Reagieren: Incident-Detailansicht

Document created by RSA Information Design and Development on May 11, 2018•Last modified by RSA Information Design and Development on Apr 28, 2019

Version 4Show Document

Like • Show 0 Likes0
Comment • 0
View in full screen mode

In der Incident-Detailansicht haben Sie Zugriff auf umfassende Details zu einem Incident (Zugriff: „REAGIEREN“ > „Incidents“ > Klick auf den gewünschten Link in der Spalte „ID“ oder „NAME“ der Incident-Liste). Die Incident-Detailansicht besteht aus verschiedenen Bereichenmit unterschiedlichen Informationen:

Übersicht: Hier finden Sie eine Zusammenfassung des Incident und können ihn aktualisieren.
Indikatoren: Hier finden Sie alle zu dem betreffenden Incident gehörenden Indikatoren (Warnmeldungen) sowie die Ereignisse in diesen Warnmeldungen und die verfügbaren Erweiterungsinformationen. Sie können für manche Ereignisse auch auf die Details der Ereignisanalyse zugreifen und die Ereignisaufklärung durchführen.
Node-Diagramm: Hier finden Sie eine Visualisierung der Größe von Entitäten (IP-Adresse, MAC-Adresse, Nutzer, Host, Domain, Dateiname oder Datei-Hash) sowie ihrer Interaktionen.
Ereignisdatenblatt: Hier findenn Sie die Ereignisse, die dem Incident zugeordnet sind.
Journal: Hier können Sie Hinweise vermerken und mit anderen Analysten zusammenarbeiten.
Aufgaben: Hier können Sie Incident-Aufgaben erstellen und bis zu ihrem Abschluss nachverfolgen.
Zugehörige Indikatoren: Hier finden Sie mit dem Incident in Zusammenhang stehende Indikatoren (Warnmeldungen). Indikatoren, die noch keinem Incident zugeordnet sind, lassen sich hier zu einem Incident hinzufügen.

Die Daten in der Detailansicht eines Incident lassen sich auch filtern, sodass Sie sich nur auf die Indikatoren und Entitäten beschränken können, die für Sie von Interesse sind.

Workflow

Dieser Workflow veranschaulicht den allgemeinen Prozess, anhand dessen Incident-Experten in NetWitness Platform auf Incidents reagieren.

Anhand der ausführlichen Incident-Informationen, die in der Incident-Detailansicht angezeigt werden, können Sie herausfinden, welche Incidents ein Eingreifen erfordern. Hier stehen alle nötigen Informatione und Tools zur Verfügung, um einen Incident zu untersuchen und anschließend zu eskalieren oder zu korrigieren.

Was möchten Sie tun?

Rolle	Ziel	Anleitung
Incident-Experten, Analysten und SOC-Manager	Priorisierte Incidents anzeigen, Incident-Liste filtern und sortieren, Incidents suchen, eigene Incidents anzeigen und sich selbst Incidents zuweisen	Überprüfen der Liste mit priorisierten Incidents
Incident-Experten, Analysten	Incident-Details anzeigen*	Anzeigen von Details des Incident
Incident-Experten, Analysten	Warnmeldungen und Erweiterungen anzeigen*	Anzeigen der Indikatoren und Erweiterungen
Incident-Experten, Analysten	Ereignisse anzeigen*	Anzeigen und Untersuchen der Ereignisse
Incident-Experten, Analysten (zusätzliche Berechtigungen erforderlich)	Anzeigen der Ereignisanalyse für ein Ereignis.*	Details zur Ereignisanalyse für Indikatoren anzeigen
Incident-Experten, Analysten	Grafische Darstellung der in Ereignisse involvierten Entitäten anzeigen*	Anzeigen und Untersuchen der an den Ereignissen beteiligten Entitäten
Incident-Experten, Analysten	Incident-Daten filtern*	Filtern der Daten in der Ansicht „Incident-Details“
Incident-Experten, Analysten	Incident-Anmerkungen anzeigen und hinzufügen*	Anzeigen von Incident-Anmerkungen und Dokumentmaßnahmen außerhalb von NetWitness
Incident-Experten, Analysten	Aufgaben anzeigen und erstellen*	Anzeigen der Aufgaben im Zusammenhang mit einem Incident und Erstellen einer Aufgabe
Incident-Experten, Analysten	Zugehörige Warnmeldungen anzeigen und dem Incident hinzufügen*	Suchen verwandter Indikatoren und Hinzufügen verwandter Indikatoren zum Incident
Incident-Experten, Analysten	Kontextbezogene Informationen aus Context Hub für einen Incident anzeigen*	Anzeigen von kontextbezogenen Informationen
Incident-Experten, Analysten	Entität zur Whitelist hinzufügen, um die Anzahl falsch positiver Ergebnisse zu reduzieren	Hinzufügen einer Entität zu einer Whitelist
Incident-Experten, Analysten	Wechseln zu NetWitness Investigate.*	Wechseln zu „Ermittlungen“ > „Navigation“.
Incident-Experten, Analysten	Zu NetWitness Endpoint wechseln*	Zu NetWitness Endpoint-Thick-Client wechseln
Incident-Experten, Analysten und SOC-Manager	Senden eines Incident an Archer Cyber Incident & Breach Response.*	Senden eines Incident an RSA Archer
Incident-Experten, Analysten	Incident aktualisieren oder schließen*	Aktualisieren eines Incident und Schließen eines Incident
Incident-Experten, Analysten und SOC-Manager	Alle Aufgaben anzeigen	Eskalieren oder Korrigieren des Incident
Incident-Experten, Analysten und SOC-Manager	Massenaktualisierung von Incidents und Aufgaben durchführen	Eskalieren oder Korrigieren des Incident

* Sie können diese Aufgaben in der aktuellen Ansicht (d. h. in der Incident-Detailansicht) durchführen.

Überblick

Das folgende Beispiel zeigt, wo Sie die Bereich der Incident-Detailansicht finden.

1	Bereich „Übersicht“ (Klicken Sie auf die Registerkarte „ÜBERSICHT“, um den Bereich aufzurufen.)
2	Bereich „Indikatoren“
3	Node-Diagramm
4	Ereignisdatenblatt (Klicken Sie auf ein Ereignis in der Ereignisliste, um die Ereignisdetails aufzurufen.)
5	Bereich „Journal“
6	Bereich „Aufgaben“ (Klicken Sie auf die Registerkarte „AUFGABEN“, um den Bereich aufzurufen.)
7	Bereich „Verwandte Indikatoren“ (Klicken Sie auf die Registerkarte „VERWANDT“, um den Bereich aufzurufen.)
8	Bereich „Ereignisanalyse“ (Klicken Sie im Bereich „Indikatoren“ auf einen Hyperlink für einen Ereignistyp, um die Ereignisanalyse anzuzeigen.)

Bereich „Übersicht“

Im Bereich „Übersicht“ finden Sie grundlegende Übersichtsinformationen zu dem jeweils ausgewählten Incident. Hier können Sie außerdem den Namen des Incident ändern sowie die Incident-Priorität, den Incident-Status und den Zuweisungsempfänger für den Incident aktualisieren. Der Bereich „Übersicht“ in der Incident-Listenansicht enthält dieselben Informationen. Details hierzu finden Sie im Thema „Incident-Listenansicht“ im Abschnitt Bereich „Übersicht“.

Bereich „Indikatoren“

Der Bereich „Indikatoren“ enthält eine chronologische Liste aller Indikatoren. Indikatoren sind Warnmeldungen, z. B. ESA-Warnmeldungen oder NetWitness Endpoint-Warnmeldungen. (Es handelt sich hierbei nicht um eine Zeitleiste, die den zeitlichen Verlauf der Ereignisse in einem Incident visuell darstellt.) Diese Liste hilft Ihnen, Indikatoren und wichtige Daten zueinander in Beziehung zu setzen. Beispiel: Eine mit einer ESA-Command-and-Conquer-Warnmeldung in Zusammenhang stehende IP-Adresse könnte gleichzeitig auch eine NetWitness Endpoint-Warnmeldung oder andere verdächtige Aktivitäten ausgelöst haben.

Klicken Sie zum Öffnen des Bereichs „Indikatoren“ im linken Bereich der Incident-Detailansicht auf INDIKATOREN.

Informationen zur Datenquelle werden unter den Namen der Indikatoren angezeigt. Sie können auch das Datum und die Uhrzeit der Erstellung des Indikators und die Anzahl der Ereignisse im Indikator anzeigen. Im Bereich „Indikatoren“ erhalten Sie tiefere Einblicke in die Ereignisse zu den aufgeführten Indikatoren. Somit erzielen Sie ein besseres Verständnis der Ereignisse.

Ereignisanalyse

Sie können vom Bereich „Indikatoren“ aus eine Ereignisanalyse durchführen. Für Ereignisse, denen eine EA (Ereignisanalyse) vorausgeht, sind Informationen zur Ereignisaufklärung verfügbar: . Sie können einen Hyperlink für einen Ereignistyp auswählen (z. B. Netzwerk), um für das ausgewählte Ereignis auf eine Ereignisanalyse zuzugreifen.

Im Bereich „Ereignisanalyse“ können Analysten Raw-Ereignisse und Metadaten mit interaktiven Funktionen anzeigen, mit denen Sie bedeutsame Datenmuster identifizieren können. Sie können Netzwerk-, Protokoll- und Endpunktereignisse untersuchen. Im Bereich „Ereignisanalyse“ in der Ansicht „Reagieren“ wird die Ansicht „Ereignisanalyse“ aus „Untersuchen“ für bestimmte Indikatorereignisse angezeigt. Detaillierte Informationen zur Ereignisanalyse finden Sie im NetWitness Investigate – Benutzerhandbuch.

Hinweis: Aus NetWitness Platform in den Versionen vor 11.2 migrierte Incidents werden nicht im Bereich „Ereignisanalyse“ in der Ansicht „Reagieren, Incident-Details“ im Bereich „Indikatoren“ angezeigt. Wenn Sie mit aus Versionen vor 11.2 migrierte Warnmeldungen Incidents in 11.2 erstellen, wird der Bereich „Ereignisanalyse“ in der Ansicht „Reagieren“ für diese Incidents ebenfalls nicht angezeigt.

Node-Diagramm

Das Node-Diagramm ist eine interaktive Grafik, in der die in einen Incident involvierten Entitäten abgebildet werden. Eine Entität ist ein angegebener Teil Metadaten, z. B. IP-Adresse, MAC-Adresse, Nutzer, Host, Domain, Dateinamen oder Datei-Hash.

Nodes

Nodes werden im Node-Diagramm als Kreise dargestellt. In der folgenden Tabelle werden die verschiedenen Node-Typen in Node-Diagrammen beschrieben.

Node	Beschreibung
IP-Adresse	Handelt es sich bei einem Ereignis um eine erkannte Anomalie, wird die Detektor-IP angezeigt. Handelt es sich bei einem Ereignis um eine Transaktion, werden die Ziel-IP und die Quell-IP angezeigt.
MAC-Adresse	Möglicherweise wird für jeden erkantenn Typ von IP-Adresse eine MAC-Adresse angezeigt.
Nutzer	Ist der Computer einem Nutzer zugeordnet, wird ein Nutzer-Node angezeigt.
Host	Bei Hosts kann es sich um physische Geräte oder virtuelle Maschinen handeln, auf denen Services installiert sind. Hosts werden mit ihrem vollständig qualifizierten Domainnamen (FQDN) oder ihrer IP-Adresse angegeben.
Domain
Dateiname	Wenn in das Ereignis Dateien involviert sind, werden die entsprechenden Dateinamen angezeigt.
Datei-Hash	Wenn in das Ereignis Dateien involviert sind, werden möglicherweise die entsprechenden Datei-Hashes angezeigt.

Die Legende im unteren Bereich des Node-Diagramms zeigt die Anzahl der Nodes jeden Typs und die Farbcodierung der Nodes. Sie hilft auch bei der Lokalisierung von Entitäten, wenn die Werte (z. B. IP-Adressen) gehasht sind.

Alle Nodes können per Drag-and-Drop beliebig verschoben werden.

In NetWitness Platform Version 11.2 und höher können Sie die Knotentypen auswählen, die Sie anzeigen möchten, indem Sie die Kontrollkästchen in der Legende aktivieren bzw. deaktivieren. Die folgende Abbildung zeigt ein Beispiel für die Legende des Node-Diagramms mit allen Node-Typen außer „IP“.

Pfeile

Die Pfeile zwischen den Nodes bieten zusätzliche Informationen über die Beziehungen der Entitäten. In der folgenden Tabelle werden die verschiedenen Pfeil-Typen in Node-Diagrammen beschrieben.

Pfeil	Beschreibung
Kommuniziert mit	Ein Pfeil zwischen einem Quellrechner-Node (IP-Adresse oder MAC-Adresse) und einem Zielrechner-Node mit der Beschriftung „Kommuniziert mit“ bildet die Richtung der Kommunikation ab.
Gleich	Ein Pfeil mit „Gleich“ beschrifteter Pfeil zwischen zwei Nodes liefert zusätzliche Informationen über die IP-Adresse, auf die der Pfeil zeigt. Beispiel: Zeigt ein mit „Gleich“ beschrifteter Pfeil vom Host-Node-Kreis auf einen IP-Adress-Node, bedeutet das, dass der im Host-Node-Kreis abgebildete Name der Hostname dieser IP-Adresse ist und es sich nicht um eine separate Entität handelt.
Hat Datei	Ein mit „Hat Datei“ beschrifteter Pfeil zwischen einem Computer-Node (IP-Adresse, MAC-Adresse oder Host) und einem Datei-Hash-Node bedeutet, dass die IP-Adresse diese Datei hat.
Verwendet	Ein mit „Verwendet“ beschrifteter Pfeil zwischen einem Nutzer-Node und einem Computer-Node (IP-Adresse, MAC-Adresse oder Host) bedeutet, dass der Nutzer diesen Computer verwendet hat, als das Ereignis eingetreten ist.
Heißt	Ein mit „Heißt“ beschrifteter Pfeil von einem Datei-Hash-Node zu einem Dateinamen-Node bedeutet, dass der Datei-Hash einer Datei mit diesem Namen entspricht.
Gehört zu	Ein mit „Gehört zu“ beschrifteter Pfeil zwischen zwei Nodes bedeutet, dass sie zum selben Node gehören. Beispiel: Ein mit „Gehört zu“ beschrifteter Pfeil zwischen einer MAC-Adresse und einem Host bedeutet, dass die MAC-Adresse zu diesem Host gehört.

Je dicker ein Pfeil dargestellt ist, desto intensiver ist die Kommunikation zwischen den betreffenden Nodes. Größere Nodes (Kreise) weisen mehr Aktivität auf als kleinere Nodes. Die größeren Nodes sind die Entitäten, die am häufigsten in den Ereignissen erwähnt wurden.

Ereignisdatenblatt

Im Ereignisdatenblatt sind die einem Incident zugeordneten Ereignisse aufgeführt. Es liefert Informationen zu den Ereignissen, z. B. den Zeitpunkt des Ereigniseintritts, die Quell-IP, die Ziel-IP, die Detektor-IP, den Quellbenutzer, den Zielbenutzer und Dateiinformationen im Zusammehang mit den Ereignissen. Wie viele Informationen aufgeführt werden, hängt vom Typ des jeweiligen Ereignisses ab.

Im Ereignisdatenblatt werden entweder mehrere Ereignisse in Form einer Ereignisliste angezeigt oder Ereignisdetails zu einem einzigen Ereignis.

Ereignisliste

Die folgende Abbildung zeigt die Ereignisliste.

In der folgenden Tabelle werden die Spalten in der Ereignisliste beschrieben.

Spalte	Beschreibung
ZEIT	Zeigt an, wann das Ereignis eingetreten ist.
TYP	Zeigt den Typ der Warnmeldung an, z. B. „Protokoll“ oder „Netzwerk“.
QUELL-IP	Zeigt die Quell-IP-Adresse an, wenn eine Transaktion zwischen zwei Computern erfolgt ist.
QUELLPORT	Zeigt den Quellport der Transaktion an. Quellport und Zielport können dieselbe IP-Adresse haben.
QUELLHOST	Zeigt den Zielhost an, auf dem das Ereignis eingetreten ist.
QUELL-MAC	Zeigt die MAC-Adresse des Quellcomputers an.
QUELLBENUTZER	Zeigt den Nutzer des Quellcomputers an.
ZIEL-IP	Zeigt die Ziel-IP-Adresse an, wenn eine Transaktion zwischen zwei Computern erfolgt ist.
ZIELPORT	Zeigt den Zielport der Transaktion an. Quellport und Zielport können dieselbe IP-Adresse haben.
ZIELHOST	Zeigt den Hostnamen des Zielcomputers an.
ZIEL-MAC	Zeigt die MAC-Adresse des Zielcomputers an.
ZIELBENUTZER	Zeigt den Nutzer des Zielcomputers an.
DETEKTOR-IP	Zeigt die IP-Adresse des Computers an, auf dem eine Anomalie erkannt wurde.
DATEINAME	Zeigt den Dateinamen an, falls eine Datei in das Ereignis involviert ist.
DATEI-HASH	Zeigt einen Hash der Dateiinhalte an.

Ereignisdetails

Zum Anzeigen der Details eines Ereignisses klicken Sie in der Ereignisliste auf das gewünschte Ereignis. Wenn nur ein Ereignis in der Liste vorhanden ist, werden anstelle einer Liste nur die Ereignisdetails für dieses Ereignis angezeigt.

Bereich „Journal“

Das Incident-Journal zeigt den zeitlichen Verlauf aller einen Incident betreffenden Aktivitäten.

In der folgenden Tabelle werden die Optionen für neue Journaleinträge beschrieben.

Feld	Beschreibung
Neuer Journaleintrag	In dieses Feld geben Sie Ihre Anmerkungen ein.
Meilenstein	Option. Wählen Sie falls zutreffend einen Meilenstein aus. Anhand dieses Felds werden bedeuten Ereignisse eines Incident nachverfolgt.
Schaltfläche Absenden	Klicken Sie auf „Absenden“, um den Eintrag zum Journal hinzuzufügen. Ihre Journaleinträge sind für alle Nutzer sichtbar, die den Incident aufrufen.

Bereich „Aufgaben“

Im Bereich „Aufgaben“ können Sie Incident-Aufgaben managen und bis zu ihrem Abschluss nachverfolgen.

In der folgenden Tabelle werden die verschiedenen Felder einer Aufgabe beschrieben.

Feld	Beschreibung
<Aufgaben-ID>/<Incident-ID>	Automatisch erzeugte Aufgaben-ID/Incident, der der Aufgabe zugeordnet ist
ERSTELLT	Erstellungsdatum der Aufgabe
Letzte Aktualisierung	Datum, an dem die Aufgabe zuletzt geändert wurde
GEÖFFNET	Verstrichene Zeit seit dem Öffnen der Aufgabe (Beispiel: „Vor 3 Minuten“ oder „Vor 2 Tagen“)
NAME	Name der Aufgabe. Beispiel: Neues Image auf den Computer aufspielen. Klicken Sie in das Feld, wenn Sie es bearbeiten möchten.
ZUWEISUNGSEMPFÄNGER	Der Nutzername des Nutzers, dem die Aufgabe zugewiesen ist. Klicken Sie in das Feld, wenn Sie es bearbeiten möchten.
PRIORITÄT	Die Priorität der Aufgabe: „Niedrig“, „Mittel“, „Hoch“ oder „Kritisch“. Wenn Sie auf die Prioritätsschaltfläche klicken, kännen Sie aus der Drop-down-Liste eine neue Priorität für die Aufgabe auswählen.
STATUS	Status der Aufgabe: „Neu“, „Zugewiesen“, „Läuft“, „Korrigiert“, „Risiko akzeptiert“ und „Nicht zutreffend“. Wenn Sie auf die Statusschaltfläche klicken, können Sie aus der Drop-down-Liste einen neuen Status für die Aufgabe auswählen.
DESCRIPTION	Hier können Sie eine Beschreibung der Aufgabe eingeben. Es empfiehlt sich, hier alle zugehörigen Referenznummern einzutragen. Klicken Sie in das Feld, wenn Sie es bearbeiten möchten.

Bereich „Verwandte Indikatoren“

Im Bereich „Verwandte Indikatoren“ können Sie die NetWitness Platform-Warnmeldungsdatenbank nach Warnmeldungen durchsuchen, die zu dem jeweiligen Incident in Beziehung stehen. Gefunden Warnmeldungen lassen sich dem Incident hinzufügen, falls sie noch keinem Incident zugeordnet sind.

In der folgenden Tabelle werden die Felder im Suchabschnitt oben in dem Bereich beschrieben.

Feld	Beschreibung
Suchen	Wählen Sie die Entität aus, nach denen Sie die Warnmeldungen durchsuchen möchten. (Beispiel: „IP“)
Wert	Geben Sie den Wert der Entität ein. (Beispiel: IP-Adresse der Entität)
Zeitraum	Wählen Sie aus, aus welchem Zeitraum die Ergebnisse der Warnmeldungssuche stammen sollen. Zum Beispiel: „Letzte 24 Stunden“.
Schaltfläche Suchen	Startet die Suche. Eine Liste der verwandten Indikatoren wird unter der Schaltfläche Suchen im Abschnitt Indikatoren für angezeigt.

In der folgenden Tabelle werden die Optionen im Abschnitt Indikatoren für (Ergebnisse) unten im Bereich beschrieben.

Option	Beschreibung
Indikatoren für:	Zeigt die Suchergebnisse an.
Link In neuem Fenster öffnen	Zeigt Warnmeldungsdetails zu dem betreffenden Indikator an.
Schaltfläche Einem Incident hinzufügen	Fügt den verwandten Indikator dem betreffenden Incident hinzu. Der verwandte Indikator wird dann im Bereich „Indikatoren“ angezeigt.
Schaltfläche Zum Incident gehörig	Zeigt an, dass der Indikator dem betreffenden Incident bereits zugeordnet.

Symbolleistenaktionen

Option	Beschreibung
	(Zurück zu Incidents) Führt zurück zur Incident-Listenansicht.
	Schließt den Bereich.
	Löscht den Eintrag (z. B. einen Journaleintrag oder eine Aufgabe).
Schaltfläche Priorität	(Im Bereich „Übersicht) Ermöglicht die Änderung der Priorität eines oder mehrerer ausgewählter Incidents in der Incident-Liste.
Schaltfläche Status	(Im Bereich „Übersicht) Ermöglicht die Änderung des Status eines oder mehrerer ausgewählter Incidents.
Schaltfläche Zuweisungsempfänger	(Im Bereich „Übersicht) Ermöglicht die Änderung des Zuweisungsempfängers für einen oder mehrere ausgewählte Incidents.
(Anzeigen: Diagramm)	Öffnet das Node-Diagramm.
(Anzeigen: Datenblatt)	Öffnet das Ereignisdatenblatt. Hier werden entweder mehrere Ereignisse in Form einer Ereignisliste angezeigt oder Ereignisdetails zu einem einzigen Ereignis.
(„Journal“, „Aufgaben“ und „Verwandt“)	Öffnet die Bereiche „Journal“, „Aufgaben“ und „Verwandte Indikatoren“.
	Zeigt im Bereich „Ereignisanalyse“ in der Ansicht „Reagieren, Incident-Details“ den Header, die Anfrage, die Reaktion oder die Metadaten an. Weitere Informationen zur Ereignisanalyse finden Sie in der Ansicht „Ereignisanalyse“ im NetWitness Investigate – Benutzerhandbuch.