In der Incident-Detailansicht haben Sie Zugriff auf umfassende Details zu einem Incident (Zugriff: „REAGIEREN“ > „Incidents“ > Klick auf den gewünschten Link in der Spalte „ID“ oder „NAME“ der Incident-Liste). Die Incident-Detailansicht besteht aus verschiedenen Bereichenmit unterschiedlichen Informationen:
- Übersicht: Hier finden Sie eine Zusammenfassung des Incident und können ihn aktualisieren.
- Indikatoren: Hier finden Sie alle zu dem betreffenden Incident gehörenden Indikatoren (Warnmeldungen) sowie die Ereignisse in diesen Warnmeldungen und die verfügbaren Erweiterungsinformationen.
- Node-Diagramm: Hier finden Sie eine Visualisierung der Größe von Entitäten (IP-Adresse, MAC-Adresse, Benutzer, Host, Domain, Dateiname oder Datei-Hash) sowie ihrer Interaktionen.
- Ereignisdatenblatt: Hier findenn Sie die Ereignisse, die dem Incident zugeordnet sind.
- Journal: Hier können Sie Hinweise vermerken und mit anderen Analysten zusammenarbeiten.
- Aufgaben: Hier können Sie Incident-Aufgaben erstellen und bis zu ihrem Abschluss nachverfolgen.
- Zugehörige Indikatoren: Hier finden Sie mit dem Incident in Zusammenhang stehende Indikatoren (Warnmeldungen). Indikatoren, die noch keinem Incident zugeordnet sind, lassen sich hier zu einem Incident hinzufügen.
Die Daten in der Detailansicht eines Incident lassen sich auch filtern, sodass Sie sich nur auf die Indikatoren und Entitäten beschränken können, die für Sie von Interesse sind.
Workflow
Dieser Workflow veranschaulicht den allgemeinen Prozess, anhand dessen Incident-Experten in NetWitness Suite auf Incidents reagieren.
Anhand der ausführlichen Incident-Informationen, die in der Incident-Detailansicht angezeigt werden, können Sie herausfinden, welche Incidents ein Eingreifen erfordern. Hier stehen alle nötigen Informatione und Tools zur Verfügung, um einen Incident zu untersuchen und anschließend zu eskalieren oder zu korrigieren.
Was möchten Sie tun?
| Incident-Experten, Analysten und SOC-Manager | Priorisierte Incidents anzeigen, Incident-Liste filtern und sortieren, Incidents suchen, eigene Incidents anzeigen und sich selbst Incidents zuweisen | Überprüfen der Liste mit priorisierten Incidents |
| Incident-Experten, Analysten | Incident-Details anzeigen* | Anzeigen von Details des Incident |
| Incident-Experten, Analysten | Warnmeldungen und Erweiterungen anzeigen* | Anzeigen der Indikatoren und Erweiterungen |
| Incident-Experten, Analysten | Ereignisse anzeigen* | Anzeigen und Untersuchen der Ereignisse |
| Incident-Experten, Analysten | Grafische Darstellung der in Ereignisse involvierten Entitäten anzeigen* | Anzeigen und Untersuchen der an den Ereignissen beteiligten Entitäten |
| Incident-Experten, Analysten | Incident-Daten filtern* | Filtern der Daten in der Ansicht „Incident-Details“ |
| Incident-Experten, Analysten | Incident-Anmerkungen anzeigen und hinzufügen* | Anzeigen von Incident-Anmerkungen und Dokumentmaßnahmen außerhalb von NetWitness |
| Incident-Experten, Analysten | Aufgaben anzeigen und erstellen* | Anzeigen der Aufgaben im Zusammenhang mit einem Incident und Erstellen einer Aufgabe |
| Incident-Experten, Analysten | Zugehörige Warnmeldungen anzeigen und dem Incident hinzufügen* | Suchen verwandter Indikatoren und Hinzufügen verwandter Indikatoren zum Incident |
| Incident-Experten, Analysten | Kontextbezogene Informationen aus Context Hub für einen Incident anzeigen* | Anzeigen von kontextbezogenen Informationen |
| Incident-Experten, Analysten | Entität zur Whitelist hinzufügen, um die Anzahl falsch positiver Ergebnisse zu reduzieren | Hinzufügen einer Entität zu einer Whitelist |
| Incident-Experten, Analysten | In das Modul „Investigation“ wechseln* | Zu Ermittlungen wechseln |
| Incident-Experten, Analysten | Zu NetWitness Endpoint wechseln* | Wechseln zum NetWitness Endpoint |
| Incident-Experten, Analysten | Incident aktualisieren oder schließen* | Aktualisieren eines Incident und Schließen eines Incident |
| Incident-Experten, Analysten und SOC-Manager | Alle Aufgaben anzeigen | Eskalieren oder Korrigieren des Incident |
| Incident-Experten, Analysten und SOC-Manager | Massenaktualisierung von Incidents und Aufgaben durchführen | Eskalieren oder Korrigieren des Incident |
* Sie können diese Aufgaben in der aktuellen Ansicht (d. h. in der Incident-Detailansicht) durchführen.
Verwandte Themen
Überblick
Das folgende Beispiel zeigt, wo Sie die Bereich der Incident-Detailansicht finden.
| 1 | Bereich „Übersicht“ (Klicken Sie auf die Registerkarte „ÜBERSICHT“, um den Bereich aufzurufen.) |
| 2 | Bereich „Indikatoren“ |
| 3 | Node-Diagramm |
| 4 | Ereignisdatenblatt (Klicken Sie auf ein Ereignis in der Ereignisliste, um die Ereignisdetails aufzurufen.) |
| 5 | Bereich „Journal“ |
| 6 | Bereich „Aufgaben“ (Klicken Sie auf die Registerkarte „AUFGABEN“, um den Bereich aufzurufen.) |
| 7 | Bereich „Verwandte Indikatoren“ (Klicken Sie auf die Registerkarte „VERWANDT“, um den Bereich aufzurufen.) |
Bereich „Übersicht“
Im Bereich „Übersicht“ finden Sie grundlegende Übersichtsinformationen zu dem jeweils ausgewählten Incident. Hier können Sie außerdem den Namen des Incident ändern sowie die Incident-Priorität, den Incident-Status und den Zuweisungsempfänger für den Incident aktualisieren. Der Bereich „Übersicht“ in der Incident-Listenansicht enthält dieselben Informationen. Details hierzu finden Sie im Thema „Incident-Listenansicht“ im Abschnitt Bereich „Übersicht“.
Bereich „Indikatoren“
Der Bereich „Indikatoren“ enthält eine chronologische Liste aller Indikatoren. Indikatoren sind Warnmeldungen, z. B. ESA-Warnmeldungen oder NetWitness Endpoint-Warnmeldungen. (Es handelt sich hierbei nicht um eine Zeitleiste, die den zeitlichen Verlauf der Ereignisse in einem Incident visuell darstellt.) Diese Liste hilft Ihnen, Indikatoren und wichtige Daten zueinander in Beziehung zu setzen. Beispiel: Eine mit einer ESA-Command-and-Conquer-Warnmeldung in Zusammenhang stehende IP-Adresse könnte gleichzeitig auch eine NetWitness Endpoint-Warnmeldung oder andere verdächtige Aktivitäten ausgelöst haben.
Klicken Sie zum Öffnen des Bereichs „Indikatoren“ im linken Bereich der Incident-Detailansicht auf INDIKATOREN.
Informationen zur Datenquelle werden unter den Namen der Indikatoren angezeigt. Ebenfalls angegeben sind Datum und Uhrzeit der Indikator-Erstellung und die Anzahl von Ereignissen in dem betreffenden Indikator.
Node-Diagramm
Das Node-Diagramm ist eine interaktive Grafik, in der die in einen Incident involvierten Entitäten abgebildet werden. Eine Entität ist ein angegebener Teil Metadaten, z. B. IP-Adresse, MAC-Adresse, Benutzer, Host, Domain, Dateinamen oder Datei-Hash.
Nodes
Nodes werden im Node-Diagramm als Kreise dargestellt. In der folgenden Tabelle werden die verschiedenen Node-Typen in Node-Diagrammen beschrieben.
| IP-Adresse | Handelt es sich bei einem Ereignis um eine erkannte Anomalie, wird die Detektor-IP angezeigt. Handelt es sich bei einem Ereignis um eine Transaktion, werden die Ziel-IP und die Quell-IP angezeigt. |
| MAC-Adresse | Möglicherweise wird für jeden erkantenn Typ von IP-Adresse eine MAC-Adresse angezeigt. |
| Benutzer | Ist der Computer einem Benutzer zugeordnet, wird ein Benutzer-Node angezeigt. |
| Host | Bei Hosts kann es sich um physische Geräte oder virtuelle Maschinen handeln, auf denen Services installiert sind. Hosts werden mit ihrem vollständig qualifizierten Domainnamen (FQDN) oder ihrer IP-Adresse angegeben. |
| Domain | |
| Dateiname | Wenn in das Ereignis Dateien involviert sind, werden die entsprechenden Dateinamen angezeigt. |
| Datei-Hash | Wenn in das Ereignis Dateien involviert sind, werden möglicherweise die entsprechenden Datei-Hashes angezeigt. |
|
Die Legende im unteren Bereich des Node-Diagramms zeigt die Anzahl der Nodes jeden Typs und die Farbcodierung der Nodes. Sie hilft auch bei der Lokalisierung von Entitäten, wenn die Werte (z. B. IP-Adressen) gehasht sind.
Alle Nodes können per Drag-and-Drop beliebig verschoben werden.
Pfeile
Die Pfeile zwischen den Nodes bieten zusätzliche Informationen über die Beziehungen der Entitäten. In der folgenden Tabelle werden die verschiedenen Pfeil-Typen in Node-Diagrammen beschrieben.
| Kommuniziert mit | Ein Pfeil zwischen einem Quellrechner-Node (IP-Adresse oder MAC-Adresse) und einem Zielrechner-Node mit der Beschriftung „Kommuniziert mit“ bildet die Richtung der Kommunikation ab. |
| Gleich | Ein Pfeil mit „Gleich“ beschrifteter Pfeil zwischen zwei Nodes liefert zusätzliche Informationen über die IP-Adresse, auf die der Pfeil zeigt. Beispiel: Zeigt ein mit „Gleich“ beschrifteter Pfeil vom Host-Node-Kreis auf einen IP-Adress-Node, bedeutet das, dass der im Host-Node-Kreis abgebildete Name der Hostname dieser IP-Adresse ist und es sich nicht um eine separate Entität handelt. |
| Hat Datei | Ein mit „Hat Datei“ beschrifteter Pfeil zwischen einem Computer-Node (IP-Adresse, MAC-Adresse oder Host) und einem Datei-Hash-Node bedeutet, dass die IP-Adresse diese Datei hat. |
| Verwendet | Ein mit „Verwendet“ beschrifteter Pfeil zwischen einem Benutzer-Node und einem Computer-Node (IP-Adresse, MAC-Adresse oder Host) bedeutet, dass der Benutzer diesen Computer verwendet hat, als das Ereignis eingetreten ist. |
| Heißt | Ein mit „Heißt“ beschrifteter Pfeil von einem Datei-Hash-Node zu einem Dateinamen-Node bedeutet, dass der Datei-Hash einer Datei mit diesem Namen entspricht. |
| Gehört zu | Ein mit „Gehört zu“ beschrifteter Pfeil zwischen zwei Nodes bedeutet, dass sie zum selben Node gehören. Beispiel: Ein mit „Gehört zu“ beschrifteter Pfeil zwischen einer MAC-Adresse und einem Host bedeutet, dass die MAC-Adresse zu diesem Host gehört. |
|
Je dicker ein Pfeil dargestellt ist, desto intensiver ist die Kommunikation zwischen den betreffenden Nodes. Größere Nodes (Kreise) weisen mehr Aktivität auf als kleinere Nodes. Die größeren Nodes sind die Entitäten, die am häufigsten in den Ereignissen erwähnt wurden.
Ereignisdatenblatt
Im Ereignisdatenblatt sind die einem Incident zugeordneten Ereignisse aufgeführt. Es liefert Informationen zu den Ereignissen, z. B. den Zeitpunkt des Ereigniseintritts, die Quell-IP, die Ziel-IP, die Detektor-IP, den Quellbenutzer, den Zielbenutzer und Dateiinformationen im Zusammehang mit den Ereignissen. Wie viele Informationen aufgeführt werden, hängt vom Typ des jeweiligen Ereignisses ab.
Im Ereignisdatenblatt werden entweder mehrere Ereignisse in Form einer Ereignisliste angezeigt oder Ereignisdetails zu einem einzigen Ereignis.
Ereignisliste
Die folgende Abbildung zeigt die Ereignisliste.
In der folgenden Tabelle werden die Spalten in der Ereignisliste beschrieben.
| ZEIT | Zeigt an, wann das Ereignis eingetreten ist. |
| TYP | Zeigt den Typ der Warnmeldung an, z. B. „Protokoll“ oder „Netzwerk“. |
| QUELL-IP | Zeigt die Quell-IP-Adresse an, wenn eine Transaktion zwischen zwei Computern erfolgt ist. |
| QUELLPORT | Zeigt den Quellport der Transaktion an. Quellport und Zielport können dieselbe IP-Adresse haben. |
| QUELLHOST | Zeigt den Zielhost an, auf dem das Ereignis eingetreten ist. |
| QUELL-MAC | Zeigt die MAC-Adresse des Quellcomputers an. |
| QUELLBENUTZER | Zeigt den Benutzer des Quellcomputers an. |
|
| ZIEL-IP | Zeigt die Ziel-IP-Adresse an, wenn eine Transaktion zwischen zwei Computern erfolgt ist. |
| ZIELPORT | Zeigt den Zielport der Transaktion an. Quellport und Zielport können dieselbe IP-Adresse haben. |
| ZIELHOST | Zeigt den Hostnamen des Zielcomputers an. |
| ZIEL-MAC | Zeigt die MAC-Adresse des Zielcomputers an. |
| ZIELBENUTZER | Zeigt den Benutzer des Zielcomputers an. |
|
| DETEKTOR-IP | Zeigt die IP-Adresse des Computers an, auf dem eine Anomalie erkannt wurde. |
|
| DATEINAME | Zeigt den Dateinamen an, falls eine Datei in das Ereignis involviert ist. |
| DATEI-HASH | Zeigt einen Hash der Dateiinhalte an. |
|
Ereignisdetails
Zum Anzeigen der Details eines Ereignisses klicken Sie in der Ereignisliste auf das gewünschte Ereignis. Wenn nur ein Ereignis in der Liste vorhanden ist, werden anstelle einer Liste nur die Ereignisdetails für dieses Ereignis angezeigt.
Bereich „Journal“
Das Incident-Journal zeigt den zeitlichen Verlauf aller einen Incident betreffenden Aktivitäten.
In der folgenden Tabelle werden die Optionen für neue Journaleinträge beschrieben.
| Neuer Journaleintrag | In dieses Feld geben Sie Ihre Anmerkungen ein. |
| Meilenstein | Option. Wählen Sie falls zutreffend einen Meilenstein aus. Anhand dieses Felds werden bedeuten Ereignisse eines Incident nachverfolgt. |
| Schaltfläche Absenden | Klicken Sie auf „Absenden“, um den Eintrag zum Journal hinzuzufügen. Ihre Journaleinträge sind für alle Benutzer sichtbar, die den Incident aufrufen. |
|
Bereich „Aufgaben“
Im Bereich „Aufgaben“ können Sie Incident-Aufgaben managen und bis zu ihrem Abschluss nachverfolgen.
In der folgenden Tabelle werden die verschiedenen Felder einer Aufgabe beschrieben.
| <Aufgaben-ID>/<Incident-ID> | Automatisch erzeugte Aufgaben-ID/Incident, der der Aufgabe zugeordnet ist |
| ERSTELLT | Erstellungsdatum der Aufgabe |
| Letzte Aktualisierung | Datum, an dem die Aufgabe zuletzt geändert wurde |
| GEÖFFNET | Verstrichene Zeit seit dem Öffnen der Aufgabe (Beispiel: „Vor 3 Minuten“ oder „Vor 2 Tagen“) |
| NAME | Name der Aufgabe. Beispiel: Neues Image auf den Computer aufspielen. Klicken Sie in das Feld, wenn Sie es bearbeiten möchten. |
| ZUWEISUNGSEMPFÄNGER | Der Benutzername des Benutzers, dem die Aufgabe zugewiesen ist. Klicken Sie in das Feld, wenn Sie es bearbeiten möchten. |
| PRIORITÄT | Die Priorität der Aufgabe: „Niedrig“, „Mittel“, „Hoch“ oder „Kritisch“. Wenn Sie auf die Prioritätsschaltfläche klicken, kännen Sie aus der Drop-down-Liste eine neue Priorität für die Aufgabe auswählen. |
| STATUS | Status der Aufgabe: „Neu“, „Zugewiesen“, „Läuft“, „Korrigiert“, „Risiko akzeptiert“ und „Nicht zutreffend“. Wenn Sie auf die Statusschaltfläche klicken, können Sie aus der Drop-down-Liste einen neuen Status für die Aufgabe auswählen. |
| DESCRIPTION | Hier können Sie eine Beschreibung der Aufgabe eingeben. Es empfiehlt sich, hier alle zugehörigen Referenznummern einzutragen. Klicken Sie in das Feld, wenn Sie es bearbeiten möchten. |
|
Bereich „Verwandte Indikatoren“
Im Bereich „Verwandte Indikatoren“ können Sie die NetWitness Suite-Warnmeldungsdatenbank nach Warnmeldungen durchsuchen, die zu dem jeweiligen Incident in Beziehung stehen. Gefunden Warnmeldungen lassen sich dem Incident hinzufügen, falls sie noch keinem Incident zugeordnet sind.
In der folgenden Tabelle werden die Felder im Suchabschnitt oben in dem Bereich beschrieben.
| Suchen | Wählen Sie die Entität aus, nach denen Sie die Warnmeldungen durchsuchen möchten. (Beispiel: „IP“) |
| Wert | Geben Sie den Wert der Entität ein. (Beispiel: IP-Adresse der Entität) |
| Zeitraum | Wählen Sie aus, aus welchem Zeitraum die Ergebnisse der Warnmeldungssuche stammen sollen. Zum Beispiel: „Letzte 24 Stunden“. |
| Schaltfläche Suchen | Startet die Suche. Eine Liste der verwandten Indikatoren wird unter der Schaltfläche Suchen im Abschnitt Indikatoren für angezeigt. |
|
In der folgenden Tabelle werden die Optionen im Abschnitt Indikatoren für (Ergebnisse) unten im Bereich beschrieben.
| Indikatoren für: | Zeigt die Suchergebnisse an. |
| Link In neuem Fenster öffnen | Zeigt Warnmeldungsdetails zu dem betreffenden Indikator an. |
| Schaltfläche Einem Incident hinzufügen | Fügt den verwandten Indikator dem betreffenden Incident hinzu. Der verwandte Indikator wird dann im Bereich „Indikatoren“ angezeigt. |
| Schaltfläche Zum Incident gehörig | Zeigt an, dass der Indikator dem betreffenden Incident bereits zugeordnet. |
|
Symbolleistenaktionen
