Reporting: Übersicht über Warnmeldungen

Document created by RSA Information Design and Development on May 11, 2018
Version 1Show Document
  • View in full screen mode

Warnmeldungen können verwendet werden, um zeitnahe Einblicke in aktuelle Sicherheitsprobleme und Schwachstellen zu erzeugen. Wenn z. B. eine schädliche E-Mail von einem gefährdeten Konto gesendet wird, würden Sie eine Warnmeldung benötigen, die Sie beim Eintreten eines solchen Ereignisses automatisch benachrichtigt.

Die folgenden Warnmeldungskonzepte helfen Ihnen, Warnregeln, Bedingungen, Benachrichtigungen und Vorlagen besser zu verstehen.

Warnmeldungsregeln

Warnmeldungsregeln geben die Logik für die Erzeugung von Warnmeldungen an. Mithilfe von Warnmeldungsregeln können Sie Schwellenwerte einrichten und definieren, wie Sie benachrichtigt werden möchten, wenn diese Grenzwerte überschritten werden. So können Sie beispielsweise eine Regel einrichten, um benachrichtigt zu werden, wenn die CPU-Auslastung 5 Minuten oder länger ungewöhnlich hoch bleibt.

Warnmeldungsdefinitionen

Die Warnmeldungsdefinition ähnelt dem Definieren von Regeln für Berichte. Diese Regeln müssen basierend auf Ihrem Anwendungsbeispiel definiert werden. Warnmeldungsdefinitionen werden durch die Auswahl von Warnregeln erstellt, die Sie in der Ansicht „Regel erstellen“ definieren. Beim Definieren einer Warnmeldung wählen Sie diese Regel aus.

Hinweis: Sie können Warnmeldungen nur mithilfe von Regeln ausgeben, die für die NetWitness-Datenquelle definiert sind.

Sobald eine Warnmeldung erstellt wurde, werden diese Daten von der Reporting Engine gesammelt und in der Benutzeroberfläche angezeigt.

Sobald eine Warnmeldung definiert wurde, können Sie die Warnmeldung so planen, dass sie jede Minute (Standardeinstellung) oder derzeit oder in der nahen Zukunft ausgeführt wird.

Hinweis: In der NetWitness-Benutzeroberfläche entsprechen das Datum und die Uhrzeit, wo immer sie angezeigt werden, immer dem vom Benutzer ausgewählten Zeitzonenprofil.

Warnmeldungsdefinition

Warnmeldungsbenachrichtigungen

Im Folgenden sind die Komponenten aufgeführt, die zum Konfigurieren von Warnmeldungsbenachrichtigungen erforderlich sind:

  • Benachrichtigungsserver: Ein Benachrichtigungsserver wird verwendet, um Warnmeldungsbenachrichtigungen zu senden, z. B. ein SMTP-Mailserver. Nachdem Sie einen Benachrichtigungsserver konfiguriert haben, können Sie ihn einer Regel hinzufügen. Wenn die Regel eine Warnmeldung auslöst, wird die Regel diesen Server verwenden, um Warnmeldungsbenachrichtigungen zu senden.
  • Benachrichtigungen: Warnmeldungsausgaben, die in den Formaten E-Mail, SMTP, SNMP und Syslog erfolgen können.
  • Vorlagen: das vordefinierte Format einer Warnmeldung.

Immer wenn die Regelbedingung erfüllt wird, werden Warnmeldungen basierend auf dem Schweregrad generiert und der Benutzer wird abhängig von der Benachrichtigungsmethode benachrichtigt, die für diese spezielle Warnmeldung festgelegt wurde. Im Folgenden sind die verschiedenen Benachrichtigungsmethoden aufgeführt:

  • E-Mail/SMTP: Simple Mail Transfer Protocol (SMTP) sendet Warnmeldungs-E-Mails für die Systemaktivität. E-Mail-Warnmeldungen können durch Auswählen von SMTP als Benachrichtigungstyp an ihre gewünschten Empfänger gesendet werden.

  • SNMP: Simple Network Management Protocol (SNMP) sendet Warnmeldungen an mehrere Computer für SNMP-Traps. SNMP-Warnmeldungen können durch Auswählen von SNMP als Benachrichtigungstyp an andere Computer gesendet werden.
  • Syslog: Syslog-Warnmeldungen erzeugen Benachrichtigungen aus Syslog-Meldungen. Syslog-Warnmeldungen können durch Auswählen von Syslog als Benachrichtigungstyp gesendet werden.

Warnmeldungen können so konfiguriert werden, dass Warnungen bei Ereignissen gesendet werden, die Aufmerksamkeit erfordern, oder als Mechanismen zur Durchführung automatisierter Aktionen basierend auf in einer Warnmeldung konfigurierten Bedingungen. Wenn Bedingungen innerhalb der Entität die Kriterien erfüllt haben, die für die Warnmeldung ausgewählt wurden, wird eine Warnmeldung gesendet. Die Benachrichtigungskriterien bestimmen, wann und wie oft die Warnmeldung erzeugt wird.

Warnmeldungsvorlagen

Warnmeldungsvorlagen sind ein vordefiniertes Format für eine Warnmeldung. Sie können diese Vorlagen verwenden, um Warnmeldungen zu erstellen.

Zugriffskontrolle für Warnmeldungen

Je nach Benutzerrolle erhält der Benutzer einen bestimmten Satz von Zugriffsberechtigungen, um eine Warnmeldung zu managen. Der Administrator managt die Zugriffsrechte, die jeder Benutzerrolle bereitgestellt werden, auf der Registerkarte Administration > Sicherheit > Rollen. Sie können Zugriffsberechtigungen für die Benutzerrollen festlegen, um eine Warnmeldung zu managen. Das Modul „Reporting“ stellt Zugriffskontrolle auf dem Level der Warnmeldung bereit.

Hinweis: Reporting Engine-Warnmeldungsberechtigungen tragen das Präfix „RE“, um sie von ESA (Event Streaming Analysis) unterscheiden zu können. 

Wenn Sie Benutzer und Benutzerrollen erstellen, stellen Sie sicher, dass die von Ihnen für bestimmte Aufgaben erstellten Rollen Zugriff auf alle erforderlichen Berechtigungen haben. Dies könnte Berechtigungen auf verschiedenen Levels der Rollenhierarchie erfordern.

Warnmeldungen können mit einem spezifischen Satz von Benutzerrollen kombiniert werden, sodass ein Benutzer, wenn er sich bei NetWitness einloggt, nur auf die Warnmeldungen Zugriff hat, zu deren Rolle der Benutzer gehört. Benutzer, die zu einer Benutzerrolle mit der Zugriffsberechtigung Lesen & Schreiben gehören, können Warnmeldungen definieren. Der Zugriff kann weiter eingeschränkt werden, sodass nur die Benutzer mit der Berechtigung Schreibgeschützt Zugriff auf Warnmeldungen haben.

Auf dem Level der Warnmeldungen können Sie die folgenden Zugriffsberechtigungen für die Benutzerrollen in NetWitness angeben:

  • Lesen & Schreiben
  • Schreibgeschützt
  • Kein Zugriff

Hinweis: Vor dem Anwenden von Warnmeldungsberechtigungen lautet der standardmäßige Zugriffsstatus für alle Benutzerrollen Kein Zugriff und das Kontrollkästchen ist nicht aktiviert.

Wenn Sie die Zugriffsberechtigung für eine bestimmte Benutzerrolle ändern möchten, müssen Sie diese auf dem Level der Warnmeldungen festlegen. Der Standardberechtigungssatz für alle Benutzerrollen außer Administratoren lautet Kein Zugriff.

Die beiden Szenarien werden kurz erläutert:

  • Szenario 1: Berechtigungen werden basierend auf der Benutzerrolle auf Warnmeldungen/Regeln angewendet.
  • Szenario 2: Leseberechtigung wird auf Regeln in der Warnmeldung angewendet.
                         
 

Rolle

(Analysten)

Auf Warnmeldungen/Regeln angewandte Berechtigungen auf Basis der Benutzerrolle Auf Regeln in der Warnmeldung angewandte Berechtigung (Schreibgeschützt)
Warnmeldung Lesen & Schreiben Lesen & Schreiben Lesen & Schreiben

Regeln

Lesen

Lesen

Lesen

Der Warnmeldung wird die Rolle eines Security Analyst zugewiesen und die Berechtigungen werden auf Lesen & Schreiben-Warnmeldungen eingestellt.

In Szenario 1 verfügt jedes der Level über einen Berechtigungssatz auf Basis der Benutzerrolle. In Szenario 2 wird die Berechtigung Lesen für die Regeln festgelegt. Hierbei gilt, dass die für die Regeln festgelegte Berechtigung keine höhere Stufe als die für die Warnmeldungen haben darf.

Wenn die Berechtigung für die Regeln eine höhere Stufe als die für die Warnmeldungen hat, wird sie nicht angewendet. Wenn Sie zum Beispiel die Berechtigung für Warnmeldungen auf Kein Zugriff festlegen und dann die Option Leseberechtigung auf Regeln in Berichten anwenden angeben, wird die Leseberechtigung für die Regeln nicht festgelegt.

Zugriffskontrolle einer Warnmeldung bei der Auswahl von Mehrfachwarnmeldungen

Wenn Sie die Zugriffsberechtigungen von Mehrfachwarnmeldungen ändern wollen, wählen Sie mehrere Warnmeldungen aus und legen Sie deren Zugriffsberechtigungen fest, indem Sie den Bereich „Warnmeldungsberechtigungen“ verwenden. Die von Ihnen ausgewählte Zugriffsberechtigung wird auf alle ausgewählten Warnmeldungen angewendet.

Melden Sie sich als ein bestimmter Benutzer an und zeigen Sie die Zugriffsdetails an

Wenn Sie sich in der Benutzeroberfläche von NetWitness als ein Benutzer mit Zugriffsberechtigung Lesen einloggen, werden alle Warnmeldungen mit dem Symbol () versehen. Wenn Sie anschließend auf das Symbol klicken, wird das Callout 'Schreibgeschützt' im Bereich „Warnmeldungsliste“ angezeigt.

Wenn Sie sich in der Benutzeroberfläche von NetWitness als ein Benutzer ohne Berechtigung Lesen & Schreiben für eine Warnmeldung anmelden, werden alle Warnmeldungen mit dem Symbol () versehen und im Bereich „Warnmeldungsliste“ markiert angezeigt.

Die nachfolgenden Abbildungen zeigen den Bereich „Warnmeldungsliste“ bei einer Anmeldung mit einer minimalen Zugriffsberechtigung Lesen & Schreiben.

Warnmeldung anderer Benutzer

Hinweis: Wenn ein Benutzer (der nicht ADMIN ist) eine Warnmeldung erstellt, kann ADMIN auf diese Warnmeldung nicht zugreifen.

In der nachfolgenden Tabelle werden die verschiedenen Spalten im Bereich „Warnmeldungsberechtigungen“ aufgelistet:

                               
SpalteBeschreibung
RollenDie Rolle des an der NetWitness-Benutzeroberfläche angemeldeten Benutzers.
Lesen & SchreibenDer Benutzer kann auf der Seite „Warnmeldungen“ auf die Warnmeldung zugreifen, sie anzeigen, bearbeiten, importieren, exportieren und löschen. Außerdem kann der Benutzer die Berechtigung für die Warnmeldung ändern.
SchreibgeschütztDer Benutzer kann auf die Warnmeldung auf der Seite der Warnmeldungen ausschließlich zugreifen und diese ansehen.
Kein ZugriffDer Benutzer kann mit dieser Berechtigung weder auf die Warnmeldung zugreifen noch diese ansehen. 
IconCheckbox.png Nur-Lesen-Berechtigungen auf Regeln in den Warnmeldungen anwenden Der Benutzer kann Berechtigungen automatisch auf die Regeln in den Warnmeldungen anwenden.

Es folgt eine Übersicht über den gesamten Prozess der Warnmeldungen:

Workflow für Warnmeldungen

Führen Sie zum Konfigurieren und Erzeugen einer Warnmeldung in Reporting Engine die folgenden Aufgaben durch:

  1. Konfigurieren der Reporting Engine
  2. Konfigurieren einer Warnmeldung
  3. Planen einer Warnmeldung
  4. Anzeigen einer Warnmeldung
  5. Ermitteln einer Warnmeldung
  6. Managen einer Warnmeldung und Warnmeldungsvorlage
You are here
Table of Contents > Übersicht über Warnmeldungen

Attachments

    Outcomes