Reagieren: Überprüfen von Warnmeldungen

Document created by RSA Information Design and Development on May 11, 2018Last modified by RSA Information Design and Development on Oct 19, 2018
Version 3Show Document
  • View in full screen mode
 

NetWitness Suite ermöglicht es Ihnen, eine konsolidierte Liste von Warnmeldungen zu Bedrohungen, die aus mehreren Quellen erzeugt wurden, an einem zentralen Ort anzuzeigen. Sie finden diese Warnmeldungen in der Ansicht „RESPOND > Warnmeldungen“. Die Quelle der Warnmeldungen können ESA-Korrelationsregeln, ESA Analytics, NetWitness Endpoint, Malware Analysis, Reporting Engine und viele andere sein. Sie können die ursprüngliche Quelle der Warnmeldungen, den Schweregrad der Warnmeldung und zusätzliche Warnmeldungsdetails anzeigen.

Hinweis: Warnmeldungen zu ESA-Korrelationsregeln finden Sie NUR in der Ansicht „RESPOND > Warnmeldungen“.

Um eine große Anzahl von Warnmeldungen besser managen zu können, haben Sie die Möglichkeit, die Liste der Warnmeldungen basierend auf von Ihnen angegebenen Kriterien wie Schweregrad, Zeitbereich und Warnmeldungsquelle zu filtern. Beispielsweise können Sie die Warnmeldungen so filtern, dass nur Warnmeldungen mit einem Schweregrad zwischen 90 und 100 angezeigt werden, die nicht bereits Teil eines Incident sind. Sie können dann eine Gruppe von Warnmeldungen auswählen, um einen Incident zu erstellen oder sie zu einem vorhandenen Incident hinzuzufügen.

Sie können die folgenden Verfahren durchführen, um Warnmeldungen zu überprüfen und zu managen:

Anzeigen von Warnmeldungen

In der Listenansicht der Warnmeldungen können Sie verschiedene Warnmeldungen aus mehreren Quellen durchsuchen, diese filtern und gruppieren, um Incidents zu erstellen. Dieses Verfahren zeigt Ihnen, wie Sie auf die Liste der Warnmeldungen zugreifen.

  1. Navigieren Sie zu Reagieren > Warnmeldungen.
    Die Ansicht „Warnmeldungsliste“ zeigt eine Liste aller NetWitness Suite-Warnmeldungen.
    Alerts List view
  2. Blättern Sie durch die Warnmeldungsliste, in der grundlegende Informationen zu jeder Warnmeldung angezeigt werden, wie in der folgenden Tabelle beschrieben ist.
                                       
Spalte

Beschreibung

CREATEDZeigt das Datum und die Uhrzeit der Aufzeichnung der Warnmeldung im Quellsystem an.
SCHWEREGRADZeigt den Schweregrad der Warnmeldung an. Der Wert kann zwischen 1 und 100 liegen.
NAMEZeigt eine grundlegende Beschreibung der Warnmeldung an.
QUELLE Zeigt die ursprüngliche Quelle der Warnmeldung an. Die Quelle der Warnmeldungen können NetWitness Endpoint, Malware Analysis, Event Stream Analysis (ESA-Korrelationsregeln), ESA Analytics, Reporting Engine, Web Threat Detection und viele andere sein.
EREIGNISANZAHLZeigt die Anzahl an Ereignissen, die in einer Warnmeldung enthalten sind. Diese Zahl variiert je nach Quelle der Warnmeldung. NetWitness Endpoint- und Malware Analysis-Warnmeldungen haben zum Beispiel immer nur ein Ereignis. Für bestimmte Arten von Warnmeldungen bedeutet eine große Anzahl an Ereignissen, dass die Warnmeldung riskanter ist.
HOSTZUSAMMENFASSUNGZeigt Details des Hosts an, wie zum Beispiel den Hostnamen, von dem die Warnmeldung ausgelöst wurde. Die Details können Informationen zu den Quell- und Zielhosts in einer Warnmeldung enthalten. Manche Warnmeldungen können Ereignisse über mehr als einen Host beschreiben.
Incident-IDZeigt die Incident-ID der Warnmeldung. Gibt es keine Incident-ID, gehört die Warnmeldung zu keinem Incident und Sie können einen Incident erstellen, um die Warnmeldung hinzuzufügen. Alternativ kann die Warnmeldung einem vorhandenen Incident hinzugefügt werden.

Am unteren Rand der Liste sehen Sie die Anzahl der Warnmeldungen auf der aktuellen Seite und die Gesamtzahl der Warnmeldungen. Beispiel: 377 von 377 Elementen werden angezeigt

Filtern der Warnmeldungsliste

Die Anzahl der Warnmeldungen in der Liste der Warnmeldungen kann sehr groß sein, sodass es schwierig ist, bestimmte Warnmeldungen zu finden. Über den Filter können Sie die gewünschten Warnmeldungen anzeigen, beispielsweise Warnmeldungen aus einer bestimmten Quelle, Warnmeldungen mit einem bestimmten Schweregrad oder Warnmeldungen, die nicht Teil eines Incident sind usw.

  1. Navigieren Sie zu Reagieren > Warnmeldungen.
    Der Bereich „Filter“ wird auf der linken Seite der Warnmeldungsliste angezeigt. Sollte der Bereich „Filter“ nicht angezeigt werden, klicken Sie in der Symbolleiste der Listenansicht der Warnmeldungen auf Filter icon, woraufhin der Bereich „Filter“ geöffnet wird.
    Alerts List Filter panel
  2. Wählen Sie im Bereich „Filter“ eine oder mehrere Optionen zum Filtern der Liste „Warnmeldungen“:
    • ZEITBEREICH: Sie können einen bestimmten Zeitraum aus der Drop-down-Liste „Zeitbereich“ auswählen. Der Zeitbereich basiert auf dem Datum, an dem die Warnmeldungen empfangen wurden. Wenn Sie zum Beispiel „Letzte Stunde“ auswählen, werden die Warnmeldungen angezeigt, die innerhalb der letzten 60 Minuten empfangen wurden.
    • BENUTZERDEFINIERTER DATUMSBEREICH: Sie können einen bestimmten Datumsbereich anstelle der Option „Zeitbereich“ auswählen. Klicken Sie dazu auf den weißen Kreis vor „BENUTZERDEFINIERTER DATUMSBEREICH“, um die Felder „Startdatum“ und „Enddatum“ anzuzeigen. Wählen Sie die Datums- und Zeitangaben im Kalender aus.
      Custom Date Range option in the filter
    • TYP: Wählen Sie den Ereignis-Typ der Warnmeldung aus, um zum Beispiel Protokolle, Netzwerksitzungen usw. anzuzeigen.
    • QUELLE: Wählen Sie eine oder mehrere Quellen aus, um die von diesen Quellen ausgelösten Warnmeldungen anzuzeigen. Zum Beispiel: Möchten Sie lediglich die NetWitness Endpoint-Warnmeldung anzeigen, wählen Sie „Endpoint“ als Quelle aus.
    • SCHWEREGRAD: Wählen Sie den Schweregrad der anzuzeigenden Warnmeldungen aus. Die Werte liegen zwischen 1 und 100. Um sich beispielsweise zunächst auf die Warnmeldungen mit dem höchsten Schweregrad zu konzentrieren, können Sie nur die Warnmeldungen mit einem Schweregrad von 90 bis 100 anzeigen.
    • ZUM INCIDENT GEHÖRIG: Wählen Sie Nein aus, um nur Warnmeldungen anzuzeigen, die nicht Teil eines Incident sind. Wählen Sie Ja aus, um nur Warnmeldungen anzuzeigen, die Teil eines Incident sind. Wenn Sie beispielsweise bereit sind, einen Incident aus einer Gruppe von Warnmeldungen zu erstellen, können Sie „Nein“ auswählen, um nur die Warnmeldungen anzeigen, die derzeit nicht Teil eines Incident sind.
    • WARNMELDUNGSNAMEN: Wählen Sie den Namen der anzuzeigenden Warnmeldung aus. Sie können diesen Filter verwenden, um nach allen Warnmeldungen zu suchen, die durch eine bestimmte Regel oder Quelle erzeugt wurden, z. B. schädliche IP - Reporting Engine.

    In der Warnmeldungsliste wird eine Liste der Warnmeldungen angezeigt, die Ihre Auswahlkriterien erfüllen. Sie finden die Anzahl der Elemente in der gefilterten Liste am unteren Rand der Warnmeldungsliste.
    Beispiel: 30 von 30 Elementen werden angezeigt

  3. Wenn Sie den Bereich „Filter“ schließen möchten, klicken Sie auf X. Ihre Filter werden beibehalten, bis Sie sie entfernen.

Entfernen meiner Filter aus der Warnmeldungsliste

NetWitness Suite erinnert sich an Ihre Filterauswahl in der Listenansicht „Warnmeldungen“. Sie können Ihre Filterauswahl entfernen, wenn Sie sie nicht mehr benötigen. Wenn Sie beispielsweise nicht die erwartete Anzahl an Warnmeldungen sehen oder Sie alle Warnmeldungen in der Warnmeldungsliste anzeigen möchten, können Sie Ihre Filter zurücksetzen.

  1. Navigieren Sie zu Reagieren > Warnmeldungen.
    Der Bereich „Filter“ wird auf der linken Seite der Warnmeldungsliste angezeigt. Sollte der Bereich „Filter“ nicht angezeigt werden, klicken Sie in der Symbolleiste der Listenansicht der Warnmeldungen auf Filter icon, woraufhin der Bereich „Filter“ geöffnet wird.
  2. Klicken Sie am unteren Rand des Bereichs „Filter“ auf Filter zurücksetzen.

Anzeigen von Übersichtsinformationen zu Warnmeldungen

Zusätzlich zum Anzeigen von grundlegenden Informationen zu einer Warnmeldung können Sie auch Rohwarnmeldungs-Metadaten im Bereich „Übersicht“ anzeigen.

  1. Klicken Sie in der Liste der Warnmeldungen auf die Warnmeldung, die Sie anzeigen möchten.
    Der Bereich „Übersicht über Warnmeldungen“ wird rechts neben der Liste der Warnmeldungen angezeigt.
    Alerrts View showing Overview panel
  2. Im Abschnitt „Rohwarnmeldung“ können Sie blättern, um die Rohwarnmeldungs-Metadaten anzuzeigen.
    Alert Overview panel

Anzeigen von Ereignisdetails für eine Warnmeldung

Nachdem Sie die allgemeinen Informationen über die Warnmeldung aus der Listenansicht „Warnmeldungen“ geprüft haben, können Sie in die Ansicht „Warnmeldungsdetails“ wechseln, um genauere Informationen zur Bestimmung der erforderlichen Aktion zu erhalten. Eine Warnmeldung enthält ein oder mehrere Ereignisse. In der Ansicht „Warnmeldungsdetails“ können Sie einen Drill-down in eine Warnmeldung durchführen, um zusätzliche Ereignisdetails zu erhalten und die Warnmeldung weiter zu untersuchen. Die folgende Abbildung zeigt ein Beispiel für die Ansicht „Warnmeldungsdetails“.

Alert Details view showing the Events panel

 

Der Bereich „Übersicht“ auf der linken Seite enthält dieselben Informationen für eine Warnmeldung wie der Bereich „Übersicht“ in der Ansicht „Warnmeldungsliste“.

Der Bereich „Ereignisse“ auf der rechten Seite zeigt Informationen zu den Ereignissen in der Warnmeldung, z. B. die Uhrzeit des Ereignisses, Quell-IP, Ziel-IP, Detektor-IP, Quellbenutzer, Zielbenutzer und Dateiinformationen zu den Ereignissen. Wie viele Informationen aufgeführt werden, hängt vom Typ des jeweiligen Ereignisses ab.

Es gibt zwei Typen von Ereignissen:

  • Eine Transaktion zwischen zwei Rechnern (eine Quelle und ein Ziel)
  • Eine auf einem einzelnen Rechner erkannte Anomalie (ein Detektor)

Einige Ereignisse haben nur einen Detektor. Mit NetWitness Endpoint wird z. B. Malware auf dem Rechner gefunden. Andere Ereignisse haben eine Quelle und ein Ziel. Paketdaten zeigen beispielsweise die Kommunikation zwischen Ihrem Rechner und einer Command-and-Control-Domain (C2).

Sie können einen Drill-down in ein Ereignis durchführen, um detaillierte Daten über das Ereignis zu erhalten.

So zeigen Sie Ereignisdetails für eine Warnmeldung an:

  1. Um Ereignisdetails für eine Warnmeldung anzuzeigen, wählen Sie in der Ansicht „Warnmeldungsliste“ eine anzuzeigende Warnmeldung aus und klicken Sie dann auf den Link in der Spalte „NAME“ für diese Warnmeldung.
    Alerts List showing Name link
    Die Ansicht „Warnmeldungsdetails“ zeigt den Bereich „Übersicht“ auf der linken Seite und den Bereich „Ereignisse“ auf der rechten Seite.
    Alert Details view showing the Events panel
    Der Bereich „Ereignisse“ zeigt eine Liste von Ereignissen mit Informationen zu jedem Ereignis. In der folgende Tabelle sehen Sie einige der Spalten, die in der Liste der Ereignisse (Ereignistabelle) angezeigt werden können.
  2.                                                

    Spalte

    Beschreibung

    ZEITZeigt an, wann das Ereignis eingetreten ist.
    TYPZeigt den Typ der Warnmeldung an, z. B. „Protokoll“ oder „Netzwerk“.
    QUELL-IPZeigt die Quell-IP-Adresse an, wenn eine Transaktion zwischen zwei Rechnern erfolgt ist.
    Ziel-IPZeigt die Ziel-IP-Adresse an, wenn eine Transaktion zwischen zwei Rechnern erfolgt ist.
    DETEKTOR-IPZeigt die IP-Adresse des Rechners an, auf dem eine Anomalie erkannt wurde.
    QUELLBENUTZERZeigt den Benutzer des Quellrechners an.
    ZIELBENUTZERZeigt den Benutzer des Zielrechners an.
    DATEINAMEZeigt den Dateinamen an, falls eine Datei in das Ereignis involviert ist.
    DATEI-HASHZeigt einen Hash der Dateiinhalte an.

    Wenn nur ein Ereignis in der Liste vorhanden ist, werden die Ereignisdetails für das betreffende Ereignis anstelle einer Liste angezeigt.

  3. Klicken Sie auf ein Ereignis in der Ereignisliste, um die Ereignisdetails anzuzeigen.
    Dieses Beispiel zeigt die Ereignisdetails für das erste Ereignis in der Liste.
    Event Details showing first event
  4. Verwenden Sie die Seitennavigation rechts neben der Schaltfläche „Zurück zu Tabelle“, um andere Ereignisse anzuzeigen. Dieses Beispiel zeigt die Ereignisdetails für das letzte Ereignis in der Liste.
    Event Details showing the navigation options in the last event in the alert

Detaillierte Informationen zu den Ereignisdaten im Bereich „Warnmeldungsdetails“ finden Sie unter Ansicht „Warnmeldungsdetails“.

Untersuchen von Ereignissen

Um die Ereignisse näher zu untersuchen, finden Sie Links, die Sie zu zusätzlichen Kontextinformationen weiterleiten. Von dort stehen je nach Ihrer Auswahl Optionen zur Verfügung.

Anzeigen von kontextbezogenen Informationen

In der Ansicht „Warnmeldungsdetails“ sehen Sie unterstrichene Entitäten im Bereich „Ereignisse“. Eine unterstrichene Entität wird als eine Entität im Context Hub betrachtet und bietet zusätzliche verfügbare Kontextinformationen. Die folgende Abbildung zeigt unterstrichene Entitäten in der Ereignisliste.

Events panel - Event list showing underlined entities

Die folgende Abbildung zeigt unterstrichene Entitäten in den Ereignisdetails.

Events panel - Event details showing underlined entities

Der Context Hub ist mit Metadatenfeldern vorkonfiguriert, die den Entitäten zugeordnet sind. NetWitness Respond und Investigation nutzen diese Standardzuordnungen für die Kontextabfrage. Informationen zum Hinzufügen von Metaschlüsseln finden Sie unter „Konfigurieren von Einstellungen für eine Datenquelle“ im Context Hub-Konfigurationsleitfaden.

Achtung: Damit die Kontextabfrage in den Ansichten „Reagieren“ und „Untersuchen“ ordnungsgemäß funktioniert, empfiehlt RSA, dass Sie beim Zuordnen von Metaschlüsseln unter ADMIN > SYSTEM > Ermittlung > Kontextabfrage den Metaschlüsselzuordnungen nur Metaschlüssel hinzufügen, nicht Felder der MongoDB. Zum Beispiel ist „ip.address“ ein Metaschlüssel und „ip_address“ ist kein Metaschlüssel (es ist ein Feld in der MongoDB).

So zeigen Sie kontextbezogene Informationen an:

  1. Bewegen Sie in der Ansicht „Warnmeldungsdetails“ in der Ereignisliste oder den Ereignisdetails die Maus über eine unterstrichene Entität.
    Eine Kontext-Kurzinformation wird mit einer kurzen Übersicht über den Typ der Kontextdaten, die für die ausgewählte Entität verfügbar sind, angezeigt.
    Events panel - Event details showing context tooltip
    Die Kontext-Kurzinformation besteht aus zwei Abschnitten: Kontexthighlights und -aktionen.
    Context tooltip
    Die Informationen im Abschnitt Kontexthighlights helfen Ihnen, die Aktionen zu bestimmen, die Sie durchführen möchten. Sie zeigen die Anzahl der verwandten Warnmeldungen und Incidents. Abhängig von Ihren Daten können Sie möglicherweise auf diese nummerierten Elemente klicken, um weitere Informationen anzuzeigen. Im obigen Beispiel werden 238 verwandte Incidents und 8.755 verwandte Warnmeldungen sowie 1 verwandte Context Hub-Liste angezeigt.

    Im Abschnitt Aktionen werden die verfügbaren Aktionen aufgeführt. Im obigen Beispiel sind die Optionen „Zu Ermittlungen wechseln“, „Zu Endpoint wechseln“ und „Zu Liste hinzufügen/Aus Liste entfernen“ verfügbar.
  2. Um weitere Details über die ausgewählte Entität anzuzeigen, klicken Sie auf die Schaltfläche Kontext anzeigen.
    Der Bereich „Kontext“ wird geöffnet und zeigt alle Informationen im Zusammenhang mit der Entität.
    Bereich „Kontextabfrage“ – Ansicht „Reagieren“ bietet zusätzliche Informationen.

Hinzufügen einer Entität zu einer Whitelist

Sie können eine beliebige unterstrichene Entität aus einer Kontext-Kurzinformation zu einer Liste, etwa einer Whitelist oder Blacklist, hinzufügen. Zum Beispiel können Sie zur Reduzierung falsch positiver Ergebnisse eine unterstrichene Domain zur einer Whitelist hinzufügen, um sie aus den verwandten Entitäten auszuschließen.

  1. Bewegen Sie in der Ansicht „Warnmeldungsdetails“ in der Ereignisliste oder den Ereignisdetails die Maus über die unterstrichene Entität, die Sie einer Context Hub-Liste hinzufügen möchten.
    Eine Kontext-Kurzinformation wird geöffnet und zeigt die verfügbaren Aktionen.
    Events panel showing Add/Remove From List option
  2. Klicken Sie im Abschnitt Aktionen der Kurzinformation auf Zu Liste hinzufügen/Aus Liste entfernen.
    Im Dialogfeld „Zu Liste hinzufügen/Aus Liste entfernen“ werden die verfügbaren Listen angezeigt.
    Add/Remove From List dialog
  3. Wählen Sie eine oder mehrere Listen aus und klicken Sie auf Speichern.
    Die Entität wird in den ausgewählten Listen angezeigt.
    Das Dialogfeld „Zu Liste hinzufügen/Aus Liste entfernen“ bietet zusätzliche Informationen.

Erstellen einer Whitelist

Sie können eine Whitelist im Context Hub auf die gleiche Weise wie in der Ansicht „Incident-Details“ erstellen. Siehe Eine Liste erstellen.

Wechseln zum NetWitness Endpoint

Wenn bei Ihnen die NetWitness Endpoint-Thick-Clientanwendung installiert ist, können Sie sie über die Kontext-Kurzinformation starten. Von dort können Sie verdächtige IP-Adressen, Hosts oder MAC-Adressen weiter untersuchen.

  1. Bewegen Sie in der Ereignisliste oder den Ereignisdetails in der Ansicht „Warnmeldungsdetails“ die Maus über eine unterstrichene Entität, um auf eine Kontext-Kurzinformation zuzugreifen.
  2. Wählen Sie im Abschnitt AKTIONEN der Kurzinformation Zu Endpoint wechseln.
    Die NetWitness Endpoint-Thick-Clientanwendung wird außerhalb des Webbrowsers geöffnet.

Weitere Informationen zum Thick-Client finden Sie im Benutzerhandbuch für NetWitness Endpoint.

Zu Ermittlungen wechseln

Für eine eingehendere Untersuchung des Incident können Sie die Ansicht „Untersuchen“ aufrufen.

  1. Bewegen Sie in der Ereignisliste oder den Ereignisdetails in der Ansicht „Warnmeldungsdetails“ die Maus über eine unterstrichene Entität, um auf eine Kontext-Kurzinformation zuzugreifen.
  2. Wählen Sie im Abschnitt AKTIONEN der Kurzinformation Zu Ermittlungen wechseln.
    Die Ansicht „Untersuchen“ > „Navigation“ wird geöffnet, in der Sie eine umfassendere Untersuchung durchführen können.

Weitere Informationen finden Sie im NetWitness Investigate – Benutzerhandbuch.

Manuelles Erstellen eines Incident

Sie können Incidents manuell aus Warnmeldungen in der Ansicht „Warnmeldungsliste“ erstellen. Die Warnmeldungen, die Sie auswählen, können nicht Teil eines anderen Incident sein. Incidents, die manuell aus Warnmeldungen erstellt wurden, erhalten standardmäßig niedrige Priorität, Sie können die Priorität jedoch nach der Erstellung ändern. Sie können keine Kategorien zu manuell erstellten Incidents hinzufügen.

Hinweis: Incidents können manuell oder automatisch erstellt werden. Eine Warnmeldung kann nur einem Incident zugeordnet werden. Sie können Incident-Regeln erstellen, mit denen die gesammelten Warnmeldungen abhängig von diesen Regeln in Incidents gruppiert werden. Weitere Informationen finden Sie im Thema „Erstellen einer Incident-Regel für Warnmeldungen“ im NetWitness Respond – Konfigurationsleitfaden.

So erstellen Sie einen Incident manuell:

  1. Navigieren Sie zu Reagieren > Warnmeldungen.
  2. Wählen Sie eine oder mehrere Warnmeldungen in der Liste der Warnmeldungen aus.

    Hinweis: Durch das Auswählen von Warnmeldungen, die keine Incident-IDs besitzen, wird die Schaltfläche Incident erstellen aktiviert. Wenn die Warnmeldung bereits mit einem Incident verknüpft ist, wird die Schaltfläche deaktiviert. Sie können Warnmeldungen filtern, die nicht mit einem Incident verknüpft sind. Stellen Sie hierzu im Bereich „Filter“ die Option ZUM INCIDENT GEHÖRIG auf Nein ein.

    Alerts List showing three alerts selected

  3. Klicken Sie auf Incident erstellen.

    Das Dialogfeld Incident erstellen wird angezeigt.

    Create Incident dialog with Example name

  4. Geben Sie im Feld INCIDENT-NAME einen Namen zur Identifizierung des Incident ein. Zum Beispiel „Untersuchen – IP“.
  5. Klicken Sie auf OK.
    Alerts List showing successful incident creation

    Sie sehen eine Bestätigungsmeldung darüber, dass ein Incident aus den ausgewählten Warnmeldungen erstellt wurde. Die neue Incident-ID wird als Link in der Spalte „INCIDENT-ID“ der ausgewählten Warnmeldungen angezeigt. Wenn Sie auf den Link klicken, gelangen Sie zu der Ansicht „Incident-Details“ für diesen Incident, in der Sie Informationen aktualisieren können, beispielsweise die Priorität von niedrig zu hoch ändern.

Warnmeldungen zu einem Incident hinzufügen

Hinweis: Diese Option ist nur für Version 11.1 und höher verfügbar.

Wenn Sie Warnmeldungen haben, die zu einem bestimmten vorhandenen Incident passen, müssen Sie keinen neuen Incident erstellen. Stattdessen können Sie aus der Ansicht „Warnmeldungsliste“ Warnmeldungen zu diesem Incident hinzufügen. Die Warnmeldungen, die Sie auswählen, können nicht Teil eines anderen Incident sein.

  1. Navigieren Sie zu Reagieren > Warnmeldungen.
  2. Wählen Sie in der Liste der Warnmeldungen eine oder mehrere Warnmeldungen aus, die Sie zu einem Incident hinzufügen möchten, und klicken Sie auf Einem Incident hinzufügen.

    Hinweis: Durch das Auswählen von Warnmeldungen, die keine Incident-IDs besitzen, wird die Schaltfläche Einem Incident hinzufügen aktiviert. Wenn die Warnmeldung bereits mit einem Incident verknüpft ist, wird die Schaltfläche deaktiviert. Sie können Warnmeldungen filtern, die nicht mit einem Incident verknüpft sind. Stellen Sie hierzu im Bereich „Filter“ die Option ZUM INCIDENT GEHÖRIG auf Nein ein.

    Alerts List showing two alerts selected

  3. Geben Sie im Dialogfeld Einem Incident hinzufügen im Feld Suchen mindestens drei Zeichen ein, um über den Namen oder die Incident-ID nach dem Incident zu suchen.
    Add to Incident dialog showing search option
  4. Wählen Sie in der Ergebnisliste den Incident aus, der die ausgewählten Warnmeldungen empfangen soll, und klicken Sie auf OK.
    Add to Incident dialog showing an incident selected in the search results
    Die ausgewählten Warnmeldungen gehören nun zum ausgewählten Incident und besitzen dessen Incident-ID.

Löschen von Warnmeldungen

Benutzer mit den entsprechenden Berechtigungen, wie Administratoren und Datenschutzbeauftragte, können Warnmeldungen löschen. Dieses Verfahren ist hilfreich, wenn Sie unnötige oder nicht relevante Warnmeldungen entfernen möchten. Wenn Sie diese Warnmeldungen löschen, wird mehr Festplattenspeicher frei.

  1. Navigieren Sie zu Reagieren > Warnmeldungen.
    Die Ansicht „Warnmeldungsliste“ zeigt eine Liste aller NetWitness Suite-Warnmeldungen.
  2. Wählen Sie in der Liste der Warnmeldungen die Warnmeldungen aus, die Sie löschen möchten, und klicken Sie auf Löschen.
    Remedation Tasks list with tasks selected for delete
    Wenn Sie keine Berechtigung zum Löschen von Warnmeldungen haben, wird die Schaltfläche „Löschen“ nicht angezeigt.
  3. Bestätigen Sie, dass Sie die Warnmeldungen löschen möchten, und klicken Sie auf OK.
    Confirm Delete dialog
    Die Warnmeldungen werden aus NetWitness Suite gelöscht. Wenn eine gelöschte Warnmeldung die einzige in einem Incident war, wird der Incident ebenfalls gelöscht. Wenn mehrere gelöschte Warnmeldungen in einem Incident vorhanden waren, wird der Incident entsprechend aktualisiert.
 
You are here
Table of Contents > Überprüfen von Warnmeldungen

Attachments

    Outcomes