NW: Navigation in NetWitness Platform

Document created by RSA Information Design and Development on May 11, 2018Last modified by RSA Information Design and Development on Jun 17, 2019
Version 5Show Document
  • View in full screen mode
 

Die RSA NetWitness® Platform-Anwendung ist in fünf Hauptfunktionsbereiche unterteilt; sogenannten Ansichten, die auf typischen SOC-Rollen (Security Operation Center) basieren.

This image shows the NetWitness Platform log in dialog and the five top-level menu items: Respond, Investigate, Monitor, Configure, and Admin.

  • Reagieren: Diese Ansicht ist für Incident-Experten bestimmt, die eine Liste der priorisierten Incidents zur Selektion anzeigen können. Diese Vorfälle stammen aus Quellen wie ESA-Regeln, NetWitness Endpoint, oder ESA Analytics-Modulen für die automatisierte Bedrohungserkennung. Sie können hier ebenfalls alle Warnmeldungen von NetWitness Platform anzeigen.
    Für Nutzer der Legacy-Version 10.6 wurde diese Ansicht als die Ansicht „Incident-Management“ bezeichnet. Die Liste der Warnmeldungen in der Ansicht „Reagieren“ ersetzt die Ansicht „ESA 10.6-Warnmeldungen > Übersicht“.
  • Ermittlung: Diese Ansicht ist in erster Linie für Advanced Threat Hunters gedacht, die die manuelle Suche nach Bedrohungen mithilfe von NetWitness Platform-Metadaten, Rohereignisdaten und Ereignisrekonstruktion und -analyse bevorzugen. Incident Responder verwenden diese Ansicht ebenfalls, um Details zu Ereignissen zu dem untersuchten Incident zu erhalten. Threat Hunters und Incident-Experten können die forensische Ereignisrekonstruktion und Ereignisanalysefunktionen in dieser Ansicht verwenden.
  • Monitor: Diese Ansicht ist für alle Nutzer. Sie können verschiedene Bereiche des Dashboards und Berichte je nach Ihren Nutzerberechtigungen anzeigen. NetWitness Platform öffnet diese Ansicht standardmäßig.
    Für Nutzer der Legacy-Version 10.6 ist dies die Ansicht „Dashboard“.
  • Konfigurieren: Diese Ansicht ist für Mitarbeiter im Bereich „Bedrohungsdaten“ (Contentexperten) verfügbar, die Datenquellen und Eingaben für NetWitness Platform konfigurieren. Contentexperten nutzen diesen Bereich, um Live-Inhalte herunterzuladen und zu verwalten. Sie können ebenfalls Incident- und ESA-Regeln erstellen und managen.
    Nutzer der Legacy-Version 10.6 enthält diese Ansicht „Live“, „Incidents > Konfigurieren“ und „Warnmeldungen > Konfigurieren“ aus der vorherigen Version.
  • ADMIN: Diese Ansicht ist für Systemadministratoren verfügbar, die die gesamte Anwendung einrichten und verwalten.
    Für Nutzer der Legacy-Version 10.6 entspricht dies der Ansicht „Administration“ ohne die Abschnitte, die zur Ansicht „Konfigurieren“ hinzugefügt wurden.

Zugriff auf Hauptansichten

Die Optionen, mit denen die Hauptansichten geöffnet werden, werden oben im Browserfenster aufgeführt. Mit den entsprechenden Berechtigungen können Sie auf die folgenden Ansichten oben im Browserfenster jederzeit zugreifen.

This figure shows the NetWitness Platform main menu

Sekundäre Menüs

Einige Ansichten verfügen über sekundäre Kontextmenüs mit weiteren Ansichten, die Sie auswählen können. Diese Ansichten unterscheiden sich entsprechend der Aufgaben, die Sie durchführen können. Das folgende Beispiel zeigt das Menü Monitor.

This figure shows the Monitor menu as an example of a secondary menu.

Zusätzliche Optionen

Neben den drei Ansichten stehen zusätzliche Optionen oben im Browserfenster zur Verfügung, die für die gesamte Anwendung anwendbar sind.


This figure shows the common options available from a classic view. They are Notifications, Preferences, and Help.

In der folgenden Tabelle werden diese häufig genutzten Optionen beschrieben:

                                      
Häufig genutzte OptionenNameBeschreibung

Jobs icon

JobsKlicken Sie in den Ansichten Ermittlung, Monitor, Konfigurieren und ADMIN auf dieses Symbol, um Ihre Jobs in der Jobkurzübersicht anzuzeigen und zu managen. Jobs sind nach Bedarf oder geplante Aufgaben, deren Abschluss einige Zeit in der NetWitness Platform-Anwendung in Anspruch nimmt.
Notifications icon BenachrichtigungenKlicken Sie auf dieses Symbol, um Benachrichtigungen von der Anwendung anzuzeigen.
User Preferences icon showing username NutzereinstellungenKlicken Sie auf dieses Symbol, um Ihre verfügbaren Nutzereinstellungsoptionen anzuzeigen. Sie können Ihre Nutzereinstellungen managen und sich bei NetWitness Platform abmelden.
User Profile menu options NutzerprofilKlicken Sie auf Ihr Nutzerprofil, um die verfügbaren Optionen anzuzeigen. Sie können Ihre Nutzereinstellungen managen, Ihr Passwort ändern und sich bei NetWitness Platform abmelden.
Help icon HilfeKlicken Sie auf dieses Symbol, um NetWitness Platform-Hilfethemen anzuzeigen.

Hauptansichten

In den folgenden Abschnitten werden die Hauptansichten beschrieben.

Monitor

Die Ansicht Monitor enthält das NetWitness Platform-Dashboard. „Überwachen“ bietet vorkonfigurierte Dashboards und Berichte, die Sie verwenden können. Sie können aber auch Ihre eigenen erstellen.

This figure shows an example Monitor view showing the default dashboard.

Monitor-Menü

This figure shows the Monitor secondary menu: Overview, Reports, and Alerts.

Das Menü Monitor enthält die folgenden Optionen:

  • Überblick: Mit der Ansicht „Überblick“ können Sie Ihre Dashboards anzeigen und managen. Sie können die folgenden vorkonfigurierten Dashboards auswählen:
    • Standard
    • Identität
    • Investigation
    • Vorgänge – Dateianalyse
    • Vorgänge – Protokolle
    • Vorgänge – Netzwerk
    • Vorgänge – Protokollanalyse
    • Übersicht
    • RSA SecurID
    • Bedrohung – Suche
    • Bedrohung – Angriff
    • Bedrohung – Malwareindikatoren

    Für Nutzer der Legacy-Version 10.6 war dies die Ansicht „Dashboard“.

  • Berichte: Mit der Ansicht „Berichte“ können Sie relevante Berichte für Ihre SOC-Rolle gemäß Ihren zugewiesenen Berechtigungen anzeigen und managen.
                                      
Was kann ich hier tun?PfadAnleitung
Auswählen eines DashboardMonitor > ÜberblickSiehe Managen von Dashboards.
Erstellen von DashboardsMonitor > ÜberblickSiehe Managen von Dashboards.
Dashboards managenMonitor > ÜberblickSiehe Managen von Dashboards.
Anzeigen eines BerichtsMonitor > Berichte > AnsichtSiehe Reporting-Leitfaden.
Berichte managenMonitor > Berichte > ManagenSiehe Reporting-Leitfaden.

Reagieren

In der Ansicht „Reagieren“ wird Analysten eine Warteschlange mit Incidents in der Reihenfolge des Schweregrads angezeigt. Wenn Sie einen Incident in der Warteschlange auswählen, erhalten Sie relevante zugehörige Daten, damit Sie den Incident untersuchen können. Dort können Sie den Umfang des Incident ermitteln und ihn nach Bedarf eskalieren oder korrigieren.

Reagieren-Menü

Respond Menu

Das Menü Reagieren enthält die folgenden Optionen:

  • Incidents: Die Listenansicht „Incidents“ enthält eine Liste aller Incidents mit grundlegenden Informationen. Die Ansicht „Incident-Details“ bietet umfassende Details zu einem Incident.
  • Warnmeldungen: Die Ansichten „Warnmeldungsliste“ und „Warnmeldungsdetails“ bieten Informationen zu allen von NetWitness Platform erhaltenen Bedrohungen und Indikatoren an einem zentralen Speicherort.
  • Aufgaben: Mit der Ansicht „Aufgabenliste“ können Sie Aufgaben erstellen und bis zum Abschluss nachverfolgen.

Auf der folgenden Abbildung ist die Liste der priorisierten Incidents in der Ansicht „Reagieren“ – Ansicht „Incident-Liste“ zu sehen.

Respond view - Incident List view

Wenn Sie NetWitness Platform als Vorgangsmanagementtool verwenden, können Sie auch Incidents in dieser Ansicht managen. Neue Incidents werden oben in der Incident-Warteschlange angezeigt.

Die folgende Abbildung zeigt ein Beispiel der Ansicht „Reagieren“ – Ansicht „Incident-Details“, in der Details für einen ausgewählten Incident zu sehen sind.

Respond view - Incident Details view

Die Ansicht „Reagieren“ soll die Bewertung von Incidents, die Kontextualisierung von Daten, die Zusammenarbeit mit anderen Analysten und bei Bedarf den Wechsel zu einer detaillierten Untersuchung vereinfachen. In der folgenden Abbildung ist ein Beispiel einer Ereignisanalyse in der Ansicht „Incident-Details“ zu sehen.

Respond view - Incident Details view - Event Analysis


Die folgende Abbildung zeigt den allgemeinen Workflow der Ansicht „Reagieren“.

This diagram shows a high-level Respond view workflow.

Analysten können in der Ansicht „Reagieren“ die priorisierte Liste der Incidents einsehen und bestimmen, für welche Incidents eine Aktion erforderlich ist. Sie klicken auf einen Incident, um mithilfe unterstützender Details ein klareres Bild von diesem Incident zu erhalten. So können sie den Incident weiter untersuchen. Dann können Analysten bestimmen, wie Sie auf die Bedrohung reagieren, indem sie ihn eskalieren oder korrigieren.

                                      
Was kann ich hier tun?PfadAnleitung
Anzeigen priorisierte Incident-Listen Reagieren > Incidents (Ansicht „Incident-Liste“)Siehe NetWitness Respond – Benutzerhandbuch.
Ermitteln, welche Incidents eine Aktion erfordern
(Priorisieren eines Incident)
Reagieren > Incidents (Ansicht „Incident-Details“)Siehe NetWitness Respond – Benutzerhandbuch.
Untersuchen des IncidentReagieren > Incidents (Ansicht „Incident-Details“)Siehe NetWitness Respond – Benutzerhandbuch. (Sie können auch zur Ansicht „Untersuchen“ wechseln.)
Eskalieren oder Korrigieren des IncidentReagieren > Incidents (Ansicht „Incident-Details“) und Reagieren > Aufgaben (Ansicht „Aufgabenliste“)Siehe NetWitness Respond – Benutzerhandbuch.
Überprüfen von WarnmeldungenReagieren > Warnmeldungen (Ansichten „Warnmeldungsliste“ und „Warnmeldungsdetails“)Siehe NetWitness Respond – Benutzerhandbuch.

Ermittlung

Die Ansicht „Untersuchen“ bietet sieben unterschiedliche Ansichten eines Datensatzes, sodass Analysten Metadaten und Rohdaten für Endpunkte, Protokolle und Ereignisse sowie potenzielle Indikatoren für eine Gefährdung einsehen können. Sie können nicht nur über die Daten zu einem bestimmten Service, sondern auch über „Reagieren“, die Ansicht „Überwachung“, einen Eintrag in einem von der Reporting Engine generierten Bericht oder eine ordnungsgemäß konfigurierte Anwendung eines Drittanbieters zu „Untersuchen“ wechseln. Ihre Untersuchung können Sie in einer der sieben „Untersuchen“-Ansichten beginnen und dann in einer anderen „Untersuchen“-Ansicht fortsetzen. Die Art und Weise, wie Sie vorgehen, hängt davon ab, welche Fragestellung Sie untersuchen möchten. Wenn Sie auf ein Ereignis stoßen, das eine Reaktion erfordert, können Sie in Respond einen Incident anlegen, damit ein Incident-Experte weitere Maßnahmen ergreifen kann. Im NetWitness Investigate – Benutzerhandbuch finden Sie detaillierte Informationen.

Ermittlung-Menü

Investigate submenus

Das Menü Ermittlung enthält die folgenden Optionen:

  • Navigieren: Die Ansicht „Navigation“ enthält eine Liste der Metaschlüssel und Metawerte mit dem Fokus auf Metadaten. Sie können ein Drilldown in die Daten durchführen, ein ausgewähltes Ereignis in der Ansicht „Ereignisse“ oder „Ereignisanalyse“ öffnen, eine Rekonstruktion eines Ereignisses anzeigen, nach Ereignissen suchen, zusätzlichen Kontext im Context-Hub-Service suchen und die Einstellungen für die Ansicht „Navigation“ konfigurieren.
  • Ereignisse: Die Ansicht „Ereignisse“ enthält eine Liste von Ereignissen mit dem Fokus auf Rohdaten. Sie können eine einfache Liste, eine detaillierte Liste und eine Protokollliste der Ereignisse durchsuchen. Sie können nach Ereignissen suchen, ein ausgewähltes Ereignis in der Ansicht „Ereignisanalyse“ öffnen, eine Rekonstruktion des Ereignisses anzeigen, nach zusätzlichen Kontexten im Context-Hub-Service suchen und die Einstellungen für die Ansicht „Ereignisse“ konfigurieren.
  • Ereignisanalyse: Die Ansicht „Ereignisanalyse“ enthält eine Liste der Ereignisse mit dem Fokus auf Metadaten und Rohdaten. Sie können eine Rekonstruktion anzeigen, die hilfreiche Hinweise bietet, um interessante Punkte in einer Rekonstruktion zu identifizieren, zur Ansicht „Hosts“ navigieren, nach zusätzlichen Kontexten im Context-Hub-Service suchen (ab Version 11.2), nach Daten in Live suchen und externe Suchen durchführen.
  • Ansicht „Hosts“: (Version 11.1 und höher) Die Ansicht „Hosts“ enthält alle Hosts, auf denen ein NetWitness Endpoint Agent ausgeführt wird. Für jeden Host können Sie Scandetails anzeigen, Ereignisse in Bezug auf Warnmeldungen, Anomalien, Prozessdetails und Informationen zu angemeldeten Nutzern nachverfolgen. Von der Ansicht „Hosts“ können Sie zu den Ansichten „Navigation“ und „Ereignisanalyse“ und „Nutzer“ wechseln.
  • Ansicht „Dateien“: (Version 11.1 und höher) Die Ansicht „Dateien“ bietet eine ganzheitliche Ansicht aller Dateien in Ihrer Bereitstellung. Sie können verschiedene Filter anwenden, Dateien in unterschiedliche Status sortieren und kategorisieren, um die Anzahl der Dateien für die Analyse zu reduzieren und verdächtige oder schädliche Dateien zu identifizieren. Von der Ansicht Dateien können Sie zu den Ansichten „Navigation“ und „Ereignisanalyse“ wechseln.
  • Ansicht „Nutzer“: (ab Version 11.2) Mit der Ansicht „Nutzer“ von RSA NetWitness UEBA wird die Transparenz von riskantem Nutzerverhalten in Ihrem Unternehmen gewährleistet. Sie können eine Liste der Nutzer mit hohem Risiko und eine Zusammenfassung der wichtigsten Warnmeldungen für riskantes Verhalten für Ihre Umgebung anzeigen. Dann können Sie einen Nutzer oder eine Benachrichtigung auswählen und Details über das riskante Verhalten und eine Zeitleiste anzeigen, in der die Verhaltensweisen aufgetreten sind.
  • Hinweis: Die Ansicht „Nutzer“ ist nur verfügbar, wenn Ihnen die Rolle des Administrators oder UEBA-Analysten zugewiesen wird.

  • Malware Analysis: Malware Analysis ist eine automatisierte Verarbeitungssoftware zur Analyse von Schadsoftware, die bestimmte Typen von Dateiobjekten analysiert (z. B. Windows PE, PDF und MS Office), um die potenzielle Schädlichkeit einer Datei zu bewerten. Mit Malware Analysis können Sie von den zahlreichen erfassten Dateien die Dateien priorisieren, von denen potenziell die größte Gefahr ausgeht. 

Die folgende Abbildung zeigt die Ansicht „Navigation“.

the Navigate view

Die folgende Abbildung zeigt die Ansicht „Ereignisanalyse“.

the Event Analysis view

Die folgende Abbildung zeigt die Ansicht „Hosts“ – Ansicht „Details zum Host“.

Investigate - Hosts view Hosts Details view

Die folgende Abbildung zeigt die Ansicht „Nutzer“.

Die folgende Abbildung zeigt die Malware Analysis-Ereigniszusammenfassung.

the Malware Analysis view, Summary of Events

In der folgenden Abbildung ist der Typ der Ermittlung für jede Ansicht im oberen Block dargestellt. Der untere Block zeigt Aufgaben, die Sie als Teil einer Ermittlung durchführen können.

the high-level workfow for Investigate

                                                          
Was kann ich hier tun?PfadAnleitung
Konfigurieren von Ermittlungsansichten und -einstellungenAnsicht ErmittlungSiehe „Konfigurieren von Ansichten und Voreinstellungen von NetWitness Investigate“ im NetWitness Investigate – Benutzerhandbuch.
Durchsuchen von EreignismetadatenAnsicht „Navigation“Siehe „Untersuchen von Metadaten in der Ansicht ‚Navigieren‘“ im NetWitness Investigate – Benutzerhandbuch.
Durchsuchen von Raw-EreignissenAnsicht „Ereignisse“Siehe „Untersuchen von Raw-Ereignissen in der Ansicht ‚Ereignisse‘“ im NetWitness Investigate – Benutzerhandbuch.
Analyse von Raw-Ereignissen und MetadatenAnsicht „Ereignisanalyse“Siehe „Analysieren von Raw-Ereignissen und Metadaten“ NetWitness Investigate – Benutzerhandbuch.
Untersuchen von EndpunktenAnsicht „Hosts“Weitere Informationen finden sie im NetWitness Endpoint-Benutzerhandbuch.
Finden verdächtiger EndpunktdateienAnsicht „Dateien“Siehe NetWitness Endpoint-Benutzerhandbuch.
Dateien und Ereignisse auf Schadsoftware scannenAnsicht „Malware Analysis“Weitere Informationen finden Sie im Leitfaden zur Malware Analysis.
Riskantes Nutzerverhalten suchenAnsicht „Nutzer“Siehe NetWitness UEBA – Benutzerhandbuch.

Priorisieren eines Incidents

Aus der Ansicht „Reagieren" wechseln

Siehe NetWitness Respond – Benutzerhandbuch.

Konfigurieren

Die Ansicht „Konfigurieren“ ermöglicht Mitarbeitern für Bedrohungsinformationen (Contentexperten) die Konfiguration der Datenquellen und Eingaben in NetWitness Platform an einem zentralen Ort.

Konfigurieren-Menü

This figure shows the Configure secondary menu: Live Content, Incident Rules, ESA Rules, Subscriptions, and Custom Feeds.

Das Menü Konfigurieren enthält die folgenden Optionen:

  • Live-Inhalt: (Live-Services) Mit der Ansicht „Live-Inhalt“ können Sie nach Live-Services-Ressourcen suchen und diese abonnieren. Live-Services ist die Komponente der NetWitness Platform, die die Kommunikation und Synchronisation zwischen NetWitness Platform-Services und einer Bibliothek von Live-Inhalten managt, die RSA NetWitness Platform-Kunden zur Verfügung stehen. Sie können Inhalte aus dem RSA Live-Contentmanagementsystem (CMS) auf NetWitness Platform-Services und -Software anzeigen, suchen, bereitstellen und abonnieren. Wenn Sie eine Ressource abonnieren, geben Sie an, dass Sie regelmäßig Aktualisierungen von RSA Live-Services erhalten möchten.
    Für Nutzer der Legacy-Version 10.6 war dies „Live > Suche“.
  • Incident-Regeln: Mit der Ansicht „Incident-Regeln“ können Sie Incident-Regeln mit unterschiedlichen Kriterien erstellen, um Incidents automatisch zu erstellen. Sie können sich in der Ansicht „Reagieren“ die priorisierten Incidents anzeigen lassen.
    Für Nutzer der Legacy-Version 10.6 war dies Incidents > Konfigurieren. In 11.1 oder höher werden Aggregationsregeln als Incident-Regeln bezeichnet.
  • Auf Benachrichtigungen antworten: In der Ansicht „Auf Benachrichtigungen antworten“ können Sie automatisch E-Mail-Benachrichtigungen an SOC-Manager und die mit den Incidents verknüpften Analysten senden, wenn Incidents erstellt oder aktualisiert werden.
  • ESA-Regeln: Mit der Ansicht „ESA-Regeln“ können Sie die ESA-Regeln (Event Stream Analysis) managen, mit denen die Kriterien für Problemverhalten oder bedrohliche Ereignisse in Ihrem Netzwerk bestimmt werden. Wenn ESA eine Bedrohung entdeckt, die Regelkriterien entspricht, wird eine Warnmeldung erzeugt.
    Sie können ESA-Regeln selbst erstellen oder von Live-Services herunterladen. Die Regelbibliothek enthält alle erstellten oder heruntergeladenen ESA-Regeln. Zum Aktivieren von Regeln müssen Sie diese zu einer Bereitstellung hinzufügen. Die Bereitstellung ordnet Regeln aus Ihrer Regelbibliothek den entsprechenden ESA-Services zu.
    Für Nutzer der Legacy-Version 10.6 war dies „Warnmeldungen > Konfigurieren“.
  • Abonnements: (Live-Services) In der Ansicht „Abonnements“ können Sie den Live-Inhalt verwalten, den Sie in der Ansicht „Live-Inhalt“ abonniert haben. Konfigurieren Sie die Verbindung und die Synchronisation zwischen dem CMS-Server und NetWitness Platform, um Live-Services in NetWitness Platform einzurichten.
    Für Nutzer der Legacy-Version 10.6 war dies Live > Konfigurieren.
  • Benutzerdefinierte Feeds: (Live-Services) Die Ansicht „Benutzerdefinierte Feeds“ optimiert die Aufgabe der Erstellung und des Managements benutzerdefinierter Feeds und füllt die Feeds an ausgewählte Decoder und Log Decoder. Sie können benutzerdefinierte Feeds und Identitätsfeeds einrichten und verwalten.
    NetWitness Platform verwendet Feeds zum Erstellen von Metadaten, die auf extern definierten Metadatenwerten beruhen. Ein Feed ist eine Liste von Daten, die bei der Erfassung oder Verarbeitung von Sitzungen mit diesen abgeglichen werden. Bei jedem erfolgreichen Abgleich werden zusätzliche Metadaten erstellt.
    Sie können benutzerdefinierte Feeds zur Bereitstellung von zusätzlichen Metadaten erstellen, z. B. Metadatenextrahierungen, um benutzerdefinierten Netzwerkanwendungen gerecht zu werden.
    Für Nutzer der Legacy-Version 10.6 war dies „Live > Feeds“.
  • Protokoll-Parser-Regeln: Auf der Registerkarte „Protokoll-Parser-Regeln“ werden Informationen zu einzelnen Protokollparsern angezeigt sowie der Standardparser „Alle analysieren“, mit dem Protokolle analysiert werden können, die keinem bestimmten Protokoll-Parser zugeordnet sind. Auf dieser Registerkarte finden Sie folgende Informationen:
    • Sie können die Regeln für einen bestimmten Ereignisquelltyp anzeigen, einschließlich des Standardsarsers.

    • Sie können die Namen, Literale, Muster und Metadaten für jeden konfigurierten Protokollparser anzeigen.

    • Sie können Protokollparser hinzufügen.

    • Sie können benutzerdefinierte Regeln für Protokollparser hinzufügen, bearbeiten und löschen.

    Hinweis: Die Registerkarte „Protokoll-Parser-Regeln“ ist ab Version 11.2 im Menü „Konfigurieren“ verfügbar. Bei früheren Versionen ist sie unter „Administration > Ereignisquellen“ zu finden.

                                                     
Was kann ich hier tun?PfadAnleitung
Erstellen eines Live-Services-KontosRSA Live-Registrierungsportal:
https://cms.netwitness.com/registration/
Siehe Handbuch zum Management von Live-Services.
Suchen und Bereitstellen von Live-Services-RessourcenKonfigurieren > Live-InhaltSiehe Handbuch zum Management von Live-Services.
Automatisches Erstellen von IncidentsKonfigurieren > Incident-RegelnSiehe den Konfigurationsleitfaden für NetWitness Respond.
Konfigurieren von „Auf Benachrichtigungen antworten“Konfigurieren > Auf Benachrichtigungen antwortenSiehe den Konfigurationsleitfaden für NetWitness Respond.
Konfigurieren von WarnmeldungenKonfigurieren > ESA-RegelnSiehe Warnmeldungen mit ESA-Korrelationsregeln – Benutzerhandbuch.
Einrichten von Live-Services-Services in NetWitness PlatformKonfigurieren > AbonnementSiehe das Handbuch zum Management von Live-Services.
Einrichten und Verwalten von benutzerdefinierten Feeds und IdentitätsfeedsKonfigurieren > Nutzerdefinierte FeedsSiehe Handbuch zum Management von Live-Services.
Zeigen Sie Protokollparser und Protokoll-Parser-Regeln an und bearbeiten Sie sie.Konfigurieren > Protokoll-Parser-RegelnSiehe das Handbuch für Protokollparser-Anpassungen.

ADMIN

In der Ansicht „Admin“ können Administratoren Netzwerkhosts und -services managen, die Integrität und den Zustand von NetWitness Platform überwachen und die Systemebenensicherheit managen. Sie können auch globale Systemressourcen konfigurieren und Ereignisquellen managen.

ADMIN-Menü

This figure shows the Admin secondary menu: Hosts, Services, Event Sources, Health & Wellness, System, and Security.

Das Menü ADMIN enthält die folgenden Optionen:

  • Hosts: In der Ansicht „Hosts“ können Sie Hosts einrichten und verwalten. Ein Host ist der Computer, auf dem Services ausgeführt werden. Ein Host kann ein physischer Rechner oder eine virtuelle Maschine sein.
  • Services: Mit der Ansicht „Services“ können Sie Services managen, Servicebenutzer und -rollen managen, Service-Servicekonfigurationsdateien verwalten und Serviceeigenschaften durchsuchen und bearbeiten. Ein Service führt eine eindeutige Funktion aus, z. B. erfasst ein Decoder-Service Netzwerkdaten im Paketformat.
  • Ereignisquellen: Mit der Ansicht „Ereignisquellen“ können Sie Ereignisquellen verwalten und Warnmeldungsrichtlinien für diese konfigurieren. Typischerweise überwachen Unternehmen ihre Ereignisquellen aufgeteilt in Gruppen, in Abhängigkeit davon, wie kritisch die einzelnen Ereignisquellen sind. Sie können Überwachungsrichtlinien für jede Ereignisquellengruppe erstellen und sie basierend auf ihrer Priorität ordnen.
  • Endpunktquellen: In der Ansicht Endpunktquellen können Sie Endpunkt-Konfigurationen über Gruppen managen und aktualisieren und das Verhalten der Agents mithilfe von Richtlinien managen. Sie können die Standardrichtlinien verwenden oder diese Richtlinien anpassen.
  • Integrität und Zustand: Mit der Ansicht „Integrität und Zustand“ können Sie die Integrität der NetWitness Platform-Hosts und -Services in Ihrer Netzwerkumgebung überwachen.
  • System: In der Ansicht „System“ können Sie globale NetWitness Platform-Konfigurationen festlegen. Sie können Auditprotokollierung, E-Mail, Systemprotokollierung, Jobs, RSA Live-Services, URL-Integration, Investigation, Event Stream Analysis (ESA), ESA Analytics und erweiterte Leistungseinstellungen global konfigurieren. Außerdem können Sie NetWitness Platform-Versionen managen und den lokalen Lizenzierungsserver konfigurieren.
  • Sicherheit: Der Bereich „Administrationssicherheit“ bietet die Möglichkeit, Nutzerkonten und Nutzerrollen zu managen, externe Gruppen NetWitness Platform-Rollen zuzuordnen und andere sicherheitsbezogene Systemparameter zu ändern. Diese Funktionen gelten für das NetWitness Platform-System und werden in Verbindung mit den Sicherheitseinstellungen für einzelne Services verwendet.

Hinweis: Ab Version 11.2 befindet sich die Registerkarte „Ereignisquellen > Protokoll-Parser-Regeln“ in der Ansicht „Konfigurieren“.

                                                                         
Was kann ich hier tun?PfadAnleitung
Verwalten von HostsADMIN > HostsSiehe Leitfaden für die ersten Schritte mit Hosts und Services.
Managen von Services wie das Management von Servicebenutzerzugriff und SicherheitADMIN > ServicesSiehe Leitfaden für die ersten Schritte mit Hosts und Services.
Verwalten von Ereignisquellen und Konfigurieren von Warnmeldungsrichtlinien für dieseADMIN > EreignisquellenSiehe Leitfaden für das Ereignisquellenmanagement.
Verwalten von Endpunktquellen und Konfigurieren von Warnmeldungsrichtlinien für dieseADMIN > EndpunktquellenSiehe Leitfaden für das Ereignisquellenmanagement.
Einrichten und Überwachen von Alarmen für die Hosts und Services in Ihrer NetWitness Platform-DomainADMIN > Integrität und Zustand > AlarmSiehe Leitfaden Systemwartung.
Überwachen von Statistiken für die NetWitness Platform-Hosts und die auf diesen Hosts ausgeführten ServicesADMIN > Integrität und Zustand > ÜberwachungSiehe Leitfaden Systemwartung.
Erstellen und Anwenden von Richtlinien auf Ihre Hosts und Services, um die Erhaltung der Integrität und des Zustands Ihrer NetWitness Platform-Domain zu unterstützenADMIN > Integrität und Zustand > RichtlinienSiehe Leitfaden Systemwartung.
Festlegen der globalen Konfigurationen für NetWitness PlatformADMIN > SystemSiehe den Systemkonfigurationsleitfaden.
Konfigurieren der globalen AuditprotokollierungADMIN > System > Globales AuditingSiehe den Systemkonfigurationsleitfaden.
Einrichten von SystemsicherheitADMIN > Sicherheit Siehe Handbuch Systemsicherheit und Nutzerverwaltung.
Managen von Systembenutzern mit Rollen und BerechtigungenADMIN > Sicherheit Siehe Handbuch Systemsicherheit und Nutzerverwaltung.
Einrichten der PKI-Authentifizierung (Public Key Infrastructure) PKI ist in NetWitness Platform 11.3 und höher verfügbar.ADMIN > SicherheitSiehe Handbuch Systemsicherheit und Nutzerverwaltung.

You are here
Table of Contents > Navigation in NetWitness Platform

Attachments

    Outcomes