Reagieren: Überprüfen von Warnmeldungen

Document created by RSA Information Design and Development Employee on May 11, 2018Last modified by RSA Information Design and Development Employee on Apr 28, 2019
Version 4Show Document
  • View in full screen mode
 

NetWitness Platform ermöglicht es Ihnen, eine konsolidierte Liste von Warnmeldungen zu Bedrohungen, die aus mehreren Quellen erzeugt wurden, an einem zentralen Ort anzuzeigen. Sie finden diese Warnmeldungen in der Ansicht „RESPOND > Warnmeldungen“. Die Quelle der Warnmeldungen können ESA-Korrelationsregeln, ESA Analytics, NetWitness Endpoint, Malware Analysis, Reporting Engine und viele andere sein. Sie können die ursprüngliche Quelle der Warnmeldungen, den Schweregrad der Warnmeldung und zusätzliche Warnmeldungsdetails anzeigen.

Hinweis: Warnmeldungen zu ESA-Korrelationsregeln finden Sie NUR in der Ansicht „RESPOND > Warnmeldungen“.

Zur besseren Verwaltung einer großen Anzahl von Warnmeldungen können Sie die Liste der Warnmeldungen basierend auf von Ihnen angegebenen Kriterien wie Schweregrad, Zeitbereich und Warnmeldungsquelle filtern. Beispielsweise können Sie die Warnmeldungen so filtern, dass nur Warnmeldungen mit einem Schweregrad zwischen 90 und 100 angezeigt werden, die nicht bereits Teil eines Incident sind. Sie können dann eine Gruppe von Warnmeldungen auswählen, um einen Incident zu erstellen oder sie zu einem vorhandenen Incident hinzuzufügen.

Sie können die folgenden Verfahren durchführen, um Warnmeldungen zu überprüfen und zu managen:

Anzeigen von Warnmeldungen

In der Listenansicht der Warnmeldungen können Sie verschiedene Warnmeldungen aus mehreren Quellen durchsuchen, filtern und gruppieren, um Incidents zu erstellen. Dieses Verfahren zeigt Ihnen, wie Sie auf die Liste der Warnmeldungen zugreifen.

  1. Navigieren Sie zu Reagieren > Warnmeldungen.
    Die Ansicht „Warnmeldungsliste“ zeigt eine Liste aller NetWitness Platform-Warnmeldungen.
    Alerts List view
  2. Blättern Sie durch die Warnmeldungsliste, in der grundlegende Informationen zu jeder Warnmeldung angezeigt werden, wie in der folgenden Tabelle beschrieben ist.
                                       
Spalte

Beschreibung

CREATEDZeigt das Datum und die Uhrzeit der Aufzeichnung der Warnmeldung im Quellsystem an.
SCHWEREGRADZeigt den Schweregrad der Warnmeldung an. Möglich sind Werte von 1 bis 100.
NAMEZeigt eine grundlegende Beschreibung der Warnmeldung an.
QUELLE Zeigt die ursprüngliche Quelle der Warnmeldung an. Die Quelle der Warnmeldungen können NetWitness Endpoint, Malware Analysis, Event Stream Analysis (ESA-Korrelationsregeln), ESA Analytics, Reporting Engine, Web Threat Detection und viele andere sein.
EREIGNISANZAHLZeigt die Anzahl an Ereignissen, die in einer Warnmeldung enthalten sind. Diese Zahl variiert je nach Quelle der Warnmeldung. NetWitness Endpoint- und Malware Analysis-Warnmeldungen haben zum Beispiel immer nur ein Ereignis. Für bestimmte Arten von Warnmeldungen bedeutet eine große Anzahl an Ereignissen, dass die Warnmeldung riskanter ist.
HOSTZUSAMMENFASSUNGZeigt Details des Hosts an, wie zum Beispiel den Hostnamen, von dem die Warnmeldung ausgelöst wurde. Die Details können Informationen zu den Quell- und Zielhosts in einer Warnmeldung enthalten. Manche Warnmeldungen können Ereignisse über mehr als einen Host beschreiben.
Incident-IDZeigt die Incident-ID der Warnmeldung. Gibt es keine Incident-ID, gehört die Warnmeldung zu keinem Incident und Sie können einen Incident erstellen, um die Warnmeldung hinzuzufügen. Alternativ kann die Warnmeldung einem vorhandenen Incident hinzugefügt werden.

Am unteren Rand der Liste sehen Sie die Anzahl der Warnmeldungen auf der aktuellen Seite und die Gesamtzahl der Warnmeldungen. Beispiel: 377 von 377 Elementen werden angezeigt

Filtern der Warnmeldungsliste

Die Anzahl der Warnmeldungen in der Liste der Warnmeldungen kann sehr groß sein, sodass es schwierig ist, bestimmte Warnmeldungen zu finden. Über den Filter können Sie die gewünschten Warnmeldungen anzeigen, beispielsweise Warnmeldungen aus einer bestimmten Quelle, Warnmeldungen mit einem bestimmten Schweregrad oder Warnmeldungen, die nicht Teil eines Incident sind usw.

  1. Navigieren Sie zu Reagieren > Warnmeldungen.
    Der Bereich „Filter“ wird auf der linken Seite der Warnmeldungsliste angezeigt. Sollte der Bereich „Filter“ nicht angezeigt werden, klicken Sie in der Symbolleiste der Listenansicht der Warnmeldungen auf Filter icon, woraufhin der Bereich „Filter“ geöffnet wird.
    Alerts List Filter panel
  2. Wählen Sie im Bereich „Filter“ eine oder mehrere Optionen zum Filtern der Liste „Warnmeldungen“:
    • ZEITBEREICH: Sie können einen bestimmten Zeitraum aus der Drop-down-Liste „Zeitbereich“ auswählen. Der Zeitbereich basiert auf dem Datum, an dem die Warnmeldungen empfangen wurden. Wenn Sie zum Beispiel „Letzte Stunde“ auswählen, werden die Warnmeldungen angezeigt, die innerhalb der letzten 60 Minuten empfangen wurden.
    • BENUTZERDEFINIERTER DATUMSBEREICH: Sie können einen bestimmten Datumsbereich anstelle der Option „Zeitbereich“ auswählen. Klicken Sie dazu auf den weißen Kreis vor „BENUTZERDEFINIERTER DATUMSBEREICH“, um die Felder „Startdatum“ und „Enddatum“ anzuzeigen. Wählen Sie die Datums- und Zeitangaben im Kalender aus.
      Custom Date Range option in the filter
    • TYP: Wählen Sie den Ereignis-Typ der Warnmeldung aus, um zum Beispiel Protokolle, Netzwerksitzungen usw. anzuzeigen.
    • QUELLE: Wählen Sie eine oder mehrere Quellen aus, um die von diesen Quellen ausgelösten Warnmeldungen anzuzeigen. Zum Beispiel: Möchten Sie lediglich die NetWitness Endpoint-Warnmeldung anzeigen, wählen Sie „Endpoint“ als Quelle aus.
    • SCHWEREGRAD: Wählen Sie den Schweregrad der anzuzeigenden Warnmeldungen aus. Die Werte liegen zwischen 1 und 100. Um sich beispielsweise zunächst auf die Warnmeldungen mit dem höchsten Schweregrad zu konzentrieren, können Sie nur die Warnmeldungen mit einem Schweregrad von 90 bis 100 anzeigen.
    • ZUM INCIDENT GEHÖRIG?: ZUM INCIDENT GEHÖRIG: Wählen Sie Nein aus, um nur Warnmeldungen anzuzeigen, die nicht Teil eines Incident sind. Wählen Sie Ja aus, um nur Warnmeldungen anzuzeigen, die Teil eines Incident sind. Wenn Sie beispielsweise bereit sind, einen Incident aus einer Gruppe von Warnmeldungen zu erstellen, können Sie „Nein“ auswählen, um nur die Warnmeldungen anzeigen, die derzeit nicht Teil eines Incident sind.
    • WARNMELDUNGSNAMEN: Wählen Sie den Namen der anzuzeigenden Warnmeldung aus. Sie können diesen Filter verwenden, um nach allen Warnmeldungen zu suchen, die durch eine bestimmte Regel oder Quelle erzeugt wurden, z. B. schädliche IP - Reporting Engine.

    In der Warnmeldungsliste wird eine Liste der Warnmeldungen angezeigt, die Ihre Auswahlkriterien erfüllen. Sie finden die Anzahl der Elemente in der gefilterten Liste am unteren Rand der Warnmeldungsliste.
    Beispiel: 30 von 30 Elementen werden angezeigt

  3. Wenn Sie den Bereich „Filter“ schließen möchten, klicken Sie auf X. Ihre Filter werden beibehalten, bis Sie sie entfernen.

Entfernen meiner Filter aus der Warnmeldungsliste

In NetWitness Platform wird Ihre Filterauswahl in der Listenansicht „Warnmeldungen“ gespeichert. Sie können Ihre Filterauswahl entfernen, wenn Sie sie nicht mehr benötigen. Wenn Sie beispielsweise nicht die erwartete Anzahl an Warnmeldungen sehen oder Sie alle Warnmeldungen in der Warnmeldungsliste anzeigen möchten, können Sie Ihre Filter zurücksetzen.

  1. Navigieren Sie zu Reagieren > Warnmeldungen.
    Der Bereich „Filter“ wird auf der linken Seite der Warnmeldungsliste angezeigt. Sollte der Bereich „Filter“ nicht angezeigt werden, klicken Sie in der Symbolleiste der Listenansicht der Warnmeldungen auf Filter icon, woraufhin der Bereich „Filter“ geöffnet wird.
  2. Klicken Sie am unteren Rand des Bereichs „Filter“ auf Filter zurücksetzen.

Anzeigen von Übersichtsinformationen zu Warnmeldungen

Zusätzlich zum Anzeigen von grundlegenden Informationen zu einer Warnmeldung können Sie auch Rohwarnmeldungs-Metadaten im Bereich „Übersicht“ anzeigen.

  1. Klicken Sie in der Liste der Warnmeldungen auf die Warnmeldung, die Sie anzeigen möchten.
    Der Bereich „Übersicht über Warnmeldungen“ wird rechts neben der Liste der Warnmeldungen angezeigt.
    Alerrts View showing Overview panel
  2. Im Abschnitt „Rohwarnmeldung“ können Sie blättern, um die Rohwarnmeldungs-Metadaten anzuzeigen.
    Alert Overview panel

Anzeigen von Ereignisdetails für eine Warnmeldung

Nachdem Sie die allgemeinen Informationen über die Warnmeldung aus der Listenansicht „Warnmeldungen“ geprüft haben, können Sie in die Ansicht „Warnmeldungsdetails“ wechseln, um genauere Informationen zur Bestimmung der erforderlichen Aktion zu erhalten. Eine Warnmeldung enthält ein oder mehrere Ereignisse. In der Ansicht „Warnmeldungsdetails“ können Sie einen Drill-down in eine Warnmeldung durchführen, um zusätzliche Ereignisdetails zu erhalten und die Warnmeldung weiter zu untersuchen. Die folgende Abbildung zeigt ein Beispiel für die Ansicht „Warnmeldungsdetails“.

Alert Details view showing the Events panel

 

Der Bereich „Übersicht“ auf der linken Seite enthält dieselben Informationen für eine Warnmeldung wie der Bereich „Übersicht“ in der Ansicht „Warnmeldungsliste“.

Der Bereich „Ereignisse“ auf der rechten Seite zeigt Informationen zu den Ereignissen in der Warnmeldung, z. B. die Uhrzeit des Ereignisses, Quell-IP, Ziel-IP, Detektor-IP, Quellbenutzer, Zielbenutzer und Dateiinformationen zu den Ereignissen. Wie viele Informationen aufgeführt werden, hängt vom Typ des jeweiligen Ereignisses ab.

Es gibt zwei Typen von Ereignissen:

  • Eine Transaktion zwischen zwei Rechnern (eine Quelle und ein Ziel)
  • Eine auf einem einzelnen Rechner erkannte Anomalie (ein Detektor)

Einige Ereignisse haben nur einen Detektor. Mit NetWitness Endpoint wird z. B. Malware auf dem Rechner gefunden. Andere Ereignisse haben eine Quelle und ein Ziel. Paketdaten zeigen beispielsweise die Kommunikation zwischen Ihrem Rechner und einer Command-and-Control-Domain (C2).

Sie können einen Drill-down in ein Ereignis durchführen, um detaillierte Daten über das Ereignis zu erhalten.

So zeigen Sie Ereignisdetails für eine Warnmeldung an:

  1. Zum Anzeigen von Ereignisdetails für eine Warnmeldung wählen Sie in der Ansicht „Warnmeldungsliste“ eine anzuzeigende Warnmeldung aus und klicken Sie dann auf den Link in der Spalte NAME für diese Warnmeldung.
    Alerts List showing Name link
    Die Ansicht „Warnmeldungsdetails“ zeigt den Bereich „Übersicht“ auf der linken Seite und den Bereich „Ereignisse“ auf der rechten Seite.
    Alert Details view showing the Events panel
    Der Bereich „Ereignisse“ zeigt eine Liste von Ereignissen mit Informationen zu jedem Ereignis. In der folgende Tabelle sehen Sie einige der Spalten, die in der Liste der Ereignisse (Ereignistabelle) angezeigt werden können.
  2.                                                

    Spalte

    Beschreibung

    ZEITZeigt an, wann das Ereignis eingetreten ist.
    TYPZeigt den Typ der Warnmeldung an, z. B. „Protokoll“ oder „Netzwerk“.
    QUELL-IPZeigt die Quell-IP-Adresse an, wenn eine Transaktion zwischen zwei Rechnern erfolgt ist.
    Ziel-IPZeigt die Ziel-IP-Adresse an, wenn eine Transaktion zwischen zwei Rechnern erfolgt ist.
    DETEKTOR-IPZeigt die IP-Adresse des Rechners an, auf dem eine Anomalie erkannt wurde.
    QUELLBENUTZERZeigt den Benutzer des Quellrechners an.
    ZIELBENUTZERZeigt den Benutzer des Zielrechners an.
    DATEINAMEZeigt den Dateinamen an, falls eine Datei in das Ereignis involviert ist.
    DATEI-HASHZeigt einen Hash der Dateiinhalte an.

    Wenn nur ein Ereignis in der Liste vorhanden ist, werden anstelle einer Liste nur die Ereignisdetails für dieses Ereignis angezeigt.

  3. Klicken Sie auf ein Ereignis in der Ereignisliste, um die Ereignisdetails anzuzeigen.
    Dieses Beispiel zeigt die Ereignisdetails für das erste Ereignis in der Liste.
    Event Details showing first event
  4. Verwenden Sie die Seitennavigation rechts neben der Schaltfläche „Zurück zu Tabelle“, um andere Ereignisse anzuzeigen. Dieses Beispiel zeigt die Ereignisdetails für das letzte Ereignis in der Liste.
    Event Details showing the navigation options in the last event in the alert

Detaillierte Informationen zu den Ereignisdaten im Bereich „Warnmeldungsdetails“ finden Sie unter Ansicht „Warnmeldungsdetails“.

Untersuchen von Ereignissen

Um die Ereignisse näher zu untersuchen, finden Sie Links, die Sie zu zusätzlichen Kontextinformationen weiterleiten. Von dort stehen je nach Ihrer Auswahl Optionen zur Verfügung.

Anzeigen von kontextbezogenen Informationen

In der Ansicht „Warnmeldungsdetails“ sehen Sie unterstrichene Entitäten im Bereich „Ereignisse“. Eine unterstrichene Entität wird als eine Entität im Context Hub betrachtet und bietet zusätzliche verfügbare Kontextinformationen. Die folgende Abbildung zeigt unterstrichene Entitäten in der Ereignisliste.

Events panel - Event list showing underlined entities

Die folgende Abbildung zeigt unterstrichene Entitäten in den Ereignisdetails.

Events panel - Event details showing underlined entities

Der Context Hub ist mit Metadatenfeldern vorkonfiguriert, die den Entitäten zugeordnet sind. NetWitness Respond und NetWitness Investigate nutzen diese Standardzuordnungen für die Kontextabfrage. Informationen zum Hinzufügen von Metaschlüsseln finden Sie unter „Konfigurieren von Einstellungen für eine Datenquelle“ im Context Hub-Konfigurationsleitfaden.

Achtung: Damit die Kontextabfrage in den Ansichten „Reagieren“ und „Untersuchen“ ordnungsgemäß funktioniert, empfiehlt RSA, dass Sie beim Zuordnen von Metaschlüsseln unter ADMIN > System > Ermittlungen > Kontextabfrage den Metaschlüsselzuordnungen nur Metaschlüssel und keine Felder der MongoDB hinzufügen. Zum Beispiel ist „ip.address“ ein Metaschlüssel und „ip_address“ ist kein Metaschlüssel (es ist ein Feld in der MongoDB).

So zeigen Sie kontextbezogene Informationen an:

  1. Bewegen Sie in der Ansicht „Warnmeldungsdetails“ in der Ereignisliste oder den Ereignisdetails die Maus über eine unterstrichene Entität.
    Eine Kontext-Kurzinformation wird mit einer kurzen Übersicht über den Typ der Kontextdaten, die für die ausgewählte Entität verfügbar sind, angezeigt.
    Events panel - Event details showing context tooltip
    Die Kontext-Kurzinformation besteht aus zwei Abschnitten: Kontexthighlights und -aktionen.
    Context tooltip
    Die Informationen im Abschnitt Kontexthighlights helfen Ihnen, die Aktionen zu bestimmen, die Sie durchführen möchten. Sie zeigen die Anzahl der verwandten Warnmeldungen und Incidents. Abhängig von Ihren Daten können Sie möglicherweise auf diese nummerierten Elemente klicken, um weitere Informationen anzuzeigen. Im obigen Beispiel sind 12 verwandte Incidents, 12 damit verbundene Warnmeldungen, Endpunkt „Mittel“, Bedeutung „Hoch“ und Risiko der Bestände „Hoch“ dargestellt. Es gibt keine Informationen aus Live Connect.

    Im Abschnitt Aktionen werden die verfügbaren Aktionen aufgeführt. Im obigen Beispiel sind die Optionen „Zu Liste hinzufügen/Aus Liste entfernen“ „Zu „Ermittlungen“ > „Navigation“ wechseln“, „Zu Archer wechseln“ und „Zu Endpunkt-Thick-Client wechseln“ verfügbar.
  2. Hinweis: Der Link „Zu Archer wechseln“ ist deaktiviert, wenn die Archer-Daten nicht verfügbar sind oder wenn die Archer-Datenquelle nicht reagiert. Überprüfen Sie, ob die RSA Archer-Konfiguration aktiviert und richtig konfiguriert ist.

    Weitere Informationen finden Sie unter Wechseln Sie zu „Ermittlungen“ > „Navigation“., Wechseln zu Archer, Zu Endpunkt-Thick-Client wechseln und Hinzufügen einer Entität zu einer Whitelist.

  3. Zum Anzeigen weiterer Details über die ausgewählte Entität klicken Sie auf die Schaltfläche Kontext anzeigen.
    Der Bereich „Kontext“ wird geöffnet und zeigt alle Informationen im Zusammenhang mit der Entität.
    Bereich „Kontextabfrage“ – Ansicht „Reagieren“ bietet zusätzliche Informationen.

Hinzufügen einer Entität zu einer Whitelist

Sie können eine beliebige unterstrichene Entität aus einer Kontext-Kurzinformation zu einer Liste, etwa einer Whitelist oder Blacklist, hinzufügen. Zum Beispiel können Sie zur Reduzierung falsch positiver Ergebnisse eine unterstrichene Domain zu einer Whitelist hinzufügen, um sie aus den verwandten Entitäten auszuschließen.

  1. Bewegen Sie in der Ansicht „Warnmeldungsdetails“ in der Ereignisliste oder den Ereignisdetails die Maus über die unterstrichene Entität, die Sie einer Context Hub-Liste hinzufügen möchten.
    Eine Kontext-Kurzinformation wird geöffnet und zeigt die verfügbaren Aktionen.
    Events panel showing Add/Remove From List option
  2. Klicken Sie im Abschnitt Aktionen der Kurzinformation auf Zu Liste hinzufügen/Aus Liste entfernen.
    Im Dialogfeld „Zu Liste hinzufügen/Aus Liste entfernen“ werden die verfügbaren Listen angezeigt.
    Add/Remove From List dialog
  3. Wählen Sie eine oder mehrere Listen aus und klicken Sie auf Speichern.
    Die Entität wird in den ausgewählten Listen angezeigt.
    Das Dialogfeld Dialogfeld „Zu Liste hinzufügen/Aus Liste entfernen“ enthält zusätzliche Informationen.

Erstellen einer Whitelist

Sie können eine Whitelist im Context Hub auf die gleiche Weise wie in der Ansicht „Incident-Details“ erstellen. Siehe Eine Liste erstellen.

Wechseln Sie zu „Ermittlungen“ > „Navigation“.

Für eine eingehendere Untersuchung des Incident können Sie die Ansicht „Untersuchen, Navigation“ aufrufen.

  1. Bewegen Sie in der Ereignisliste oder den Ereignisdetails in der Ansicht „Warnmeldungsdetails“ die Maus über eine unterstrichene Entität, um auf eine Kontext-Kurzinformation zuzugreifen.
  2. Wählen Sie im Abschnitt AKTIONEN der Kurzinformation Zu „Ermittlungen“ > „Navigation“ wechseln aus.
    Die Ansicht „Untersuchen“ > „Navigation“ wird geöffnet. Hier können Sie eine umfassendere Ermittlung durchführen.

Weitere Informationen finden Sie im NetWitness Investigate – Benutzerhandbuch.

Wechseln zu Archer

Zum Anzeigen weiterer Details zu einem Gerät in „Reaktion auf Cyber-Incidents und Sicherheitsverletzungen von RSA Archer“ können Sie zur Seite mit den Gerätedetails wechseln. Diese Informationen werden nur für IP-Adresse, Host und Mac-Adresse angezeigt.

  1. Bewegen Sie in der Ereignisliste oder den Ereignisdetails in der Ansicht „Warnmeldungsdetails“ die Maus über eine unterstrichene Entität, um auf eine Kontext-Kurzinformation zuzugreifen.
  2. Wählen Sie im Abschnitt AKTIONEN die Option Zu Archer wechseln aus.
  3. Wenn Sie in der Anwendung angemeldet sind, wird die Seite mit den Gerätedetails in Reaktion auf Cyber-Incidents und Sicherheitsverletzungen von RSA Archer geöffnet. Anderenfalls wird der Anmeldebildschirm angezeigt.

Hinweis: Der Link „Zu Archer wechseln“ ist deaktiviert, wenn die Archer-Daten nicht verfügbar sind oder wenn die Archer-Datenquelle nicht reagiert. Überprüfen Sie, ob die RSA Archer-Konfiguration aktiviert und richtig konfiguriert ist.

Weitere Informationen finden Sie im RSA Archer-Integrationsleitfaden.

Zu Endpunkt-Thick-Client wechseln

Wenn bei Ihnen die NetWitness Endpoint-Thick-Clientanwendung installiert ist, können Sie sie über die Kontext-Kurzinformation starten. Von dort können Sie verdächtige IP-Adressen, Hosts oder MAC-Adressen weiter untersuchen.

  1. Bewegen Sie in der Ereignisliste oder den Ereignisdetails in der Ansicht „Warnmeldungsdetails“ die Maus über eine unterstrichene Entität, um auf eine Kontext-Kurzinformation zuzugreifen.
  2. Wählen Sie im Abschnitt AKTIONEN der Kurzinformation Zu Endpunkt-Thick-Client wechseln aus.
    Die NetWitness Endpoint-Thick-Clientanwendung wird außerhalb des Webbrowsers geöffnet.

Weitere Informationen zum Thick-Client finden Sie im Benutzerhandbuch für NetWitness Endpoint.

Manuelles Erstellen eines Incident

Sie können Incidents manuell aus Warnmeldungen in der Ansicht „Warnmeldungsliste“ erstellen. Die Warnmeldungen, die Sie auswählen, können nicht Teil eines anderen Incident sein.

Wenn Sie einen Incident manuell aus Warnmeldungen erstellen, können Sie in der Version 11.2 und höher den Zuweisungsempfänger, die Kategorie und die Priorität ändern.

Incidents, die manuell aus Warnmeldungen erstellt wurden, erhalten in Version 11.1 standardmäßig niedrige Priorität. Sie können die Priorität jedoch nach der Erstellung ändern. In Version 11.1 können Sie keine Kategorien zu manuell erstellten Incidents hinzufügen.

Hinweis: Incidents können manuell oder automatisch erstellt werden. Eine Warnmeldung kann nur einem Incident zugeordnet werden. Sie können Incident-Regeln erstellen, mit denen die gesammelten Warnmeldungen abhängig von diesen Regeln in Incidents gruppiert werden. Weitere Informationen finden Sie im Thema „Erstellen einer Incident-Regel für Warnmeldungen“ im NetWitness Respond – Konfigurationsleitfaden.

So erstellen Sie einen Incident manuell:

  1. Navigieren Sie zu Reagieren > Warnmeldungen.
  2. Wählen Sie eine oder mehrere Warnmeldungen in der Liste der Warnmeldungen aus.

    Hinweis: Durch das Auswählen von Warnmeldungen, die keine Incident-IDs besitzen, wird die Schaltfläche Incident erstellen aktiviert. Wenn die Warnmeldung bereits mit einem Incident verknüpft ist, wird die Schaltfläche deaktiviert. Sie können Warnmeldungen filtern, die nicht mit einem Incident verknüpft sind. Stellen Sie hierzu im Bereich „Filter“ die Option ZUM INCIDENT GEHÖRIG auf Nein ein.

    Alerts List showing three alerts selected

  3. Klicken Sie auf Incident erstellen.

    Das Dialogfeld Incident erstellen wird angezeigt.

    Create Incident dialog with Example name

  4. Geben Sie im Feld INCIDENT-NAME einen Namen zur Identifizierung des Incident ein. Zum Beispiel „Untersuchen“ – „IP“.
  5. Wählen Sie im Feld PRIORITÄT eine Priorität für den Incident aus. Die Priorität lautet „Niedrig“.
  6. (Optional) Wenn Sie den Incident im Feld ZUWEISUNGSEMPFÄNGER zuweisen möchten, wählen Sie einen bestimmten Nutzer aus.
  7. (Optional) Im Feld KATEGORIEN können Sie eine Kategorie auswählen, mit der Sie den Incident klassifizieren, z. B. Hacking: Verwendung von gestohlenen Berechtigungen Dies ist auch hilfreich, wenn der Incident später mithilfe eines Incident-Filters gefunden werden soll.
  8. Klicken Sie auf OK.
    Sie sehen eine Bestätigungsmeldung darüber, dass ein Incident aus den ausgewählten Warnmeldungen erstellt wurde. Die neue Incident-ID wird als Link in der Spalte „INCIDENT-ID“ der ausgewählten Warnmeldungen angezeigt.
    Alerts List showing successful incident creation
    Wenn Sie auf den Link klicken, gelangen Sie zu der Ansicht „Incident-Details“ für diesen Incident, in der Sie Informationen aktualisieren können, beispielsweise die Priorität in „Hoch“ ändern oder dem Incident einen anderen Nutzer zuweisen. In der folgenden Abbildung ist die Ansicht „Incident-Details“ mit dem Bereich „Übersicht“ für den neuen Incident dargestellt.
    Overview Panel of new incident showing selections  in red

Hinzufügen von Warnmeldungen zu einem Incident

Hinweis: Diese Option ist nur für Version 11.1 und höher verfügbar.

Wenn Sie Warnmeldungen haben, die zu einem bestimmten vorhandenen Incident passen, müssen Sie keinen neuen Incident erstellen. Stattdessen können Sie aus der Ansicht „Warnmeldungsliste“ Warnmeldungen zu diesem Incident hinzufügen. Die Warnmeldungen, die Sie auswählen, können nicht Teil eines anderen Incident sein.

  1. Navigieren Sie zu Reagieren > Warnmeldungen.
  2. Wählen Sie in der Liste der Warnmeldungen eine oder mehrere Warnmeldungen aus, die Sie zu einem Incident hinzufügen möchten, und klicken Sie auf Einem Incident hinzufügen.

    Hinweis: Durch das Auswählen von Warnmeldungen, die keine Incident-IDs besitzen, wird die Schaltfläche Einem Incident hinzufügen aktiviert. Wenn die Warnmeldung bereits mit einem Incident verknüpft ist, wird die Schaltfläche deaktiviert. Sie können Warnmeldungen filtern, die nicht mit einem Incident verknüpft sind. Stellen Sie hierzu im Bereich „Filter“ die Option ZUM INCIDENT GEHÖRIG auf Nein ein.

    Alerts List showing two alerts selected

  3. Geben Sie im Dialogfeld Einem Incident hinzufügen im Feld Suchen mindestens drei Zeichen ein, um über den Namen oder die Incident-ID nach dem Incident zu suchen.
    Add to Incident dialog showing search option
  4. Wählen Sie in der Ergebnisliste den Incident aus, der die ausgewählten Warnmeldungen empfangen soll, und klicken Sie auf OK.
    Add to Incident dialog showing an incident selected in the search results
    Die ausgewählten Warnmeldungen gehören nun zum ausgewählten Incident und besitzen dessen Incident-ID.
    Alert List view showing successful addition of alerts to an incident

Löschen von Warnmeldungen

Benutzer mit den entsprechenden Berechtigungen, wie Administratoren und Datenschutzbeauftragte, können Warnmeldungen löschen. Dieses Verfahren ist hilfreich, wenn Sie unnötige oder nicht relevante Warnmeldungen entfernen möchten. Wenn Sie diese Warnmeldungen löschen, wird mehr Festplattenspeicher frei.

  1. Navigieren Sie zu  Reagieren > Warnmeldungen.
    Die Ansicht „Warnmeldungsliste“ zeigt eine Liste aller NetWitness Platform-Warnmeldungen.
  2. Wählen Sie in der Liste der Warnmeldungen die Warnmeldungen aus, die Sie löschen möchten, und klicken Sie auf Löschen.
    Remedation Tasks list with tasks selected for delete
    Wenn Sie keine Berechtigung zum Löschen von Warnmeldungen haben, wird die Schaltfläche „Löschen“ nicht angezeigt.
  3. Bestätigen Sie, dass Sie die Warnmeldungen löschen möchten, und klicken Sie auf OK.
    Confirm Delete dialog
    Die Warnmeldungen werden aus NetWitness Platform gelöscht. Wenn eine gelöschte Warnmeldung die einzige in einem Incident war, wird der Incident ebenfalls gelöscht. Wenn mehrere gelöschte Warnmeldungen in einem Incident vorhanden waren, wird der Incident entsprechend aktualisiert.
 
You are here
Table of Contents > Überprüfen von Warnmeldungen

Attachments

    Outcomes