Processus NetWitness Respond

Document created by RSA Information Design and Development on Apr 23, 2018Last modified by RSA Information Design and Development on Oct 22, 2018
Version 2Show Document
  • View in full screen mode
 

NetWitness Suite Respond collecte les alertes émises par plusieurs sources et permet de les regrouper de façon logique et de démarrer un workflow de réponse aux incidents pour identifier et corriger les problèmes de sécurité. NetWitness Suite Respond vous permet de configurer des règles qui agrègent des alertes en incidents. Les alertes sont normalisées par le système dans un format commun pour offrir aux utilisateurs une vue homogène des critères de règle indépendamment de la source de données. Vous pouvez élaborer des critères de requête basés sur les données d'alerte et effectuer des recherches dans les champs communs et propres aux sources de données.

Le moteur de règle vous permet de regrouper des alertes similaires dans un incident pour que le workflow de recherche et de correction puisse être partagé entre différentes alertes semblables. Vous pouvez créer des règles pour regrouper des alertes dans des incidents sur la base d'une valeur commune pour un ou deux attributs (par exemple, nom d'hôte de la source) ou si elles sont signalées dans une fenêtre limitée (par exemple, alertes distantes de quatre heures).

Si une alerte satisfait une règle, un incident est créé à l'aide des critères définis. Pour les nouvelles alertes, si un incident répondant aux critères a déjà été créé et qu'il n'est pas encore en cours, les nouvelles alertes continues à être ajoutées au même incident. S'il n'existe aucun incident pour la valeur groupée (par exemple, le nom d'hôte) ou la fenêtre, un nouvel incident est créé et l'alerte lui est ajoutée. 

Vous pouvez avoir plusieurs règles d'incidents. Les règles peuvent regrouper des alertes dans des incidents ou empêcher que des alertes correspondent à des règles. Les règles sont donc classées dans l'ordre décroissant et seule la première règle correspondant à une alerte entrante doit être utilisée pour inclure l'alerte en question dans un incident. Les incidents fournissent du contexte aux alertes et des outils pour enregistrer l'état de la procédure d'enquête, et permettent de suivre la progression des tâches associées.

Les phases du processus NetWitness Respond sont les suivantes :

  • Vérifier les alertes
  • Créer des incidents
  • Répondre aux incidents :
    • Passer en revue la liste des incidents hiérarchisés
    • Déterminer les incidents exigeant une action
    • Analyser des incidents
    • Faites remonter ou corriges l'incident (cela inclut la création et l'attribution de tâches, ainsi que le suivi des tâches jusqu'à la fermeture).

Vous avez également la possibilité de gérer les incidents dans RSA NetWitness® SecOps Manager au lieu de NetWitness Respond.

Workflow NetWitness Respond

La figure suivante illustre le processus général de workflow NetWitness Respond.

 

NetWitness Respond High-Level Workflow

You are here
Table of Contents > Processus de NetWitness Respond

Attachments

    Outcomes