Reagieren: Eskalieren oder Korrigieren des Incident

Document created by RSA Information Design and Development on May 11, 2018Last modified by RSA Information Design and Development on Oct 19, 2018
Version 3Show Document
  • View in full screen mode
 

Möglicherweise möchten Sie Incidents einem andere Analysten zuweisen oder den Status und die Priorität eines Incident ändern, wenn Sie weitere Informationen über ihn erfassen. Dies ist hilfreich, wenn Sie z. B. die Priorität eines Incident von Mittel auf Hoch erhöhen, nachdem Sie erkannt haben, dass der Incident eine Sicherheitsverletzung darstellt.

Aktualisieren eines Incident

Sie können einen Incident von verschiedenen Stellen aus aktualisieren. Sie können die Priorität, den Status oder den Zuweisungsempfänger in der Incident-Listenansicht und der Ansicht „Incident-Details“ ändern. Wenn Sie z. B. Analyst sind, möchten Sie sich möglicherweise selbst einen Fall aus der Incident-Listenansicht zuweisen, wenn Sie sehen, dass dieser mit einem anderen Fall verknüpft ist, an dem Sie arbeiten. Wenn Sie ein SOC-Manager oder Administrator sind, möchten Sie möglicherweise nicht zugewiesene Incidents aus der Incident-Listenansicht anzeigen und die Incidents bei Ihrem Eingang zuweisen. SOC-Manager und Administratoren können Massenaktualisierungen an Priorität, Status oder Zuweisungsempfänger vornehmen, anstatt jeweils nur einen Incident zu aktualisieren.

In der Ansicht „Details“ können Sie den Status auf „Läuft“ ändern, sobald Sie beginnen, an einem Incident zu arbeiten, und ihn anschließend nach Behebung des Problems auf „Geschlossen“ oder „Geschlossen – falsch positives Ergebnis“ aktualisieren. Oder Sie können die Priorität des Incident auf „Mittel“ oder „Hoch“ ändern, wenn Sie die Details des Vorgangs bestimmen.

Ändern des Incident-Status

Wenn ein Incident das erste Mal in der Incident-Liste angezeigt wird, hat er den anfänglichen Status „Neu“. Sie können den Status entsprechend aktualisieren, wenn Sie am Incident arbeiten. Folgende Status sind verfügbar:

  • Neu
  • Zugewiesen
  • Läuft
  • Aufgabe angefordert
  • Aufgabe abgeschlossen
  • Abgeschlossen
  • Geschlossen – falsch positives Ergebnis

So aktualisieren Sie den Status mehrerer Incidents:

  1. Wählen Sie in der Incident-Listenansicht einen oder mehrere Incidents, die Sie ändern möchten. Um alle Incidents auf der Seite auszuwählen, aktivieren Sie das Kontrollkästchen in der Kopfzeile der Incident-Liste. Die Anzahl der ausgewählten Incidents wird in der Fußzeile der Incident-Liste angezeigt.
  2. Klicken Sie auf Status ändern und wählen Sie in der Drop-down-Liste einen Status aus. In diesem Beispiel lautet der aktuelle Status „Zugewiesen“, aber der Analyst möchte ihn für die ausgewählten Incidents auf „Läuft“ ändern.
    Incidents List view showing the Status drop-down list
  3. Bei Auswahl von mehr als einem Incident im Dialogfeld Aktualisierung bestätigen klicken Sie auf OK.
    Confirm Update dialog
    Eine Benachrichtigung über die erfolgreiche Änderung wird angezeigt. In diesem Beispiel lautet der Status der aktualisierten Incidents jetzt „Läuft“.
    Incident List showing a successful bulk Status update

So ändern Sie den Status eines einzelnen Incident über den Bereich „Übersicht“:

  1. Um den Bereich „Übersicht“ zu öffnen, führen Sie einen der folgenden Schritte aus:
    • Klicken Sie in der Incident-Listenansicht auf einen Incident, dessen Status aktualisiert werden muss.
      Incidents List showing Overview panel
    • Klicken Sie in der Ansicht „Incident-Details“ auf die Registerkarte ÜBERSICHT.
      Incident Details view showing Overview tab
      Im Bereich „Übersicht“ zeigt die Schaltfläche „Status“ den aktuellen Status des Incident.
  2. Klicken Sie auf die Schaltfläche Status und wählen Sie in der Drop-down-Liste einen Status aus.
    Update Overview Panel showing Status drop-down list
    Eine Benachrichtigung über die erfolgreiche Änderung wird angezeigt.
    Successful change notification

Ändern der Incident-Priorität

Die Incident-Liste ist standardmäßig nach Priorität sortiert. Sie können die Priorität aktualisieren, wenn Sie die Details des Falls untersuchen. Die folgenden Prioritäten sind verfügbar:

  • Kritisch
  • High
  • Mittel
  • Niedrig

Hinweis: Sie können die Priorität eines geschlossenen Incident nicht ändern.

So aktualisieren Sie die Priorität mehrerer Incidents:

  1. Wählen Sie in der Incident-Listenansicht einen oder mehrere Incidents, die Sie ändern möchten. Um alle Incidents auf der Seite auszuwählen, aktivieren Sie das Kontrollkästchen in der Kopfzeile der Incident-Liste. Die Anzahl der ausgewählten Incidents wird in der Fußzeile der Incident-Liste angezeigt.
  2. Klicken Sie auf Priorität ändern und wählen Sie aus der Drop-down-Liste eine Priorität aus. In diesem Beispiel lautet die aktuelle Priorität „Hoch“, aber der Analyst möchte sie für die ausgewählten Incidents auf „Kritisch“ ändern.
    Incidents List view showing the Priority drop-down list
  3. Bei Auswahl von mehr als einem Incident im Dialogfeld Aktualisierung bestätigen klicken Sie auf OK.
    Eine Benachrichtigung über die erfolgreiche Änderung wird angezeigt. In diesem Beispiel lautet der Status der aktualisierten Incidents jetzt „Kritisch“.
    Incident List showing a successful bulk Status update

So ändern Sie die Priorität eines einzelnen Incident über den Bereich „Übersicht“

  1. Um den Bereich „Übersicht“ zu öffnen, führen Sie einen der folgenden Schritte aus:
    • Klicken Sie in der Incident-Listenansicht auf einen Incident, dessen Priorität aktualisiert werden muss.
    • Klicken Sie in der Ansicht „Incident-Details“ auf die Registerkarte ÜBERSICHT.
      Die Schaltfläche „Priorität“ im Bereich „Übersicht“ zeigt die aktuelle Priorität des Incident an.
  2. Klicken Sie auf die Schaltfläche Priorität und wählen Sie in der Drop-down-Liste einen Status aus.
    Update Overview Panel showing Priority drop-down list
    Eine Benachrichtigung über die erfolgreiche Änderung wird angezeigt. Die Schaltfläche „Priorität“ ändert sich und zeigt die neue Incident-Priorität an.
    Successful change notification

Zuweisen von Incidents an andere Analysten

Sie können Incidents anderen Analysten auf die gleiche Weise zuweisen, wie Sie sie sich selbst zuweisen. SOC-Manager und Administratoren können einem Benutzer gleichzeitig mehrere Incidents zuweisen.

Hinweis: Sie können den Zuweisungsempfänger eines geschlossenes Incident nicht ändern.

So weisen einem Benutzer mehrere Incidents zu:

  1. Wählen Sie in der Incident-Listenansicht die Incidents, die Sie einem Benutzer zuweisen möchten. Um alle Incidents auf der Seite auszuwählen, aktivieren Sie das Kontrollkästchen in der Kopfzeile der Incident-Liste. Die Anzahl der ausgewählten Incidents wird in der Fußzeile der Incident-Liste angezeigt.
  2. Klicken Sie auf Zuweisungsempfänger ändern und wählen Sie in der Drop-down-Liste einen Benutzer aus. In diesem Beispiel sind die Incidents nicht zugewiesen, sie sollten jedoch einem Analysten zugewiesen sein.
    Incidents List view showing the Assignee drop-down list
  3. Bei Auswahl von mehr als einem Incident im Dialogfeld Aktualisierung bestätigen klicken Sie auf OK.
    Eine Benachrichtigung über die erfolgreiche Änderung wird angezeigt. Der Zuweisungsempfänger wird auf den ausgewählten Benutzer geändert.
    Incidents List showing successful assignee change

So weisen Sie einen Benutzer über den Bereich „Übersicht“ einem Incident zu:

  1. Um den Bereich „Übersicht“ zu öffnen, führen Sie einen der folgenden Schritte aus:
    • Klicken Sie in der Incident-Listenansicht auf einen Incident, dessen Priorität aktualisiert werden muss.
    • Klicken Sie in der Ansicht „Incident-Details“ auf die Registerkarte ÜBERSICHT.
      Im Bereich „Übersicht“ zeigt die Schaltfläche „Priorität“ die aktuelle Priorität des Incident. Im folgenden Beispiel hat die Schaltfläche „Zuweisungsempfänger“ den aktuellen Status „Nicht zugewiesen“.
      Update Overview Panel changing assignee to Analyst User from Unassigned
  2. Klicken Sie auf die Schaltfläche Zuweisungsempfänger und wählen Sie in der Drop-down-Liste einen Benutzer aus.
    Eine Benachrichtigung über die erfolgreiche Änderung wird angezeigt. Die Schaltfläche „Zuweisungsempfänger“ ändert sich und zeigt den zugewiesenen Benutzer an.
    Successful change notification

Umbenennen eines Incident

Sie können einen Incident aus dem Bereich „Übersicht“ in der Incident-Listenansicht und der Ansicht „Incident-Details“ umbenennen. Möglicherweise möchten Sie einen Incident zur Klärung des Problems umbenennen, insbesondere, wenn mehrere Incidents denselben Namen haben.

  1. Navigieren Sie zu Reagieren > Incidents.
  2. Um den Bereich „Übersicht“ zu öffnen, führen Sie einen der folgenden Schritte aus:
    • Klicken Sie in der Incident-Listenansicht auf einen Incident, dessen Name geändert werden muss.
      Der Bereich „Übersicht“ wird geöffnet.
    • Navigieren Sie in der Ansicht „Incident-Details“ zum Bereich ÜBERSICHT.
      In der Kopfzeile über dem Bereich „Übersicht“ sehen Sie die Incident-ID und den Namen des Incident.
      Overview Panel showing header
  3. Klicken Sie auf den Incident-Namen in der Kopfzeile, um einen Text-Editor zu öffnen.
    Incident Details View Overview panel showing an editable name field in the header
  4. Geben Sie einen neuen Namen für den Incident in den Text-Editor ein und klicken Sie auf das Häkchen, um die Änderung zu bestätigen.
    Incident Details View Overview panel showing text editor
    Sie können z. B. „Warnmeldungen mit hohem Risiko: ESA für 90.0“ zur Verdeutlichung in „Warnmeldungen für mail.emc.com“ ändern.
    Eine Benachrichtigung über die erfolgreiche Änderung wird angezeigt.
    Successful change notification
    Im Feld „Incident-Name“ wird der neue Name angezeigt.
    Incident Details View Overview panel showing new incident name

Anzeigen aller Incident-Aufgaben

Wenn zusätzliche Arbeiten für einen Incident erforderlich sind, können Sie Aufgaben für den Incident erstellen und den Fortschritt , dieser Aufgaben nachverfolgen. Dies ist hilfreich, wenn Sie beispielsweise Arbeiten außerhalb der Sicherheitsabläufe durchführen oder eine Anforderung für die Erstellung eines neuen Image für den Rechner vornehmen. In der Ansicht „Aufgabenliste“ können Sie die Aufgaben managen und bis zum Abschluss nachverfolgen.

  1. Navigieren Sie zu Reagieren > Aufgaben.
    In der Ansicht „Aufgabenliste“ wird eine Liste aller Incident-Aufgaben angezeigt.
    Tasks View
  2. Blättern Sie durch die Aufgabenliste, in der grundlegende Informationen zu jeder Aufgabe angezeigt werden, wie in der folgenden Tabelle beschrieben ist.
                                               
Spalte

Beschreibung

CREATEDZeigt das Datum an, an dem die Aufgabe erstellt wurde.
PRIORITÄTZeigt die Priorität an, die der Aufgabe zugewiesen wurde. Die Priorität kann eine der Folgenden sein: Kritisch, Hoch, Mittel oder Niedrig. Die Priorität ist auch farbcodiert, wobei Rot Kritisch bedeutet, Orange hohes Risiko, Gelb mittleres Risiko und Grün geringes Risiko, wie in der folgenden Abbildung dargestellt ist:
Priorities showing color coding
IDZeigt die Aufgaben-ID.
NAMEZeigt den Aufgabennamen an.
ZUWEISUNGSEMPFÄNGERZeigt den Namen des Benutzers an, der der Aufgabe zugewiesen wurde.
STATUSZeigt den Status der Aufgabe an: „Neu“, „Zugewiesen“, „Läuft“, „Korrigiert“, „Risiko akzeptiert“ und „Nicht zutreffend“.
LETZTE AKTUALISIERUNGZeigt das Datum und die Uhrzeit der letzten Aktualisierung der Aufgabe an.
ERSTELLT VONZeigt den Benutzer an, der die Aufgabe erstellt hat.
Incident-IDZeigt die ID des Incident an, für den die Aufgabe erstellt wurde. Klicken Sie auf die ID, um die Details des Incident anzuzeigen.

Am unteren Rand der Liste sehen Sie die Anzahl der Aufgaben auf der aktuellen Seite, die Gesamtzahl der Aufgaben und die Anzahl der ausgewählten Aufgaben. Beispiel: 6 von 6 Elementen werden angezeigt | 2 ausgewählt.

Filtern der Aufgabenliste

Die Anzahl der Aufgaben in der Aufgabenliste kann sehr groß sein, sodass es schwierig ist, bestimmte Aufgaben zu finden. Mit dem Filter können Sie die Aufgaben angeben, die Sie anzeigen möchten, etwa Aufgaben, die in den letzten 7 Tagen erstellt wurden. Sie können auch nach einer spezifischen Aufgabe suchen.

  1. Navigieren Sie zu Reagieren > Aufgaben.
    Der Bereich „Filter“ wird auf der linken Seite der Aufgabenliste angezeigt. Sollte der Bereich „Filter“ nicht angezeigt werden, klicken Sie in der Symbolleiste der Ansicht „Aufgabenliste“ auf Filter icon, woraufhin der Bereich „Filter“ geöffnet wird.
    Tasks List Filters panel
  2. Wählen Sie im Bereich „Filter“ eine oder mehrere Optionen zum Filtern der Liste „Incidents“:
    • ZEITBEREICH: Sie können einen bestimmten Zeitraum aus der Drop-down-Liste „Zeitbereich“ auswählen. Der Zeitbereich basiert auf dem Erstellungsdatum der Aufgaben. Wenn Sie zum Beispiel „Letzte Stunde“ auswählen, werden die Aufgaben angezeigt, die innerhalb der letzten 60 Minuten erstellt wurden.
    • BENUTZERDEFINIERTER DATUMSBEREICH: Sie können einen bestimmten Datumsbereich anstelle der Option „Zeitbereich“ auswählen. Klicken Sie dazu auf den weißen Kreis vor „BENUTZERDEFINIERTER DATUMSBEREICH“, um die Felder „Startdatum“ und „Enddatum“ anzuzeigen. Wählen Sie die Datums- und Zeitangaben im Kalender aus.
      Custom Date Range option in the filter
    • AUFGABEN-ID: Geben Sie die Aufgaben-ID für eine Aufgabe ein, die Sie suchen möchten, z. B. REM-123.
    • PRIORITÄT: Wählen Sie die Prioritäten aus, die Sie anzeigen möchten.
    • STATUS: Wählen Sie einen oder mehrere Incident-Status aus. Wählen Sie beispielsweise „Korrigiert“ aus, um abgeschlossene Korrekturaufgaben anzuzeigen.
    • ERSTELLT VON: Wählen Sie den Benutzer, der die Aufgaben erstellt hat, die Sie anzeigen möchten. Wenn Sie beispielsweise nur die Aufgaben anzeigen möchten, die von Edwardo erstellt wurden, wählen Sie „Edwardo“ aus der Drop-down-Liste „ERSTELLT VON“ aus. Wenn Sie Aufgaben unabhängig von der Person, die sie erstellt hat, anzeigen möchten, treffen Sie unter „ERSTELLT VON“ keine Auswahl.

    In der Aufgabenliste wird eine Liste der Aufgaben angezeigt, die Ihre Auswahlkriterien erfüllen. Sie finden die Anzahl der Elemente in der gefilterten Liste am unteren Rand der Aufgabenliste.
    Beispiel: 6 von 6 Elementen werden angezeigt

  3. Wenn Sie den Bereich „Filter“ schließen möchten, klicken Sie auf X. Ihre Filter werden beibehalten, bis Sie sie entfernen.

Entfernen meiner Filter aus der Aufgabenliste

NetWitness Suite erinnert sich an Ihre Filterauswahl in der Ansicht „Aufgabenliste“. Sie können Ihre Filterauswahl entfernen, wenn Sie sie nicht mehr benötigen. Wenn Sie beispielsweise nicht die erwartete Anzahl an Aufgaben sehen oder Sie alle Aufgaben in der Aufgabenliste anzeigen möchten, können Sie Ihre Filter zurücksetzen.

  1. Navigieren Sie zu Reagieren > Aufgaben.
    Der Bereich „Filter“ wird auf der linken Seite der Aufgabenliste angezeigt. Sollte der Bereich „Filter“ nicht angezeigt werden, klicken Sie in der Symbolleiste der Ansicht „Aufgabenliste“ auf Filter icon, woraufhin der Bereich „Filter“ geöffnet wird.
  2. Klicken Sie am unteren Rand des Bereichs „Filter“ auf Filter zurücksetzen.

Erstellen einer Aufgabe

Nachdem Sie einen Incident untersucht haben und mehr über ihn wissen, können Sie eine Aufgabe erstellen, sie einem Benutzer zuweisen und bis zum Abschluss nachverfolgen. Sie können Aufgaben in der Ansicht „Incident-Details“ erstellen.

  1. Navigieren Sie zu Reagieren > Incidents.
    In der Ansicht „Incident-Liste“ wird eine Liste aller Incidents angezeigt.
    Incidents List with links in ID and NAME fields selected

  2. Suchen Sie den Incident, der eine Aufgabe benötigt, und klicken Sie auf den Link im Feld ID oder NAME.
    Die Ansicht „Incident-Details“ wird geöffnet.
    Incident Details view showing icon for Journal, Tasks, and Related in red
  3. Wählen Sie in der Symbolleiste oben rechts in der Ansicht „Incident-Details“ Journal icon aus.
    Der Bereich „Journal“ wird geöffnet.
    Incident Details view with Journal open showing Tasks tab in red
  4. Wählen Sie die Registerkarte AUFGABEN aus.
    Tasks panel with no tasks
  5. Klicken Sie im Bereich „Aufgaben“ auf Neue Aufgabe hinzufügen.
    Die Felder für die neue Aufgabe werden angezeigt.
    Tasks panel new task fields
    Wenn der Incident den Status „Geschlossen“ aufweist („Geschlossen“ oder „Geschlossen – falsch positives Ergebnis“), ist die Schaltfläche „Neue Aufgabe hinzufügen“ deaktiviert.
  6. Stellen Sie folgende Informationen bereit:
    • Name: Name der Aufgabe. Beispiel: Neues Image für den Rechner erstellen.
    • Beschreibung: (Optional) Geben Sie eine Beschreibung für die Aufgabe ein. Sie können geltende Referenznummern einbeziehen.
    • Zuweisungsempfänger: (Optional) Geben Sie den Namen des Benutzers ein, dem die Aufgabe zugewiesen werden soll.
    • Priorität: Klicken Sie auf die Schaltfläche „Priorität“ und wählen Sie eine Priorität für die Aufgaben aus der Drop-down-Liste: „Niedrig“, „Mittel“, „Hoch“ oder „Kritisch“.
  7. Klicken Sie auf Speichern.
    Sie sehen eine Bestätigung, dass Ihre Änderung erfolgreich war. Der Status des Incident ändert sich zu Aufgabe angefordert. Die Aufgabe wird im Bereich „Aufgaben“ für diesen Incident angezeigt.
    Incident Details view showing new task in the Tasks panel with a status of Task Requested
    Außerdem wird Sie in der Liste der Aufgaben (Reagieren > Aufgaben) in einer Liste aller Incident-Aufgaben angezeigt.
    Incidents List showing new task

Hinweis: Sollte sich der Status nicht ändern, müssen Sie möglicherweise Ihren Internetbrowser aktualisieren.

Suchen einer Aufgabe

Wenn Sie die Aufgaben-ID kennen, können Sie eine Aufgabe schnell mithilfe des Filters suchen. Beispiel: Sie möchten eine bestimmte Aufgabe in Tausenden von Aufgaben suchen.

  1. Navigieren Sie zu Reagieren > Aufgaben.
    Der Bereich „Filter“ wird auf der linken Seite der Aufgabenliste angezeigt. Sollte der Bereich „Filter“ nicht angezeigt werden, klicken Sie in der Symbolleiste der Ansicht „Aufgabenliste“ auf Filter icon, woraufhin der Bereich „Filter“ geöffnet wird.
    Tasks List Filters panel showing example search for a task in the TASK ID field
  2. Geben Sie im Feld „AUFGABEN-ID“ die Aufgaben-ID für eine Aufgabe ein, die Sie suchen möchten, z. B. REM-1234.

    Die angegebene Aufgabe wird in der Aufgabenliste angezeigt. Wenn keine Ergebnisse angezeigt werden, versuchen Sie, die Filter zurücksetzen.

Ändern einer Aufgabe

Sie können eine Aufgabe von innerhalb eines Incident und in der Aufgabenliste ändern. Möglicherweise möchten Sie als Status der Aufgabe „Läuft“ anzeigen und einige zusätzliche Informationen zur Aufgabe hinzufügen. Wenn die Aufgabe den Status „Geschlossen“ (Nicht zutreffend, Risiko akzeptiert oder Korrigiert) aufweist, können Sie weder Priorität noch Zuweisungsempfänger ändern.

So ändern Sie eine Aufgabe innerhalb eines Incident:

  1. Navigieren Sie zu Reagieren > Incidents.
    In der Incident-Listenansicht wird eine Liste aller Incidents angezeigt.

  2. Suchen Sie den Incident, der eine Aufgabenaktualisierung benötigt, und klicken Sie auf den Link im Feld ID oder NAME.
    Die Ansicht „Incident-Details“ wird geöffnet.

  3. Wählen Sie in der Symbolleiste oben rechts in der Ansicht Journal icon aus.
    Der Bereich „Journal“ wird geöffnet.
  4. Wählen Sie die Registerkarte AUFGABEN aus.
  5. Im Bereich „Aufgaben“ gibt ein Bleistiftsymbol ein Textfeld an, das Sie ändern können. Eine Schaltfläche weist auf eine Drop-down-Liste hin, in der Sie eine Auswahl treffen können.
    Task panel
  6. Sie können die folgenden Felder bearbeiten:
    • NAME: Klicken Sie auf den aktuellen Aufgabennamen, um einen Text-Editor zu öffnen.
      Task Name edit text box
      Klicken Sie auf das Häkchen, um die Änderung zu bestätigen. Sie können beispielsweise „Neues Image für den Rechner erstellen“ zu „So bald wie möglich neues Image für den Rechner erstellen“ ändern.
    • ZUWEISUNGSEMPFÄNGER: Klicken Sie auf „(Nicht zugewiesen)“ oder den Namen des vorherigen Zuweisungsempfängers, um einen Text-Editor zu öffnen. Geben Sie den Namen des Benutzers ein, dem die Aufgabe zugewiesen werden soll.
      Klicken Sie auf das Häkchen, um die Änderung zu bestätigen.
    • PRIORITÄT: Klicken Sie auf die Schaltfläche „Priorität“ und wählen Sie eine Priorität für die Aufgabe aus der Drop-down-Liste: „Niedrig“, „Mittel“, „Hoch“ oder „Kritisch“.
    • STATUS: Klicken Sie auf die Schaltfläche „Status“ und wählen Sie in der Drop-down-Liste einen Status für die Aufgabe aus: „Neu“, „Zugewiesen“, „Läuft“, „Korrigiert“, „Risiko akzeptiert“ und „Nicht zutreffend“. Beispielsweise können Sie den Status auf „Läuft“ ändern.
      Status field drop-down list with In Progress selected
    • BESCHREIBUNG: Klicken Sie auf den Text unter der Beschreibung, um einen Text-Editor zu öffnen.
      Task Description field text editor
      Ändern Sie den Text und klicken Sie auf das Häkchen, um die Änderung zu bestätigen.

Für jede vorgenommene Änderung sehen Sie eine Bestätigung darüber, dass Ihre Änderung erfolgreich war.

So ändern Sie eine Aufgabe aus der Liste der Aufgaben:

  1. Navigieren Sie zu Reagieren > Aufgaben.
    In der Ansicht „Aufgabenliste“ wird eine Liste aller Incident-Aufgaben angezeigt.
  2. Klicken Sie in der Aufgabenliste auf die Aufgabe, die Sie aktualisieren möchten.
    Der Bereich „Übersicht“ für Aufgaben wird rechts neben der Liste der Aufgaben angezeigt.
    Tasks List view showing the Overview panel
    Im Bereich „Übersicht“ für Aufgaben gibt ein Bleistiftsymbol ein Textfeld an, das Sie ändern können. Eine Schaltfläche weist auf eine Drop-down-Liste hin, in der Sie eine Auswahl treffen können.
    Task Overview panel
  3. Sie können die folgenden Felder bearbeiten:
    • <Aufgabenname>: Klicken Sie am oberen Rand des Bereichs „Übersicht“ für Aufgaben unter der Aufgaben-ID auf den Namen der aktuellen Aufgabe, um einen Text-Editor zu öffnen.
      Task Name edit text box
      Klicken Sie auf das Häkchen, um die Änderung zu bestätigen. Beispielsweise können Sie „AUFGABE 5“ in „AUFGABE 6“ ändern.
    • Priorität: Klicken Sie auf die Schaltfläche „Priorität“ und wählen Sie eine Priorität für die Aufgabe aus der Drop-down-Liste: „Niedrig“, „Mittel“, „Hoch“ oder „Kritisch“.
    • Status: Klicken Sie auf die Schaltfläche „Status“ und wählen Sie in der Drop-down-Liste einen Status für die Aufgabe aus: „Neu“, „Zugewiesen“, „Läuft“, „Korrigiert“, „Risiko akzeptiert“ und „Nicht zutreffend“.
    • Zuweisungsempfänger: Klicken Sie auf „(Nicht zugewiesen)“ oder den Namen des vorherigen Zuweisungsempfängers, um einen Text-Editor zu öffnen. Geben Sie den Namen des Benutzers ein, dem die Aufgabe zugewiesen werden soll.
      Assignee Edit text box
      Klicken Sie auf das Häkchen, um die Änderung zu bestätigen.
    • Beschreibung: Klicken Sie auf den Text unter der Beschreibung, um einen Text-Editor zu öffnen.
      Task Description field text editor
      Ändern Sie den Text und klicken Sie auf das Häkchen, um die Änderung zu bestätigen.

Für jede vorgenommene Änderung sehen Sie eine Bestätigung darüber, dass Ihre Änderung erfolgreich war.

Löschen einer Aufgabe

Sie können eine Aufgabe löschen, wenn Sie sie z. B. irrtümlich erstellt haben oder Sie feststellen, dass sie nicht benötigt wird. Sie können eine Aufgabe von innerhalb eines Incident und in der Ansicht „Aufgabenliste“ löschen. In der Ansicht „Aufgabenliste“ können Sie mehrere Aufgaben gleichzeitig löschen.

So löschen Sie eine Aufgabe innerhalb eines Incident:

  1. Navigieren Sie zu Reagieren > Incidents.
    In der Incident-Listenansicht wird eine Liste aller Incidents angezeigt.

  2. Suchen Sie den Incident, der eine Aufgabenaktualisierung benötigt, und klicken Sie auf den Link im Feld ID oder NAME.
    Die Ansicht „Incident-Details“ wird geöffnet.

  3. Wählen Sie in der Symbolleiste oben rechts in der Ansicht Journal icon aus.
    Der Bereich „Journal“ wird geöffnet.
  4. Wählen Sie die Registerkarte „AUFGABEN“ aus.
  5. Im Bereich „Aufgaben“ können Sie die Aufgaben sehen, die für den Incident erstellt wurden.
    Tasks panel showing two tasks
  6. Klicken Sie auf Delete icon (trash can) rechts neben der Aufgabe, die Sie löschen möchten.
    Task showing location of delete icon
  7. Bestätigen Sie, dass Sie die Aufgabe löschen möchten, und klicken Sie auf OK.
    Confirm Delete dialog
    Die Aufgabe wird aus NetWitness Suite gelöscht. Durch das Löschen von Aufgaben aus NetWitness Suite werden sie nicht von anderen Systemen gelöscht.

So löschen Sie Aufgaben aus der Aufgabenliste:

  1. Navigieren Sie zu  Reagieren > Aufgaben.
    In der Ansicht „Aufgabenliste“ wird eine Liste aller Incident-Aufgaben angezeigt.
  2. Wählen Sie in der Liste der Aufgaben die Aufgaben aus, die Sie löschen möchten, und klicken Sie auf Löschen.
    Tasks list with tasks selected for delete
  3. Bestätigen Sie, dass Sie die Aufgaben löschen möchten, und klicken Sie auf OK.
    Confirm Delete dialog
    Die Aufgaben werden aus NetWitness Suite gelöscht. Durch das Löschen von Aufgaben aus NetWitness Suite werden sie nicht von anderen Systemen gelöscht.

Schließen eines Incident

Nachdem Sie einen Incident untersucht, das Problem behandelt und eine Lösung gefunden haben, schließen Sie den Incident.

  1. Navigieren Sie zu Reagieren > Incidents.
  2. Wählen Sie in der Incident-Listenansicht den Incident, den Sie schließen möchten, und klicken Sie auf Status ändern.
  3. Wählen Sie aus der Drop-down-Liste Geschlossen aus.
    Eine Benachrichtigung über die erfolgreiche Änderung wird angezeigt. Der Incident ist jetzt geschlossen. Sie können die Priorität oder den Zuweisungsempfänger eines geschlossenen Incident nicht ändern.

Hinweis: Sie können einen Incident auch im Bereich „Übersicht“ schließen. In der Incident-Listenansicht können Sie mehrere Incidents gleichzeitig schließen. Unter Ändern des Incident-Status finden Sie zusätzliche Details.

You are here
Table of Contents > Eskalieren oder Korrigieren des Incident

Attachments

    Outcomes