Reagieren: Ermitteln, welche Incidents eine Aktion erfordern

Document created by RSA Information Design and Development on May 11, 2018Last modified by RSA Information Design and Development on Oct 19, 2018
Version 3Show Document
  • View in full screen mode
 

Sobald Sie die allgemeinen Informationen über den Incident aus der Ansicht „Incident-Liste“ erhalten haben, können Sie in die Ansicht „Incident-Details“ wechseln, um weitere Informationen zur Bestimmung der erforderlichen Aktion zu erhalten.

Incident Details view

Anzeigen von Details des Incident

Um Details für einen Incident anzuzeigen, wählen Sie in der Incident-Listenansicht einen Incident zur Ansicht aus und klicken Sie dann auf den Link in der Spalte „ID“ oder „Name“ für diesen Incident.

Incident List view showing link to the details view in the Name column

Die Ansicht „Incident-Details“ für den ausgewählten Incident wird mit dem Bereich „Überblick“ und dem Node-Diagramm angezeigt.

Incident Details view example

Die Ansicht „Incident-Details“ umfasst folgende Bereiche:

  • ÜBERSICHT: Das Übersichtsfenster für den Incident enthält zusammengefasste allgemeine Informationen zu dem Incident, wie die Bewertung, die Priorität, Warnmeldungen und Status. Sie haben die Möglichkeit, Priorität, Status und Zuweisungsempfänger für den Incident zu ändern.
  • INDIKATOREN: Der Bereich „Indikatoren“ enthält eine chronologische Liste der Indikatoren. Indikatoren sind Warnmeldungen, z. B. eine ESA-Warnmeldung oder eine NetWitness Endpoint-Warnmeldung. Diese Liste hilft Ihnen, Indikatoren und wichtige Daten zueinander in Beziehung zu setzen. Beispiel: Eine mit einem Befehl und einer Kommunikations-ESA-Warnmeldung verbundene IP-Adresse kann auch eine NetWitness Endpoint-Warnmeldung oder andere verdächtige Aktivitäten ausgelöst haben.
  • Node-Diagramm: Das Node-Diagramm ist eine interaktive Grafik, die die Beziehung zwischen den am Incident beteiligten Entitäten anzeigt. Eine Entität ist ein angegebener Teil Metadaten, z. B. IP-Adresse, MAC-Adresse, Benutzer, Host, Domain, Dateinamen oder Datei-Hash.
  • Ereignisse: Im Bereich „Ereignisse“, auch bekannt als Tabelle „Ereignisse“, werden die mit dem Incident verbundenen Events aufgeführt. Dort werden auch die Quell- und Zielinformationen für das Ereignis sowie zusätzliche Informationen je nach Ereignistyp angezeigt. Sie können auf ein Ereignis in der Liste klicken, um die detaillierten Daten für dieses Ereignis anzuzeigen.
  • JOURNAL: Im Bereich „Journal“ können Sie auf das Journal für den ausgewählten Incident zugreifen, sodass Sie mit anderen Analysten kommunizieren und zusammenarbeiten können. Sie können Hinweise in einem Journal veröffentlichen, Ermittlungsmeilensteintags (Aufklärung, Bereitstellung, Ausnutzung, Installation, Befehl und Kontrolle) hinzufügen und den Verlauf der Aktivität für den Incident anzeigen.
  • AUFGABEN: Im Bereich „Aufgaben“ werden alle Aufgaben angezeigt, die für den Incident erstellt wurden. Sie können von hier aus auch zusätzliche Aufgaben erstellen.
  • VERWANDT: Der Bereich „Verwandte Indikatoren“ ermöglicht es Ihnen, die NetWitness Suite-Warnmeldungsdatenbank zu durchsuchen, um Warnmeldungen zu finden, die mit diesem Incident in Verbindung stehen. Sie können auch verwandte Warnmeldungen, die Sie finden, zum Incident hinzufügen.

Um weitere Informationen im linken Bereich anzuzeigen, ohne einen Bildlauf durchzuführen, können Sie den Mauszeiger über den rechten Rand bewegen und die Linie ziehen, um die Größe des Bereichs wie in der folgenden Abbildung dargestellt zu ändern:

Indident Details view showing how to resize the panel

Anzeigen grundlegender zusammenfassender Informationen zum Incident

Sie können grundlegende zusammenfassende Informationen über einen Incident im Bereich „Übersicht“ anzeigen.

Über dem Bereich „Übersicht“ werden die folgenden Informationen angezeigt:

  • Incident-ID: Dies ist eine automatisch erstellte eindeutige ID, die dem Incident zugewiesen wird.
  • Name: Der Incident-Name leitet sich aus der Regel ab, die den Incident ausgelöst hat.

Top of left panel

Um den Bereich „Übersicht“ über die Ansicht „Details für Incident“ anzuzeigen, wählen Sie im linken Bereich ÜBERSICHT.

Overview panel

Um den Bereich „Übersicht“ von der Liste der Incidents aus anzuzeigen, klicken Sie auf einen Incident in der Liste. Das Übersichtsfenster wird auf der rechten Seite angezeigt.

Incident List with the Overview panel open

Die Übersicht enthält grundlegende zusammenfassende Informationen über den ausgewählten Incident:

  • Erstellt: Zeigt Datum und Uhrzeit der Erstellung des Incident an.
  • Regel/Von: Zeigt den Namen der Regel, die den Incident erstellt hat, oder den Namen der Person, die den Incident erstellt hat.
  • Risikowert: Gibt das Risiko des Incidents an, das über einen Algorithmus berechnet wird und zwischen 0 und 100 liegt. 100 ist der höchste Risikowert.
  • Priorität: Zeigt die Incident-Priorität. Die Priorität kann „Kritisch“, „Hoch“, „Mittel“ oder „Niedrig“ sein.
  • Status: Zeigt den Incident-Status. Der Status kann „Neu“, „Zugewiesen“, „Läuft“, „Aufgabe angefordert“, „Aufgabe abgeschlossen“, „Geschlossen“ und „Geschlossen – falsch positives Ergebnis“ lauten. Nachdem Sie eine Aufgabe erstellt haben, ändert sich der Status auf „Aufgabe angefordert“.
  • Zuweisungsempfänger: Zeigt das Teammitglied, das derzeit dem Incident zugewiesen ist.
  • Quellen: Gibt die Datenquellen an, die verwendet werden, um die verdächtige Aktivität zu suchen.
  • Kategorien: Zeigt die Kategorien der Incident-Ereignisse.
  • Katalysatoren: Zeigt die Anzahl der Indikatoren, die zu dem Incident geführt haben.

Anzeigen der Indikatoren und Erweiterungen

Hinweis: Indikatoren sind Warnmeldungen, z. B. eine ESA-Warnmeldung oder eine NetWitness Endpoint-Warnmeldung.

Indikatoren, Ereignisse und Erweiterungen finden Sie im Bereich „Indikatoren“. Der Bereich „Indikatoren“ ist eine chronologische Liste der Indikatoren, die Ihnen dabei hilft, Erweiterungen und Ereignisse im Zusammenhang mit dem auslösenden Indikator zu finden. Zum Beispiel kann ein Indikator eine Command-and-Control-Warnmeldung (C2), eine NetWitness Endpoint-Warnmeldung, eine Warnmeldung über eine verdächtige Domain oder eine Warnmeldung aus einer Regel für Event Stream Analysis (ESA) sein. Im Bereich „Indikatoren“ können Sie diese Indikatoren (Warnmeldungen) aus verschiedenen Systemen aggregieren und ordnen, damit Sie sehen können, wie sie zueinander in Beziehung stehen, und einen Zeitplan für einen bestimmten Angriff erstellen können.

Klicken Sie zum Öffnen des Bereichs „Indikatoren“ im linken Bereich der Incident-Detailansicht auf INDIKATOREN.

Indicators panel

Indikatoren sind Warnmeldungen, z. B. ESA-Warnmeldungen oder NetWitness Endpoint-Warnmeldungen. Diese Liste hilft Ihnen, Indikatoren und wichtige Daten zueinander in Beziehung zu setzen. Beispielsweise können Indikatoren die Daten anzeigen, die durch Ihre Regeln gefunden wurden. Im Bereich „Indikatoren“ wird der Risikowert für einen Indikator in einem vollfarbigen Kreis angezeigt.

Informationen zur Datenquelle werden unter den Namen der Indikatoren angezeigt. Sie können auch das Datum und die Uhrzeit der Erstellung des Indikators und die Anzahl der Ereignisse im Indikator anzeigen. Wenn Daten verfügbar sind, können Sie die Anzahl der Erweiterungen anzeigen. Durch Klick auf die Schaltflächen „Ereignis“ und „Erweiterung“ können Sie Details anzeigen.

Anzeigen und Untersuchen der Ereignisse

Sie können die Ereignisse im Zusammenhang mit dem Incident über den Bereich „Ereignisse“ anzeigen und untersuchen. Er zeigt Informationen zu den Ereignissen, z. B. die Uhrzeit des Ereignisses, Quell-IP, Ziel-IP, Detektor-IP, Quellbenutzer, Zielbenutzer und Dateiinformationen zu den Ereignissen. Wie viele Informationen aufgeführt werden, hängt vom Typ des jeweiligen Ereignisses ab.

Es gibt zwei Typen von Ereignissen:

  • Eine Transaktion zwischen zwei Rechnern (eine Quelle und ein Ziel)
  • Eine auf einem einzelnen Rechner erkannte Anomalie (ein Detektor)

Einige Ereignisse haben nur einen Detektor. Mit NetWitness Endpoint wird z. B. Malware auf dem Rechner gefunden. Andere Ereignisse haben eine Quelle und ein Ziel. Paketdaten zeigen beispielsweise die Kommunikation zwischen Ihrem Rechner und einer Command-and-Control-Domain (C2).

Sie können einen Drill-down in ein Ereignis durchführen, um detaillierte Daten über das Ereignis zu erhalten.

So zeigen Sie Ereignisse an und untersuchen sie:

  1. Um den Bereich „Ereignisse“ anzuzeigen, klicken Sie in der Symbolleiste der Ansicht „Incident-Details“ auf View Datasheet icon - It opens the Events panel.
    Events panel
    Der Bereich „Ereignisse“ zeigt eine Liste von Informationen zu jedem Ereignis an, wie in der folgenden Tabelle gezeigt wird.

    Spalte

    Beschreibung

    ZEITZeigt an, wann das Ereignis eingetreten ist.
    TYPZeigt den Typ der Warnmeldung an, z. B. „Protokoll“ oder „Netzwerk“.
    QUELL-IPZeigt die Quell-IP-Adresse an, wenn eine Transaktion zwischen zwei Computern erfolgt ist.
    QUELLPORTZeigt den Quellport der Transaktion an. Quellport und Zielport können dieselbe IP-Adresse haben.
    QUELLHOSTZeigt den Quellhost, auf dem das Ereignis stattgefunden hat.
    QUELL-MACZeigt die MAC-Adresse des Quellcomputers an.
    QUELLBENUTZERZeigt den Benutzer des Quellcomputers an.
    ZIEL-IPZeigt die Ziel-IP-Adresse an, wenn eine Transaktion zwischen zwei Computern erfolgt ist.
    ZIELPORTZeigt den Zielport der Transaktion an. Quellport und Zielport können dieselbe IP-Adresse haben.
    ZIELHOSTZeigt den Zielhost, auf dem das Ereignis stattgefunden hat.
    ZIEL-MACZeigt die MAC-Adresse des Zielcomputers an.
    ZIELBENUTZERZeigt den Benutzer des Zielcomputers an.
    DETEKTOR-IPZeigt die IP-Adresse des Computers an, auf dem eine Anomalie erkannt wurde.
    DATEINAMEZeigt den Dateinamen an, falls eine Datei in das Ereignis involviert ist.
    DATEI-HASHZeigt einen Hash der Dateiinhalte an.

    Wenn nur ein Ereignis in der Liste vorhanden ist, werden die Ereignisdetails für das betreffende Ereignis anstelle einer Liste angezeigt.

  2. Klicken Sie auf ein Ereignis in der Ereignisliste, um die Ereignisdetails anzuzeigen.
    Dieses Beispiel zeigt die Ereignisdetails für das erste Ereignis in der Liste.
    Event Details - First Event
  3. Verwenden Sie die Ereignisdetails-Navigation, um Details für zusätzliche Ereignisse anzuzeigen.
    Dieses Beispiel zeigt das zweite Ereignis in der Liste.
    Event Details - Second event showing navigation

Anzeigen und Untersuchen der an den Ereignissen beteiligten Entitäten

Eine Entität ist eine IP-Adresse, eine MAC-Adresse, ein Benutzer, ein Host, eine Domain, ein Dateinamen oder ein Datei-Hash. Das Node-Diagramm ist eine interaktive Grafik, die Sie verschieben können, um ein besseres Verständnis davon zu erhalten, wie die an den Ereignissen beteiligten Entitäten miteinander in Bezug stehen. Die Node-Diagramme sehen unterschiedlich aus, je nach Typ des Ereignisses, der Anzahl der beteiligten Rechner und in Abhängigkeit davon, ob die Rechner Benutzern zugeordnet sind und ob Dateien mit dem Ereignis verknüpft sind.

Die folgende Abbildung zeigt ein beispielhaftes Node-Diagramm mit sechs Nodes.

Nodal graph

Wenn Sie sich das Node-Diagramm genau ansehen, sehen Sie Kreise, die Nodes darstellen. Ein Node-Diagramm kann einen oder mehrere der folgenden Typen von Nodes enthalten:

  • IP-Adresse (Wenn das Ereignis eine erkannte Anomalie ist, wird eine Detektor-IP angezeigt. Wenn das Ereignis eine Transaktion ist, wird eine Ziel-IP und eine Quell-IP angezeigt.)
  • MAC-Adresse (Möglicherweise wird für jede Art von IP-Adresse eine MAC-Adresse angezeigt.)
  • Benutzer (Wenn der Rechner mit einem Benutzer verknüpft ist, wird ein Benutzer-Node angezeigt.)
  • Host
  • Domain
  • Dateiname (Wenn das Ereignis Dateien betrifft, wird ein Dateiname angezeigt.)
  • Datei-Hash (Wenn das Ereignis Dateien betrifft, wird möglicherweise ein Datei-Hash angezeigt.)

Die Legende im unteren Bereich des Node-Diagramms zeigt die Anzahl der Nodes für jeden Typ und die Farbcodierung der Nodes.

Sie können auf einen beliebigen Node klicken und ihn wie gewünscht ziehen.

Die Pfeile zwischen den Nodes bieten zusätzliche Informationen über die Beziehungen der Entitäten:

  • Kommuniziert mit: Ein Pfeil zwischen einem Quellrechner-Node (IP-Adresse oder MAC-Adresse) und einem Zielrechner-Node mit der Beschriftung „Kommuniziert mit“ zeigt die Richtung der Kommunikation.
  • Als: Ein Pfeil zwischen Nodes mit der Beschriftung „Als“ bietet zusätzliche Informationen über die IP-Adresse, auf die der Pfeil zeigt. Im obigen Beispiel gibt es einen Pfeil aus dem Host-Node-Kreis, der auf einen Node mit einer gehashten IP-Adresse zeigt und mit „Als“ beschriftet ist. Dies weist darauf hin, dass der Name auf dem Host-Node-Kreis der Hostname dieser IP-Adresse ist und keine andere Entität.
  • Hat Datei: Ein Pfeil zwischen einem Rechner-Node (IP-Adresse, MAC-Adresse oder Host) und einem Datei-Hash-Node mit der Beschriftung „Hat“ gibt an, dass die IP-Adresse diese Datei hat.
  • Verwendet: Ein Pfeil zwischen einem Benutzer-Node und einem Rechner-Node (IP-Adresse, MAC-Adresse oder Host) mit der Beschriftung „Verwendet“ zeigt den Rechner, den der Benutzer während des Ereignisses verwendet hat.
  • Heißt: Ein Pfeil von einem Datei-Hash-Node zu einem Dateinamen-Node mit der Beschriftung „Heißt“ gibt an, dass der Datei-Hash einer Datei mit diesem Namen entspricht.
  • Gehört zu: Ein Pfeil zwischen zwei Nodes mit der Beschriftung „Gehört zu“ gibt an, dass sie zu dem gleichen Node gehören. Zum Beispiel bedeutet ein Pfeil zwischen einer MAC-Adresse und einem Host mit der Beschriftung „Gehört zu“, dass es sich um die MAC-Adresse für den Host handelt.

Pfeile mit stärkerer Linie weisen auf eine stärkere Kommunikation zwischen den Nodes hin. Größere Nodes (Kreise) weisen mehr Aktivität auf als kleinere Nodes. Die größeren Nodes sind die häufigsten Entitäten, die in den Ereignissen erwähnt werden.

Das folgende Beispiel eines Node-Diagramms verfügt über zehn Nodes.

Nodal graph example showing 10 nodes

In diesem Beispiel sehen Sie zwei IP-Nodes mit einem hohen Maß an Aktivität. Beide verfügen über Dateien, aber sie kommunizieren nicht miteinander. Die IP-Adresse oben (192.168.1.1) stellt einen Rechner mit zwei Hostnamen (host.example.com und INENDEBS1L2C) in der Domain „example.com“ dar. Die MAC-Adresse des Rechners lautet 11-11-11-11-11-11-11-11-11 und Alice verwendet ihn.

Filtern der Daten in der Ansicht „Incident-Details“

Sie können auf Indikatoren im Bereich „Indikatoren“ klicken, um die Anzeige im Node-Diagramm und in der Ereignisliste zu filtern.

Wenn Sie einen Indikator zum Filtern des Node-Diagramms auswählen, werden Daten, die nicht Bestandteil Ihrer Auswahl sind, abgeblendet. Sie befinden sich aber immer noch in der Ansicht, wie in der folgenden Abbildung gezeigt.

Nodal graph filtered by incidents

Wenn Sie einen Indikator zum Filtern der Ereignisliste auswählen, werden nur die Ereignisse für diesen Indikator in der Liste angezeigt. Die folgende Abbildung zeigt einen ausgewählten Indikator, der zwei Ereignisse enthält. Die gefilterte Ereignisliste zeigt diese beiden Ereignisse.

Incident Details view - An indicator selected with two events filters the Events list

Wenn Sie einen Indikator zum Filtern der Ereignisliste auswählen und es nur ein Ereignis für diesen Indikator gibt, sehen Sie die Ereignisdetails für dieses Ereignis wie in der folgenden Abbildung gezeigt.

Incident Details view - An indicator selected with one event shows the details for that event

Anzeigen der Aufgaben im Zusammenhang mit einem Incident

Threat-Experten und andere Analysten können Aufgaben für einen Incident erstellen und diese Aufgaben bis zum Abschluss nachverfolgen. Dies kann sehr hilfreich sein, wenn Sie beispielsweise Aktionen für Incidents von Teams außerhalb Ihrer Sicherheitsabläufe benötigen. Sie können die Aufgaben im Zusammenhang mit einem Incident in der Ansicht „Incident-Details“ anzeigen.

  1. Navigieren Sie zu Reagieren > Incidents und suchen Sie den Incident, den Sie in der Liste „Incidents“ anzeigen möchten.
  2. Klicken Sie auf den Link im Feld ID oder NAME des Incident, um die Ansicht mit den Incident-Details aufzurufen.
  3. Klicken Sie in der Symbolleiste der Ansicht „Incident-Details“ auf Journal, Tasks, and Related icon.
    Der Bereich „Journal“ wird geöffnet.
  4. Klicken Sie auf die Registerkarte AUFGABEN.
    Im Bereich „Aufgaben“ werden alle Aufgaben für den Incident angezeigt.
    TASKS panel

Weitere Informationen zu Aufgaben finden Sie unter Aufgaben-Listenansicht, Anzeigen aller Incident-Aufgaben und Erstellen einer Aufgabe.

Anzeigen von Incident-Anmerkungen

Im Incident-Journal können Sie den Verlauf der Aktivitäten für Ihren Incident anzeigen. Sie können Journaleinträge von anderen Analysten anzeigen und mit ihnen kommunizieren und zusammenarbeiten.

  1. Navigieren Sie zu Reagieren > Incidents und suchen Sie den Incident, den Sie in der Liste „Incidents“ anzeigen möchten.
  2. Klicken Sie auf den Link im Feld ID oder NAME des Incident, um die Ansicht mit den Incident-Details aufzurufen.
  3. Klicken Sie in der Symbolleiste der Ansicht „Incident-Details“ auf Journal, Tasks, and Related icon.
    Im Bereich „Journal“ werden alle Journaleinträge für den Incident angezeigt.
    Journal panel

Suchen verwandter Indikatoren

Verwandte Indikatoren sind Warnmeldungen, die ursprünglich nicht Teil des ausgewählten Incident waren, aber irgendwie mit dem Incident verknüpft sind. Die Beziehung kann, muss aber nicht, offensichtlich sein. Beispielsweise können verwandte Indikatoren eine oder mehrere Entitäten aus dem Incident umfassen, aber sie können auch aufgrund von Intelligenz außerhalb von NetWitness Suite verknüpft sein.

Im Bereich „Verwandt“ in der Ansicht „Incident-Details“ können Sie in anderen Warnmeldungen außerhalb des aktuellen Incident nach einer Entität (z. B. IP, MAC, Host, Domain, Benutzer, Dateiname oder Hash) suchen.

  1. Navigieren Sie zu Reagieren > Incidents und suchen Sie den Incident, den Sie in der Liste „Incidents“ anzeigen möchten.
  2. Klicken Sie auf den Link im Feld ID oder NAME des Incident, um die Ansicht mit den Incident-Details aufzurufen.
  3. Klicken Sie in der Symbolleiste der Ansicht „Incident-Details“ auf Journal, Tasks, and Related icon.
    Der Bereich „Journal“ wird auf der rechten Seite geöffnet.
  4. Klicken Sie auf die Registerkarte VERWANDT.
    Related Indicators panel
  5. Klicken Sie auf Suchen.
    Eine Liste der verwandten Indikatoren (Warnmeldungen) wird unter der Schaltfläche Suchen im Abschnitt Indikatoren für angezeigt. Wenn eine Warnmeldung nicht mit einem anderen Incident verknüpft ist, können Sie den verwandten Indikator (Warnmeldung) durch Klicken auf die Schaltfläche Einem Incident hinzufügen zum aktuellen Incident hinzufügen. Siehe Hinzufügen verwandter Indikatoren zum Incident unten.

Hinzufügen verwandter Indikatoren zum Incident

Sie können dem aktuellen Incident im Bereich „Verwandte Indikatoren“ verwandte Indikatoren (Warnmeldungen) hinzufügen. Ein Indikator, der bereits mit einem Incident verknüpft ist, kann nicht mit einem anderen Incident verknüpft werden. Wenn eine Warnmeldung nicht bereits mit einem Incident verknüpft ist, wird in den Suchergebnissen eine Schaltfläche Einem Incident hinzufügen für sie angezeigt.

  1. Führen Sie im Bereich VERWANDT (verwandte Indikatoren) eine Suche aus, um verwandte Indikatoren zu suchen. Siehe Suchen verwandter Indikatoren oben.
    Related Indicators panel
  2. Überprüfen Sie die Warnmeldungen in den Suchergebnissen. Im Bereich Indikatoren für (unter der Schaltfläche „Suchen“) werden die verwandten Indikatoren (Warnmeldungen)angezeigt.
  3. Um die Details einer Warnmeldung zu prüfen, bevor Sie sie als verwandten Indikator hinzufügen, können Sie auf den Link In neuem Fenster öffnen klicken, um die Warnmeldungsdetails für diesen Indikator anzuzeigen.
  4. Klicken Sie für jede Warnmeldung, die Sie als verwandten Indikator zum aktuellen Incident hinzufügen möchten, auf die Schaltfläche Einem Incident hinzufügen.
    Der ausgewählte verwandte Indikatoren wird dem Bereich „Indikatoren“ auf der linken Seite hinzugefügt. Die Schaltfläche im Bereich „Verwandte Indikatoren“ auf der rechten Seite zeigt jetzt Zu Incident gehörig.
    Indicator find results showing Part of this Incident button after adding the indicator to the incident
You are here
Table of Contents > Ermitteln, welche Incidents eine Aktion erfordern

Attachments

    Outcomes