Die Warnmeldungsliste („REAGIEREN“ > „Warnmeldungen“) gibt Ihnen einen zentralen Überblick über sämtliche Bedrohungswarnmeldungen und Indikatoren, die NetWitness Suite empfängt. Die Warnmeldungen können aus ESA-Korrelationsregeln, ESA Analytics, Malware Analysis, Reporting Engine, NetWitness Endpoint sowie vielen weiteren Quellen stammen. Sie können die in der Warnmeldungsliste aufgeführten Warnmeldungen durchsuchen, filtern und zur Erstellung von Incidents auch zusammenfassen.
Workflow
Dieser Workflow veranschaulicht den allgemeinen Prozess, anhand dessen Analysten Warnmeldungen überprüfen und Incidents erstellen.
Die Listenansicht der Warnmeldungen ist eine quellenübergreifende Liste aller Warnmeldungen, die NetWitness Suite empfangen hat. Sie können die einzelnen Warnmeldungen untersuchen und Incidents aus ihnen erstellen. Außerdem haben Sie die Möglichkeit, Incident-Regeln für die Erstellung von Incidents zu definieren.
Hinweis: Mithilfe von NetWitness Suite Automated Threat Detection können Sie Incidents erstellen, ohne erst manuell Regeln definieren zu müssen.
Was möchten Sie tun?
* Sie können diese Aufgaben in der aktuellen Ansicht (d. h. in der Warnmeldungsliste) durchführen.
Verwandte Themen
Warnmeldungsliste
Zum Aufrufen der Warnmeldungsliste klicken Sie auf Reagieren > Warnmeldungen. In der Warnmeldungsliste werden sämtliche Warnmeldungen und Indikatoren aufgelistet, die von der Antwortserver-Datenbank in NetWitness Suite empfangen wurden. Auf der Abbildung unten sehen Sie links den Bereich „Filter“.
Die Listenansicht unter „Warnmeldungen“ besteht aus einem „Filter“-Bereich, einer Liste mit Warnmeldungen und einem „Übersicht“-Bereich für die einzelnen Warnmeldungen. Wenn Sie auf eine Warnmeldung in der Warnmeldungsliste klicken, wird rechts der Bereich „Übersicht“ für die betreffende Warnmeldung angezeigt.
Warnmeldungsliste
In der Warnmeldungsliste sind sämtliche Warnmeldungen in NetWitness Suite aufgeführt. Sie können diese Liste so filtern, dass nur die Warnmeldungen angezeigt werden, die für Sie von Interesse sind.
 | Erlaubt die Auswahl einer oder mehrerer Warnmeldungen, um sie anschließend zu Löschen. Warnmeldungen können von Benutzern mit den entsprechenden Berechtigungen gelöscht werden, wie Administratoren und Datenschutzbeauftragten. |
| CREATED | Zeigt an, an welchem Datum und zu welcher Uhrzeit die Warnmeldung im Quellsystem erfasst wurde. |
| SCHWEREGRAD | Zeigt den Schweregrad der Warnmeldung an. Möglich sind Werte von 1 bis 100. |
| NAME | Zeigt eine grundlegende Beschreibung der Warnmeldung an. |
| QUELLE | Zeigt die ursprüngliche Quelle der Warnmeldung an. Mögliche Warnmeldungsquellen sind unter anderem NetWitness Endpoint, Malware Analysis, ESA-Korrelationsregeln, ESA Analytics und Reporting Engine. |
| EREIGNISANZAHL | Zeigt die Anzahl an Ereignissen, die in einer Warnmeldung enthalten sind. Diese Zahl variiert je nach Quelle der Warnmeldung. NetWitness Endpoint- und Malware Analysis-Warnmeldungen haben zum Beispiel immer nur ein Ereignis. Für bestimmte Arten von Warnmeldungen bedeutet eine große Anzahl an Ereignissen, dass die Warnmeldung riskanter ist. |
| HOSTZUSAMMENFASSUNG | Zeigt Details des Hosts an, wie zum Beispiel den Hostnamen, von dem die Warnmeldung ausgelöst wurde. Die Details können Informationen zu den Quell- und Zielhosts in einer Warnmeldung enthalten. Manche Warnmeldungen können Ereignisse über mehr als einen Host beschreiben. |
| Incident-ID | Zeigt die Incident-ID einer Warnmeldung an. Ist keine Incident-ID aufgeführt, gehört die Warnmeldung zu keinem Incident und Sie können einen Incident erstellen, der dann diese Warnmeldung enthält. Alternativ kann die Warnmeldung einem vorhandenen Incident hinzugefügt werden. |
Unter der Liste sehen Sie die Anzahl von Warnmeldungen auf der aktuellen Seite sowie die Gesamtzahl aller Warnmeldungen und die Anzahl ausgewählter Warnmeldungen. Beispiel: 377 von 377 Elementen werden angezeigt | 3 ausgewählt
Bereich „Filter“
Auf der Abbildung unten sehen Sie die im Bereich „Filter“ verfügbaren Filter.
Im Bereich „Filter“ links neben der Warnmeldungsliste stehen Optionen zur Verfügung, mit denen Sie die Warnmeldungsliste filtern können. Wenn Sie den Bereich „Filter“ verlassen, werden die ausgewählten Filter für die Warnmeldungsliste beibehalten.
|
| ZEITBEREICH | Sie können einen bestimmten Zeitraum aus der Drop-down-Liste „Zeitbereich“ auswählen. Der Zeitbereich basiert auf dem Datum, an dem die Warnmeldungen empfangen wurden. Wenn Sie zum Beispiel „Letzte Stunde“ auswählen, werden die Warnmeldungen angezeigt, die innerhalb der letzten 60 Minuten empfangen wurden. |
| BENUTZERDEFINIERTER DATUMSBEREICH | Sie können einen bestimmten Datumsbereich anstelle der Option „Zeitbereich“ auswählen. Klicken Sie dazu auf den weißen Kreis vor „Benutzerdefinierter Datumsbereich“, damit die Felder „Startdatum“ und „Enddatum“ angezeigt werden. Wählen Sie die Datums- und Zeitangaben im Kalender aus.
 |
| TYP | Zeigt den Ereignis-Typ der Warnmeldung an, zum Beispiel Protokolle, Netzwerksitzungen usw. |
| QUELLE | Zeigt die ursprüngliche Quelle der Warnmeldung an. Mögliche Warnmeldungsquellen sind unter anderem NetWitness Endpoint, Malware Analysis, Event Stream Analysis (ESA-Korrelationsregeln), ESA Analytics, Reporting Engine und Web Threat Detection. |
| SCHWEREGRAD | Zeigt den Schweregrad der Warnmeldung an. Der Wert kann zwischen 1 und 100 liegen. |
| ZU INCIDENT GEHÖRIG? | Gibt an, ob die Warnmeldung einem Incident zugeordnet ist. Wählen Sie Ja aus, um alle Warnmeldungen anzuzeigen, die zu einem Incident gehören. Wählen Sie Nein aus, um alle Warnmeldungen anzuzeigen, die zu keinem Incident gehören. Vor der Erstellung eines Incident aus einer Warnmeldung sollten Sie beispielsweise die Option „Nein“ auswählen, damit nur die Warnmeldungen angezeigt werden, die noch nicht zu einem Incident gehören. |
| WARNMELDUNGSNAMEN | Zeigt den Namen der Warnmeldung an. Sie können diesen Filter verwenden, um nach allen Warnmeldungen zu suchen, die durch eine bestimmte Regel oder Quelle erzeugt wurden, z. B. nach Meldungen mit dem Namen „Schädliche IP - Reporting Engine“. |
| Filter zurücksetzen | Entfernt die Filterauswahl. |
In der Warnmeldungsliste wird eine Liste aller Warnmeldungen angezeigt, die Ihre Auswahlkriterien erfüllen. Die Anzahl der Elemente in der gefilterten Liste finden Sie am unteren Rand der Warnmeldungsliste. Beispiel: 30 von 30 Elementen werden angezeigt
Bereich „Übersicht“
Im Bereich „Übersicht“ finden Sie grundlegende Übersichtsinformationen zu der jeweils ausgewählten Warnmeldung sowie die Metadaten der zugehörigen Rohwarnmeldung. Der Bereich „Übersicht“ in der Ansicht „Warnmeldungsdetails“ enthält dieselben Informationen, lässt sich jedoch um zusätzliche Informationen erweitern.
In der folgenden Tabelle sind die Felder im „Übersicht“-Bereich einer Warnmeldung aufgeführt.
| <Name der Warnmeldung> | Zeigt den Namen der Warnmeldung an. |
| Incident-ID | Zeigt die Incident-ID an, die der Warnmeldung zugeordnet ist. Mit einem Klick auf den Incident-ID-Link können Sie die Detailansicht des zugeordneten Incident aufrufen. Gibt es keine Incident-ID, gehört die Warnmeldung zu keinem Incident. Dann können Sie einen Incident für die Warnmeldung erstellen oder sie einem bereits vorhandenen Incident hinzufügen. |
| Erstellt | Zeigt an, an welchem Datum und zu welcher Uhrzeit die Warnmeldung erstellt wurde. |
| Schweregrad | Zeigt den Schweregrad der Warnmeldung an. Der Wert kann zwischen 1 und 100 liegen. |
| Quelle | Zeigt die ursprüngliche Quelle der Warnmeldung an. Mögliche Warnmeldungsquellen sind unter anderem NetWitness Endpoint, Malware Analysis, ESA-Korrelationsregeln, ESA Analytics und Reporting Engine. |
| Typ | Zeigt den Ereignistyp der Warnmeldung an, zum Beispiel Protokolle, Netzwerksitzungen usw. |
| Ereignisanzahl | Zeigt die Anzahl an Ereignissen, die in einer Warnmeldung enthalten sind. Diese Zahl variiert je nach Quelle der Warnmeldung. NetWitness Endpoint- und Malware Analysis-Warnmeldungen haben zum Beispiel immer nur ein Ereignis. Für bestimmte Arten von Warnmeldungen bedeutet eine große Anzahl an Ereignissen, dass die Warnmeldung riskanter ist. |
| Rohwarnmeldung | Zeigt die Metadaten der Rohwarnmeldung an. |
Symbolleistenaktionen
In dieser Tabelle werden die Aktionen aufgeführt, die in der Symbolleiste der Warnmeldungsliste verfügbar sind.
|
 | Öffnet den Bereich „Filter“, in dem Sie festlegen können, welche Incidents in der Incident-Liste angezeigt werden sollen |
|
|  | Schließt den Bereich |
| Schaltfläche Incident erstellen | Erlaubt die Erstellung von Incidents aus Warnmeldungen. Die Warnmeldungen dürfen nicht zu einem Incident gehören. Zum Aufrufen einer Liste aller Warnmeldungen ohne Incident können Sie die Warnmeldungsliste filtern: Wählen Sie dazu im Abschnitt „ZU INCIDENT GEHÖRIG?“ die Option „Nein“ aus. |
| Schaltfläche Einem Incident hinzufügen | (Diese Option ist in Version 11.1 und höher verfügbar.)
Damit können Sie ausgewählte Warnmeldungen zu einem Incident hinzufügen. Die Warnmeldungen dürfen nicht zu einem Incident gehören. Zum Aufrufen einer Liste aller Warnmeldungen ohne Incident können Sie die Warnmeldungsliste filtern. Wählen Sie im Abschnitt „Zum Incident gehörig“ die Option „Nein“ aus. |
| Schaltfläche Löschen | Erlaubt das Löschen von Warnmeldungen. |
