Reagieren: Warnmeldungsliste

Document created by RSA Information Design and Development on May 11, 2018Last modified by RSA Information Design and Development on Oct 19, 2018
Version 3Show Document
  • View in full screen mode
 

Die Warnmeldungsliste („REAGIEREN“ > „Warnmeldungen“) gibt Ihnen einen zentralen Überblick über sämtliche Bedrohungswarnmeldungen und Indikatoren, die NetWitness Suite empfängt. Die Warnmeldungen können aus ESA-Korrelationsregeln, ESA Analytics, Malware Analysis, Reporting Engine, NetWitness Endpoint sowie vielen weiteren Quellen stammen. Sie können die in der Warnmeldungsliste aufgeführten Warnmeldungen durchsuchen, filtern und zur Erstellung von Incidents auch zusammenfassen.

Workflow

Dieser Workflow veranschaulicht den allgemeinen Prozess, anhand dessen Analysten Warnmeldungen überprüfen und Incidents erstellen.

Incident List view workflow diagram

Die Listenansicht der Warnmeldungen ist eine quellenübergreifende Liste aller Warnmeldungen, die NetWitness Suite empfangen hat. Sie können die einzelnen Warnmeldungen untersuchen und Incidents aus ihnen erstellen. Außerdem haben Sie die Möglichkeit, Incident-Regeln für die Erstellung von Incidents zu definieren.

Hinweis: Mithilfe von NetWitness Suite Automated Threat Detection können Sie Incidents erstellen, ohne erst manuell Regeln definieren zu müssen.

Was möchten Sie tun?

                                                          
RolleZielDetails anzeigen
Incident-Experten,
Analysten
Alle Warnmeldungen in NetWitness Suite anzeigen*Anzeigen von Warnmeldungen
Incident-Experten,
Analysten
Warnmeldungen filtern*Filtern der Warnmeldungsliste

Incident-Experten,
Analysten

Übersichtsinformationen zu Warnmeldungen sowie Metadaten zu Rohwarnmeldungen anzeigen*

Anzeigen von Übersichtsinformationen zu Warnmeldungen

Incident-Experten,
Analysten
Incidents aus Warnmeldungen erstellen*Manuelles Erstellen eines Incident

Incident-Experten,
Analysten

(verfügbar ab Version 11.1) Warnmeldungen zu einem vorhandenen Incident hinzufügen.*

Warnmeldungen zu einem Incident hinzufügen

Administratoren,
Datenschutzbeauftragte

Warnmeldungen löschen*

Löschen von Warnmeldungen

SOC-Manager,
Administratoren
Incident-Regeln erstellen

Siehe „Erstellen einer Incident-Regel für Warnmeldungen“ im NetWitness Respond-Konfigurationsleitfaden.

Incident-Experten, Analysten Ereignisse in einer Warnmeldung untersuchen

Anzeigen von Ereignisdetails für eine Warnmeldung und Untersuchen von Ereignissen

Incident-Experten,
Analysten

Einem bereits vorhandenen Incident Warnmeldungen hinzufügen

Hinzufügen verwandter Indikatoren zum Incident

* Sie können diese Aufgaben in der aktuellen Ansicht (d. h. in der Warnmeldungsliste) durchführen.

Verwandte Themen

Warnmeldungsliste

Zum Aufrufen der Warnmeldungsliste klicken Sie auf Reagieren > Warnmeldungen. In der Warnmeldungsliste werden sämtliche Warnmeldungen und Indikatoren aufgelistet, die von der Antwortserver-Datenbank in NetWitness Suite empfangen wurden. Auf der Abbildung unten sehen Sie links den Bereich „Filter“.

Alerts List view

Die Listenansicht unter „Warnmeldungen“ besteht aus einem „Filter“-Bereich, einer Liste mit Warnmeldungen und einem „Übersicht“-Bereich für die einzelnen Warnmeldungen. Wenn Sie auf eine Warnmeldung in der Warnmeldungsliste klicken, wird rechts der Bereich „Übersicht“ für die betreffende Warnmeldung angezeigt.

Alerts List view showing the Alert Overview panel

Warnmeldungsliste

In der Warnmeldungsliste sind sämtliche Warnmeldungen in NetWitness Suite aufgeführt. Sie können diese Liste so filtern, dass nur die Warnmeldungen angezeigt werden, die für Sie von Interesse sind.

Alerts List

                                           
Spalte

Beschreibung

Checkbox icon Erlaubt die Auswahl einer oder mehrerer Warnmeldungen, um sie anschließend zu Löschen. Warnmeldungen können von Benutzern mit den entsprechenden Berechtigungen gelöscht werden, wie Administratoren und Datenschutzbeauftragten.
CREATEDZeigt an, an welchem Datum und zu welcher Uhrzeit die Warnmeldung im Quellsystem erfasst wurde.
SCHWEREGRAD Zeigt den Schweregrad der Warnmeldung an. Möglich sind Werte von 1 bis 100. 
NAMEZeigt eine grundlegende Beschreibung der Warnmeldung an.
QUELLE Zeigt die ursprüngliche Quelle der Warnmeldung an. Mögliche Warnmeldungsquellen sind unter anderem NetWitness Endpoint, Malware Analysis, ESA-Korrelationsregeln, ESA Analytics und Reporting Engine.
EREIGNISANZAHLZeigt die Anzahl an Ereignissen, die in einer Warnmeldung enthalten sind. Diese Zahl variiert je nach Quelle der Warnmeldung. NetWitness Endpoint- und Malware Analysis-Warnmeldungen haben zum Beispiel immer nur ein Ereignis. Für bestimmte Arten von Warnmeldungen bedeutet eine große Anzahl an Ereignissen, dass die Warnmeldung riskanter ist.
HOSTZUSAMMENFASSUNGZeigt Details des Hosts an, wie zum Beispiel den Hostnamen, von dem die Warnmeldung ausgelöst wurde. Die Details können Informationen zu den Quell- und Zielhosts in einer Warnmeldung enthalten. Manche Warnmeldungen können Ereignisse über mehr als einen Host beschreiben.
Incident-IDZeigt die Incident-ID einer Warnmeldung an. Ist keine Incident-ID aufgeführt, gehört die Warnmeldung zu keinem Incident und Sie können einen Incident erstellen, der dann diese Warnmeldung enthält. Alternativ kann die Warnmeldung einem vorhandenen Incident hinzugefügt werden.

Unter der Liste sehen Sie die Anzahl von Warnmeldungen auf der aktuellen Seite sowie die Gesamtzahl aller Warnmeldungen und die Anzahl ausgewählter Warnmeldungen. Beispiel: 377 von 377 Elementen werden angezeigt | 3 ausgewählt

Bereich „Filter“

Auf der Abbildung unten sehen Sie die im Bereich „Filter“ verfügbaren Filter.

Alerts List Filter panel

Im Bereich „Filter“ links neben der Warnmeldungsliste stehen Optionen zur Verfügung, mit denen Sie die Warnmeldungsliste filtern können. Wenn Sie den Bereich „Filter“ verlassen, werden die ausgewählten Filter für die Warnmeldungsliste beibehalten.

                                            
OptionBeschreibung
ZEITBEREICH Sie können einen bestimmten Zeitraum aus der Drop-down-Liste „Zeitbereich“ auswählen. Der Zeitbereich basiert auf dem Datum, an dem die Warnmeldungen empfangen wurden. Wenn Sie zum Beispiel „Letzte Stunde“ auswählen, werden die Warnmeldungen angezeigt, die innerhalb der letzten 60 Minuten empfangen wurden.
BENUTZERDEFINIERTER DATUMSBEREICH Sie können einen bestimmten Datumsbereich anstelle der Option „Zeitbereich“ auswählen. Klicken Sie dazu auf den weißen Kreis vor „Benutzerdefinierter Datumsbereich“, damit die Felder „Startdatum“ und „Enddatum“ angezeigt werden. Wählen Sie die Datums- und Zeitangaben im Kalender aus.
Custom Date Range
TYPZeigt den Ereignis-Typ der Warnmeldung an, zum Beispiel Protokolle, Netzwerksitzungen usw.

QUELLE

Zeigt die ursprüngliche Quelle der Warnmeldung an. Mögliche Warnmeldungsquellen sind unter anderem NetWitness Endpoint, Malware Analysis, Event Stream Analysis (ESA-Korrelationsregeln), ESA Analytics, Reporting Engine und Web Threat Detection.

SCHWEREGRADZeigt den Schweregrad der Warnmeldung an. Der Wert kann zwischen 1 und 100 liegen. 

ZU INCIDENT GEHÖRIG?

Gibt an, ob die Warnmeldung einem Incident zugeordnet ist. Wählen Sie Ja aus, um alle Warnmeldungen anzuzeigen, die zu einem Incident gehören. Wählen Sie Nein aus, um alle Warnmeldungen anzuzeigen, die zu keinem Incident gehören. Vor der Erstellung eines Incident aus einer Warnmeldung sollten Sie beispielsweise die Option „Nein“ auswählen, damit nur die Warnmeldungen angezeigt werden, die noch nicht zu einem Incident gehören.

WARNMELDUNGSNAMEN

Zeigt den Namen der Warnmeldung an. Sie können diesen Filter verwenden, um nach allen Warnmeldungen zu suchen, die durch eine bestimmte Regel oder Quelle erzeugt wurden, z. B. nach Meldungen mit dem Namen „Schädliche IP - Reporting Engine“.

Filter zurücksetzenEntfernt die Filterauswahl.

In der Warnmeldungsliste wird eine Liste aller Warnmeldungen angezeigt, die Ihre Auswahlkriterien erfüllen. Die Anzahl der Elemente in der gefilterten Liste finden Sie am unteren Rand der Warnmeldungsliste. Beispiel: 30 von 30 Elementen werden angezeigt

Bereich „Übersicht“

Im Bereich „Übersicht“ finden Sie grundlegende Übersichtsinformationen zu der jeweils ausgewählten Warnmeldung sowie die Metadaten der zugehörigen Rohwarnmeldung. Der Bereich „Übersicht“ in der Ansicht „Warnmeldungsdetails“ enthält dieselben Informationen, lässt sich jedoch um zusätzliche Informationen erweitern.

Alert Overview panel

In der folgenden Tabelle sind die Felder im „Übersicht“-Bereich einer Warnmeldung aufgeführt.

                                           

Feld

Beschreibung

<Name der Warnmeldung> Zeigt den Namen der Warnmeldung an.
Incident-IDZeigt die Incident-ID an, die der Warnmeldung zugeordnet ist. Mit einem Klick auf den Incident-ID-Link können Sie die Detailansicht des zugeordneten Incident aufrufen. Gibt es keine Incident-ID, gehört die Warnmeldung zu keinem Incident. Dann können Sie einen Incident für die Warnmeldung erstellen oder sie einem bereits vorhandenen Incident hinzufügen.
ErstelltZeigt an, an welchem Datum und zu welcher Uhrzeit die Warnmeldung erstellt wurde.
SchweregradZeigt den Schweregrad der Warnmeldung an. Der Wert kann zwischen 1 und 100 liegen. 
QuelleZeigt die ursprüngliche Quelle der Warnmeldung an. Mögliche Warnmeldungsquellen sind unter anderem NetWitness Endpoint, Malware Analysis, ESA-Korrelationsregeln, ESA Analytics und Reporting Engine.
TypZeigt den Ereignistyp der Warnmeldung an, zum Beispiel Protokolle, Netzwerksitzungen usw.
EreignisanzahlZeigt die Anzahl an Ereignissen, die in einer Warnmeldung enthalten sind. Diese Zahl variiert je nach Quelle der Warnmeldung. NetWitness Endpoint- und Malware Analysis-Warnmeldungen haben zum Beispiel immer nur ein Ereignis. Für bestimmte Arten von Warnmeldungen bedeutet eine große Anzahl an Ereignissen, dass die Warnmeldung riskanter ist.
RohwarnmeldungZeigt die Metadaten der Rohwarnmeldung an.

Symbolleistenaktionen

In dieser Tabelle werden die Aktionen aufgeführt, die in der Symbolleiste der Warnmeldungsliste verfügbar sind.

                                 
OptionBeschreibung
Filter icon

Öffnet den Bereich „Filter“, in dem Sie festlegen können, welche Incidents in der Incident-Liste angezeigt werden sollen

Close (X) icon

Schließt den Bereich

Schaltfläche Incident erstellen

Erlaubt die Erstellung von Incidents aus Warnmeldungen. Die Warnmeldungen dürfen nicht zu einem Incident gehören. Zum Aufrufen einer Liste aller Warnmeldungen ohne Incident können Sie die Warnmeldungsliste filtern: Wählen Sie dazu im Abschnitt „ZU INCIDENT GEHÖRIG?“ die Option „Nein“ aus.

Schaltfläche Einem Incident hinzufügen

(Diese Option ist in Version 11.1 und höher verfügbar.)
Damit können Sie ausgewählte Warnmeldungen zu einem Incident hinzufügen. Die Warnmeldungen dürfen nicht zu einem Incident gehören. Zum Aufrufen einer Liste aller Warnmeldungen ohne Incident können Sie die Warnmeldungsliste filtern. Wählen Sie im Abschnitt „Zum Incident gehörig“ die Option „Nein“ aus.
Schaltfläche LöschenErlaubt das Löschen von Warnmeldungen.
You are here
Table of Contents > NetWitness Respond-Referenzinformationen > Listenansicht der Warnmeldungen

Attachments

    Outcomes