NetWitness Respond-Prozess

Document created by RSA Information Design and Development on May 11, 2018Last modified by RSA Information Design and Development on Oct 19, 2018
Version 3Show Document
  • View in full screen mode
 

NetWitness Suite Respond sammelt Warnmeldungen aus mehreren Quellen, die in logische Gruppen unterteilt werden können. Durch Anstoßen eines Incident-Reaktions-Workflows werden die aufgekommenen Sicherheitsprobleme dann untersucht und behoben.NetWitness Suite Respond ermöglicht es Ihnen, Regeln für die Aggregation von Warnmeldungen in Vorfällen zu konfigurieren. Die Warnmeldungen werden vom System in ein allgemeingültiges Format normalisiert, um eine einheitliche Ansicht der Regelkriterien unabhängig von der Datenquelle zu ermöglichen. Auf Grundlage der Warnmeldungsdaten können Sie Abfragekriterien erstellen, um solche Felder abzufragen, die häufig in Datenquellen vorkommen und für diese spezifisch sind.

Die Regel-Engine ermöglicht die Gruppierung ähnlicher Warnmeldungen in ein Incident, damit der Ermittlungs- und Behebungworkflow auf mehrere Gruppen mit ähnlichen Warnmeldungen angewendet werden kann. Mithilfe von Regeln, die Sie erstellen, können Sie abhängig von einem gemeinsamen Wert für ein oder zwei Attribute (Beispiel: Quellenhostname) Warnmeldungen in Incidents gruppieren. Eine solche Gruppe kann auch anhand dessen erstellt werden, ob die Warnmeldungen innerhalb eines bestimmten Zeitfensters aufgetreten sind (Beispiel: Warnmeldungen mit einem Abstand von jeweils weniger als 4 Stunden zueinander).

Wenn eine Warnmeldung von einer Regel erfasst wird, wird anhand der Kriterien ein Incident erstellt. Wenn ein vorhandener Incident mit den entsprechenden Kriterien erstellt wurde und der Incident noch nicht ausgeführt wird, werden diesem Incident weiterhin neu auftretende Warnmeldungen hinzugefügt. Wenn für die Werte der Gruppe (beispielsweise ein bestimmter Hostname) oder für das Zeitfenster noch kein Incident vorhanden ist, wird ein neuer Incident erstellt und die Warnmeldung wird diesem Incident hinzugefügt. 

Es können mehrere Incident-Regeln verwendet werden. Mit diesen Regeln können entweder Warnmeldungen in Incidents gruppiert oder Warnmeldungen unterdrückt werden, damit sie nicht mit Regeln abgeglichen werden. Regeln werden von oben nach unten nacheinander abgearbeitet. Wenn eine eingehende Warnmeldung einer Regel entspricht, wird diese Warnmeldung dem entsprechenden Incident zugeordnet und keine weitere Regel wird auf sie angewendet. Durch Incidents wird ein Kontext für Warnmeldungen gegeben, es werden Tools zum Erfassen des Ermittlungsstatus bereitgestellt und der Fortschritt zugehöriger Aufgaben kann nachverfolgt werden.

Die Phasen des NetWitness Respond-Prozesses sind:

  • Überprüfen von Warnmeldungen
  • Erstellen von Incidents
  • Reagieren auf Incidents:
    • Überprüfen der Liste mit priorisierten Incidents
    • Bestimmen, welche Incidents eine Aktion erfordern
    • Untersuchen von Incidents
    • Eskalieren oder korrigieren Sie den Incident (dies umfasst das Erstellen und Zuweisen von Aufgaben sowie das Nachverfolgen von Aufgaben bis zum Abschluss).

Sie haben auch die Möglichkeit, Incidents in RSA NetWitness® SecOps Manager anstelle von NetWitness Respond zu managen.

NetWitness Respond-Workflow

Die folgende Abbildung zeigt den allgemeinen NetWitness Respond-Workflow-Prozess.

 

NetWitness Respond High-Level Workflow

You are here
Table of Contents > NetWitness Respond-Prozess

Attachments

    Outcomes