Reagieren: Incident-Detailansicht

Document created by RSA Information Design and Development on May 11, 2018Last modified by RSA Information Design and Development on Apr 28, 2019
Version 4Show Document
  • View in full screen mode
 

In der Incident-Detailansicht haben Sie Zugriff auf umfassende Details zu einem Incident (Zugriff: „REAGIEREN“ > „Incidents“ > Klick auf den gewünschten Link in der Spalte „ID“ oder „NAME“ der Incident-Liste). Die Incident-Detailansicht besteht aus verschiedenen Bereichenmit unterschiedlichen Informationen:

  • Übersicht: Hier finden Sie eine Zusammenfassung des Incident und können ihn aktualisieren.
  • Indikatoren: Hier finden Sie alle zu dem betreffenden Incident gehörenden Indikatoren (Warnmeldungen) sowie die Ereignisse in diesen Warnmeldungen und die verfügbaren Erweiterungsinformationen. Sie können für manche Ereignisse auch auf die Details der Ereignisanalyse zugreifen und die Ereignisaufklärung durchführen.
  • Node-Diagramm: Hier finden Sie eine Visualisierung der Größe von Entitäten (IP-Adresse, MAC-Adresse, Nutzer, Host, Domain, Dateiname oder Datei-Hash) sowie ihrer Interaktionen.
  • Ereignisdatenblatt: Hier findenn Sie die Ereignisse, die dem Incident zugeordnet sind.
  • Journal: Hier können Sie Hinweise vermerken und mit anderen Analysten zusammenarbeiten.
  • Aufgaben: Hier können Sie Incident-Aufgaben erstellen und bis zu ihrem Abschluss nachverfolgen.
  • Zugehörige Indikatoren: Hier finden Sie mit dem Incident in Zusammenhang stehende Indikatoren (Warnmeldungen). Indikatoren, die noch keinem Incident zugeordnet sind, lassen sich hier zu einem Incident hinzufügen.

Die Daten in der Detailansicht eines Incident lassen sich auch filtern, sodass Sie sich nur auf die Indikatoren und Entitäten beschränken können, die für Sie von Interesse sind.

Workflow

Dieser Workflow veranschaulicht den allgemeinen Prozess, anhand dessen Incident-Experten in NetWitness Platform auf Incidents reagieren.

Incident Details view workflow diagram

Anhand der ausführlichen Incident-Informationen, die in der Incident-Detailansicht angezeigt werden, können Sie herausfinden, welche Incidents ein Eingreifen erfordern. Hier stehen alle nötigen Informatione und Tools zur Verfügung, um einen Incident zu untersuchen und anschließend zu eskalieren oder zu korrigieren.

Was möchten Sie tun?

                                                                                                       
Rolle ZielAnleitung

Incident-Experten, Analysten und SOC-Manager

Priorisierte Incidents anzeigen, Incident-Liste filtern und sortieren, Incidents suchen, eigene Incidents anzeigen und sich selbst Incidents zuweisen

Überprüfen der Liste mit priorisierten Incidents

Incident-Experten, AnalystenIncident-Details anzeigen*Anzeigen von Details des Incident
Incident-Experten, AnalystenWarnmeldungen und Erweiterungen anzeigen*Anzeigen der Indikatoren und Erweiterungen
Incident-Experten, AnalystenEreignisse anzeigen*Anzeigen und Untersuchen der Ereignisse
Incident-Experten, Analysten (zusätzliche Berechtigungen erforderlich)Anzeigen der Ereignisanalyse für ein Ereignis.*Details zur Ereignisanalyse für Indikatoren anzeigen
Incident-Experten, AnalystenGrafische Darstellung der in Ereignisse involvierten Entitäten anzeigen*Anzeigen und Untersuchen der an den Ereignissen beteiligten Entitäten
Incident-Experten, AnalystenIncident-Daten filtern*Filtern der Daten in der Ansicht „Incident-Details“
Incident-Experten, AnalystenIncident-Anmerkungen anzeigen und hinzufügen*Anzeigen von Incident-Anmerkungen und Dokumentmaßnahmen außerhalb von NetWitness
Incident-Experten, AnalystenAufgaben anzeigen und erstellen*Anzeigen der Aufgaben im Zusammenhang mit einem Incident und Erstellen einer Aufgabe
Incident-Experten, AnalystenZugehörige Warnmeldungen anzeigen und dem Incident hinzufügen*Suchen verwandter Indikatoren und Hinzufügen verwandter Indikatoren zum Incident
Incident-Experten, AnalystenKontextbezogene Informationen aus Context Hub für einen Incident anzeigen*Anzeigen von kontextbezogenen Informationen
Incident-Experten, Analysten

Entität zur Whitelist hinzufügen, um die Anzahl falsch positiver Ergebnisse zu reduzieren

Hinzufügen einer Entität zu einer Whitelist

Incident-Experten, Analysten

Wechseln zu NetWitness Investigate.*

Wechseln zu „Ermittlungen“ > „Navigation“.

Incident-Experten, AnalystenZu NetWitness Endpoint wechseln*Zu NetWitness Endpoint-Thick-Client wechseln
Incident-Experten, Analysten und SOC-ManagerSenden eines Incident an Archer Cyber Incident & Breach Response.*Senden eines Incident an RSA Archer
Incident-Experten, AnalystenIncident aktualisieren oder schließen*

Aktualisieren eines Incident und Schließen eines Incident

Incident-Experten, Analysten und SOC-ManagerAlle Aufgaben anzeigen

Eskalieren oder Korrigieren des Incident

Incident-Experten, Analysten und SOC-ManagerMassenaktualisierung von Incidents und Aufgaben durchführenEskalieren oder Korrigieren des Incident

* Sie können diese Aufgaben in der aktuellen Ansicht (d. h. in der Incident-Detailansicht) durchführen.

Verwandte Themen

Überblick

Das folgende Beispiel zeigt, wo Sie die Bereich der Incident-Detailansicht finden.

Incident Details view Quick Look Diagram

Incident Details view Quick Look Diagram showing Event Analysis in Respond

                                     
1 Bereich „Übersicht“ (Klicken Sie auf die Registerkarte „ÜBERSICHT“, um den Bereich aufzurufen.)
2 Bereich „Indikatoren“
3 Node-Diagramm
4 Ereignisdatenblatt (Klicken Sie auf ein Ereignis in der Ereignisliste, um die Ereignisdetails aufzurufen.)
5 Bereich „Journal“
6Bereich „Aufgaben“ (Klicken Sie auf die Registerkarte „AUFGABEN“, um den Bereich aufzurufen.)
7 Bereich „Verwandte Indikatoren“ (Klicken Sie auf die Registerkarte „VERWANDT“, um den Bereich aufzurufen.)
8Bereich „Ereignisanalyse“ (Klicken Sie im Bereich „Indikatoren“ auf einen Hyperlink für einen Ereignistyp, um die Ereignisanalyse anzuzeigen.)

Bereich „Übersicht“

Im Bereich „Übersicht“ finden Sie grundlegende Übersichtsinformationen zu dem jeweils ausgewählten Incident. Hier können Sie außerdem den Namen des Incident ändern sowie die Incident-Priorität, den Incident-Status und den Zuweisungsempfänger für den Incident aktualisieren. Der Bereich „Übersicht“ in der Incident-Listenansicht enthält dieselben Informationen. Details hierzu finden Sie im Thema „Incident-Listenansicht“ im Abschnitt Bereich „Übersicht“.

Incident Details view Overview Panel

Bereich „Indikatoren“

Der Bereich „Indikatoren“ enthält eine chronologische Liste aller Indikatoren. Indikatoren sind Warnmeldungen, z. B. ESA-Warnmeldungen oder NetWitness Endpoint-Warnmeldungen. (Es handelt sich hierbei nicht um eine Zeitleiste, die den zeitlichen Verlauf der Ereignisse in einem Incident visuell darstellt.) Diese Liste hilft Ihnen, Indikatoren und wichtige Daten zueinander in Beziehung zu setzen. Beispiel: Eine mit einer ESA-Command-and-Conquer-Warnmeldung in Zusammenhang stehende IP-Adresse könnte gleichzeitig auch eine NetWitness Endpoint-Warnmeldung oder andere verdächtige Aktivitäten ausgelöst haben.

Klicken Sie zum Öffnen des Bereichs „Indikatoren“ im linken Bereich der Incident-Detailansicht auf INDIKATOREN.

Incident Details view Indicators panel

Informationen zur Datenquelle werden unter den Namen der Indikatoren angezeigt. Sie können auch das Datum und die Uhrzeit der Erstellung des Indikators und die Anzahl der Ereignisse im Indikator anzeigen. Im Bereich „Indikatoren“ erhalten Sie tiefere Einblicke in die Ereignisse zu den aufgeführten Indikatoren. Somit erzielen Sie ein besseres Verständnis der Ereignisse.

Ereignisanalyse

Sie können vom Bereich „Indikatoren“ aus eine Ereignisanalyse durchführen. Für Ereignisse, denen eine EA (Ereignisanalyse) vorausgeht, sind Informationen zur Ereignisaufklärung verfügbar: Event with EA icon visible. Sie können einen Hyperlink für einen Ereignistyp auswählen (z. B. Netzwerk), um für das ausgewählte Ereignis auf eine Ereignisanalyse zuzugreifen.

Im Bereich „Ereignisanalyse“ können Analysten Raw-Ereignisse und Metadaten mit interaktiven Funktionen anzeigen, mit denen Sie bedeutsame Datenmuster identifizieren können. Sie können Netzwerk-, Protokoll- und Endpunktereignisse untersuchen. Im Bereich „Ereignisanalyse“ in der Ansicht „Reagieren“ wird die Ansicht „Ereignisanalyse“ aus „Untersuchen“ für bestimmte Indikatorereignisse angezeigt. Detaillierte Informationen zur Ereignisanalyse finden Sie im NetWitness Investigate – Benutzerhandbuch.

Event Analysis panel in the Respond Incident Details view

Hinweis: Aus NetWitness Platform in den Versionen vor 11.2 migrierte Incidents werden nicht im Bereich „Ereignisanalyse“ in der Ansicht „Reagieren, Incident-Details“ im Bereich „Indikatoren“ angezeigt. Wenn Sie mit aus Versionen vor 11.2 migrierte Warnmeldungen Incidents in 11.2 erstellen, wird der Bereich „Ereignisanalyse“ in der Ansicht „Reagieren“ für diese Incidents ebenfalls nicht angezeigt.

Node-Diagramm

Das Node-Diagramm ist eine interaktive Grafik, in der die in einen Incident involvierten Entitäten abgebildet werden. Eine Entität ist ein angegebener Teil Metadaten, z. B. IP-Adresse, MAC-Adresse, Nutzer, Host, Domain, Dateinamen oder Datei-Hash.

Nodal Graph example

Nodal graph showing a single user

Nodes

Nodes werden im Node-Diagramm als Kreise dargestellt. In der folgenden Tabelle werden die verschiedenen Node-Typen in Node-Diagrammen beschrieben.

                                        
NodeBeschreibung

IP-Adresse

Handelt es sich bei einem Ereignis um eine erkannte Anomalie, wird die Detektor-IP angezeigt. Handelt es sich bei einem Ereignis um eine Transaktion, werden die Ziel-IP und die Quell-IP angezeigt.

MAC-Adresse

Möglicherweise wird für jeden erkantenn Typ von IP-Adresse eine MAC-Adresse angezeigt.

Nutzer

Ist der Computer einem Nutzer zugeordnet, wird ein Nutzer-Node angezeigt.
HostBei Hosts kann es sich um physische Geräte oder virtuelle Maschinen handeln, auf denen Services installiert sind. Hosts werden mit ihrem vollständig qualifizierten Domainnamen (FQDN) oder ihrer IP-Adresse angegeben.

Domain

 

DateinameWenn in das Ereignis Dateien involviert sind, werden die entsprechenden Dateinamen angezeigt.

Datei-Hash

Wenn in das Ereignis Dateien involviert sind, werden möglicherweise die entsprechenden Datei-Hashes angezeigt.

Die Legende im unteren Bereich des Node-Diagramms zeigt die Anzahl der Nodes jeden Typs und die Farbcodierung der Nodes. Sie hilft auch bei der Lokalisierung von Entitäten, wenn die Werte (z. B. IP-Adressen) gehasht sind.

Alle Nodes können per Drag-and-Drop beliebig verschoben werden.

In NetWitness Platform Version 11.2 und höher können Sie die Knotentypen auswählen, die Sie anzeigen möchten, indem Sie die Kontrollkästchen in der Legende aktivieren bzw. deaktivieren. Die folgende Abbildung zeigt ein Beispiel für die Legende des Node-Diagramms mit allen Node-Typen außer „IP“.
Nodal Graph legend with all node types selected except IP

Pfeile

Die Pfeile zwischen den Nodes bieten zusätzliche Informationen über die Beziehungen der Entitäten. In der folgenden Tabelle werden die verschiedenen Pfeil-Typen in Node-Diagrammen beschrieben.

                                    
PfeilBeschreibung
Kommuniziert mitEin Pfeil zwischen einem Quellrechner-Node (IP-Adresse oder MAC-Adresse) und einem Zielrechner-Node mit der Beschriftung „Kommuniziert mit“ bildet die Richtung der Kommunikation ab.
GleichEin Pfeil mit „Gleich“ beschrifteter Pfeil zwischen zwei Nodes liefert zusätzliche Informationen über die IP-Adresse, auf die der Pfeil zeigt. Beispiel: Zeigt ein mit „Gleich“ beschrifteter Pfeil vom Host-Node-Kreis auf einen IP-Adress-Node, bedeutet das, dass der im Host-Node-Kreis abgebildete Name der Hostname dieser IP-Adresse ist und es sich nicht um eine separate Entität handelt.
Hat DateiEin mit „Hat Datei“ beschrifteter Pfeil zwischen einem Computer-Node (IP-Adresse, MAC-Adresse oder Host) und einem Datei-Hash-Node bedeutet, dass die IP-Adresse diese Datei hat.
VerwendetEin mit „Verwendet“ beschrifteter Pfeil zwischen einem Nutzer-Node und einem Computer-Node (IP-Adresse, MAC-Adresse oder Host) bedeutet, dass der Nutzer diesen Computer verwendet hat, als das Ereignis eingetreten ist.
HeißtEin mit „Heißt“ beschrifteter Pfeil von einem Datei-Hash-Node zu einem Dateinamen-Node bedeutet, dass der Datei-Hash einer Datei mit diesem Namen entspricht.
Gehört zuEin mit „Gehört zu“ beschrifteter Pfeil zwischen zwei Nodes bedeutet, dass sie zum selben Node gehören. Beispiel: Ein mit „Gehört zu“ beschrifteter Pfeil zwischen einer MAC-Adresse und einem Host bedeutet, dass die MAC-Adresse zu diesem Host gehört.

Je dicker ein Pfeil dargestellt ist, desto intensiver ist die Kommunikation zwischen den betreffenden Nodes. Größere Nodes (Kreise) weisen mehr Aktivität auf als kleinere Nodes. Die größeren Nodes sind die Entitäten, die am häufigsten in den Ereignissen erwähnt wurden.

Ereignisdatenblatt

Im Ereignisdatenblatt sind die einem Incident zugeordneten Ereignisse aufgeführt. Es liefert Informationen zu den Ereignissen, z. B. den Zeitpunkt des Ereigniseintritts, die Quell-IP, die Ziel-IP, die Detektor-IP, den Quellbenutzer, den Zielbenutzer und Dateiinformationen im Zusammehang mit den Ereignissen. Wie viele Informationen aufgeführt werden, hängt vom Typ des jeweiligen Ereignisses ab.

Im Ereignisdatenblatt werden entweder mehrere Ereignisse in Form einer Ereignisliste angezeigt oder Ereignisdetails zu einem einzigen Ereignis.

Ereignisliste

Die folgende Abbildung zeigt die Ereignisliste.

Incident Details view Events List

In der folgenden Tabelle werden die Spalten in der Ereignisliste beschrieben.

                                                                           

Spalte

Beschreibung

ZEITZeigt an, wann das Ereignis eingetreten ist.
TYPZeigt den Typ der Warnmeldung an, z. B. „Protokoll“ oder „Netzwerk“.
QUELL-IPZeigt die Quell-IP-Adresse an, wenn eine Transaktion zwischen zwei Computern erfolgt ist.
QUELLPORTZeigt den Quellport der Transaktion an. Quellport und Zielport können dieselbe IP-Adresse haben.
QUELLHOSTZeigt den Zielhost an, auf dem das Ereignis eingetreten ist.
QUELL-MACZeigt die MAC-Adresse des Quellcomputers an.
QUELLBENUTZERZeigt den Nutzer des Quellcomputers an.
ZIEL-IPZeigt die Ziel-IP-Adresse an, wenn eine Transaktion zwischen zwei Computern erfolgt ist.
ZIELPORTZeigt den Zielport der Transaktion an. Quellport und Zielport können dieselbe IP-Adresse haben.
ZIELHOSTZeigt den Hostnamen des Zielcomputers an.
ZIEL-MACZeigt die MAC-Adresse des Zielcomputers an.
ZIELBENUTZERZeigt den Nutzer des Zielcomputers an.
DETEKTOR-IPZeigt die IP-Adresse des Computers an, auf dem eine Anomalie erkannt wurde.
DATEINAMEZeigt den Dateinamen an, falls eine Datei in das Ereignis involviert ist.
DATEI-HASHZeigt einen Hash der Dateiinhalte an.

Ereignisdetails

Zum Anzeigen der Details eines Ereignisses klicken Sie in der Ereignisliste auf das gewünschte Ereignis. Wenn nur ein Ereignis in der Liste vorhanden ist, werden anstelle einer Liste nur die Ereignisdetails für dieses Ereignis angezeigt.

Incident Details view Event Details

Bereich „Journal“

Das Incident-Journal zeigt den zeitlichen Verlauf aller einen Incident betreffenden Aktivitäten.

Incident Details view Journal panel

In der folgenden Tabelle werden die Optionen für neue Journaleinträge beschrieben.

                        
FeldBeschreibung

Neuer Journaleintrag

In dieses Feld geben Sie Ihre Anmerkungen ein.

Meilenstein

Option. Wählen Sie falls zutreffend einen Meilenstein aus. Anhand dieses Felds werden bedeuten Ereignisse eines Incident nachverfolgt.

Schaltfläche Absenden

Klicken Sie auf „Absenden“, um den Eintrag zum Journal hinzuzufügen. Ihre Journaleinträge sind für alle Nutzer sichtbar, die den Incident aufrufen.

Bereich „Aufgaben“

Im Bereich „Aufgaben“ können Sie Incident-Aufgaben managen und bis zu ihrem Abschluss nachverfolgen.

Incident Details view Tasks panel

In der folgenden Tabelle werden die verschiedenen Felder einer Aufgabe beschrieben.

                                                
FeldBeschreibung

<Aufgaben-ID>/<Incident-ID>

Automatisch erzeugte Aufgaben-ID/Incident, der der Aufgabe zugeordnet ist

ERSTELLT

Erstellungsdatum der Aufgabe

Letzte Aktualisierung

Datum, an dem die Aufgabe zuletzt geändert wurde

GEÖFFNETVerstrichene Zeit seit dem Öffnen der Aufgabe (Beispiel: „Vor 3 Minuten“ oder „Vor 2 Tagen“)

NAME

Name der Aufgabe. Beispiel: Neues Image auf den Computer aufspielen. Klicken Sie in das Feld, wenn Sie es bearbeiten möchten.

ZUWEISUNGSEMPFÄNGERDer Nutzername des Nutzers, dem die Aufgabe zugewiesen ist. Klicken Sie in das Feld, wenn Sie es bearbeiten möchten.

PRIORITÄT

Die Priorität der Aufgabe: „Niedrig“, „Mittel“, „Hoch“ oder „Kritisch“. Wenn Sie auf die Prioritätsschaltfläche klicken, kännen Sie aus der Drop-down-Liste eine neue Priorität für die Aufgabe auswählen.

STATUSStatus der Aufgabe: „Neu“, „Zugewiesen“, „Läuft“, „Korrigiert“, „Risiko akzeptiert“ und „Nicht zutreffend“. Wenn Sie auf die Statusschaltfläche klicken, können Sie aus der Drop-down-Liste einen neuen Status für die Aufgabe auswählen.

DESCRIPTION

Hier können Sie eine Beschreibung der Aufgabe eingeben. Es empfiehlt sich, hier alle zugehörigen Referenznummern einzutragen. Klicken Sie in das Feld, wenn Sie es bearbeiten möchten.

Bereich „Verwandte Indikatoren“

Im Bereich „Verwandte Indikatoren“ können Sie die NetWitness Platform-Warnmeldungsdatenbank nach Warnmeldungen durchsuchen, die zu dem jeweiligen Incident in Beziehung stehen. Gefunden Warnmeldungen lassen sich dem Incident hinzufügen, falls sie noch keinem Incident zugeordnet sind.

Incident Details view Related Indicators panel

In der folgenden Tabelle werden die Felder im Suchabschnitt oben in dem Bereich beschrieben.

                            
FeldBeschreibung

Suchen

Wählen Sie die Entität aus, nach denen Sie die Warnmeldungen durchsuchen möchten. (Beispiel: „IP“)

Wert

Geben Sie den Wert der Entität ein. (Beispiel: IP-Adresse der Entität)

Zeitraum

Wählen Sie aus, aus welchem Zeitraum die Ergebnisse der Warnmeldungssuche stammen sollen. Zum Beispiel: „Letzte 24 Stunden“.

Schaltfläche Suchen

Startet die Suche. Eine Liste der verwandten Indikatoren wird unter der Schaltfläche Suchen im Abschnitt Indikatoren für angezeigt.

In der folgenden Tabelle werden die Optionen im Abschnitt Indikatoren für (Ergebnisse) unten im Bereich beschrieben.

                            
OptionBeschreibung
Indikatoren für: Zeigt die Suchergebnisse an.
Link In neuem Fenster öffnenZeigt Warnmeldungsdetails zu dem betreffenden Indikator an.

Schaltfläche Einem Incident hinzufügen

Fügt den verwandten Indikator dem betreffenden Incident hinzu. Der verwandte Indikator wird dann im Bereich „Indikatoren“ angezeigt.

Schaltfläche Zum Incident gehörig

Zeigt an, dass der Indikator dem betreffenden Incident bereits zugeordnet.

Symbolleistenaktionen

                                                     
OptionBeschreibung
Back to Alerts icon (arrow pointing left)

(Zurück zu Incidents) Führt zurück zur Incident-Listenansicht.

Close (X) icon Schließt den Bereich.

Trash can (delete) icon

Löscht den Eintrag (z. B. einen Journaleintrag oder eine Aufgabe).

Schaltfläche Priorität(Im Bereich „Übersicht) Ermöglicht die Änderung der Priorität eines oder mehrerer ausgewählter Incidents in der Incident-Liste.
Schaltfläche Status(Im Bereich „Übersicht) Ermöglicht die Änderung des Status eines oder mehrerer ausgewählter Incidents.
Schaltfläche Zuweisungsempfänger(Im Bereich „Übersicht) Ermöglicht die Änderung des Zuweisungsempfängers für einen oder mehrere ausgewählte Incidents.
View Graph icon
(Anzeigen: Diagramm)
Öffnet das Node-Diagramm.
View Datasheet icon
(Anzeigen: Datenblatt)
Öffnet das Ereignisdatenblatt. Hier werden entweder mehrere Ereignisse in Form einer Ereignisliste angezeigt oder Ereignisdetails zu einem einzigen Ereignis.
Journal, Tasks, and Related icon
(„Journal“, „Aufgaben“ und „Verwandt“)
Öffnet die Bereiche „Journal“, „Aufgaben“ und „Verwandte Indikatoren“.
Show / Hide icons in the Event Analysis panel for Header, Request, Response, and Meta Zeigt im Bereich „Ereignisanalyse“ in der Ansicht „Reagieren, Incident-Details“ den Header, die Anfrage, die Reaktion oder die Metadaten an. Weitere Informationen zur Ereignisanalyse finden Sie in der Ansicht „Ereignisanalyse“ im NetWitness Investigate – Benutzerhandbuch.
You are here
Table of Contents > NetWitness Respond-Referenzinformationen > Ansicht „Incident-Details“

Attachments

    Outcomes