Reporting: Reporting-Übersicht

Document created by RSA Information Design and Development on May 11, 2018
Version 1Show Document
  • View in full screen mode

Reporting ist eine Sammlung von Daten als Ergebnis der Überwachung des Netzwerkverkehrs, die zur weiteren Analyse verwendet werden kann. In NetWitness Suite können Sie einen Bericht für NetWitness Suite-Datenbank-Core-Services ausführen, um die Netzwerkaktivitäten zu identifizieren. Beispiel: Sie möchten die führenden Quell- und Zielländer oder die wichtigsten Bedrohungs- und Risikotrends identifizieren, mit denen alle Änderungen an den normalen Kategorien oder die Benutzer und Services überwacht werden können, die möglicherweise schädliche Aktivitäten usw. ausführen.

Das Reporting besteht in der Regel aus folgenden Komponenten: Berichte und Diagramme. Sie können Berichte für die erfassten Protokoll- und Paketdaten erstellen sowie Berichte und Diagramme anpassen, um die visuelle Darstellung zu verbessern. Sie können Echtzeitberichte über Verlaufsdaten erstellen. Sie können Diagramme und Dashlets erstellen, die auch zu Echtzeitdiagramm-Dashlets hinzugefügt werden können.

Reporting Engine

Reporting verwendet für die Berichte, Warnmeldungen und Diagramme von der Reporting Engine bereitgestellte Daten. Daher müssen Sie die Reporting Engine als Service für NetWitness Suite konfigurieren, bevor Sie Berichte erstellen können. Außerdem müssen Sie die Datenquelle in der Reporting Engine festlegen, aus der die Daten extrahiert werden.

Die Daten, für die Sie einen Bericht oder eine Warnmeldung erstellen können, sind abhängig von der Konfiguration der Reporting Engine und den Datenquellen, die Sie als Teil der Regeldefinition festlegen.

Hinweis: Vergewissern Sie sich, dass Sie Zugriff auf die Komponenten im Reporting haben.

Hinweis: Vergewissern Sie sich, dass Sie Zugriff auf die erforderlichen Datenquellen haben. Nur Benutzer mit den nötigen Berechtigungen für den Zugriff auf vertrauliche Informationen dürfen auf bestimme Datenquellen zugreifen. Wenn Sie die Zugriffssteuerung auf Datenquellen verwalten möchten, finden Sie weitere Informationen unter „Hinzufügen einer Rolle und Zuweisen von Berechtigungen für Warehouse Analytics“ im Leitfaden Warehouse Analytics. Wenn die Benutzerrolle oder die Berechtigungen für die Datenquellen geändert werden, wird dies jedoch nur dann für vorhandene Berichte, Warnmeldungen und Diagramme angewendet, wenn Sie die Berechtigungen manuell aktualisieren.

Hinweis: Der Zugriff auf Reporting basiert auf den für den Benutzer definierten rollenbasierten Zugriffsberechtigungen.

Bericht

Ein Bericht ist eine Kombination von Regeln und anderen Formatierungsobjekte wie Überschriften und mit HTML formatierten Hinweisen, die Daten zu einem bestimmten Bereich, der von Interesse ist, beschreiben und identifizieren. Berichte werden auf der Seite „Bericht erstellen“ definiert und gemanagt und können spontan oder anhand eines Zeitplans ausgeführt werden. Wenn ein Bericht ausgeführt wird, werden die Ergebnisse zentral gespeichert und können automatisch per E-Mail, SFTP, URL und NFS an Benutzer gesendet, über die NetWitness Suite-Weboberfläche angezeigt oder als PDF- und CSV-Dateien heruntergeladen werden.

Ein Bericht besteht aus folgenden Elementen:

                            
EigenschaftBeschreibungBeispiel
Name des Berichts

Hinweis: Für das Feld Name wird am Ende des Spaltenfelds kein Symbol zur Erweiterung der Spaltengröße angezeigt. Sie müssen die Maus ein wenig nach links bewegen, um das Symbol zur Erweiterung der Spalte zu sehen.

Dient zur Identifizierung des Berichts, damit er für einen späteren Zeitpunkt eingeplant werden kann.Report1
Text

Vordefinierte Textfelder werden innerhalb eines Berichts verwendet, um ihn für den Benutzer leichter verständlich zu machen.

Überschrift1, Kommentar
Regeln

Die Regeln (Abfragen), mit denen ein Bericht erstellt wird.

select user.dst

where ip.src = 10.10.10.1

Hinweis: In der Reporting-Benutzeroberfläche entsprechen das Datum und die Uhrzeit immer dem vom Benutzer ausgewählten Zeitzonenprofil.

Regel

Eine Regel ist der grundlegende, wesentliche Baustein im Reporting. Sie müssen eine Regel erstellen, die in einem Bericht, einem Diagramm oder einer Warnmeldung verwendet werden kann.

Eine Regel stellt eine eindeutige Abfrage dar, die die angeforderten Informationen in einer Sammlung von Netzwerkdaten erkennt und zusammenfasst.

Die Regelsyntax ähnelt der von Standard Query Language (SQL), in der Sie die select- und where-Klausel verwenden sowie Optionen und Einschränkungen für den Ergebnissatz sortieren und gruppieren können. Eine Regel besteht aus folgenden Elementen:

                                              
EigenschaftBeschreibungBeispiel
NameDer Name der RegelAktivität des Windows-Systemkontos
AuswählenDie Liste der Metadatentypen, die im Ergebnissatz zurückgegeben werden. Die Liste der Metadatentypen wird in der Metabibliothek bereitgestellt. Die Metabibliothek in der Regelerstellung wird fortlaufend mit der Indexkonfiguration des NetWitness Suite-Hosts synchronisiert, mit dem NetWitness Suite verbunden ist. Die Anzahl der Metadatentypen, die diese Eigenschaft darstellen kann, hängt davon ab, wie die Regel sortiert werden soll. Wenn für die Eigenschaft Sortieren nach der Wert Keine oder Nicht aggregiert angegeben ist, kann eine Regel mehrere Auswahlfelder zum Beispiel für jede Übereinstimmung enthalten, einschließlich ip.src, ip.dst, Größe und Uhrzeit im Ergebnis der Regel. Wenn für eine Regel eine Sortierung nach Sitzungsanzahl, Sitzungsgröße oder Paketgröße festgelegt wurde, darf nur ein Feld vorhanden sein, in dem die Auswahl erfolgt. 
Dabei gilt Folgendes:Eine Klausel, die das grundlegende Abfragekriterium für die Regel darstellt.alert='cleartext_ftp_passwords'
Then (Regelaktionen)Eine Reihe von Funktionen, mit denen der ursprüngliche Ergebnissatz einer Regel verändert wird, um die Ausgabe in einem Bericht aussagekräftiger zu machen oder um zusätzliche, andere Funktionen als die Abfrage und Anzeige von Daten hinzuzufügen lookup_and_add ('username','ip.src',10);

Sortieren nach

Legt fest, wie die Daten im Ergebnissatz sortiert werden. Folgende Optionen stehen zur Verfügung:

  • Gesamt
  • Wert
  • Spaltenname

Gesamt

EinschränkungBezeichnet die maximale Größe eines Ergebnissatzes für die angegebene Regel. Benutzer sollten beachten, dass bei Sortierung eines Ergebnissatzes nach Anzahl oder Größe der Grenzwert die N oberen (oder unteren) zurückzugebenden Werte darstellt. Wenn die Ergebnismenge nicht sortiert wird, werden die ersten n Werte wiedergegeben.20

Hinweis: Die in der Benutzeroberfläche (UI) angezeigte Uhrzeit und das angezeigte Datum hängen von der Zeitzone ab, die vom Benutzer ausgewählt wurde.

Regeltypen

Es gibt im Reporting verschiedene Regeltypen. Regeltypen bestimmen die Datenquelle für die Berichtsregel. Es gibt folgende Regeltypen:

                     
RegeltypBeschreibung
NetWitness-Datenbank (NetWitness-DB)Die NetWitness-Datenbank extrahiert die Metadaten aus einer Reporting Engine, die für die Verwendung eines Concentrator, Broker und Archiver als Datenquellen konfiguriert wurde und die Metadaten für die Regeln bereitstellt.
Warehouse-Datenbank (Warehouse-DB)Die Warehouse-Datenbank, die auch als RSA NetWitness Warehouse bezeichnet wird, beinhaltet große Datenmengen. Das Warehouse ist darauf ausgelegt, dass Sie einfach und effizient große Datenvolumen abrufen können. Das Warehouse extrahiert außerdem Metadaten aus der Reporting Engine.
Antwort-Datenbank (Antwort-DB)Die Antwort-Datenbank erstellt Berichte zu Warnmeldungen und Incidents. Die Antwort-Datenbank enthält Warnmeldungen und Incidents, die aus verschiedenen Services generiert wurden, und Sie können einen Bericht für diese Warnmeldungen und Incidents erstellen.

Hinweis: Die in der Benutzeroberfläche (UI) angezeigte Uhrzeit und das angezeigte Datum hängen von der Zeitzone ab, die vom Benutzer ausgewählt wurde.

Liste

Eine Liste ist eine Variable, die auf eine Serie durch Kommas getrennter Werte (Comma-Separated Values, CSV) verweist.  Eine Liste können Sie in eine Regel einfügen oder als Argument für eine Regelaktion verwenden. Listen können als Platzhalter für andere Werte dienen, die Sie dann in die Liste eintragen und bei Bedarf aktualisieren können.

Sie können Listen erstellen, managen und anzeigen, die zum Definieren von Regeln für Reporting und Alerting verwendet werden können.

Listen dürfen nicht leer sein oder doppelte oder leere Werte enthalten.

Hinweis: Wenn Sie einen Bericht mit einer Regel definieren, die „lookup_and_add“ in der Then-Klausel enthält, und die Berichtsausgabe in eine Liste leiten, wird die Liste nicht mit dem Ergebnis gefüllt.
Beispiel: Wenn Sie eine Regel mit „ip.src“ in der Select-Klausel und „lookup_and_add“ ('ip.dst','ip.src', 10) in der Then-Klausel erstellen, zeigt der Bericht das Ergebnis an. Wenn Sie aber die Ausgabe in eine Liste umleiten, ist die Liste leer.

Diagramm

Diagramm ist eine tabellarische oder rasterbasierte Darstellung von Daten. Es beinhaltet Folgendes:

                       
EigenschaftBeschreibungBeispiel
DiagrammnameIdentifiziert das Diagramm.Chart1
RegelbasisIdentifiziert den in der Ordnerhierarchie gewählten Regelpfad. 

Mit jeder NetWitness Suite DB-Regel im Reporting Engine-System, die nicht nach „Keine“ sortiert ist, kann sofort ein Diagramm erstellt werden. In NetWitness Suite kann das Diagrammintervall im Bereich „Diagrammdefinition“ selbst angepasst werden. Bei jeder Ausführung eines Diagramms werden die Ergebnisdaten lokal in der Reporting Engine gespeichert, sodass sie ohne Performanceerwägungen entweder in der Dashboardansicht oder in der Diagrammansicht geprüft werden können.

Hinweis: In der Benutzeroberfläche „Reporting“ erfolgt die Ausgabe für das Feld, in dem Datum und Zeit angezeigt werden, immer gemäß dem vom Benutzer ausgewählten Zeitzonenprofil.

Hinweis: Die Reporting Engine (RE) prüft vor der Ausführung einer Regel, eines Berichts, eines Diagramms und einer Warnmeldung automatisch den verfügbaren Speicherplatz. Wenn der RE-Speicherplatz (in Prozent) kleiner ist als der Mindestschwellenwert für Speicherplatz (der Standardwert ist 5), hält die RE die aktuelle Ausführung an und es wird die Fehlermeldung angezeigt, dass der verfügbare Speicherplatz des Reporting Engine-Stammverzeichnisses niedriger als 5 % ist und dass Speicherplatz freigegeben werden muss, bevor der Vorgang fortgesetzt werden kann. Darüber hinaus können Sie den minimalen Schwellenwert für Festplattenspeicherplatz auch mithilfe des folgenden Pfads festlegen: RE>Explore>com.rsa.soc.re>Configuration>CommonConfig>minDiskSpaceThreshold.

Reporting-Richtlinien

In diesem Abschnitt werden die von RSA empfohlenen Richtlinien zur Verbesserung der Ausführungszeit Ihrer Reportingentitäten erläutert, wie z. B. Regeln, Berichte, Warnmeldungen, Diagramme und Listen. Die Richtlinien gelten für Folgendes:

  • NWDB-Regeln
  • Timeout-Konfiguration für NWDB-Regeln
  • Lookup_and_Add-Regelaktion
  • Listenwertberichte

NWDB-Regeln

Wenn die Reportingentitäten wie Berichte, Warnmeldungen oder Diagramme NWDB-Regeln enthalten (meist wenn die Abfrage „Gruppieren nach“ enthält) und die Ausführung viel Zeit in Anspruch nimmt, können Sie wie folgt vorgehen: 

  1. Anpassen der Where-Klausel:
    Sie können die Anzahl der gescannten Sitzungen einschränken, indem Sie die Where-Klausel verwenden oder anpassen (insbesondere bei Verwenden der Option „Gruppieren nach“). Betrachten Sie zum Beispiel die folgende Regel.
    Normale Where-Klausel


    Wenn Sie eine Where-Klausel wie im obigen Beispiel verwenden, ist die Anzahl der aggregierten Sitzungen sehr groß. Um dies zu vermeiden, können Sie nur die erforderlichen Sitzungen filtern, indem Sie die Liste der IP-Adressen angeben oder eine Liste (Liste der IP-Adressen) erstellen, die die relevanten IP-Adressen enthält.
    Gefilterte Where-Klausel  
  2. Verwenden indexierter Metaschlüssel in der Where-Klausel:
    Bewegen Sie die Maus über den Metaschlüssel, um festzustellen, ob Meta indexiert ist oder nicht. Wenn der Werttyp INDEX_VALUE lautet, ist Meta indexiert. Wenn der Werttyp INDEX_KEY oder INDEX_NONE lautet, ist Meta nicht indexiert.
    Im Folgenden ist ein Snapshot eines indexierten Metaschlüssels dargestellt.
    Indexierter Metaschlüssel
     
  3. Konfigurieren der Timeout-Option:
    Wenn die Ausführung der Abfrage lange dauert und aufgrund eines Timeouts fehlschlägt, können Sie das Timeout für die NWDB-Regelausführungen konfigurieren. Weitere Informationen finden Sie im folgenden Abschnitt „Timeout-Konfiguration für NWDB-Regeln“.  
  4. Planen der Ausführung der Abfragen zu unterschiedlichen Zeiten:
    Wenn mehrere Abfrageaggregate gleichzeitig ausgeführt werden und ein Timeout auftritt, können Sie die Abfragen so planen, dass sie ohne Überschneidungen zu unterschiedlichen Zeiten ausgeführt werden. 

Timeout-Konfiguration für NWDB-Regeln

Hinweis: Es wird empfohlen, die Statistiken der Reporting Engine und die NWDB-Datenquellen zu prüfen, bevor Sie Änderungen an der Konfiguration vornehmen. Weitere Informationen finden Sie im Thema „Überwachen von Servicedetails“ für die Reporting Engine und im Thema „Überwachen der Systemstatistiken“ im Leitfaden Systemwartung.   

Wenn eine NWDB-Regelausführung aufgrund eines Timeouts fehlschlägt, werden möglicherweise folgende Fehlermeldungen auf der Seite „Bericht anzeigen“ eingeblendet: 

  • Reporting Engine-Timeout-Fehler
    • „Datenquelle ,10.31.x.x Concentrator‘ hat nicht innerhalb der konfigurierten 30 Minuten auf die Anforderung ,/sdk/values‘ reagiert.“ 
    • NWDB-Timeout-Fehler
      • „Beim Abrufen der Daten aus Quelle ,10.31.x.x Concentrator‘ ist ein Fehler aufgetreten. {Timeout message from NWDB}
      Gehen Sie in diesem Fall wie folgt vor:
      • Reporting Engine-Timeout
        Bei einem Reporting Engine-Timeout können Sie das Timeout auf eine längere Dauer einstellen, sodass die lang laufenden Abfragen ausgeführt werden können. Weitere Informationen zum Einrichten der NWDB Queries Time Out- und NWDB Info Queries Time Out-Option für die Reporting Engine finden Sie im Thema „Schritt 2. „Konfigurieren der Reporting-Engine-Einstellungen“ im Konfigurationsleitfaden Reporting Engine. RSA empfiehlt, die Option NWDB Query Time Out auf 0 Minuten einzustellen (dies bedeutet kein Timeout) und die Option NWDB Info Queries Time Out auf 60 Minuten.
      • NWDB-Timeout
        Bei einem NWDB-Timeout müssen Sie möglicherweise die Parameter query.level.timeout und max.concurrent.queries für die NWDB-Datenquelle anhand der Empfehlungen im Tuningleitfaden für die Core-Datenbank konfigurieren, um die Abfragen im Detail anzupassen.
        Die folgende Abbildung ist ein Beispiel für die Explorer-Ansicht, in der Sie die Parameter für die NWDB-Datenquelle festlegen können.
        Festlegen von Parametern für die NWDB-Datenquelle
      • Planen von Berichten zu unterschiedlichen Zeiten
        Wenn die NWDB-Core-Geräte viel und intensiv genutzt werden, können Sie die Berichte so planen, dass sie ohne Überschneidung zu unterschiedlichen Zeiten ausgeführt werden. 
      • Teilen des Berichts
        Wenn viele Regeln in einem Bericht enthalten sind, können Sie ihn in mehrere Berichte aufteilen, wobei jeder Bericht logische Regelsätze enthält. Wenn mehrere Regeln vorhanden sind, werden alle Regeln basierend auf den verfügbaren Threads zur gleichen Zeit ausgeführt. Daher können Sie die Regeln in separate Berichte logisch gruppieren.

LookupAndAdd-Regelaktion

Wenn eine Regel, die aus einer oder mehreren lookup_and_add-Regelaktionen besteht, für die Ausführung des Berichts eine lange Zeit benötigt, liegt dies daran, dass jede Regelaktion mehrere Suchabfragen in der NWDB-Datenquelle auslöst, sodass sich längere Ausführungszeiten ergeben.

Um die Ausführungszeit von Berichten zu verbessern, können Sie folgende Aktionen ausführen:  

  • Anpassen der Where-Klausel in den folgenden Regelaktionen:
    • Regel, die die lookup_and_add-Regelaktion enthält
    • lookup_and_add-Regelaktion:
  • Festlegen von Grenzwerten
    Sie müssen die entsprechenden Grenzwerte für die Regel und Regelaktionen festlegen. Ein hoher Grenzwert führt dazu, dass viele Abfragen ausgelöst werden und daher die Ausführung des Berichts lange dauert. 
  • Festlegen des booleschen Aggregatparameters

    Wenn für die Suchwerte keine Aggregatwerte wie sum(meta), count(meta) usw. verwendet werden sollen, legen Sie den booleschen Aggregatparameter in der lookup_and_add-Regelaktion auf „false“ fest. Weitere Informationen finden Sie im Abschnitt „NWDB-Regelsyntax“ unter Regelsyntax .

    lookup_and_add(string select, string field, int limit, boolean inherit, string extraWhere, boolean aggregate)

    Beachten Sie die Regel mit der lookup_and_add-Regelaktion:

    Regel mit der lookup_and_add-Regelaktion 

    Die Ausgabe wird angezeigt:

    Regel mit der lookup_and_add-Regelaktionsausgabe 

  • Jede lookup_and_add-Regelaktion löst standardmäßig zwei gleichzeitige Suchabfragen in der Datenquelle aus. RSA empfiehlt, dass Sie die Standardeinstellung beibehalten. Wenn Sie jedoch den Wert erhöhen möchten, vergewissern Sie sich, dass der Wert des Parameters Max # of Concurrent LookupAndAdd Queries in der Reporting Engine niedriger ist als der Wert Max Concurrent Queries in der NWDB-Datenquellenkonfiguration.
    Wenn die NWDB-Datenquelle von anderen Services gemeinsam verwendet wird, sollten Sie für den Parameter Max # of Concurrent LookupAndAdd Queries in der Reporting Engine einen niedrigen Wert beibehalten, da eine Erhöhung des Werts die Abfragen von anderen Services beeinflusst. Weitere Informationen finden Sie im Thema „Registerkarte Allgemein für Reporting Engine“ im Reporting Engine-Konfigurationsleitfaden
  • Wenn Sie nur an eindeutigen Werten und nicht an genauen Aggregatwerten interessiert sind, stellen Sie den Session Threshold für die NWDB-Regel auf einen Wert ungleich null ein. Weitere Informationen hierzu finden Sie im Abschnitt „Erstellen einer Regel mithilfe einer NetWitness-Datenquelle“ in Konfigurieren einer Regel. Je höher der Wert, desto länger dauert die Regelausführung. Wenn der Wert auf null eingestellt ist, dauert die Ausführung länger, ergibt jedoch genaue Aggregatwerte.
    Erwägen Sie eine Regel mit der lookup_and_add-Regelaktion und einem Sitzungsschwellenwert von 10.
    Regel mit der lookup_and_add-Regelaktion und einem Sitzungsschwellenwert von 10

    Die Ausgabe wird angezeigt:
    Regel mit der lookup_and_add-Regelaktion und einem Sitzungsschwellenwert von 10 Ausgabe

Listenwertberichte

Verwenden einer angepassten Liste:

Bei Listenwertberichten (für alle Datenquellentypen) werden individuelle Berichte für jeden Wert in der Liste erzeugt. Daher gilt: Je höher die Werte in der Liste, desto länger dauert die Ausführung der Berichte. Folglich müssen Sie eine angepasste Liste zum Erzeugen solcher Berichte verwenden. 

Zugriffskontrolle für Reporting

Über das Reporting-Modul können Sie die Zugriffskontrolle für alle Komponenten im Modul einrichten. In NetWitness Suite können Sie verschiedene Rollen definieren und für jede Rolle aus dem Modul für Systemsicherheit die Zugriffskontrolle angeben. Sie können die Zugriffskontrolle so definieren, dass sie im Reporting-Modul jeder Rolle zugewiesen wird. Weitere Informationen erhalten Sie unter „Schritt 1: Überprüfen der vorkonfigurierten NetWitness-Suite-Rollen“ und „Schritt 2: (Optional) Hinzufügen einer Rolle und Zuweisen von Berechtigungen“ im Handbuch Systemsicherheit und Benutzerverwaltung.

Im Modul Reports können Sie die Rollenberechtigungen ändern oder auf folgende Reporting-Objekte zugreifen:

Hier sehen Sie ein Beispiel für die Hierarchie der Objektgruppen, Objekte und abhängigen Elemente. Diese Abbildung zeigt die Berichtsgruppen und die Berichtshierarchie.

Berichtsgruppen und Berichtshierarchie

Berichtsgruppen und Berichtshierarchie

Berechtigung für Objektgruppen

  • Zum Festlegen der Berechtigungen für die Objektgruppe, Objekte und abhängigen Elemente benötigen Sie die Lese- und Schreibberechtigung. Abhängige Elemente mit der Berechtigung „Kein Zugriff“ sind ausgegraut und abhängige Elemente mit der Berechtigung „Schreibgeschützt“ sind mit einem Symbol versehen.
  • Beim Festlegen der Berechtigung für die Objektgruppe erhalten die Objekte und abhängigen Elemente in der Objektgruppe die Berechtigung nicht automatisch. Wenn die Objekte und abhängigen Elemente in der Objektgruppe die Berechtigung automatisch erhalten sollen, müssen Sie die Option „Diese Berechtigungen auf Untergruppen und <Objekte> in dieser Gruppe“ auswählen. Wenn Sie beispielsweise nicht möchten, dass Operatoren auf Berichte in Berichtsgruppe A zugreifen, müssen Sie die Berechtigung für Gruppe A auf „Kein Zugriff für die Rolle Operator“ festlegen und die Option „Diese Berechtigungen auf Untergruppen und <Objekte> in dieser Gruppe anwenden“ auswählen.
  • Wenn Sie die Berichtigungen für die Objektgruppe festlegen und die Option „Diese Berechtigungen auf Untergruppen und Objekte in dieser Gruppe anwenden“ auswählen, erhalten abhängige Elemente wie Regeln oder Pläne der Objekte die Berechtigungen nicht automatisch. Damit die Berechtigungen auf die Regeln angewendet werden, müssen Sie die Option „Nur-Lese-Berechtigungen auf Regeln in <Objekt> anwenden“ auswählen.
  • Wenn Sie die Berechtigungen für die Objekte festlegen, müssen Sie darauf achten, dass die Objekte in der Hierarchie stets über eine Berechtigung verfügen, die geringer oder gleich der darüber liegenden Berechtigung in der Hierarchie ist, damit die Berechtigung angewendet wird. Wenn beispielsweise die Berichte in einer Berichtsgruppe über die Lese- und Schreibberechtigung verfügen und Sie auf Ebene der Berichtsgruppe die Berechtigung „Schreibgeschützt“ oder „Kein Zugriff“ zuweisen und zudem die Option „Diese Berechtigungen auf Untergruppen und Berichte in dieser Gruppe anwenden“ auswählen, wird die Berechtigung der Regeln nicht geändert. 
  • Berechtigungen werden in der Hierarchie von oben nach unten weitergegeben, nicht umgekehrt. Wenn Sie beispielsweise einer Regel eine Berechtigung zuweisen, wird die Berechtigung des Berichts, in dem die Regel enthalten ist, nicht geändert. 

Berechtigung für Objekte oder abhängige Elemente

  • Zum Festlegen der Berechtigungen für Objekte und abhängige Elemente benötigen Sie die Lese- und Schreibberechtigung.
  • Anstatt jedem Objekt einzeln eine Berechtigung zuzuweisen, können Sie die Berechtigung auch mehreren Objekten gleichzeitig zuweisen.
  • Beim Festlegen der Berechtigung für das Objekt erhalten die abhängigen Elemente im Objekt die Berechtigung nicht automatisch. Damit die Berechtigung auf die abhängigen Elemente angewendet wird, müssen Sie die Option „Nur-Lese-Berechtigungen auf Regeln in <Objekt> anwenden“ auswählen.

Wenn Sie die Berechtigung auf abhängige Elemente anwenden, wird die Berechtigung anhand der bestehenden Berechtigung der Rolle angewendet. Beispiel: Ein Analyst und ein Operator haben folgende Berechtigungen für die verschiedenen abhängigen Elemente. Dabei hat das Objekt Bericht A die abhängigen Elemente Regel AA, Regel AB und Regel AC. 

                               
Objekt oder abhängiges Element Analyst Operator
Bericht ALesen & SchreibenKein Zugriff
           Regel AALesen & SchreibenKein Zugriff
           Regel ABLesen & SchreibenLesen & Schreiben
           Regel ACSchreibgeschütztKein Zugriff

Wenn der Analyst eine Lese- und Schreibberechtigung auf die Rolle Operator anwendet und die Option „Nur-Lese-Berechtigungen auf Regeln in <Objekt> anwenden“ auswählt, werden die Berechtigungen für die verschiedenen abhängigen Elemente folgendermaßen festgelegt: 

Ändern der Berechtigungen

  • Gruppenebene: Legen Sie die Berechtigungen auf Ebene der Objektgruppe und für alle Objekte und Einheiten in der Gruppe fest. Beispiel: Die Gruppe Administratorberichte enthält 80 Berichte und nur der Administrator darf Berichte hinzufügen oder ändern. Legen Sie dafür die Berechtigung für alle anderen Rollen auf Gruppenebene auf „Schreibgeschützt“ fest und wählen Sie die Option aus, mit der die Berichtigung auf alle Berichte und Untergruppen in der Berichtsgruppe angewendet wird. 
  • Mehrere Objekte: Wählen Sie mehrere Objekte aus und geben Sie den Zugriff für alle ausgewählten Objekte an. Beispiel: In der Untergruppe Netzwerkdatenverkehr befinden sich zehn Berichte mit vertraulichen Informationen, auf die niemand Zugriff haben soll. Wählen Sie dafür die zehn Berichte aus und legen Sie die Berechtigung für alle Rollen auf „Kein Zugriff“ fest.
  • Einzelnes Objekt: Wählen Sie nur das Objekt aus und geben Sie die Berechtigung an. Beispiel: Wählen Sie den Bericht zum Netzwerkdatenverkehr aus und weisen Sie der Rolle „Sicherheitsanalyst“ die Lese- und Schreibberechtigung zu. Alternativ können Sie auch die Warnmeldung „Anmeldefehler“ auswählen und der Rolle „Sicherheitsanalyst“ die Lese- und Schreibberechtigung zuweisen.
                               
Objekt oder abhängiges ElementOperator (vor Anwenden der Berechtigung)Operator (nach Anwenden der Berechtigung)
Bericht AKein ZugriffLesen & Schreiben
           Regel AAKein ZugriffSchreibgeschützt
           Regel ABLesen & SchreibenLesen & Schreiben
           Regel ACKein ZugriffSchreibgeschützt

Rollen und Berechtigungen für Reporting-Modul

Obwohl NetWitness Suite über fünf vorkonfigurierte Rollen verfügt, können Sie benutzerdefinierte Rollen hinzufügen. Beispielsweise können Sie zusätzlich zur vorkonfigurierten Rolle „Analyst“ benutzerdefinierte Rollen für „AnalystsEuropa“ und „AnalystsAsien“ hinzufügen.

                               
RolleBerechtigung
AdministratorenVoller Systemzugriff
OperatorenZugriff auf Konfigurationen, aber nicht auf Daten
AnalystenZugriff auf Daten, aber nicht auf Konfigurationen
SOC_ManagersGleicher Zugriff wie Analysten und eine zusätzliche Berechtigung für das Verarbeiten von Incidents
Malware_AnalystsZugriff nur auf Schadsoftware-Ereignisse

Abhängig von der Benutzerrolle können Sie die folgenden Zugriffsberechtigungen für den Zugriff auf die Komponenten des Moduls Reporting definieren (Regeln, Berichte, Diagramme, Warnmeldungen, Listen):

  • Erstellen
  • Löschen
  • Exportieren
  • Managen 
  • Anzeigen 

Hinweis: Sie müssen alle Berechtigungen für eine Benutzerrolle aktivieren, um jedes der Reporting-Module definieren, löschen, managen und anzeigen zu können. Sie müssen die nötigen Berechtigungen haben, damit die Datenquelle aufgelistet wird, während Sie die Berichte, Diagramme oder Warnmeldungen definieren. Weitere Informationen finden Sie unter „Konfigurieren von Datenquellenberechtigungen“ im Konfigurationsleitfaden Reporting Engine.

Eine detaillierte Liste von Berechtigungen und Informationen zum Hinzufügen einer Rolle und Zuweisen von Berechtigungen finden Sie unter „Rollenberechtigungen“ und „Schritt 2. (Optional) Hinzufügen einer Rolle und Zuweisen von Berechtigungen“ im Handbuch Systemsicherheit und Benutzerverwaltung

You are here
Table of Contents > Reporting-Übersicht

Attachments

    Outcomes