NetWitness Respond-Prozess

Document created by RSA Information Design and Development Employee on May 11, 2018Last modified by RSA Information Design and Development Employee on Apr 28, 2019
Version 4Show Document
  • View in full screen mode
 

NetWitness Respond erfasst Warnmeldungen aus mehreren Quellen und bietet die Möglichkeit, diese logisch zu gruppieren und einen Incident-Respond-Workflow zu starten, mit dem die aufgeworfenen Sicherheitsprobleme untersucht und behoben werden. Mit NetWitness Respond können Sie Regeln konfigurieren, die Warnmeldungen in Incidents zusammenfassen. Warnmeldungen werden vom System auf ein gemeinsames Format normalisiert, sodass die Nutzer unabhängig von der Datenquelle eine konsistente Sicht auf die Regelkriterien erhalten. Auf Grundlage der Warnmeldungsdaten können Sie Abfragekriterien erstellen, um solche Felder abzufragen, die häufig in Datenquellen vorkommen und für diese spezifisch sind.

Die Regel-Engine ermöglicht die Gruppierung ähnlicher Warnmeldungen in ein Incident, damit der Ermittlungs- und Behebungsworkflow auf mehrere Gruppen mit ähnlichen Warnmeldungen angewendet werden kann. Mithilfe von Regeln, die Sie erstellen, können Sie abhängig von einem gemeinsamen Wert für ein oder zwei Attribute (Beispiel: Quellenhostname) Warnmeldungen in Incidents gruppieren. Eine solche Gruppe kann auch anhand dessen erstellt werden, ob die Warnmeldungen innerhalb eines bestimmten Zeitfensters aufgetreten sind (Beispiel: Warnmeldungen mit einem Abstand von jeweils weniger als 4 Stunden zueinander).

Wenn eine Warnmeldung von einer Regel erfasst wird, wird anhand der Kriterien ein Incident erstellt. Wenn ein vorhandener Incident mit den entsprechenden Kriterien erstellt wurde und der Incident noch nicht ausgeführt wird, werden diesem Incident weiterhin neu auftretende Warnmeldungen hinzugefügt. Wenn für die Werte der Gruppe (beispielsweise ein bestimmter Hostname) oder für das Zeitfenster noch kein Incident vorhanden ist, wird ein neuer Incident erstellt und die Warnmeldung wird diesem Incident hinzugefügt. 

Es können mehrere Incident-Regeln verwendet werden. Mit diesen Regeln können entweder Warnmeldungen in Incidents gruppiert oder Warnmeldungen unterdrückt werden, damit sie nicht mit Regeln abgeglichen werden. Regeln werden von oben nach unten nacheinander abgearbeitet. Wenn eine eingehende Warnmeldung einer Regel entspricht, wird diese Warnmeldung dem entsprechenden Incident zugeordnet und keine weitere Regel wird auf sie angewendet. Durch Incidents wird ein Kontext für Warnmeldungen gegeben, es werden Tools zum Erfassen des Ermittlungsstatus bereitgestellt und der Fortschritt zugehöriger Aufgaben kann nachverfolgt werden.

Die Phasen des NetWitness Respond-Prozesses sind:

  • Überprüfen von Warnmeldungen
  • Erstellen von Incidents
  • Reagieren auf Incidents:
    • Überprüfen der Liste mit priorisierten Incidents
    • Ermitteln, welche Incidents eine Aktion erfordern
    • Untersuchen von Incidents
    • Eskalieren oder korrigieren Sie den Incident (dies beinhaltet die Erstellung und Zuweisung von Aufgaben sowie die Verfolgung von Aufgaben bis zu deren Abschluss. Wenn RSA Archer als Datenquelle im Context Hub konfiguriert ist, können Sie in Version 11.2 und höher Incidents an RSA Archer® Cyber Incident & Breach Response senden.)

Sie haben auch die Möglichkeit, Incidents in Archer Cyber Incident & Breach Response anstelle von NetWitness Respond zu managen.

NetWitness Respond-Workflow

Die folgende Abbildung zeigt den allgemeinen NetWitness Respond-Workflow-Prozess.

 

NetWitness Respond High-Level Workflow

You are here
Table of Contents > NetWitness Respond-Prozess

Attachments

    Outcomes