Proceso de NetWitness Respond

Document created by RSA Information Design and Development on Apr 30, 2018Last modified by RSA Information Design and Development on Oct 22, 2018
Version 4Show Document
  • View in full screen mode
 

NetWitness Suite Respond recopila alertas de varios orígenes y ofrece la capacidad de agruparlas de manera lógica e iniciar un flujo de trabajo de respuesta ante incidentes para investigar y corregir los problemas de seguridad que se presenten. NetWitness Suite Respond permite configurar reglas que agregan alertas en incidentes. El sistema normalizará las alertas en un formato común para ofrecer a los usuarios una vista coherente de los criterios de las reglas, independientemente del origen de datos. Puede generar criterios de consulta en función de los datos de la alerta con la posibilidad de consultar en los campos que son comunes, así como específicos de los orígenes de datos.

El motor de reglas permite agrupar alertas similares juntas en un incidente de manera que el flujo de trabajo de investigación y corrección se pueda compartir en un conjunto de alertas similares. Puede crear reglas que agrupen las alertas en incidentes en función de un valor común que comparten para uno o dos atributos (por ejemplo, nombre de host de origen) o si se informan dentro de una ventana de tiempo limitado (por ejemplo, alertas que tienen una diferencia de cuatro horas entre ellas).

Si una alerta coincide con una regla, se crea un incidente mediante el uso de los criterios. A medida que se recopilan alertas nuevas, si ya se creó un incidente que coincide con estos criterios y ese incidente aún no está “en curso”, las alertas nuevas se agregan al mismo incidente. Si no hay ningún incidente para el valor agrupado (por ejemplo, el nombre de host específico) o la ventana de tiempo, se crea un nuevo incidente, al cual se agregará la alerta. 

Puede tener varias reglas de incidentes. Las reglas pueden agrupar alertas en incidentes o impedir que una regla coincida con las alertas; por lo tanto, las reglas se clasifican de arriba abajo y solo la primera regla que coincida con una alerta entrante se usa para incluir esa alerta en un incidente. Los incidentes proporcionan un contexto para las alertas, brindan herramientas para registrar el estado de la investigación y rastrean el avance de las tareas asociadas.

Las etapas del proceso de NetWitness Respond son las siguientes:

  • Revisar alertas
  • Crear incidentes
  • Responder ante incidentes:
    • Revisar la lista de incidentes ordenados por prioridad
    • Determinar los incidentes que requieren acción
    • Investigar incidentes
    • Elevar o corregir el incidente (esto incluye la creación y la asignación de tareas, así como su rastreo hasta el cierre).

También tiene la opción de administrar incidentes en RSA NetWitness® SecOps Manager en lugar de NetWitness Respond.

Flujo de trabajo de NetWitness Respond

En la siguiente figura se muestra el proceso general del flujo de trabajo de NetWitness Respond.

 

NetWitness Respond High-Level Workflow

You are here
Table of Contents > Proceso de NetWitness Respond

Attachments

    Outcomes