Reagieren: Ermitteln, welche Incidents eine Aktion erfordern

 

Sobald Sie die allgemeinen Informationen über den Incident aus der Ansicht „Incident-Liste“ erhalten haben, können Sie in die Ansicht „Incident-Details“ wechseln, um weitere Informationen zur Bestimmung der erforderlichen Aktion zu erhalten.

Anzeigen von Details des Incident

Um Details für einen Incident anzuzeigen, wählen Sie in der Incident-Listenansicht einen Incident zur Ansicht aus und klicken Sie dann auf den Link in der Spalte „ID“ oder „Name“ für diesen Incident.

Die Ansicht „Incident-Details“ für den ausgewählten Incident wird mit dem Bereich „Überblick“ und dem Node-Diagramm angezeigt.

Die Ansicht „Incident-Details“ umfasst folgende Bereiche:

• ÜBERSICHT: Das Übersichtsfenster für den Incident enthält zusammengefasste allgemeine Informationen zu dem Incident, wie die Bewertung, die Priorität, Warnmeldungen und Status. Sie haben die Möglichkeit, Priorität, Status und Zuweisungsempfänger für den Incident zu ändern.
• INDIKATOREN: Der Bereich „Indikatoren“ enthält eine chronologische Liste der Indikatoren. Indikatoren sind Warnmeldungen, z. B. eine ESA-Warnmeldung oder eine NetWitness Endpoint-Warnmeldung. Diese Liste hilft Ihnen, Indikatoren und wichtige Daten zueinander in Beziehung zu setzen. Beispiel: Eine mit einem Befehl und einer Kommunikations-ESA-Warnmeldung verbundene IP-Adresse kann auch eine NetWitness Endpoint-Warnmeldung oder andere verdächtige Aktivitäten ausgelöst haben.
  
• Node-Diagramm: Das Node-Diagramm ist eine interaktive Grafik, die die Beziehung zwischen den am Incident beteiligten Entitäten anzeigt. Eine Entität ist ein angegebener Teil Metadaten, z. B. IP-Adresse, MAC-Adresse, Benutzer, Host, Domain, Dateinamen oder Datei-Hash.
• Ereignisse: Im Bereich „Ereignisse“, auch bekannt als Tabelle „Ereignisse“, werden die mit dem Incident verbundenen Events aufgeführt. Dort werden auch die Quell- und Zielinformationen für das Ereignis sowie zusätzliche Informationen je nach Ereignistyp angezeigt. Sie können auf ein Ereignis in der Liste klicken, um die detaillierten Daten für dieses Ereignis anzuzeigen.
• JOURNAL: Im Bereich „Journal“ können Sie auf das Journal für den ausgewählten Incident zugreifen, sodass Sie mit anderen Analysten kommunizieren und zusammenarbeiten können. Sie können Hinweise in einem Journal veröffentlichen, Ermittlungsmeilensteintags (Aufklärung, Bereitstellung, Ausnutzung, Installation, Befehl und Kontrolle) hinzufügen und den Verlauf der Aktivität für den Incident anzeigen.
• AUFGABEN: Im Bereich „Aufgaben“ werden alle Aufgaben angezeigt, die für den Incident erstellt wurden. Sie können von hier aus auch zusätzliche Aufgaben erstellen.
• VERWANDT: Der Bereich „Verwandte Indikatoren“ ermöglicht es Ihnen, die NetWitness Suite-Warnmeldungsdatenbank zu durchsuchen, um Warnmeldungen zu finden, die mit diesem Incident in Verbindung stehen. Sie können auch verwandte Warnmeldungen, die Sie finden, zum Incident hinzufügen.

Um weitere Informationen im linken Bereich anzuzeigen, ohne einen Bildlauf durchzuführen, können Sie den Mauszeiger über den rechten Rand bewegen und die Linie ziehen, um die Größe des Bereichs wie in der folgenden Abbildung dargestellt zu ändern:

Anzeigen grundlegender zusammenfassender Informationen zum Incident

Sie können grundlegende zusammenfassende Informationen über einen Incident im Bereich „Übersicht“ anzeigen.

Über dem Bereich „Übersicht“ werden die folgenden Informationen angezeigt:

• Incident-ID: Dies ist eine automatisch erstellte eindeutige ID, die dem Incident zugewiesen wird.
• Name: Der Incident-Name leitet sich aus der Regel ab, die den Incident ausgelöst hat.

Um den Bereich „Übersicht“ über die Ansicht „Details für Incident“ anzuzeigen, wählen Sie im linken Bereich ÜBERSICHT.

Um den Bereich „Übersicht“ von der Liste der Incidents aus anzuzeigen, klicken Sie auf einen Incident in der Liste. Das Übersichtsfenster wird auf der rechten Seite angezeigt.

Die Übersicht enthält grundlegende zusammenfassende Informationen über den ausgewählten Incident:

• Erstellt: Zeigt Datum und Uhrzeit der Erstellung des Incident an.
• Regel/Von: Zeigt den Namen der Regel, die den Incident erstellt hat, oder den Namen der Person, die den Incident erstellt hat.
• Risikowert: Gibt das Risiko des Incidents an, das über einen Algorithmus berechnet wird und zwischen 0 und 100 liegt. 100 ist der höchste Risikowert.
• Priorität: Zeigt die Incident-Priorität. Die Priorität kann „Kritisch“, „Hoch“, „Mittel“ oder „Niedrig“ sein.
• Status: Zeigt den Incident-Status. Der Status kann „Neu“, „Zugewiesen“, „Läuft“, „Aufgabe angefordert“, „Aufgabe abgeschlossen“, „Geschlossen“ und „Geschlossen – falsch positives Ergebnis“ lauten. Nachdem Sie eine Aufgabe erstellt haben, ändert sich der Status auf „Aufgabe angefordert“.
• Zuweisungsempfänger: Zeigt das Teammitglied, das derzeit dem Incident zugewiesen ist.
• Quellen: Gibt die Datenquellen an, die verwendet werden, um die verdächtige Aktivität zu suchen.
• Kategorien: Zeigt die Kategorien der Incident-Ereignisse.
• Katalysatoren: Zeigt die Anzahl der Indikatoren, die zu dem Incident geführt haben.

Anzeigen der Indikatoren und Erweiterungen

Hinweis: Indikatoren sind Warnmeldungen, z. B. eine ESA-Warnmeldung oder eine NetWitness Endpoint-Warnmeldung.

Indikatoren, Ereignisse und Erweiterungen finden Sie im Bereich „Indikatoren“. Der Bereich „Indikatoren“ ist eine chronologische Liste der Indikatoren, die Ihnen dabei hilft, Erweiterungen und Ereignisse im Zusammenhang mit dem auslösenden Indikator zu finden. Zum Beispiel kann ein Indikator eine Command-and-Control-Warnmeldung (C2), eine NetWitness Endpoint-Warnmeldung, eine Warnmeldung über eine verdächtige Domain oder eine Warnmeldung aus einer Regel für Event Stream Analysis (ESA) sein. Im Bereich „Indikatoren“ können Sie diese Indikatoren (Warnmeldungen) aus verschiedenen Systemen aggregieren und ordnen, damit Sie sehen können, wie sie zueinander in Beziehung stehen, und einen Zeitplan für einen bestimmten Angriff erstellen können.

Klicken Sie zum Öffnen des Bereichs „Indikatoren“ im linken Bereich der Incident-Detailansicht auf INDIKATOREN.

Indikatoren sind Warnmeldungen, z. B. ESA-Warnmeldungen oder NetWitness Endpoint-Warnmeldungen. Diese Liste hilft Ihnen, Indikatoren und wichtige Daten zueinander in Beziehung zu setzen. Beispielsweise können Indikatoren die Daten anzeigen, die durch Ihre Regeln gefunden wurden. Im Bereich „Indikatoren“ wird der Risikowert für einen Indikator in einem vollfarbigen Kreis angezeigt.

Informationen zur Datenquelle werden unter den Namen der Indikatoren angezeigt. Sie können auch das Datum und die Uhrzeit der Erstellung des Indikators und die Anzahl der Ereignisse im Indikator anzeigen. Wenn Daten verfügbar sind, können Sie die Anzahl der Erweiterungen anzeigen. Durch Klick auf die Schaltflächen „Ereignis“ und „Erweiterung“ können Sie Details anzeigen.

Anzeigen und Untersuchen der Ereignisse

Sie können die Ereignisse im Zusammenhang mit dem Incident über den Bereich „Ereignisse“ anzeigen und untersuchen. Er zeigt Informationen zu den Ereignissen, z. B. die Uhrzeit des Ereignisses, Quell-IP, Ziel-IP, Detektor-IP, Quellbenutzer, Zielbenutzer und Dateiinformationen zu den Ereignissen. Wie viele Informationen aufgeführt werden, hängt vom Typ des jeweiligen Ereignisses ab.

Es gibt zwei Typen von Ereignissen:

• Eine Transaktion zwischen zwei Rechnern (eine Quelle und ein Ziel)
• Eine auf einem einzelnen Rechner erkannte Anomalie (ein Detektor)

Einige Ereignisse haben nur einen Detektor. Mit NetWitness Endpoint wird z. B. Malware auf dem Rechner gefunden. Andere Ereignisse haben eine Quelle und ein Ziel. Paketdaten zeigen beispielsweise die Kommunikation zwischen Ihrem Rechner und einer Command-and-Control-Domain (C2).

Sie können einen Drill-down in ein Ereignis durchführen, um detaillierte Daten über das Ereignis zu erhalten.

So zeigen Sie Ereignisse an und untersuchen sie:

1. Um den Bereich „Ereignisse“ anzuzeigen, klicken Sie in der Symbolleiste der Ansicht „Incident-Details“ auf .
   
   Der Bereich „Ereignisse“ zeigt eine Liste von Informationen zu jedem Ereignis an, wie in der folgenden Tabelle gezeigt wird.
   
   

   Spalte	Beschreibung
   ZEIT	Zeigt an, wann das Ereignis eingetreten ist.
   TYP	Zeigt den Typ der Warnmeldung an, z. B. „Protokoll“ oder „Netzwerk“.
   QUELL-IP	Zeigt die Quell-IP-Adresse an, wenn eine Transaktion zwischen zwei Computern erfolgt ist.
   QUELLPORT	Zeigt den Quellport der Transaktion an. Quellport und Zielport können dieselbe IP-Adresse haben.
   QUELLHOST	Zeigt den Quellhost, auf dem das Ereignis stattgefunden hat.
   QUELL-MAC	Zeigt die MAC-Adresse des Quellcomputers an.
   QUELLBENUTZER	Zeigt den Benutzer des Quellcomputers an.
   ZIEL-IP	Zeigt die Ziel-IP-Adresse an, wenn eine Transaktion zwischen zwei Computern erfolgt ist.
   ZIELPORT	Zeigt den Zielport der Transaktion an. Quellport und Zielport können dieselbe IP-Adresse haben.
   ZIELHOST	Zeigt den Zielhost, auf dem das Ereignis stattgefunden hat.
   ZIEL-MAC	Zeigt die MAC-Adresse des Zielcomputers an.
   ZIELBENUTZER	Zeigt den Benutzer des Zielcomputers an.
   DETEKTOR-IP	Zeigt die IP-Adresse des Computers an, auf dem eine Anomalie erkannt wurde.
   DATEINAME	Zeigt den Dateinamen an, falls eine Datei in das Ereignis involviert ist.
   DATEI-HASH	Zeigt einen Hash der Dateiinhalte an.

   
   

   Wenn nur ein Ereignis in der Liste vorhanden ist, werden die Ereignisdetails für das betreffende Ereignis anstelle einer Liste angezeigt.

2. Klicken Sie auf ein Ereignis in der Ereignisliste, um die Ereignisdetails anzuzeigen.
   Dieses Beispiel zeigt die Ereignisdetails für das erste Ereignis in der Liste.
   
   
3. Verwenden Sie die Ereignisdetails-Navigation, um Details für zusätzliche Ereignisse anzuzeigen.
   Dieses Beispiel zeigt das zweite Ereignis in der Liste.
   

Anzeigen und Untersuchen der an den Ereignissen beteiligten Entitäten

Eine Entität ist eine IP-Adresse, eine MAC-Adresse, ein Benutzer, ein Host, eine Domain, ein Dateinamen oder ein Datei-Hash. Das Node-Diagramm ist eine interaktive Grafik, die Sie verschieben können, um ein besseres Verständnis davon zu erhalten, wie die an den Ereignissen beteiligten Entitäten miteinander in Bezug stehen. Die Node-Diagramme sehen unterschiedlich aus, je nach Typ des Ereignisses, der Anzahl der beteiligten Rechner und in Abhängigkeit davon, ob die Rechner Benutzern zugeordnet sind und ob Dateien mit dem Ereignis verknüpft sind.

Die folgende Abbildung zeigt ein beispielhaftes Node-Diagramm mit sechs Nodes.

Wenn Sie sich das Node-Diagramm genau ansehen, sehen Sie Kreise, die Nodes darstellen. Ein Node-Diagramm kann einen oder mehrere der folgenden Typen von Nodes enthalten:

• IP-Adresse (Wenn das Ereignis eine erkannte Anomalie ist, wird eine Detektor-IP angezeigt. Wenn das Ereignis eine Transaktion ist, wird eine Ziel-IP und eine Quell-IP angezeigt.)
• MAC-Adresse (Möglicherweise wird für jede Art von IP-Adresse eine MAC-Adresse angezeigt.)
• Benutzer (Wenn der Rechner mit einem Benutzer verknüpft ist, wird ein Benutzer-Node angezeigt.)
• Host
• Domain
• Dateiname (Wenn das Ereignis Dateien betrifft, wird ein Dateiname angezeigt.)
• Datei-Hash (Wenn das Ereignis Dateien betrifft, wird möglicherweise ein Datei-Hash angezeigt.)

Die Legende im unteren Bereich des Node-Diagramms zeigt die Anzahl der Nodes für jeden Typ und die Farbcodierung der Nodes.

Sie können auf einen beliebigen Node klicken und ihn wie gewünscht ziehen.

Die Pfeile zwischen den Nodes bieten zusätzliche Informationen über die Beziehungen der Entitäten:

• Kommuniziert mit: Ein Pfeil zwischen einem Quellrechner-Node (IP-Adresse oder MAC-Adresse) und einem Zielrechner-Node mit der Beschriftung „Kommuniziert mit“ zeigt die Richtung der Kommunikation.
• Als: Ein Pfeil zwischen Nodes mit der Beschriftung „Als“ bietet zusätzliche Informationen über die IP-Adresse, auf die der Pfeil zeigt. Im obigen Beispiel gibt es einen Pfeil aus dem Host-Node-Kreis, der auf einen Node mit einer gehashten IP-Adresse zeigt und mit „Als“ beschriftet ist. Dies weist darauf hin, dass der Name auf dem Host-Node-Kreis der Hostname dieser IP-Adresse ist und keine andere Entität.
• Hat Datei: Ein Pfeil zwischen einem Rechner-Node (IP-Adresse, MAC-Adresse oder Host) und einem Datei-Hash-Node mit der Beschriftung „Hat“ gibt an, dass die IP-Adresse diese Datei hat.
• Verwendet: Ein Pfeil zwischen einem Benutzer-Node und einem Rechner-Node (IP-Adresse, MAC-Adresse oder Host) mit der Beschriftung „Verwendet“ zeigt den Rechner, den der Benutzer während des Ereignisses verwendet hat.
• Heißt: Ein Pfeil von einem Datei-Hash-Node zu einem Dateinamen-Node mit der Beschriftung „Heißt“ gibt an, dass der Datei-Hash einer Datei mit diesem Namen entspricht.
• Gehört zu: Ein Pfeil zwischen zwei Nodes mit der Beschriftung „Gehört zu“ gibt an, dass sie zu dem gleichen Node gehören. Zum Beispiel bedeutet ein Pfeil zwischen einer MAC-Adresse und einem Host mit der Beschriftung „Gehört zu“, dass es sich um die MAC-Adresse für den Host handelt.

Pfeile mit stärkerer Linie weisen auf eine stärkere Kommunikation zwischen den Nodes hin. Größere Nodes (Kreise) weisen mehr Aktivität auf als kleinere Nodes. Die größeren Nodes sind die häufigsten Entitäten, die in den Ereignissen erwähnt werden.

Das folgende Beispiel eines Node-Diagramms verfügt über zehn Nodes.

In diesem Beispiel sehen Sie zwei IP-Nodes mit einem hohen Maß an Aktivität. Beide verfügen über Dateien, aber sie kommunizieren nicht miteinander. Die IP-Adresse oben (192.168.1.1) stellt einen Rechner mit zwei Hostnamen (host.example.com und INENDEBS1L2C) in der Domain „example.com“ dar. Die MAC-Adresse des Rechners lautet 11-11-11-11-11-11-11-11-11 und Alice verwendet ihn.

Filtern der Daten in der Ansicht „Incident-Details“

Sie können auf Indikatoren im Bereich „Indikatoren“ klicken, um die Anzeige im Node-Diagramm und in der Ereignisliste zu filtern.

Wenn Sie einen Indikator zum Filtern des Node-Diagramms auswählen, werden Daten, die nicht Bestandteil Ihrer Auswahl sind, abgeblendet. Sie befinden sich aber immer noch in der Ansicht, wie in der folgenden Abbildung gezeigt.

Wenn Sie einen Indikator zum Filtern der Ereignisliste auswählen, werden nur die Ereignisse für diesen Indikator in der Liste angezeigt. Die folgende Abbildung zeigt einen ausgewählten Indikator, der zwei Ereignisse enthält. Die gefilterte Ereignisliste zeigt diese beiden Ereignisse.

Wenn Sie einen Indikator zum Filtern der Ereignisliste auswählen und es nur ein Ereignis für diesen Indikator gibt, sehen Sie die Ereignisdetails für dieses Ereignis wie in der folgenden Abbildung gezeigt.

Anzeigen der Aufgaben im Zusammenhang mit einem Incident

Threat-Experten und andere Analysten können Aufgaben für einen Incident erstellen und diese Aufgaben bis zum Abschluss nachverfolgen. Dies kann sehr hilfreich sein, wenn Sie beispielsweise Aktionen für Incidents von Teams außerhalb Ihrer Sicherheitsabläufe benötigen. Sie können die Aufgaben im Zusammenhang mit einem Incident in der Ansicht „Incident-Details“ anzeigen.

1. Navigieren Sie zu Reagieren > Incidents und suchen Sie den Incident, den Sie in der Liste „Incidents“ anzeigen möchten.
2. Klicken Sie auf den Link im Feld ID oder NAME des Incident, um die Ansicht mit den Incident-Details aufzurufen.
3. Klicken Sie in der Symbolleiste der Ansicht „Incident-Details“ auf .
   Der Bereich „Journal“ wird geöffnet.
4. Klicken Sie auf die Registerkarte AUFGABEN.
   Im Bereich „Aufgaben“ werden alle Aufgaben für den Incident angezeigt.
   
   

Weitere Informationen zu Aufgaben finden Sie unter Aufgaben-Listenansicht, Anzeigen aller Incident-Aufgaben und Erstellen einer Aufgabe.

Anzeigen von Incident-Anmerkungen

Im Incident-Journal können Sie den Verlauf der Aktivitäten für Ihren Incident anzeigen. Sie können Journaleinträge von anderen Analysten anzeigen und mit ihnen kommunizieren und zusammenarbeiten.

1. Navigieren Sie zu Reagieren > Incidents und suchen Sie den Incident, den Sie in der Liste „Incidents“ anzeigen möchten.
2. Klicken Sie auf den Link im Feld ID oder NAME des Incident, um die Ansicht mit den Incident-Details aufzurufen.
3. Klicken Sie in der Symbolleiste der Ansicht „Incident-Details“ auf .
   Im Bereich „Journal“ werden alle Journaleinträge für den Incident angezeigt.
   
   

Suchen verwandter Indikatoren

Verwandte Indikatoren sind Warnmeldungen, die ursprünglich nicht Teil des ausgewählten Incident waren, aber irgendwie mit dem Incident verknüpft sind. Die Beziehung kann, muss aber nicht, offensichtlich sein. Beispielsweise können verwandte Indikatoren eine oder mehrere Entitäten aus dem Incident umfassen, aber sie können auch aufgrund von Intelligenz außerhalb von NetWitness Suite verknüpft sein.

Im Bereich „Verwandt“ in der Ansicht „Incident-Details“ können Sie in anderen Warnmeldungen außerhalb des aktuellen Incident nach einer Entität (z. B. IP, MAC, Host, Domain, Benutzer, Dateiname oder Hash) suchen.

1. Navigieren Sie zu Reagieren > Incidents und suchen Sie den Incident, den Sie in der Liste „Incidents“ anzeigen möchten.
2. Klicken Sie auf den Link im Feld ID oder NAME des Incident, um die Ansicht mit den Incident-Details aufzurufen.
3. Klicken Sie in der Symbolleiste der Ansicht „Incident-Details“ auf .
   Der Bereich „Journal“ wird auf der rechten Seite geöffnet.
4. Klicken Sie auf die Registerkarte VERWANDT.
   
5. Klicken Sie auf Suchen.
   Eine Liste der verwandten Indikatoren (Warnmeldungen) wird unter der Schaltfläche Suchen im Abschnitt Indikatoren für angezeigt. Wenn eine Warnmeldung nicht mit einem anderen Incident verknüpft ist, können Sie den verwandten Indikator (Warnmeldung) durch Klicken auf die Schaltfläche Einem Incident hinzufügen zum aktuellen Incident hinzufügen. Siehe Hinzufügen verwandter Indikatoren zum Incident unten.

Hinzufügen verwandter Indikatoren zum Incident

Sie können dem aktuellen Incident im Bereich „Verwandte Indikatoren“ verwandte Indikatoren (Warnmeldungen) hinzufügen. Ein Indikator, der bereits mit einem Incident verknüpft ist, kann nicht mit einem anderen Incident verknüpft werden. Wenn eine Warnmeldung nicht bereits mit einem Incident verknüpft ist, wird in den Suchergebnissen eine Schaltfläche Einem Incident hinzufügen für sie angezeigt.

1. Führen Sie im Bereich VERWANDT (verwandte Indikatoren) eine Suche aus, um verwandte Indikatoren zu suchen. Siehe Suchen verwandter Indikatoren oben.
   
2. Überprüfen Sie die Warnmeldungen in den Suchergebnissen. Im Bereich Indikatoren für (unter der Schaltfläche „Suchen“) werden die verwandten Indikatoren (Warnmeldungen)angezeigt.
3. Um die Details einer Warnmeldung zu prüfen, bevor Sie sie als verwandten Indikator hinzufügen, können Sie auf den Link In neuem Fenster öffnen klicken, um die Warnmeldungsdetails für diesen Indikator anzuzeigen.
   
4. Klicken Sie für jede Warnmeldung, die Sie als verwandten Indikator zum aktuellen Incident hinzufügen möchten, auf die Schaltfläche Einem Incident hinzufügen.
   Der ausgewählte verwandte Indikatoren wird dem Bereich „Indikatoren“ auf der linken Seite hinzugefügt. Die Schaltfläche im Bereich „Verwandte Indikatoren“ auf der rechten Seite zeigt jetzt Zu Incident gehörig.