Proceso de NetWitness Respond

Document created by RSA Information Design and Development Employee on Apr 30, 2018Last modified by RSA Information Design and Development Employee on Apr 28, 2019
Version 5Show Document
  • View in full screen mode
 

NetWitness Respond recopila alertas de varios orígenes y ofrece la capacidad de agruparlas de manera lógica e iniciar un flujo de trabajo de respuesta ante incidentes para investigar y corregir los problemas de seguridad que se presenten. NetWitness Respond permite configurar reglas que agregan alertas en incidentes. El sistema normaliza las alertas en un formato común para ofrecer a los usuarios una vista coherente de los criterios de las reglas, independientemente del origen de datos. Puede generar criterios de consulta en función de los datos de la alerta con la posibilidad de consultar en los campos que son comunes, así como específicos de los orígenes de datos.

El motor de reglas permite agrupar alertas similares juntas en un incidente de manera que el flujo de trabajo de investigación y corrección se pueda compartir en un conjunto de alertas similares. Puede crear reglas que agrupen las alertas en incidentes en función de un valor común que comparten para uno o dos atributos (por ejemplo, nombre de host de origen) o si se informan dentro de una ventana de tiempo limitado (por ejemplo, alertas que tienen una diferencia de cuatro horas entre ellas).

Si una alerta coincide con una regla, se crea un incidente mediante el uso de los criterios. A medida que se recopilan alertas nuevas, si ya se creó un incidente que coincide con estos criterios y ese incidente aún no está “en curso”, las alertas nuevas se continúan agregando al mismo incidente. Si no hay ningún incidente para el valor agrupado (por ejemplo, el nombre de host específico) o la ventana de tiempo, se crea un nuevo incidente al cual se agrega la alerta. 

Puede tener varias reglas de incidentes. Las reglas pueden agrupar alertas en incidentes o impedir que una regla coincida con las alertas; por lo tanto, las reglas se clasifican de arriba abajo y solo la primera regla que coincida con una alerta entrante se usa para incluir esa alerta en un incidente. Los incidentes proporcionan un contexto para las alertas, brindan herramientas para registrar el estado de la investigación y rastrean el avance de las tareas asociadas.

Las etapas del proceso de NetWitness Respond son las siguientes:

  • Revisar alertas
  • Crear incidentes
  • Responder ante incidentes:
    • Revisar la lista de incidentes ordenados por prioridad
    • Determinar los incidentes que requieren acción
    • Investigar incidentes
    • Elevar o corregir el incidente (esto incluye la creación y la asignación de tareas, así como su rastreo hasta el cierre. En la versión 11.2 y superior, si RSA Archer está configurado como un origen de datos en Context Hub, puede enviar incidentes a RSA Archer® Cyber Incident & Breach Response.)

También tiene la opción de administrar incidentes en Archer Cyber Incident & Breach Response en lugar de NetWitness Respond.

Flujo de trabajo de NetWitness Respond

En la siguiente figura se muestra el proceso general del flujo de trabajo de NetWitness Respond.

 

NetWitness Respond High-Level Workflow

You are here
Table of Contents > Proceso de NetWitness Respond

Attachments

    Outcomes