Reagieren: Ermitteln, welche Incidents eine Aktion erfordern

Document created by RSA Information Design and Development Employee on May 11, 2018Last modified by RSA Information Design and Development Employee on Apr 28, 2019
Version 4Show Document
  • View in full screen mode
 

Sobald Sie die allgemeinen Informationen über den Incident aus der Ansicht „Incident-Liste“ erhalten haben, können Sie in die Ansicht „Incident-Details“ wechseln, um weitere Informationen zur Bestimmung der erforderlichen Aktion zu erhalten.

Incident Details view

Anzeigen von Details des Incident

Zur Anzeige von Details für einen Incident wählen Sie in der Incident-Listenansicht einen Incident zur Ansicht aus und klicken Sie dann auf den Link in der Spalte ID oder NAME für diesen Incident.

Incident List view showing link to the details view in the Name column

Die Ansicht „Incident-Details“ für den ausgewählten Incident wird mit dem Bereich „Überblick“ und dem Node-Diagramm angezeigt.

Incident Details view example

Die Ansicht „Incident-Details“ umfasst folgende Bereiche:

  • ÜBERSICHT: Das Übersichtsfenster für den Incident enthält zusammengefasste allgemeine Informationen zu dem Incident, wie die Bewertung, die Priorität, Warnmeldungen und Status. Sie haben die Möglichkeit, den Incident an RSA Archer zu senden und Priorität, Status und Zuweisungsempfänger für den Incident zu ändern.
  • INDIKATOREN: Der Bereich „Indikatoren“ enthält eine chronologische Liste der Indikatoren. Indikatoren sind Warnmeldungen, z. B. ESA-Warnmeldungen oder NetWitness Endpoint-Warnmeldungen. Diese Liste hilft Ihnen, Indikatoren und wichtige Daten zueinander in Beziehung zu setzen. Beispiel: Eine mit einem Befehl und einer Kommunikations-ESA-Warnmeldung verbundene IP-Adresse kann auch eine NetWitness Endpoint-Warnmeldung oder andere verdächtige Aktivitäten ausgelöst haben.
  • Node-Diagramm: Das Node-Diagramm ist eine interaktive Grafik, die die Beziehung zwischen den am Incident beteiligten Entitäten anzeigt. Eine Entität ist ein angegebener Teil Metadaten, z. B. IP-Adresse, MAC-Adresse, Nutzer, Host, Domain, Dateinamen oder Datei-Hash.
  • Ereignisse: Im Bereich „Ereignisse“, auch bekannt als Tabelle „Ereignisse“, werden die mit dem Incident verbundenen Events aufgeführt. Dort werden auch die Quell- und Zielinformationen für das Ereignis sowie zusätzliche Informationen je nach Ereignistyp angezeigt. Sie können auf ein Ereignis in der Liste klicken, um die detaillierten Daten für dieses Ereignis anzuzeigen.
  • JOURNAL: Im Bereich „Journal“ können Sie auf das Journal für den ausgewählten Incident zugreifen, sodass Sie mit anderen Analysten kommunizieren und zusammenarbeiten können. Sie können Hinweise in einem Journal veröffentlichen, Tags für Ermittlungsmeilensteine (Aufklärung, Bereitstellung, Ausnutzung, Installation, Befehl und Kontrolle, Aktion für Ziel, Eingrenzung, Behebung und Abschluss) hinzufügen und den Verlauf der Aktivität für den Incident anzeigen.
  • AUFGABEN: Im Bereich „Aufgaben“ werden alle Aufgaben angezeigt, die für den Incident erstellt wurden. Sie können von hier aus auch zusätzliche Aufgaben erstellen.
  • VERWANDT: Der Bereich „Verwandte Indikatoren“ ermöglicht es Ihnen, die NetWitness Platform-Warnmeldungsdatenbank zu durchsuchen, um Warnmeldungen zu finden, die mit diesem Incident in Verbindung stehen. Sie können auch verwandte Warnmeldungen, die Sie finden, zum Incident hinzufügen.

Um weitere Informationen im linken Bereich anzuzeigen, ohne einen Bildlauf durchzuführen, können Sie den Mauszeiger über den rechten Rand bewegen und die Linie ziehen, um die Größe des Bereichs wie in der folgenden Abbildung dargestellt zu ändern:

Indident Details view showing how to resize the panel

Anzeigen grundlegender zusammenfassender Informationen zum Incident

Sie können grundlegende zusammenfassende Informationen über einen Incident im Bereich „Übersicht“ anzeigen.

Über dem Bereich „Übersicht“ werden die folgenden Informationen angezeigt:

  • Incident-ID: Dies ist eine automatisch erstellte eindeutige ID, die dem Incident zugewiesen wird.
  • Name: Der Incident-Name leitet sich aus der Regel ab, die den Incident ausgelöst hat.
  • Senden an Archer/An Archer gesendet: (In Version 11.2 und höher, wenn RSA Archer als Datenquelle im Context Hub konfiguriert ist, können Sie Incidents an Archer Cyber Incident & Breach Response senden. Diese Option ist in NetWitness Respond verfügbar.) Damit wird angezeigt, ob ein Incident an Archer Cyber Incident & Breach Response gesendet wurde. Ein an Archer gesendeter Incident wird mit „An Archer gesendet“ markiert. Ein nicht an Archer gesendeter Incident wird als „An Archer senden“ markiert. Zum Senden des Incidents an Archer Cyber Incident & Breach Response können Sie auf die Schaltfläche „An Archer senden“ klicken.

Top of left panel

Um den Bereich „Übersicht“ über die Ansicht „Details für Incident“ anzuzeigen, wählen Sie im linken Bereich ÜBERSICHT.

Overview panel

Um den Bereich „Übersicht“ von der Liste der Incidents aus anzuzeigen, klicken Sie auf einen Incident in der Liste. Das Übersichtsfenster wird auf der rechten Seite angezeigt.

Incident List with the Overview panel open

Die Übersicht enthält grundlegende zusammenfassende Informationen über den ausgewählten Incident:

  • Erstellt: Zeigt Datum und Uhrzeit der Erstellung des Incident an.
  • Regel/Von: Zeigt den Namen der Regel, die den Incident erstellt hat, oder den Namen der Person, die den Incident erstellt hat.
  • Risikowert: Gibt das Risiko des Incidents an, das über einen Algorithmus berechnet wird und zwischen 0 und 100 liegt. 100 ist der höchste Risikowert.
  • Priorität: Zeigt die Priorität des Incident an.. Die Priorität kann „Kritisch“, „Hoch“, „Mittel“ oder „Niedrig“ sein.
  • Status: Zeigt den Status des Incident an. Der Status kann „Neu“, „Zugewiesen“, „Läuft“, „Aufgabe angefordert“, „Aufgabe abgeschlossen“, „Geschlossen“ und „Geschlossen – falsch positives Ergebnis“ lauten. Nachdem Sie eine Aufgabe erstellt haben, ändert sich der Status auf „Aufgabe angefordert“.
  • Zuweisungsempfänger: Zeigt das Teammitglied an, dem der Incident derzeit zugewiesen ist.
  • Quellen: Gibt die Datenquellen an, die verwendet werden, um die verdächtige Aktivität zu suchen.
  • Kategorien: Zeigt die Kategorien der Incident-Ereignisse.
  • Katalysatoren: Zeigt die Anzahl der Indikatoren, die zu dem Incident geführt haben.

Anzeigen der Indikatoren und Erweiterungen

Hinweis: Indikatoren sind Warnmeldungen, z. B. ESA-Warnmeldungen oder NetWitness Endpoint-Warnmeldungen.

Indikatoren, Ereignisse und Erweiterungen finden Sie im Bereich „Indikatoren“. Der Bereich „Indikatoren“ ist eine chronologische Liste der Indikatoren, die Ihnen dabei hilft, Erweiterungen und Ereignisse im Zusammenhang mit dem auslösenden Indikator zu finden. Zum Beispiel kann ein Indikator eine Command-and-Control-Warnmeldung (C2), eine NetWitness Endpoint-Warnmeldung, eine Warnmeldung über eine verdächtige Domain oder eine Warnmeldung aus einer Regel für Ereignis Stream Analysis (ESA) sein. Im Bereich „Indikatoren“ können Sie diese Indikatoren (Warnmeldungen) aus verschiedenen Systemen aggregieren und ordnen, damit Sie sehen können, wie sie zueinander in Beziehung stehen, und einen Zeitplan für einen bestimmten Angriff erstellen können.

Klicken Sie zum Öffnen des Bereichs „Indikatoren“ im linken Bereich der Incident-Detailansicht auf INDIKATOREN.

Indicators panel

Indikatoren sind Warnmeldungen, z. B. ESA-Warnmeldungen oder NetWitness Endpoint-Warnmeldungen. Diese Liste hilft Ihnen, Indikatoren und wichtige Daten zueinander in Beziehung zu setzen. Beispielsweise können Indikatoren die Daten anzeigen, die durch Ihre Regeln gefunden wurden. Im Bereich „Indikatoren“ wird der Risikowert für einen Indikator in einem vollfarbigen Kreis angezeigt.

Informationen zur Datenquelle werden unter den Namen der Indikatoren angezeigt. Sie können auch das Datum und die Uhrzeit der Erstellung des Indikators und die Anzahl der Ereignisse im Indikator anzeigen. Wenn Daten verfügbar sind, können Sie die Anzahl der Erweiterungen anzeigen. Durch Klick auf die Schaltflächen „Ereignis“ und „Erweiterung“ können Sie Details anzeigen.

Anzeigen und Untersuchen der Ereignisse

Sie können die Ereignisse im Zusammenhang mit dem Incident über den Bereich „Ereignisse“ anzeigen und untersuchen. Er zeigt Informationen zu den Ereignissen, z. B. die Uhrzeit des Ereignisses, Quell-IP, Ziel-IP, Detektor-IP, Quellbenutzer, Zielbenutzer und Dateiinformationen zu den Ereignissen. Wie viele Informationen aufgeführt werden, hängt vom Typ des jeweiligen Ereignisses ab.

Es gibt zwei Typen von Ereignissen:

  • Eine Transaktion zwischen zwei Rechnern (eine Quelle und ein Ziel)
  • Eine auf einem einzelnen Rechner erkannte Anomalie (ein Detektor)

Einige Ereignisse haben nur einen Detektor. Mit NetWitness Endpoint wird z. B. Malware auf dem Rechner gefunden. Andere Ereignisse haben eine Quelle und ein Ziel. Paketdaten zeigen beispielsweise die Kommunikation zwischen Ihrem Rechner und einer Command-and-Control-Domain (C2).

Sie können einen Drill-down in ein Ereignis durchführen, um detaillierte Daten über das Ereignis zu erhalten.

So zeigen Sie Ereignisse an und untersuchen sie:

  1. Zum Anzeigen des Bereichs „Ereignisse“ klicken Sie in der Symbolleiste der Ansicht „Incident-Details“ auf View Datasheet icon - It opens the Events panel.
    Events panel
    Im Bereich „Ereignisse“ wird eine Liste von Informationen zu jedem Ereignis aufgeführt, wie in der folgenden Tabelle gezeigt wird.

    Spalte

    Beschreibung

    ZEITZeigt an, wann das Ereignis eingetreten ist.
    TYPZeigt den Typ der Warnmeldung an, z. B. „Protokoll“ oder „Netzwerk“.
    QUELL-IPZeigt die Quell-IP-Adresse an, wenn eine Transaktion zwischen zwei Computern erfolgt ist.
    QUELLPORTZeigt den Quellport der Transaktion an. Quellport und Zielport können dieselbe IP-Adresse haben.
    QUELLHOSTZeigt den Quellhost, auf dem das Ereignis stattgefunden hat.
    QUELL-MACZeigt die MAC-Adresse des Quellcomputers an.
    QUELLBENUTZERZeigt den Benutzer des Quellcomputers an.
    ZIEL-IPZeigt die Ziel-IP-Adresse an, wenn eine Transaktion zwischen zwei Rechnern erfolgt ist.

    ZIELPORT

    Zeigt den Zielport der Transaktion an. Quellport und Zielport können dieselbe IP-Adresse haben.

    ZIELHOSTZeigt den Zielhost, auf dem das Ereignis stattgefunden hat.

    ZIEL-MAC

    Zeigt die MAC-Adresse des Zielcomputers an.

    ZIELBENUTZERZeigt den Benutzer des Zielcomputers an.

    DETEKTOR-IP

    Zeigt die IP-Adresse des Computers an, auf dem eine Anomalie erkannt wurde.

    DATEINAMEZeigt den Dateinamen an, falls eine Datei in das Ereignis involviert ist.

    DATEI-HASH

    Zeigt einen Hash der Dateiinhalte an.


    Wenn nur ein Ereignis in der Liste vorhanden ist, werden anstelle einer Liste nur die Ereignisdetails für dieses Ereignis angezeigt.

  2. Klicken Sie auf ein Ereignis in der Ereignisliste, um die Ereignisdetails anzuzeigen.
    Dieses Beispiel zeigt die Ereignisdetails für das erste Ereignis in der Liste.
    Event Details - First Event
  3. Verwenden Sie die Ereignisdetails-Navigation, um Details für zusätzliche Ereignisse anzuzeigen.
    Dieses Beispiel zeigt das zweite Ereignis in der Liste.
    Event Details - Second event showing navigation
    Wenn Sie zusätzliche Berechtigungen für den Investigate-Server haben, können Sie auch auf die Details der Ereignisanalyse für Ereignisse zugreifen. Siehe Details zur Ereignisanalyse für Indikatoren anzeigen.

Anzeigen und Untersuchen der an den Ereignissen beteiligten Entitäten

Eine Entität ist eine IP-Adresse, eine MAC-Adresse, ein Benutzer, ein Host, eine Domain, ein Dateinamen oder ein Datei-Hash. Das Node-Diagramm ist eine interaktive Grafik, die Sie verschieben können, um ein besseres Verständnis davon zu erhalten, wie die an den Ereignissen beteiligten Entitäten miteinander in Bezug stehen. Die Node-Diagramme sehen unterschiedlich aus, je nach Typ des Ereignisses, der Anzahl der beteiligten Rechner und in Abhängigkeit davon, ob die Rechner Benutzern zugeordnet sind und ob Dateien mit dem Ereignis verknüpft sind.

Die folgende Abbildung zeigt ein beispielhaftes Node-Diagramm mit sechs Nodes.

Nodal graph

Wenn Sie sich das Node-Diagramm genau ansehen, sehen Sie Kreise, die Nodes darstellen. Ein Node-Diagramm kann einen oder mehrere der folgenden Typen von Nodes enthalten:

  • IP-Adresse (Wenn das Ereignis eine erkannte Anomalie ist, wird eine Detektor-IP angezeigt. Wenn das Ereignis eine Transaktion ist, wird eine Ziel-IP und eine Quell-IP angezeigt.)
  • MAC-Adresse (Möglicherweise wird für jede Art von IP-Adresse eine MAC-Adresse angezeigt.)
  • Benutzer (Wenn der Rechner mit einem Benutzer verknüpft ist, wird ein Benutzer-Node angezeigt.)
  • Host
  • Domain
  • Dateiname (Wenn das Ereignis Dateien betrifft, wird ein Dateiname angezeigt.)
  • Datei-Hash (Wenn das Ereignis Dateien betrifft, wird möglicherweise ein Datei-Hash angezeigt.)

Die Legende im unteren Bereich des Node-Diagramms zeigt die Anzahl der Nodes für jeden Typ und die Farbcodierung der Nodes.

Sie können auf einen beliebigen Node klicken und ihn wie gewünscht ziehen.

Die Pfeile zwischen den Nodes bieten zusätzliche Informationen über die Beziehungen der Entitäten:

  • Kommuniziert mit: Ein Pfeil zwischen einem Quellrechner-Node (IP-Adresse oder MAC-Adresse) und einem Zielrechner-Node mit der Beschriftung „Kommuniziert mit“ zeigt die Richtung der Kommunikation.
  • Als: Ein Pfeil zwischen Nodes mit der Beschriftung „Als“ bietet zusätzliche Informationen über die IP-Adresse, auf die der Pfeil zeigt. Im obigen Beispiel gibt es einen Pfeil aus dem Host-Node-Kreis, der auf einen Node mit einer IP-Adresse zeigt und mit „Als“ beschriftet ist. Dies weist darauf hin, dass der Name auf dem Host-Node-Kreis der Hostname dieser IP-Adresse ist und keine andere Entität.
  • Hat Datei: Ein Pfeil zwischen einem Rechner-Node (IP-Adresse, MAC-Adresse oder Host) und einem Datei-Hash-Node mit der Beschriftung „Hat“ gibt an, dass die IP-Adresse diese Datei hat.
  • Verwendet: Ein Pfeil zwischen einem Benutzer-Node und einem Rechner-Node (IP-Adresse, MAC-Adresse oder Host) mit der Beschriftung „Verwendet“ zeigt den Rechner, den der Benutzer während des Ereignisses verwendet hat.
  • Heißt: Ein Pfeil von einem Datei-Hash-Node zu einem Dateinamen-Node mit der Beschriftung „Heißt“ gibt an, dass der Datei-Hash einer Datei mit diesem Namen entspricht.
  • Gehört zu: Ein Pfeil zwischen zwei Nodes mit der Beschriftung „Gehört zu“ gibt an, dass sie zu dem gleichen Node gehören. Zum Beispiel bedeutet ein Pfeil zwischen einer MAC-Adresse und einem Host mit der Beschriftung „Gehört zu“, dass es sich um die MAC-Adresse für den Host handelt.

Pfeile mit stärkerer Linie weisen auf eine stärkere Kommunikation zwischen den Nodes hin. Größere Nodes (Kreise) weisen mehr Aktivität auf als kleinere Nodes. Die größeren Nodes sind die Entitäten, die am häufigsten in den Ereignissen erwähnt wurden.

Das folgende Beispiel eines Node-Diagramms verfügt über 11 Nodes.

Nodal graph example showing 11 nodes

In diesem Beispiel sehen Sie zwei IP-Nodes. Beide verfügen über gehashte Dateien, aber sie kommunizieren nicht miteinander. Die IP-Adresse oben (192.168.1.1) stellt einen Rechner mit zwei Hostnamen (host.example.com und INENDEBS1L2C) in der Domain „example.com“ dar. Die MAC-Adresse des Rechners lautet 11-11-11-11-11-11-11-11-11 und Alice verwendet ihn.

Wählen Sie Node-Typen aus, die Sie im Node-Diagramm anzeigen können

Hinweis: Diese Option ist nur für Version 11.2 und höher verfügbar.

In der Ansicht „Incident-Details“ für das Node-Diagramm können Sie Node-Typen verbergen. So können Sie die Interaktionen zwischen den Entitäten im Node-Diagramm weiter untersuchen.

  1. Navigieren Sie zu Reagieren > Incidents.
  2. Wählen Sie in der Incident-Listenansicht einen Incident zur Ansicht aus und klicken Sie dann auf den Link in der Spalte ID oder NAME für diesen Incident.
    Die Ansicht „Incident-Details“ für den ausgewählten Incident wird mit dem Node-Diagramm in der Ansicht angezeigt. Die Legende unterhalb des Node-Diagramms enthält alle standardmäßig ausgewählten Node-Typen für Entitäten.
    Wenn Sie das Node-Diagramm nicht sehen, klicken Sie auf das Symbol Diagramm anzeigen View Graph icon.
    Nodal Graph Example with all nodal types selected in the legend
  3. Zum Ausblenden von Node-Typen deaktivieren Sie das Kontrollkästchen für die Node-Typen, die Sie im Node-Diagramm ausblenden möchten.
    Im folgenden Beispiel ist der Node-Typ IP-Adresse deaktiviert und die IP-Adress-Nodes sind nun ausgeblendet.
    Nodal Graph Example with all nodal types selected in the legend except IP
  4. Zum Einbinden (Einblenden) von Node-Typen aktivieren Sie das Kontrollkästchen für die Node-Typen, die Sie im Node-Diagramm anzeigen möchten.

Das Ausblenden von Node-Typen kann besonders hilfreich sein, wenn das Node-Diagramm über 100 Nodes enthält, wie in der folgenden Abbildung dargestellt.

Nodal Graph over 100 nodes example with all nodal types selected in the legend

Nach dem Ausblenden der IP-Node-Typen können Sie besser erkennen, was mit den verbleibenden Nodes passiert.
Nodal Graph with over 100 nodes Example with all nodal types selected in the legend

Filtern der Daten in der Ansicht „Incident-Details“

Sie können auf Indikatoren im Bereich „Indikatoren“ klicken, um die Anzeige im Node-Diagramm und in der Ereignisliste zu filtern.

Wenn Sie einen Indikator zum Filtern des Node-Diagramms auswählen, werden Daten, die nicht Bestandteil Ihrer Auswahl sind, abgeblendet. Sie befinden sich aber immer noch in der Ansicht, wie in der folgenden Abbildung gezeigt.

Nodal graph filtered by incidents

Wenn Sie einen Indikator zum Filtern der Ereignisliste auswählen, werden nur die Ereignisse für diesen Indikator in der Liste angezeigt. In der folgenden Abbildung ist ein ausgewählter Indikator mit zwei Ereignissen dargestellt. In der gefilterten Ereignisliste sind die drei Ereignisse aufgeführt.

Incident Details view - An indicator selected with two events filters the Events list

Wenn Sie einen Indikator zum Filtern der Ereignisliste auswählen und es nur ein Ereignis für diesen Indikator gibt, sehen Sie die Ereignisdetails für dieses Ereignis wie in der folgenden Abbildung gezeigt.

Incident Details view - An indicator selected with one event shows the details for that event

Anzeigen der Aufgaben im Zusammenhang mit einem Incident

Threat-Experten und andere Analysten können Aufgaben für einen Incident erstellen und diese Aufgaben bis zum Abschluss nachverfolgen. Dies kann sehr hilfreich sein, wenn Sie beispielsweise Aktionen für Incidents von Teams außerhalb Ihrer Sicherheitsabläufe benötigen. Sie können die Aufgaben im Zusammenhang mit einem Incident in der Ansicht „Incident-Details“ anzeigen.

  1. Navigieren Sie zu Reagieren > Incidents und suchen Sie den Incident, den Sie in der Liste „Incidents“ anzeigen möchten.
  2. Klicken Sie auf den Link im Feld ID oder NAME des Incident, um die Ansicht mit den Incident-Details aufzurufen.
  3. Klicken Sie in der Symbolleiste der Ansicht „Incident-Details“ auf Journal, Tasks, and Related icon.
    Der Bereich „Journal“ wird geöffnet.
  4. Klicken Sie auf die Registerkarte AUFGABEN.
    Im Bereich „Aufgaben“ werden alle Aufgaben für den Incident angezeigt.
    TASKS panel

Weitere Informationen zu Aufgaben finden Sie unter Aufgaben-Listenansicht, Anzeigen aller Incident-Aufgaben und Erstellen einer Aufgabe.

Anzeigen von Incident-Anmerkungen

Im Incident-Journal können Sie den Verlauf der Aktivitäten für Ihren Incident anzeigen. Sie können Journaleinträge von anderen Analysten anzeigen und mit ihnen kommunizieren und zusammenarbeiten.

  1. Navigieren Sie zu Reagieren > Incidents und suchen Sie den Incident, den Sie in der Liste „Incidents“ anzeigen möchten.
  2. Klicken Sie auf den Link im Feld ID oder NAME des Incident, um die Ansicht mit den Incident-Details aufzurufen.
  3. Klicken Sie in der Symbolleiste der Ansicht „Incident-Details“ auf Journal, Tasks, and Related icon.
    Im Bereich „Journal“ werden alle Journaleinträge für den Incident angezeigt.
    Journal panel

Suchen verwandter Indikatoren

Verwandte Indikatoren sind Warnmeldungen, die ursprünglich nicht Teil des ausgewählten Incident waren, aber irgendwie mit dem Incident verknüpft sind. Die Beziehung kann, muss aber nicht, offensichtlich sein. Beispielsweise können verwandte Indikatoren eine oder mehrere Entitäten aus dem Incident umfassen, aber sie können auch aufgrund von Intelligenz außerhalb von NetWitness Platform verknüpft sein.

Im Bereich „Verwandte Indikatoren“ in der Ansicht „Incident-Details“ können Sie in anderen Warnmeldungen außerhalb des aktuellen Incident nach einer Entität (z. B. IP, MAC, Host, Domain, Nutzer, Dateiname oder Hash) suchen.

  1. Navigieren Sie zu Reagieren > Incidents und suchen Sie den Incident, den Sie in der Liste „Incidents“ anzeigen möchten.
  2. Klicken Sie auf den Link im Feld ID oder NAME des Incident, um die Ansicht mit den Incident-Details aufzurufen.
  3. Klicken Sie in der Symbolleiste der Ansicht „Incident-Details“ auf Journal, Tasks, and Related icon.
    Der Bereich „Journal“ wird auf der rechten Seite geöffnet.
  4. Klicken Sie auf die Registerkarte VERWANDT.
    Der Bereich „Verwandte Indikatoren“ wird angezeigt.
    Related Indicators panel
  5. Wählen Sie im Feld Suchen den zu suchenden Entitätstypen, z. B. IP.

  6. Geben Sie im Feld Wert einen Wert für die Entität ein, z. B. eine bestimmte IP-Adresse.

  7. Wählen Sie im Feld Wenn den Zeitraum aus, z. B. die letzten 24 Stunden.

  8. Klicken Sie auf Suchen.
    Eine Liste der verwandten Indikatoren (Warnmeldungen) wird unter der Schaltfläche Suchen im Abschnitt Indikatoren für angezeigt. Wenn eine Warnmeldung nicht mit einem anderen Incident verknüpft ist, können Sie den verwandten Indikator (Warnmeldung) durch Klicken auf die Schaltfläche Einem Incident hinzufügen zum aktuellen Incident hinzufügen. Siehe Hinzufügen verwandter Indikatoren zum Incident unten.

Hinzufügen verwandter Indikatoren zum Incident

Sie können dem aktuellen Incident im Bereich „Verwandte Indikatoren“ verwandte Indikatoren (Warnmeldungen) hinzufügen. Ein Indikator, der bereits mit einem Incident verknüpft ist, kann nicht mit einem anderen Incident verknüpft werden. Wenn eine Warnmeldung nicht bereits mit einem Incident verknüpft ist, wird in den Suchergebnissen eine Schaltfläche Einem Incident hinzufügen für sie angezeigt.

  1. Führen Sie im Bereich „Verwandte Indikatoren“ eine Suche aus, mit der Sie verwandte Indikatoren suchen. Siehe Suchen verwandter Indikatoren oben.
    Related Indicators panel
  2. Überprüfen Sie die Warnmeldungen in den Suchergebnissen. Im Bereich Indikatoren für (unter der Schaltfläche „Suchen“) werden die verwandten Indikatoren (Warnmeldungen)angezeigt.
  3. Um die Details einer Warnmeldung zu prüfen, bevor Sie sie als verwandten Indikator hinzufügen, können Sie auf den Link In neuem Fenster öffnen klicken, um die Warnmeldungsdetails für diesen Indikator anzuzeigen.
  4. Klicken Sie für jede Warnmeldung, die Sie als verwandten Indikator zum aktuellen Incident hinzufügen möchten, auf die Schaltfläche Einem Incident hinzufügen.
    Der ausgewählte verwandte Indikator wird dem Bereich „Indikatoren“ auf der linken Seite hinzugefügt. Die Schaltfläche im Bereich „Verwandte Indikatoren“ auf der rechten Seite zeigt jetzt Zu Incident gehörig.
    Indicator find results showing Part of this Incident button after adding the indicator to the incident
You are here
Table of Contents > Ermitteln, welche Incidents eine Aktion erfordern

Attachments

    Outcomes