Reagieren: Incident-Detailansicht

Document created by RSA Information Design and Development on May 11, 2018Last modified by RSA Information Design and Development on Oct 19, 2018
Version 3Show Document
  • View in full screen mode
 

In der Incident-Detailansicht haben Sie Zugriff auf umfassende Details zu einem Incident (Zugriff: „REAGIEREN“ > „Incidents“ > Klick auf den gewünschten Link in der Spalte „ID“ oder „NAME“ der Incident-Liste). Die Incident-Detailansicht besteht aus verschiedenen Bereichenmit unterschiedlichen Informationen:

  • Übersicht: Hier finden Sie eine Zusammenfassung des Incident und können ihn aktualisieren.
  • Indikatoren: Hier finden Sie alle zu dem betreffenden Incident gehörenden Indikatoren (Warnmeldungen) sowie die Ereignisse in diesen Warnmeldungen und die verfügbaren Erweiterungsinformationen.
  • Node-Diagramm: Hier finden Sie eine Visualisierung der Größe von Entitäten (IP-Adresse, MAC-Adresse, Benutzer, Host, Domain, Dateiname oder Datei-Hash) sowie ihrer Interaktionen.
  • Ereignisdatenblatt: Hier findenn Sie die Ereignisse, die dem Incident zugeordnet sind.
  • Journal: Hier können Sie Hinweise vermerken und mit anderen Analysten zusammenarbeiten.
  • Aufgaben: Hier können Sie Incident-Aufgaben erstellen und bis zu ihrem Abschluss nachverfolgen.
  • Zugehörige Indikatoren: Hier finden Sie mit dem Incident in Zusammenhang stehende Indikatoren (Warnmeldungen). Indikatoren, die noch keinem Incident zugeordnet sind, lassen sich hier zu einem Incident hinzufügen.

Die Daten in der Detailansicht eines Incident lassen sich auch filtern, sodass Sie sich nur auf die Indikatoren und Entitäten beschränken können, die für Sie von Interesse sind.

Workflow

Dieser Workflow veranschaulicht den allgemeinen Prozess, anhand dessen Incident-Experten in NetWitness Suite auf Incidents reagieren.

Incident Details view workflow diagram

Anhand der ausführlichen Incident-Informationen, die in der Incident-Detailansicht angezeigt werden, können Sie herausfinden, welche Incidents ein Eingreifen erfordern. Hier stehen alle nötigen Informatione und Tools zur Verfügung, um einen Incident zu untersuchen und anschließend zu eskalieren oder zu korrigieren.

Was möchten Sie tun?

                                                                                             
Rolle ZielAnleitung

Incident-Experten, Analysten und SOC-Manager

Priorisierte Incidents anzeigen, Incident-Liste filtern und sortieren, Incidents suchen, eigene Incidents anzeigen und sich selbst Incidents zuweisen

Überprüfen der Liste mit priorisierten Incidents

Incident-Experten, AnalystenIncident-Details anzeigen*Anzeigen von Details des Incident
Incident-Experten, AnalystenWarnmeldungen und Erweiterungen anzeigen*Anzeigen der Indikatoren und Erweiterungen
Incident-Experten, AnalystenEreignisse anzeigen*Anzeigen und Untersuchen der Ereignisse
Incident-Experten, AnalystenGrafische Darstellung der in Ereignisse involvierten Entitäten anzeigen*Anzeigen und Untersuchen der an den Ereignissen beteiligten Entitäten
Incident-Experten, AnalystenIncident-Daten filtern*Filtern der Daten in der Ansicht „Incident-Details“
Incident-Experten, AnalystenIncident-Anmerkungen anzeigen und hinzufügen*Anzeigen von Incident-Anmerkungen und Dokumentmaßnahmen außerhalb von NetWitness
Incident-Experten, AnalystenAufgaben anzeigen und erstellen*Anzeigen der Aufgaben im Zusammenhang mit einem Incident und Erstellen einer Aufgabe
Incident-Experten, AnalystenZugehörige Warnmeldungen anzeigen und dem Incident hinzufügen*Suchen verwandter Indikatoren und Hinzufügen verwandter Indikatoren zum Incident
Incident-Experten, AnalystenKontextbezogene Informationen aus Context Hub für einen Incident anzeigen*Anzeigen von kontextbezogenen Informationen
Incident-Experten, Analysten

Entität zur Whitelist hinzufügen, um die Anzahl falsch positiver Ergebnisse zu reduzieren

Hinzufügen einer Entität zu einer Whitelist

Incident-Experten, Analysten

In das Modul „Investigation“ wechseln*

Zu Ermittlungen wechseln

Incident-Experten, AnalystenZu NetWitness Endpoint wechseln*Wechseln zum NetWitness Endpoint
Incident-Experten, AnalystenIncident aktualisieren oder schließen*

Aktualisieren eines Incident und Schließen eines Incident

Incident-Experten, Analysten und SOC-ManagerAlle Aufgaben anzeigen

Eskalieren oder Korrigieren des Incident

Incident-Experten, Analysten und SOC-ManagerMassenaktualisierung von Incidents und Aufgaben durchführenEskalieren oder Korrigieren des Incident

* Sie können diese Aufgaben in der aktuellen Ansicht (d. h. in der Incident-Detailansicht) durchführen.

Verwandte Themen

Überblick

Das folgende Beispiel zeigt, wo Sie die Bereich der Incident-Detailansicht finden.

Incident Details view Quick Look Diagram

                                 
1 Bereich „Übersicht“ (Klicken Sie auf die Registerkarte „ÜBERSICHT“, um den Bereich aufzurufen.)
2 Bereich „Indikatoren“
3 Node-Diagramm
4 Ereignisdatenblatt (Klicken Sie auf ein Ereignis in der Ereignisliste, um die Ereignisdetails aufzurufen.)
5 Bereich „Journal“
6Bereich „Aufgaben“ (Klicken Sie auf die Registerkarte „AUFGABEN“, um den Bereich aufzurufen.)
7 Bereich „Verwandte Indikatoren“ (Klicken Sie auf die Registerkarte „VERWANDT“, um den Bereich aufzurufen.)

Bereich „Übersicht“

Im Bereich „Übersicht“ finden Sie grundlegende Übersichtsinformationen zu dem jeweils ausgewählten Incident. Hier können Sie außerdem den Namen des Incident ändern sowie die Incident-Priorität, den Incident-Status und den Zuweisungsempfänger für den Incident aktualisieren. Der Bereich „Übersicht“ in der Incident-Listenansicht enthält dieselben Informationen. Details hierzu finden Sie im Thema „Incident-Listenansicht“ im Abschnitt Bereich „Übersicht“.

Incident Details view Overview Panel

Bereich „Indikatoren“

Der Bereich „Indikatoren“ enthält eine chronologische Liste aller Indikatoren. Indikatoren sind Warnmeldungen, z. B. ESA-Warnmeldungen oder NetWitness Endpoint-Warnmeldungen. (Es handelt sich hierbei nicht um eine Zeitleiste, die den zeitlichen Verlauf der Ereignisse in einem Incident visuell darstellt.) Diese Liste hilft Ihnen, Indikatoren und wichtige Daten zueinander in Beziehung zu setzen. Beispiel: Eine mit einer ESA-Command-and-Conquer-Warnmeldung in Zusammenhang stehende IP-Adresse könnte gleichzeitig auch eine NetWitness Endpoint-Warnmeldung oder andere verdächtige Aktivitäten ausgelöst haben.

Klicken Sie zum Öffnen des Bereichs „Indikatoren“ im linken Bereich der Incident-Detailansicht auf INDIKATOREN.

Incident Details view Indicators panel

Informationen zur Datenquelle werden unter den Namen der Indikatoren angezeigt. Ebenfalls angegeben sind Datum und Uhrzeit der Indikator-Erstellung und die Anzahl von Ereignissen in dem betreffenden Indikator.

Node-Diagramm

Das Node-Diagramm ist eine interaktive Grafik, in der die in einen Incident involvierten Entitäten abgebildet werden. Eine Entität ist ein angegebener Teil Metadaten, z. B. IP-Adresse, MAC-Adresse, Benutzer, Host, Domain, Dateinamen oder Datei-Hash.

Nodal Graph example

Nodes

Nodes werden im Node-Diagramm als Kreise dargestellt. In der folgenden Tabelle werden die verschiedenen Node-Typen in Node-Diagrammen beschrieben.

                                        
NodeBeschreibung

IP-Adresse

Handelt es sich bei einem Ereignis um eine erkannte Anomalie, wird die Detektor-IP angezeigt. Handelt es sich bei einem Ereignis um eine Transaktion, werden die Ziel-IP und die Quell-IP angezeigt.

MAC-Adresse

Möglicherweise wird für jeden erkantenn Typ von IP-Adresse eine MAC-Adresse angezeigt.

Benutzer

Ist der Computer einem Benutzer zugeordnet, wird ein Benutzer-Node angezeigt.
HostBei Hosts kann es sich um physische Geräte oder virtuelle Maschinen handeln, auf denen Services installiert sind. Hosts werden mit ihrem vollständig qualifizierten Domainnamen (FQDN) oder ihrer IP-Adresse angegeben.

Domain

 

DateinameWenn in das Ereignis Dateien involviert sind, werden die entsprechenden Dateinamen angezeigt.

Datei-Hash

Wenn in das Ereignis Dateien involviert sind, werden möglicherweise die entsprechenden Datei-Hashes angezeigt.

Die Legende im unteren Bereich des Node-Diagramms zeigt die Anzahl der Nodes jeden Typs und die Farbcodierung der Nodes. Sie hilft auch bei der Lokalisierung von Entitäten, wenn die Werte (z. B. IP-Adressen) gehasht sind.

Alle Nodes können per Drag-and-Drop beliebig verschoben werden.

Pfeile

Die Pfeile zwischen den Nodes bieten zusätzliche Informationen über die Beziehungen der Entitäten. In der folgenden Tabelle werden die verschiedenen Pfeil-Typen in Node-Diagrammen beschrieben.

                                    
PfeilBeschreibung
Kommuniziert mitEin Pfeil zwischen einem Quellrechner-Node (IP-Adresse oder MAC-Adresse) und einem Zielrechner-Node mit der Beschriftung „Kommuniziert mit“ bildet die Richtung der Kommunikation ab.
GleichEin Pfeil mit „Gleich“ beschrifteter Pfeil zwischen zwei Nodes liefert zusätzliche Informationen über die IP-Adresse, auf die der Pfeil zeigt. Beispiel: Zeigt ein mit „Gleich“ beschrifteter Pfeil vom Host-Node-Kreis auf einen IP-Adress-Node, bedeutet das, dass der im Host-Node-Kreis abgebildete Name der Hostname dieser IP-Adresse ist und es sich nicht um eine separate Entität handelt.
Hat DateiEin mit „Hat Datei“ beschrifteter Pfeil zwischen einem Computer-Node (IP-Adresse, MAC-Adresse oder Host) und einem Datei-Hash-Node bedeutet, dass die IP-Adresse diese Datei hat.
VerwendetEin mit „Verwendet“ beschrifteter Pfeil zwischen einem Benutzer-Node und einem Computer-Node (IP-Adresse, MAC-Adresse oder Host) bedeutet, dass der Benutzer diesen Computer verwendet hat, als das Ereignis eingetreten ist.
HeißtEin mit „Heißt“ beschrifteter Pfeil von einem Datei-Hash-Node zu einem Dateinamen-Node bedeutet, dass der Datei-Hash einer Datei mit diesem Namen entspricht.
Gehört zuEin mit „Gehört zu“ beschrifteter Pfeil zwischen zwei Nodes bedeutet, dass sie zum selben Node gehören. Beispiel: Ein mit „Gehört zu“ beschrifteter Pfeil zwischen einer MAC-Adresse und einem Host bedeutet, dass die MAC-Adresse zu diesem Host gehört.

Je dicker ein Pfeil dargestellt ist, desto intensiver ist die Kommunikation zwischen den betreffenden Nodes. Größere Nodes (Kreise) weisen mehr Aktivität auf als kleinere Nodes. Die größeren Nodes sind die Entitäten, die am häufigsten in den Ereignissen erwähnt wurden.

Ereignisdatenblatt

Im Ereignisdatenblatt sind die einem Incident zugeordneten Ereignisse aufgeführt. Es liefert Informationen zu den Ereignissen, z. B. den Zeitpunkt des Ereigniseintritts, die Quell-IP, die Ziel-IP, die Detektor-IP, den Quellbenutzer, den Zielbenutzer und Dateiinformationen im Zusammehang mit den Ereignissen. Wie viele Informationen aufgeführt werden, hängt vom Typ des jeweiligen Ereignisses ab.

Im Ereignisdatenblatt werden entweder mehrere Ereignisse in Form einer Ereignisliste angezeigt oder Ereignisdetails zu einem einzigen Ereignis.

Ereignisliste

Die folgende Abbildung zeigt die Ereignisliste.

Incident Details view Events List

In der folgenden Tabelle werden die Spalten in der Ereignisliste beschrieben.

                                                                           

Spalte

Beschreibung

ZEITZeigt an, wann das Ereignis eingetreten ist.
TYPZeigt den Typ der Warnmeldung an, z. B. „Protokoll“ oder „Netzwerk“.
QUELL-IPZeigt die Quell-IP-Adresse an, wenn eine Transaktion zwischen zwei Computern erfolgt ist.
QUELLPORTZeigt den Quellport der Transaktion an. Quellport und Zielport können dieselbe IP-Adresse haben.
QUELLHOSTZeigt den Zielhost an, auf dem das Ereignis eingetreten ist.
QUELL-MACZeigt die MAC-Adresse des Quellcomputers an.
QUELLBENUTZERZeigt den Benutzer des Quellcomputers an.
ZIEL-IPZeigt die Ziel-IP-Adresse an, wenn eine Transaktion zwischen zwei Computern erfolgt ist.
ZIELPORTZeigt den Zielport der Transaktion an. Quellport und Zielport können dieselbe IP-Adresse haben.
ZIELHOSTZeigt den Hostnamen des Zielcomputers an.
ZIEL-MACZeigt die MAC-Adresse des Zielcomputers an.
ZIELBENUTZERZeigt den Benutzer des Zielcomputers an.
DETEKTOR-IPZeigt die IP-Adresse des Computers an, auf dem eine Anomalie erkannt wurde.
DATEINAMEZeigt den Dateinamen an, falls eine Datei in das Ereignis involviert ist.
DATEI-HASHZeigt einen Hash der Dateiinhalte an.

Ereignisdetails

Zum Anzeigen der Details eines Ereignisses klicken Sie in der Ereignisliste auf das gewünschte Ereignis. Wenn nur ein Ereignis in der Liste vorhanden ist, werden anstelle einer Liste nur die Ereignisdetails für dieses Ereignis angezeigt.

Incident Details view Event Details

Bereich „Journal“

Das Incident-Journal zeigt den zeitlichen Verlauf aller einen Incident betreffenden Aktivitäten.

Incident Details view Journal panel

In der folgenden Tabelle werden die Optionen für neue Journaleinträge beschrieben.

                        
FeldBeschreibung

Neuer Journaleintrag

In dieses Feld geben Sie Ihre Anmerkungen ein.

Meilenstein

Option. Wählen Sie falls zutreffend einen Meilenstein aus. Anhand dieses Felds werden bedeuten Ereignisse eines Incident nachverfolgt.

Schaltfläche Absenden

Klicken Sie auf „Absenden“, um den Eintrag zum Journal hinzuzufügen. Ihre Journaleinträge sind für alle Benutzer sichtbar, die den Incident aufrufen.

Bereich „Aufgaben“

Im Bereich „Aufgaben“ können Sie Incident-Aufgaben managen und bis zu ihrem Abschluss nachverfolgen.

Incident Details view Tasks panel

In der folgenden Tabelle werden die verschiedenen Felder einer Aufgabe beschrieben.

                                                
FeldBeschreibung

<Aufgaben-ID>/<Incident-ID>

Automatisch erzeugte Aufgaben-ID/Incident, der der Aufgabe zugeordnet ist

ERSTELLT

Erstellungsdatum der Aufgabe

Letzte Aktualisierung

Datum, an dem die Aufgabe zuletzt geändert wurde

GEÖFFNETVerstrichene Zeit seit dem Öffnen der Aufgabe (Beispiel: „Vor 3 Minuten“ oder „Vor 2 Tagen“)

NAME

Name der Aufgabe. Beispiel: Neues Image auf den Computer aufspielen. Klicken Sie in das Feld, wenn Sie es bearbeiten möchten.

ZUWEISUNGSEMPFÄNGERDer Benutzername des Benutzers, dem die Aufgabe zugewiesen ist. Klicken Sie in das Feld, wenn Sie es bearbeiten möchten.

PRIORITÄT

Die Priorität der Aufgabe: „Niedrig“, „Mittel“, „Hoch“ oder „Kritisch“. Wenn Sie auf die Prioritätsschaltfläche klicken, kännen Sie aus der Drop-down-Liste eine neue Priorität für die Aufgabe auswählen.

STATUSStatus der Aufgabe: „Neu“, „Zugewiesen“, „Läuft“, „Korrigiert“, „Risiko akzeptiert“ und „Nicht zutreffend“. Wenn Sie auf die Statusschaltfläche klicken, können Sie aus der Drop-down-Liste einen neuen Status für die Aufgabe auswählen.

DESCRIPTION

Hier können Sie eine Beschreibung der Aufgabe eingeben. Es empfiehlt sich, hier alle zugehörigen Referenznummern einzutragen. Klicken Sie in das Feld, wenn Sie es bearbeiten möchten.

Bereich „Verwandte Indikatoren“

Im Bereich „Verwandte Indikatoren“ können Sie die NetWitness Suite-Warnmeldungsdatenbank nach Warnmeldungen durchsuchen, die zu dem jeweiligen Incident in Beziehung stehen. Gefunden Warnmeldungen lassen sich dem Incident hinzufügen, falls sie noch keinem Incident zugeordnet sind.

Incident Details view Related Indicators panel

In der folgenden Tabelle werden die Felder im Suchabschnitt oben in dem Bereich beschrieben.

                            
FeldBeschreibung

Suchen

Wählen Sie die Entität aus, nach denen Sie die Warnmeldungen durchsuchen möchten. (Beispiel: „IP“)

Wert

Geben Sie den Wert der Entität ein. (Beispiel: IP-Adresse der Entität)

Zeitraum

Wählen Sie aus, aus welchem Zeitraum die Ergebnisse der Warnmeldungssuche stammen sollen. Zum Beispiel: „Letzte 24 Stunden“.

Schaltfläche Suchen

Startet die Suche. Eine Liste der verwandten Indikatoren wird unter der Schaltfläche Suchen im Abschnitt Indikatoren für angezeigt.

In der folgenden Tabelle werden die Optionen im Abschnitt Indikatoren für (Ergebnisse) unten im Bereich beschrieben.

                            
OptionBeschreibung
Indikatoren für: Zeigt die Suchergebnisse an.
Link In neuem Fenster öffnenZeigt Warnmeldungsdetails zu dem betreffenden Indikator an.

Schaltfläche Einem Incident hinzufügen

Fügt den verwandten Indikator dem betreffenden Incident hinzu. Der verwandte Indikator wird dann im Bereich „Indikatoren“ angezeigt.

Schaltfläche Zum Incident gehörig

Zeigt an, dass der Indikator dem betreffenden Incident bereits zugeordnet.

Symbolleistenaktionen

                                                 
OptionBeschreibung
Back to Alerts icon (arrow pointing left)

(Zurück zu Incidents) Führt zurück zur Incident-Listenansicht.

Close (X) icon Schließt den Bereich.

Trash can (delete) icon

Löscht den Eintrag (z. B. einen Journaleintrag oder eine Aufgabe).

Schaltfläche Priorität(Im Bereich „Übersicht) Ermöglicht die Änderung der Priorität eines oder mehrerer ausgewählter Incidents in der Incident-Liste.
Schaltfläche Status(Im Bereich „Übersicht) Ermöglicht die Änderung des Status eines oder mehrerer ausgewählter Incidents.
Schaltfläche Zuweisungsempfänger(Im Bereich „Übersicht) Ermöglicht die Änderung des Zuweisungsempfängers für einen oder mehrere ausgewählte Incidents.
View Graph icon
(Anzeigen: Diagramm)
Öffnet das Node-Diagramm.
View Datasheet icon
(Anzeigen: Datenblatt)
Öffnet das Ereignisdatenblatt. Hier werden entweder mehrere Ereignisse in Form einer Ereignisliste angezeigt oder Ereignisdetails zu einem einzigen Ereignis.
Journal, Tasks, and Related icon
(„Journal“, „Aufgaben“ und „Verwandt“)
Öffnet die Bereiche „Journal“, „Aufgaben“ und „Verwandte Indikatoren“.
You are here
Table of Contents > NetWitness Respond-Referenzinformationen > Ansicht „Incident-Details“

Attachments

    Outcomes