Sobald Sie die allgemeinen Informationen über den Incident aus der Ansicht „Incident-Liste“ erhalten haben, können Sie in die Ansicht „Incident-Details“ wechseln, um weitere Informationen zur Bestimmung der erforderlichen Aktion zu erhalten.
Anzeigen von Details des Incident
Zur Anzeige von Details für einen Incident wählen Sie in der Incident-Listenansicht einen Incident zur Ansicht aus und klicken Sie dann auf den Link in der Spalte ID oder NAME für diesen Incident.
Die Ansicht „Incident-Details“ für den ausgewählten Incident wird mit dem Bereich „Überblick“ und dem Node-Diagramm angezeigt.
Die Ansicht „Incident-Details“ umfasst folgende Bereiche:
- ÜBERSICHT: Das Übersichtsfenster für den Incident enthält zusammengefasste allgemeine Informationen zu dem Incident, wie die Bewertung, die Priorität, Warnmeldungen und Status. Sie haben die Möglichkeit, den Incident an RSA Archer zu senden und Priorität, Status und Zuweisungsempfänger für den Incident zu ändern.
- INDIKATOREN: Der Bereich „Indikatoren“ enthält eine chronologische Liste der Indikatoren. Indikatoren sind Warnmeldungen, z. B. ESA-Warnmeldungen oder NetWitness Endpoint-Warnmeldungen. Diese Liste hilft Ihnen, Indikatoren und wichtige Daten zueinander in Beziehung zu setzen. Beispiel: Eine mit einem Befehl und einer Kommunikations-ESA-Warnmeldung verbundene IP-Adresse kann auch eine NetWitness Endpoint-Warnmeldung oder andere verdächtige Aktivitäten ausgelöst haben.
- Node-Diagramm: Das Node-Diagramm ist eine interaktive Grafik, die die Beziehung zwischen den am Incident beteiligten Entitäten anzeigt. Eine Entität ist ein angegebener Teil Metadaten, z. B. IP-Adresse, MAC-Adresse, Nutzer, Host, Domain, Dateinamen oder Datei-Hash.
- Ereignisse: Im Bereich „Ereignisse“, auch bekannt als Tabelle „Ereignisse“, werden die mit dem Incident verbundenen Events aufgeführt. Dort werden auch die Quell- und Zielinformationen für das Ereignis sowie zusätzliche Informationen je nach Ereignistyp angezeigt. Sie können auf ein Ereignis in der Liste klicken, um die detaillierten Daten für dieses Ereignis anzuzeigen.
- JOURNAL: Im Bereich „Journal“ können Sie auf das Journal für den ausgewählten Incident zugreifen, sodass Sie mit anderen Analysten kommunizieren und zusammenarbeiten können. Sie können Hinweise in einem Journal veröffentlichen, Tags für Ermittlungsmeilensteine (Aufklärung, Bereitstellung, Ausnutzung, Installation, Befehl und Kontrolle, Aktion für Ziel, Eingrenzung, Behebung und Abschluss) hinzufügen und den Verlauf der Aktivität für den Incident anzeigen.
- AUFGABEN: Im Bereich „Aufgaben“ werden alle Aufgaben angezeigt, die für den Incident erstellt wurden. Sie können von hier aus auch zusätzliche Aufgaben erstellen.
- VERWANDT: Der Bereich „Verwandte Indikatoren“ ermöglicht es Ihnen, die NetWitness Platform-Warnmeldungsdatenbank zu durchsuchen, um Warnmeldungen zu finden, die mit diesem Incident in Verbindung stehen. Sie können auch verwandte Warnmeldungen, die Sie finden, zum Incident hinzufügen.
Um weitere Informationen im linken Bereich anzuzeigen, ohne einen Bildlauf durchzuführen, können Sie den Mauszeiger über den rechten Rand bewegen und die Linie ziehen, um die Größe des Bereichs wie in der folgenden Abbildung dargestellt zu ändern:
Anzeigen grundlegender zusammenfassender Informationen zum Incident
Sie können grundlegende zusammenfassende Informationen über einen Incident im Bereich „Übersicht“ anzeigen.
Über dem Bereich „Übersicht“ werden die folgenden Informationen angezeigt:
- Incident-ID: Dies ist eine automatisch erstellte eindeutige ID, die dem Incident zugewiesen wird.
- Name: Der Incident-Name leitet sich aus der Regel ab, die den Incident ausgelöst hat.
- Senden an Archer/An Archer gesendet: (In Version 11.2 und höher, wenn RSA Archer als Datenquelle im Context Hub konfiguriert ist, können Sie Incidents an Archer Cyber Incident & Breach Response senden. Diese Option ist in NetWitness Respond verfügbar.) Damit wird angezeigt, ob ein Incident an Archer Cyber Incident & Breach Response gesendet wurde. Ein an Archer gesendeter Incident wird mit „An Archer gesendet“ markiert. Ein nicht an Archer gesendeter Incident wird als „An Archer senden“ markiert. Zum Senden des Incidents an Archer Cyber Incident & Breach Response können Sie auf die Schaltfläche „An Archer senden“ klicken.
Um den Bereich „Übersicht“ über die Ansicht „Details für Incident“ anzuzeigen, wählen Sie im linken Bereich ÜBERSICHT.
Um den Bereich „Übersicht“ von der Liste der Incidents aus anzuzeigen, klicken Sie auf einen Incident in der Liste. Das Übersichtsfenster wird auf der rechten Seite angezeigt.
Die Übersicht enthält grundlegende zusammenfassende Informationen über den ausgewählten Incident:
- Erstellt: Zeigt Datum und Uhrzeit der Erstellung des Incident an.
- Regel/Von: Zeigt den Namen der Regel, die den Incident erstellt hat, oder den Namen der Person, die den Incident erstellt hat.
- Risikowert: Gibt das Risiko des Incidents an, das über einen Algorithmus berechnet wird und zwischen 0 und 100 liegt. 100 ist der höchste Risikowert.
- Priorität: Zeigt die Priorität des Incident an.. Die Priorität kann „Kritisch“, „Hoch“, „Mittel“ oder „Niedrig“ sein.
- Status: Zeigt den Status des Incident an. Der Status kann „Neu“, „Zugewiesen“, „Läuft“, „Aufgabe angefordert“, „Aufgabe abgeschlossen“, „Geschlossen“ und „Geschlossen – falsch positives Ergebnis“ lauten. Nachdem Sie eine Aufgabe erstellt haben, ändert sich der Status auf „Aufgabe angefordert“.
- Zuweisungsempfänger: Zeigt das Teammitglied an, dem der Incident derzeit zugewiesen ist.
- Quellen: Gibt die Datenquellen an, die verwendet werden, um die verdächtige Aktivität zu suchen.
- Kategorien: Zeigt die Kategorien der Incident-Ereignisse.
- Katalysatoren: Zeigt die Anzahl der Indikatoren, die zu dem Incident geführt haben.
Anzeigen der Indikatoren und Erweiterungen
Hinweis: Indikatoren sind Warnmeldungen, z. B. ESA-Warnmeldungen oder NetWitness Endpoint-Warnmeldungen.
Indikatoren, Ereignisse und Erweiterungen finden Sie im Bereich „Indikatoren“. Der Bereich „Indikatoren“ ist eine chronologische Liste der Indikatoren, die Ihnen dabei hilft, Erweiterungen und Ereignisse im Zusammenhang mit dem auslösenden Indikator zu finden. Zum Beispiel kann ein Indikator eine Command-and-Control-Warnmeldung (C2), eine NetWitness Endpoint-Warnmeldung, eine Warnmeldung über eine verdächtige Domain oder eine Warnmeldung aus einer Regel für Ereignis Stream Analysis (ESA) sein. Im Bereich „Indikatoren“ können Sie diese Indikatoren (Warnmeldungen) aus verschiedenen Systemen aggregieren und ordnen, damit Sie sehen können, wie sie zueinander in Beziehung stehen, und einen Zeitplan für einen bestimmten Angriff erstellen können.
Klicken Sie zum Öffnen des Bereichs „Indikatoren“ im linken Bereich der Incident-Detailansicht auf INDIKATOREN.
Indikatoren sind Warnmeldungen, z. B. ESA-Warnmeldungen oder NetWitness Endpoint-Warnmeldungen. Diese Liste hilft Ihnen, Indikatoren und wichtige Daten zueinander in Beziehung zu setzen. Beispielsweise können Indikatoren die Daten anzeigen, die durch Ihre Regeln gefunden wurden. Im Bereich „Indikatoren“ wird der Risikowert für einen Indikator in einem vollfarbigen Kreis angezeigt.
Informationen zur Datenquelle werden unter den Namen der Indikatoren angezeigt. Sie können auch das Datum und die Uhrzeit der Erstellung des Indikators und die Anzahl der Ereignisse im Indikator anzeigen. Wenn Daten verfügbar sind, können Sie die Anzahl der Erweiterungen anzeigen. Durch Klick auf die Schaltflächen „Ereignis“ und „Erweiterung“ können Sie Details anzeigen.
Anzeigen und Untersuchen der Ereignisse
Sie können die Ereignisse im Zusammenhang mit dem Incident über den Bereich „Ereignisse“ anzeigen und untersuchen. Er zeigt Informationen zu den Ereignissen, z. B. die Uhrzeit des Ereignisses, Quell-IP, Ziel-IP, Detektor-IP, Quellbenutzer, Zielbenutzer und Dateiinformationen zu den Ereignissen. Wie viele Informationen aufgeführt werden, hängt vom Typ des jeweiligen Ereignisses ab.
Es gibt zwei Typen von Ereignissen:
- Eine Transaktion zwischen zwei Rechnern (eine Quelle und ein Ziel)
- Eine auf einem einzelnen Rechner erkannte Anomalie (ein Detektor)
Einige Ereignisse haben nur einen Detektor. Mit NetWitness Endpoint wird z. B. Malware auf dem Rechner gefunden. Andere Ereignisse haben eine Quelle und ein Ziel. Paketdaten zeigen beispielsweise die Kommunikation zwischen Ihrem Rechner und einer Command-and-Control-Domain (C2).
Sie können einen Drill-down in ein Ereignis durchführen, um detaillierte Daten über das Ereignis zu erhalten.
So zeigen Sie Ereignisse an und untersuchen sie:
- Zum Anzeigen des Bereichs „Ereignisse“ klicken Sie in der Symbolleiste der Ansicht „Incident-Details“ auf
.
Im Bereich „Ereignisse“ wird eine Liste von Informationen zu jedem Ereignis aufgeführt, wie in der folgenden Tabelle gezeigt wird.
Wenn nur ein Ereignis in der Liste vorhanden ist, werden anstelle einer Liste nur die Ereignisdetails für dieses Ereignis angezeigt.
- Klicken Sie auf ein Ereignis in der Ereignisliste, um die Ereignisdetails anzuzeigen.
Dieses Beispiel zeigt die Ereignisdetails für das erste Ereignis in der Liste. - Verwenden Sie die Ereignisdetails-Navigation, um Details für zusätzliche Ereignisse anzuzeigen.
Dieses Beispiel zeigt das zweite Ereignis in der Liste.
Wenn Sie zusätzliche Berechtigungen für den Investigate-Server haben, können Sie auch auf die Details der Ereignisanalyse für Ereignisse zugreifen. Siehe Details zur Ereignisanalyse für Indikatoren anzeigen.
Anzeigen und Untersuchen der an den Ereignissen beteiligten Entitäten
Eine Entität ist eine IP-Adresse, eine MAC-Adresse, ein Benutzer, ein Host, eine Domain, ein Dateinamen oder ein Datei-Hash. Das Node-Diagramm ist eine interaktive Grafik, die Sie verschieben können, um ein besseres Verständnis davon zu erhalten, wie die an den Ereignissen beteiligten Entitäten miteinander in Bezug stehen. Die Node-Diagramme sehen unterschiedlich aus, je nach Typ des Ereignisses, der Anzahl der beteiligten Rechner und in Abhängigkeit davon, ob die Rechner Benutzern zugeordnet sind und ob Dateien mit dem Ereignis verknüpft sind.
Die folgende Abbildung zeigt ein beispielhaftes Node-Diagramm mit sechs Nodes.
Wenn Sie sich das Node-Diagramm genau ansehen, sehen Sie Kreise, die Nodes darstellen. Ein Node-Diagramm kann einen oder mehrere der folgenden Typen von Nodes enthalten:
- IP-Adresse (Wenn das Ereignis eine erkannte Anomalie ist, wird eine Detektor-IP angezeigt. Wenn das Ereignis eine Transaktion ist, wird eine Ziel-IP und eine Quell-IP angezeigt.)
- MAC-Adresse (Möglicherweise wird für jede Art von IP-Adresse eine MAC-Adresse angezeigt.)
- Benutzer (Wenn der Rechner mit einem Benutzer verknüpft ist, wird ein Benutzer-Node angezeigt.)
- Host
- Domain
- Dateiname (Wenn das Ereignis Dateien betrifft, wird ein Dateiname angezeigt.)
- Datei-Hash (Wenn das Ereignis Dateien betrifft, wird möglicherweise ein Datei-Hash angezeigt.)
Die Legende im unteren Bereich des Node-Diagramms zeigt die Anzahl der Nodes für jeden Typ und die Farbcodierung der Nodes.
Sie können auf einen beliebigen Node klicken und ihn wie gewünscht ziehen.
Die Pfeile zwischen den Nodes bieten zusätzliche Informationen über die Beziehungen der Entitäten:
- Kommuniziert mit: Ein Pfeil zwischen einem Quellrechner-Node (IP-Adresse oder MAC-Adresse) und einem Zielrechner-Node mit der Beschriftung „Kommuniziert mit“ zeigt die Richtung der Kommunikation.
- Als: Ein Pfeil zwischen Nodes mit der Beschriftung „Als“ bietet zusätzliche Informationen über die IP-Adresse, auf die der Pfeil zeigt. Im obigen Beispiel gibt es einen Pfeil aus dem Host-Node-Kreis, der auf einen Node mit einer IP-Adresse zeigt und mit „Als“ beschriftet ist. Dies weist darauf hin, dass der Name auf dem Host-Node-Kreis der Hostname dieser IP-Adresse ist und keine andere Entität.
- Hat Datei: Ein Pfeil zwischen einem Rechner-Node (IP-Adresse, MAC-Adresse oder Host) und einem Datei-Hash-Node mit der Beschriftung „Hat“ gibt an, dass die IP-Adresse diese Datei hat.
- Verwendet: Ein Pfeil zwischen einem Benutzer-Node und einem Rechner-Node (IP-Adresse, MAC-Adresse oder Host) mit der Beschriftung „Verwendet“ zeigt den Rechner, den der Benutzer während des Ereignisses verwendet hat.
- Heißt: Ein Pfeil von einem Datei-Hash-Node zu einem Dateinamen-Node mit der Beschriftung „Heißt“ gibt an, dass der Datei-Hash einer Datei mit diesem Namen entspricht.
- Gehört zu: Ein Pfeil zwischen zwei Nodes mit der Beschriftung „Gehört zu“ gibt an, dass sie zu dem gleichen Node gehören. Zum Beispiel bedeutet ein Pfeil zwischen einer MAC-Adresse und einem Host mit der Beschriftung „Gehört zu“, dass es sich um die MAC-Adresse für den Host handelt.
Pfeile mit stärkerer Linie weisen auf eine stärkere Kommunikation zwischen den Nodes hin. Größere Nodes (Kreise) weisen mehr Aktivität auf als kleinere Nodes. Die größeren Nodes sind die Entitäten, die am häufigsten in den Ereignissen erwähnt wurden.
Das folgende Beispiel eines Node-Diagramms verfügt über 11 Nodes.
In diesem Beispiel sehen Sie zwei IP-Nodes. Beide verfügen über gehashte Dateien, aber sie kommunizieren nicht miteinander. Die IP-Adresse oben (192.168.1.1) stellt einen Rechner mit zwei Hostnamen (host.example.com und INENDEBS1L2C) in der Domain „example.com“ dar. Die MAC-Adresse des Rechners lautet 11-11-11-11-11-11-11-11-11 und Alice verwendet ihn.
Wählen Sie Node-Typen aus, die Sie im Node-Diagramm anzeigen können
Hinweis: Diese Option ist nur für Version 11.2 und höher verfügbar.
In der Ansicht „Incident-Details“ für das Node-Diagramm können Sie Node-Typen verbergen. So können Sie die Interaktionen zwischen den Entitäten im Node-Diagramm weiter untersuchen.
- Navigieren Sie zu Reagieren > Incidents.
- Wählen Sie in der Incident-Listenansicht einen Incident zur Ansicht aus und klicken Sie dann auf den Link in der Spalte ID oder NAME für diesen Incident.
Die Ansicht „Incident-Details“ für den ausgewählten Incident wird mit dem Node-Diagramm in der Ansicht angezeigt. Die Legende unterhalb des Node-Diagramms enthält alle standardmäßig ausgewählten Node-Typen für Entitäten.
Wenn Sie das Node-Diagramm nicht sehen, klicken Sie auf das Symbol Diagramm anzeigen.
- Zum Ausblenden von Node-Typen deaktivieren Sie das Kontrollkästchen für die Node-Typen, die Sie im Node-Diagramm ausblenden möchten.
Im folgenden Beispiel ist der Node-Typ IP-Adresse deaktiviert und die IP-Adress-Nodes sind nun ausgeblendet. - Zum Einbinden (Einblenden) von Node-Typen aktivieren Sie das Kontrollkästchen für die Node-Typen, die Sie im Node-Diagramm anzeigen möchten.
Das Ausblenden von Node-Typen kann besonders hilfreich sein, wenn das Node-Diagramm über 100 Nodes enthält, wie in der folgenden Abbildung dargestellt.
Nach dem Ausblenden der IP-Node-Typen können Sie besser erkennen, was mit den verbleibenden Nodes passiert.
Filtern der Daten in der Ansicht „Incident-Details“
Sie können auf Indikatoren im Bereich „Indikatoren“ klicken, um die Anzeige im Node-Diagramm und in der Ereignisliste zu filtern.
Wenn Sie einen Indikator zum Filtern des Node-Diagramms auswählen, werden Daten, die nicht Bestandteil Ihrer Auswahl sind, abgeblendet. Sie befinden sich aber immer noch in der Ansicht, wie in der folgenden Abbildung gezeigt.
Wenn Sie einen Indikator zum Filtern der Ereignisliste auswählen, werden nur die Ereignisse für diesen Indikator in der Liste angezeigt. In der folgenden Abbildung ist ein ausgewählter Indikator mit zwei Ereignissen dargestellt. In der gefilterten Ereignisliste sind die drei Ereignisse aufgeführt.
Wenn Sie einen Indikator zum Filtern der Ereignisliste auswählen und es nur ein Ereignis für diesen Indikator gibt, sehen Sie die Ereignisdetails für dieses Ereignis wie in der folgenden Abbildung gezeigt.
Anzeigen der Aufgaben im Zusammenhang mit einem Incident
Threat-Experten und andere Analysten können Aufgaben für einen Incident erstellen und diese Aufgaben bis zum Abschluss nachverfolgen. Dies kann sehr hilfreich sein, wenn Sie beispielsweise Aktionen für Incidents von Teams außerhalb Ihrer Sicherheitsabläufe benötigen. Sie können die Aufgaben im Zusammenhang mit einem Incident in der Ansicht „Incident-Details“ anzeigen.
- Navigieren Sie zu Reagieren > Incidents und suchen Sie den Incident, den Sie in der Liste „Incidents“ anzeigen möchten.
- Klicken Sie auf den Link im Feld ID oder NAME des Incident, um die Ansicht mit den Incident-Details aufzurufen.
- Klicken Sie in der Symbolleiste der Ansicht „Incident-Details“ auf
.
Der Bereich „Journal“ wird geöffnet. - Klicken Sie auf die Registerkarte AUFGABEN.
Im Bereich „Aufgaben“ werden alle Aufgaben für den Incident angezeigt.
Weitere Informationen zu Aufgaben finden Sie unter Aufgaben-Listenansicht, Anzeigen aller Incident-Aufgaben und Erstellen einer Aufgabe.
Anzeigen von Incident-Anmerkungen
Im Incident-Journal können Sie den Verlauf der Aktivitäten für Ihren Incident anzeigen. Sie können Journaleinträge von anderen Analysten anzeigen und mit ihnen kommunizieren und zusammenarbeiten.
- Navigieren Sie zu Reagieren > Incidents und suchen Sie den Incident, den Sie in der Liste „Incidents“ anzeigen möchten.
- Klicken Sie auf den Link im Feld ID oder NAME des Incident, um die Ansicht mit den Incident-Details aufzurufen.
- Klicken Sie in der Symbolleiste der Ansicht „Incident-Details“ auf
.
Im Bereich „Journal“ werden alle Journaleinträge für den Incident angezeigt.
Suchen verwandter Indikatoren
Verwandte Indikatoren sind Warnmeldungen, die ursprünglich nicht Teil des ausgewählten Incident waren, aber irgendwie mit dem Incident verknüpft sind. Die Beziehung kann, muss aber nicht, offensichtlich sein. Beispielsweise können verwandte Indikatoren eine oder mehrere Entitäten aus dem Incident umfassen, aber sie können auch aufgrund von Intelligenz außerhalb von NetWitness Platform verknüpft sein.
Im Bereich „Verwandte Indikatoren“ in der Ansicht „Incident-Details“ können Sie in anderen Warnmeldungen außerhalb des aktuellen Incident nach einer Entität (z. B. IP, MAC, Host, Domain, Nutzer, Dateiname oder Hash) suchen.
- Navigieren Sie zu Reagieren > Incidents und suchen Sie den Incident, den Sie in der Liste „Incidents“ anzeigen möchten.
- Klicken Sie auf den Link im Feld ID oder NAME des Incident, um die Ansicht mit den Incident-Details aufzurufen.
- Klicken Sie in der Symbolleiste der Ansicht „Incident-Details“ auf
.
Der Bereich „Journal“ wird auf der rechten Seite geöffnet. - Klicken Sie auf die Registerkarte VERWANDT.
Der Bereich „Verwandte Indikatoren“ wird angezeigt. -
Wählen Sie im Feld Suchen den zu suchenden Entitätstypen, z. B. IP.
-
Geben Sie im Feld Wert einen Wert für die Entität ein, z. B. eine bestimmte IP-Adresse.
-
Wählen Sie im Feld Wenn den Zeitraum aus, z. B. die letzten 24 Stunden.
- Klicken Sie auf Suchen.
Eine Liste der verwandten Indikatoren (Warnmeldungen) wird unter der Schaltfläche Suchen im Abschnitt Indikatoren für angezeigt. Wenn eine Warnmeldung nicht mit einem anderen Incident verknüpft ist, können Sie den verwandten Indikator (Warnmeldung) durch Klicken auf die Schaltfläche Einem Incident hinzufügen zum aktuellen Incident hinzufügen. Siehe Hinzufügen verwandter Indikatoren zum Incident unten.
Hinzufügen verwandter Indikatoren zum Incident
Sie können dem aktuellen Incident im Bereich „Verwandte Indikatoren“ verwandte Indikatoren (Warnmeldungen) hinzufügen. Ein Indikator, der bereits mit einem Incident verknüpft ist, kann nicht mit einem anderen Incident verknüpft werden. Wenn eine Warnmeldung nicht bereits mit einem Incident verknüpft ist, wird in den Suchergebnissen eine Schaltfläche Einem Incident hinzufügen für sie angezeigt.
- Führen Sie im Bereich „Verwandte Indikatoren“ eine Suche aus, mit der Sie verwandte Indikatoren suchen. Siehe Suchen verwandter Indikatoren oben.
- Überprüfen Sie die Warnmeldungen in den Suchergebnissen. Im Bereich Indikatoren für (unter der Schaltfläche „Suchen“) werden die verwandten Indikatoren (Warnmeldungen)angezeigt.
- Um die Details einer Warnmeldung zu prüfen, bevor Sie sie als verwandten Indikator hinzufügen, können Sie auf den Link In neuem Fenster öffnen klicken, um die Warnmeldungsdetails für diesen Indikator anzuzeigen.
- Klicken Sie für jede Warnmeldung, die Sie als verwandten Indikator zum aktuellen Incident hinzufügen möchten, auf die Schaltfläche Einem Incident hinzufügen.
Der ausgewählte verwandte Indikator wird dem Bereich „Indikatoren“ auf der linken Seite hinzugefügt. Die Schaltfläche im Bereich „Verwandte Indikatoren“ auf der rechten Seite zeigt jetzt Zu Incident gehörig.