter et de corriger les problèmes de sécurité soulevés. NetWitness Respond vous permet de configurer des règles qui agrégent les alertes en des incidents. Les alertes sont normalisées par le système sur un format commun pour fournir aux utilisateurs une vue cohérente pour les critères de règle quelle que soit la source de données. Vous pouvez élaborer des critères de requête basés sur les données d'alerte et effectuer des recherches dans les champs communs et propres aux sources de données.

Le moteur de règle vous permet de regrouper des alertes similaires dans un incident pour que le workflow de recherche et de correction puisse être partagé entre différentes alertes semblables. Vous pouvez créer des règles pour regrouper des alertes dans des incidents sur la base d'une valeur commune pour un ou deux attributs (par exemple, nom d'hôte de la source) ou si elles sont signalées dans une fenêtre limitée (par exemple, alertes distantes de quatre heures).

Si une alerte satisfait une règle, un incident est créé à l'aide des critères définis. Pour les nouvelles alertes, si un incident répondant aux critères a déjà été créé et qu'il n'est pas encore en cours, les nouvelles alertes continues à être ajoutées au même incident. S'il n'existe aucun incident pour la valeur groupée (par exemple, le nom d'hôte) ou la fenêtre, un nouvel incident est créé et l'alerte lui est ajoutée. 

Vous pouvez avoir plusieurs règles d'incidents. Les règles peuvent regrouper des alertes dans des incidents ou empêcher que des alertes correspondent à des règles. Les règles sont donc classées dans l'ordre décroissant et seule la première règle correspondant à une alerte entrante doit être utilisée pour inclure l'alerte en question dans un incident. Les incidents fournissent du contexte aux alertes et des outils pour enregistrer l'état de la procédure d'enquête, et permettent de suivre la progression des tâches associées.

Les phases du processus NetWitness Respond sont les suivantes :

  • Vérifier les alertes
  • Créer des incidents
  • Répondre aux incidents :
    • Passer en revue la liste des incidents hiérarchisés
    • Déterminer les incidents exigeant une action
    • Analyser des incidents
    • Escalade ou Corriger l'incident (cela inclut la création et l'affectation de tâches, ainsi que le suivi des tâches à la clôture. Dans la version 11.2 et ultérieure, si RSA Archer est configuré en tant que source de données dans le Context Hub, RSA Archer® Cyber Incident & Breach Responsevous pouvez envoyer des incidents à .)

Vous avez également la possibilité de gérer les incidents dans Archer Cyber Incident & Breach Response au lieu de NetWitness Respond.

Workflow NetWitness Respond

La figure suivante illustre le processus général de workflow NetWitness Respond.

 

NetWitness Respond High-Level Workflow

You are here
Table of Contents > Processus de NetWitness Respond

Attachments

    Outcomes