In der Incident-Detailansicht haben Sie Zugriff auf umfassende Details zu einem Incident (Zugriff: „REAGIEREN“ > „Incidents“ > Klick auf den gewünschten Link in der Spalte „ID“ oder „NAME“ der Incident-Liste). Die Incident-Detailansicht besteht aus verschiedenen Bereichenmit unterschiedlichen Informationen:
- Übersicht: Hier finden Sie eine Zusammenfassung des Incident und können ihn aktualisieren.
- Indikatoren: Hier finden Sie alle zu dem betreffenden Incident gehörenden Indikatoren (Warnmeldungen) sowie die Ereignisse in diesen Warnmeldungen und die verfügbaren Erweiterungsinformationen. Sie können für manche Ereignisse auch auf die Details der Ereignisanalyse zugreifen und die Ereignisaufklärung durchführen.
- Node-Diagramm: Hier finden Sie eine Visualisierung der Größe von Entitäten (IP-Adresse, MAC-Adresse, Nutzer, Host, Domain, Dateiname oder Datei-Hash) sowie ihrer Interaktionen.
- Ereignisdatenblatt: Hier findenn Sie die Ereignisse, die dem Incident zugeordnet sind.
- Journal: Hier können Sie Hinweise vermerken und mit anderen Analysten zusammenarbeiten.
- Aufgaben: Hier können Sie Incident-Aufgaben erstellen und bis zu ihrem Abschluss nachverfolgen.
- Zugehörige Indikatoren: Hier finden Sie mit dem Incident in Zusammenhang stehende Indikatoren (Warnmeldungen). Indikatoren, die noch keinem Incident zugeordnet sind, lassen sich hier zu einem Incident hinzufügen.
Die Daten in der Detailansicht eines Incident lassen sich auch filtern, sodass Sie sich nur auf die Indikatoren und Entitäten beschränken können, die für Sie von Interesse sind.
Workflow
Dieser Workflow veranschaulicht den allgemeinen Prozess, anhand dessen Incident-Experten in NetWitness Platform auf Incidents reagieren.
Anhand der ausführlichen Incident-Informationen, die in der Incident-Detailansicht angezeigt werden, können Sie herausfinden, welche Incidents ein Eingreifen erfordern. Hier stehen alle nötigen Informatione und Tools zur Verfügung, um einen Incident zu untersuchen und anschließend zu eskalieren oder zu korrigieren.
Was möchten Sie tun?
* Sie können diese Aufgaben in der aktuellen Ansicht (d. h. in der Incident-Detailansicht) durchführen.
Verwandte Themen
- Incidents-Listenansicht
- Ermitteln, welche Incidents eine Aktion erfordern
- Untersuchen des Incident
- Eskalieren oder Korrigieren des Incident
Überblick
Das folgende Beispiel zeigt, wo Sie die Bereich der Incident-Detailansicht finden.
1 | Bereich „Übersicht“ (Klicken Sie auf die Registerkarte „ÜBERSICHT“, um den Bereich aufzurufen.) |
2 | Bereich „Indikatoren“ |
3 | Node-Diagramm |
4 | Ereignisdatenblatt (Klicken Sie auf ein Ereignis in der Ereignisliste, um die Ereignisdetails aufzurufen.) |
5 | Bereich „Journal“ |
6 | Bereich „Aufgaben“ (Klicken Sie auf die Registerkarte „AUFGABEN“, um den Bereich aufzurufen.) |
7 | Bereich „Verwandte Indikatoren“ (Klicken Sie auf die Registerkarte „VERWANDT“, um den Bereich aufzurufen.) |
8 | Bereich „Ereignisanalyse“ (Klicken Sie im Bereich „Indikatoren“ auf einen Hyperlink für einen Ereignistyp, um die Ereignisanalyse anzuzeigen.) |
Bereich „Übersicht“
Im Bereich „Übersicht“ finden Sie grundlegende Übersichtsinformationen zu dem jeweils ausgewählten Incident. Hier können Sie außerdem den Namen des Incident ändern sowie die Incident-Priorität, den Incident-Status und den Zuweisungsempfänger für den Incident aktualisieren. Der Bereich „Übersicht“ in der Incident-Listenansicht enthält dieselben Informationen. Details hierzu finden Sie im Thema „Incident-Listenansicht“ im Abschnitt Bereich „Übersicht“.
Bereich „Indikatoren“
Der Bereich „Indikatoren“ enthält eine chronologische Liste aller Indikatoren. Indikatoren sind Warnmeldungen, z. B. ESA-Warnmeldungen oder NetWitness Endpoint-Warnmeldungen. (Es handelt sich hierbei nicht um eine Zeitleiste, die den zeitlichen Verlauf der Ereignisse in einem Incident visuell darstellt.) Diese Liste hilft Ihnen, Indikatoren und wichtige Daten zueinander in Beziehung zu setzen. Beispiel: Eine mit einer ESA-Command-and-Conquer-Warnmeldung in Zusammenhang stehende IP-Adresse könnte gleichzeitig auch eine NetWitness Endpoint-Warnmeldung oder andere verdächtige Aktivitäten ausgelöst haben.
Klicken Sie zum Öffnen des Bereichs „Indikatoren“ im linken Bereich der Incident-Detailansicht auf INDIKATOREN.
Informationen zur Datenquelle werden unter den Namen der Indikatoren angezeigt. Sie können auch das Datum und die Uhrzeit der Erstellung des Indikators und die Anzahl der Ereignisse im Indikator anzeigen. Im Bereich „Indikatoren“ erhalten Sie tiefere Einblicke in die Ereignisse zu den aufgeführten Indikatoren. Somit erzielen Sie ein besseres Verständnis der Ereignisse.
Ereignisanalyse
Sie können vom Bereich „Indikatoren“ aus eine Ereignisanalyse durchführen. Für Ereignisse, denen eine EA (Ereignisanalyse) vorausgeht, sind Informationen zur Ereignisaufklärung verfügbar: . Sie können einen Hyperlink für einen Ereignistyp auswählen (z. B. Netzwerk), um für das ausgewählte Ereignis auf eine Ereignisanalyse zuzugreifen.
Im Bereich „Ereignisanalyse“ können Analysten Raw-Ereignisse und Metadaten mit interaktiven Funktionen anzeigen, mit denen Sie bedeutsame Datenmuster identifizieren können. Sie können Netzwerk-, Protokoll- und Endpunktereignisse untersuchen. Im Bereich „Ereignisanalyse“ in der Ansicht „Reagieren“ wird die Ansicht „Ereignisanalyse“ aus „Untersuchen“ für bestimmte Indikatorereignisse angezeigt. Detaillierte Informationen zur Ereignisanalyse finden Sie im NetWitness Investigate – Benutzerhandbuch.
Hinweis: Aus NetWitness Platform in den Versionen vor 11.2 migrierte Incidents werden nicht im Bereich „Ereignisanalyse“ in der Ansicht „Reagieren, Incident-Details“ im Bereich „Indikatoren“ angezeigt. Wenn Sie mit aus Versionen vor 11.2 migrierte Warnmeldungen Incidents in 11.2 erstellen, wird der Bereich „Ereignisanalyse“ in der Ansicht „Reagieren“ für diese Incidents ebenfalls nicht angezeigt.
Node-Diagramm
Das Node-Diagramm ist eine interaktive Grafik, in der die in einen Incident involvierten Entitäten abgebildet werden. Eine Entität ist ein angegebener Teil Metadaten, z. B. IP-Adresse, MAC-Adresse, Nutzer, Host, Domain, Dateinamen oder Datei-Hash.
Nodes
Nodes werden im Node-Diagramm als Kreise dargestellt. In der folgenden Tabelle werden die verschiedenen Node-Typen in Node-Diagrammen beschrieben.
Die Legende im unteren Bereich des Node-Diagramms zeigt die Anzahl der Nodes jeden Typs und die Farbcodierung der Nodes. Sie hilft auch bei der Lokalisierung von Entitäten, wenn die Werte (z. B. IP-Adressen) gehasht sind.
Alle Nodes können per Drag-and-Drop beliebig verschoben werden.
In NetWitness Platform Version 11.2 und höher können Sie die Knotentypen auswählen, die Sie anzeigen möchten, indem Sie die Kontrollkästchen in der Legende aktivieren bzw. deaktivieren. Die folgende Abbildung zeigt ein Beispiel für die Legende des Node-Diagramms mit allen Node-Typen außer „IP“.
Pfeile
Die Pfeile zwischen den Nodes bieten zusätzliche Informationen über die Beziehungen der Entitäten. In der folgenden Tabelle werden die verschiedenen Pfeil-Typen in Node-Diagrammen beschrieben.
Je dicker ein Pfeil dargestellt ist, desto intensiver ist die Kommunikation zwischen den betreffenden Nodes. Größere Nodes (Kreise) weisen mehr Aktivität auf als kleinere Nodes. Die größeren Nodes sind die Entitäten, die am häufigsten in den Ereignissen erwähnt wurden.
Ereignisdatenblatt
Im Ereignisdatenblatt sind die einem Incident zugeordneten Ereignisse aufgeführt. Es liefert Informationen zu den Ereignissen, z. B. den Zeitpunkt des Ereigniseintritts, die Quell-IP, die Ziel-IP, die Detektor-IP, den Quellbenutzer, den Zielbenutzer und Dateiinformationen im Zusammehang mit den Ereignissen. Wie viele Informationen aufgeführt werden, hängt vom Typ des jeweiligen Ereignisses ab.
Im Ereignisdatenblatt werden entweder mehrere Ereignisse in Form einer Ereignisliste angezeigt oder Ereignisdetails zu einem einzigen Ereignis.
Ereignisliste
Die folgende Abbildung zeigt die Ereignisliste.
In der folgenden Tabelle werden die Spalten in der Ereignisliste beschrieben.
Ereignisdetails
Zum Anzeigen der Details eines Ereignisses klicken Sie in der Ereignisliste auf das gewünschte Ereignis. Wenn nur ein Ereignis in der Liste vorhanden ist, werden anstelle einer Liste nur die Ereignisdetails für dieses Ereignis angezeigt.
Bereich „Journal“
Das Incident-Journal zeigt den zeitlichen Verlauf aller einen Incident betreffenden Aktivitäten.
In der folgenden Tabelle werden die Optionen für neue Journaleinträge beschrieben.
Bereich „Aufgaben“
Im Bereich „Aufgaben“ können Sie Incident-Aufgaben managen und bis zu ihrem Abschluss nachverfolgen.
In der folgenden Tabelle werden die verschiedenen Felder einer Aufgabe beschrieben.
Bereich „Verwandte Indikatoren“
Im Bereich „Verwandte Indikatoren“ können Sie die NetWitness Platform-Warnmeldungsdatenbank nach Warnmeldungen durchsuchen, die zu dem jeweiligen Incident in Beziehung stehen. Gefunden Warnmeldungen lassen sich dem Incident hinzufügen, falls sie noch keinem Incident zugeordnet sind.
In der folgenden Tabelle werden die Felder im Suchabschnitt oben in dem Bereich beschrieben.
In der folgenden Tabelle werden die Optionen im Abschnitt Indikatoren für (Ergebnisse) unten im Bereich beschrieben.