Die Incidents-Listenansicht (REAGIEREN > Incidents) gibt Incident-Experten und anderen Analysten eine priorisierte Ergebnisliste mit Incidents an die Hand, die von verschiedenen Quellen erstellt wurden. Ihre Ergebnisliste könnte beispielsweise Incidents enthalten, die auf Basis von ESA-Regeln, von NetWitness Endpoint oder von ESA Analytics-Modulen für Automatisierte Bedrohungserkennung erstellt wurden (z. B. C2 für Pakete oder Protokolle). Über die Incidents-Listenansicht haben Sie einfachen Zugriff auf alle nötigen Informationen, um Incidents schnell zu sichten, zu managen und endgültig zu beheben.
Workflow
Dieser Workflow veranschaulicht den allgemeinen Prozess, anhand dessen Incident-Experten in NetWitness Platform auf Incidents reagieren.
In der Ansicht „Incident-Liste“ können Sie die Liste priorisierter Incidents überprüfen. Dort finden Sie auch grundlegende Informationen zu den einzelnen Incidents. Sie haben zudem die Möglichkeit, Zuweisungsempfänger, Priorität und Status der Incidents zu ändern. Da die Incidents-Liste sehr viele Incidents enthalten kann, lassen sich die Incidents nach Zeitbereich, Incident-ID, benutzerdefiniertem Datumsbereich, Status, Zuweisungsempfänger und Kategorie filtern.
Was möchten Sie tun?
| Incident-Experten, Analysten und SOC-Manager | Priorisierte Incidents anzeigen* | Überprüfen der Liste mit priorisierten Incidents |
| Incident-Experten, Analysten und SOC-Manager | Incident-Liste filtern und sortieren* | Filtern der Incident-Liste |
| Incident-Experten, Analysten | Eigene Incidents anzeigen* | Anzeigen eigener Incidents |
| Incident-Experten, Analysten | Sich selbst Incidents zuweisen | Zuweisen von Incidents an sich selbst |
| Incident-Experten, Analysten und SOC-Manager | Incidents suchen* | Suchen von Incidents |
| Incident-Experten, Analysten und SOC-Manager | Senden eines Incident an Archer Cyber Incident & Breach Response oder aktualisieren eines Vorfalls.* | Eskalieren oder Korrigieren des Incident |
| Incident-Experten, Analysten | Incident-Details anzeigen | Ermitteln, welche Incidents eine Aktion erfordern |
| Incident-Experten, Analysten | Incident eingehender untersuchen | Untersuchen des Incident |
| Incident-Experten, Analysten und SOC-Manager | Aufgabe erstellen | Eskalieren oder Korrigieren des Incident |
* Sie können diese Aufgaben in der aktuellen Ansicht (d. h. in der Incidents-Listenansicht) durchführen.
Verwandte Themen
Überblick
Das folgende Beispiel zeigt die anfängliche Incidents-Listenansicht mit dem Bereich „Filter“. Durch Klicken auf einen Incident in der Incident-Liste können Sie den Bereich „Übersicht“ für den betreffenden Incident öffnen.
| 1 | Bereich „Filter“ |
| 2 | Incidents-Liste |
| 3 | Bereich „Übersicht“ |
Durch Klicken auf die Links in den Spalten „ID“ und „NAME“ können Sie direkt aus der Incidents-Liste heraus die Detailansicht eines Incident aufrufen. Der Bereich „Übersicht“ steht auch in der Incident-Detailansicht zur Verfügung. Weitere Informationen über die Incident-Detailansicht finden Sie unter Incident-Detailansicht.
Incidents-Listenansicht
Um die Incidents-Listenansicht, zu öffnen, navigieren Sie zu Reagieren > Incidents. In der Incidents-Listenansicht wird eine Liste sämtlicher Incidents angezeigt. Die Incidents-Listenansicht besteht aus dem Bereich „Filter“, einer Liste von Incidents und einem Bereich „Übersicht“ für die einzelnen Incidents.
Auf der Abbildung unten sehen Sie links den Bereich „Filter“ und rechts die Incident-Liste.
Auf der Abbildung unten sehen Sie links die Incident-Liste und rechts den Bereich „Incident-Übersicht“.
Incidents-Liste
In der Incidents-Liste werden alle priorisierten Incidents aufgeführt. Sie können diese Liste so filtern, dass nur die Incidents angezeigt werden, die für Sie von Interesse sind.
| CREATED | Zeigt das Erstellungsdatum des Incident an. |
| PRIORITÄT | Zeigt die Priorität des Incident an. Die Priorität kann „Kritisch“, „Hoch“, „Mittel“ oder „Niedrig“ sein. Für die Priorität wird ein Farbcode verwendet: Rot kennzeichnet einen Incident als Kritisch, Orange steht für Incidents mit der Risikobewertung Hoch, Gelb für Incidents mit der RisikobewertungMittel und Grün für Incidents mit der Risikobewertung Niedrig. Beispiel: 
|
| RISIKOWERT | Zeigt den Risikowert des Incident an. Der Risikowert gibt das Risikopotenzial des Incident an. Er wird mittels eines Algorithmus berechnet und liegt zwischen 0 und 100. 100 ist der höchste Risikowert.
|
| ID | Zeigt die automatisch erstellte Incident-Nummer an. Jedem Incident wird eine eindeutige Nummer zugewiesen, anhand derer Sie den Incident nachverfolgen können. |
| NAME | Zeigt den Namen des Incident an. Der Incident-Name leitet sich aus der Regel ab, die den Incident ausgelöst hat. Durch Klicken auf den Link können Sie die Detailansicht des jeweils ausgewählten Incident aufrufen. |
| STATUS | Zeigt den Status des Incident an. Mögliche Status sind: „Neu“, „Zugewiesen“, „Läuft“, „Aufgabe angefordert“, „Aufgabe abgeschlossen“, „Geschlossen“ und „Geschlossen – falsch positives Ergebnis“. |
| ZUWEISUNGSEMPFÄNGER | Zeigt das Teammitglied an, dem der Incident derzeit zugewiesen ist. |
| WARNMELDUNGEN | Zeigt an, wie viele Warnmeldungen dem Incident zugeordnet sind. Ein Incident kann viele Warnmeldungen enthalten. Eine große Anzahl von Warnmeldungen kann auf einen großflächigen Angriff hindeuten. |
|
Am unteren Rand der Liste sehen Sie die Anzahl der Incidents auf der aktuellen Seite, die Gesamtzahl der Incidents und die Anzahl der ausgewählten Incidents. Beispiel: 1.000 von 2.517 Elementen werden angezeigt | 2 ausgewählt. Es können maximal 1.000 Incidents gleichzeitig angezeigt werden.
Bereich „Filter“
Auf der Abbildung unten sehen Sie die im Bereich „Filter“ verfügbaren Filter.
Im Bereich „Filter“ links neben der Ansicht „Incident-Liste“ stehen Optionen zur Verfügung, mit denen Sie die Incident-Liste filtern können. Wenn Sie den Bereich „Filter“ verlassen, werden die ausgewählten Filter für die Incidents-Listenansicht beibehalten.
|
| ZEITBEREICH | Sie können einen bestimmten Zeitraum aus der Drop-down-Liste „Zeitbereich“ auswählen. Der Zeitbereich basiert auf dem Datum, an dem die Warnmeldungen empfangen wurden. Wenn Sie zum Beispiel „Letzte Stunde“ auswählen, werden die Warnmeldungen angezeigt, die innerhalb der letzten 60 Minuten empfangen wurden. |
| BENUTZERDEFINIERTER DATUMSBEREICH | Sie können einen bestimmten Datumsbereich anstelle der Option „Zeitbereich“ auswählen. Klicken Sie dazu auf den weißen Kreis vor „Nutzerdefinierter Datumsbereich“, damit die Felder „Startdatum“ und „Enddatum“ angezeigt werden. Wählen Sie die Datums- und Zeitangaben im Kalender aus.
 |
| Incident-ID | Hier können Sie die Incident-ID des Incident eingeben, den Sie suchen, zum Beispiel „INC-1050“. |
| PRIORITÄT | Hier können Sie festlegen, Incidents welcher Priorität angezeigt werden sollen. |
| STATUS | Hier können Sie einen oder mehrere Incident-Status auswählen. Wenn Sie beispielsweise „Geschlossen – falsch positives Ergebnis“ auswählen, werden nur falsch positive Incidents angezeigt, also Incidents, die zunächst als verdächtigt eingestuft, dann aber als sicher bestätigt wurden. |
| ZUWEISUNGSEMPFÄNGER | Hier können Sie einen oder mehrere Zuweisungsempfänger auswählen, deren Incidents Sie anzeigen möchten. Sollen beispielsweise nur die Incidents angezeigt werden, die Cale oder Stanley zugewiesen sind, wählen Sie „Cale“ und „Stanley“ in der Drop-down-Liste „Zuweisungsempfänger“ aus. Lassen Sie die Auswahl unter „Zuweisungsempfänger“ frei, wenn die Incidents unabhängig von ihrem Zuweisungsempfänger angezeigt werden sollen.
(Verfügbar ab Version 11.1) Wenn Sie nur Incidents anzeigen möchten, die nicht zugewiesen sind, wählen Sie Nur nicht zugewiesene Incidents anzeigen aus. |
| KATEGORIEN | Aus dieser Drop-down-Liste können Sie eine oder mehrere Kategorien auswählen. Wenn Sie beispielsweise nur Incidents der Kategorien „Backdoor“ oder „Rechtemissbrauch“ anzeigen möchten, müssen Sie „Backdoor“ und „Rechtemissbrauch“ auswählen. |
| AN ARCHER GESENDET: | (In Version 11.2 und höher, wenn RSA Archer als Datenquelle im Context Hub konfiguriert ist, können Sie Incidents an Archer Cyber Incident & Breach Response senden. Diese Option wird in NetWitness Respond verfügbar sein.) Zum Anzeigen von an Archer gesendeten Incidents wählen Sie Ja aus. Für Incidents, die nicht an Archer gesendet wurden, wählen Sie Nein aus. |
| Filter zurücksetzen | Entfernt die Filterauswahl. |
Bereich „Übersicht“
Im Bereich „Übersicht“ finden Sie grundlegende Übersichtsinformationen zu dem jeweils ausgewählten Incident. In der Incident-Liste haben Sie die Möglichkeit, einen Incident anzuklicken, um auf den Bereich „Übersicht“ zuzugreifen. Der Bereich „Übersicht“ in der Ansicht „Incident-Details“ enthält dieselben Informationen.
In der folgenden Tabelle sind die Felder im Bereich „Incident-Übersicht“ aufgelistet.
| <Incident-ID> | Zeigt die ID des Incident an. |
| An Archer senden/An Archer gesendet | (In Version 11.2 und höher, wenn RSA Archer als Datenquelle im Context Hub konfiguriert ist, können Sie Incidents an Archer Cyber Incident & Breach Response senden. Diese Option ist in NetWitness Respond verfügbar.)
Zeigt an, ob ein Incident an Archer Cyber Incident & Breach Response gesendet wurde: - An Archer senden: Der Incident wurde nicht an Archer gesendet. Klicken Sie auf An Archer senden, um den Incident zur zusätzlichen Verarbeitung an Archer Cyber Incident & Breach Response zu senden. Diese Aktion kann nicht rückgängig gemacht werden.
 - An Archer gesendet: Der Incident wurde zur weiteren Analyse und für weitere Aktionen an Archer Cyber Incident & Breach Response gesendet.
|
| <Incident-Name> | Zeigt den Namen des Incident an. Klicken Sie auf den Incident-Namen, wenn Sie ihn ändern möchten. Regeln beispielsweise erstellen unter Umständen viele Incidents mit identischem Namen. Dann können Sie die Namen der Incidents, um sie eindeutiger zu kennzeichnen. |
| Erstellt | Zeigt Datum und Uhrzeit der Erstellung des Incident an. |
| Regel/Von | Zeigt den Namen der Regel an, die den Incident erstellt hat, oder den Namen der Person, die den Incident erstellt hat. |
| Risikowert | Gibt das Risikopotenzial des Incidents an. Es wird mittels eines Algorithmus berechnet und liegt zwischen 0 und 100. 100 ist der höchste Risikowert. |
| Priorität | Zeigt die Priorität des Incident an. Die Priorität kann „Kritisch“, „Hoch“, „Mittel“ oder „Niedrig“ sein. Wenn Sie die Priorität ändern möchten: Klicken Sie auf die Schaltfläche der Priorität und wählen Sie eine neue Priorität aus der Drop-down-Liste aus. |
| Status | Zeigt den Status des Incident an. Der Status kann „Neu“, „Zugewiesen“, „Läuft“, „Aufgabe angefordert“, „Aufgabe abgeschlossen“, „Geschlossen“ und „Geschlossen – falsch positives Ergebnis“ lauten. Wenn Sie den Status ändern möchten: Klicken Sie auf die Schaltfläche des Status und wählen Sie einen neuen Status aus der Drop-down-Liste aus. |
| Zuweisungsempfänger | Zeigt das Teammitglied an, dem der Incident derzeit zugewiesen ist. Wenn Sie den Zuweisungsempfänger ändern möchten: Klicken Sie auf die Schaltfläche des Zuweisungsempfängers und wählen Sie einen neuen Zuweisungsempfänger aus der Drop-down-Liste aus. |
| Quellen | Zeigt die Datenquellen, die zur Lokalisierung der verdächtigen Aktivität verwendet wurden. |
| Kategorien | Zeigt die Kategorien der Incident-Ereignisse an. |
| Katalysatoren | Zeigt an, wie viele Indikatoren zur Erfassung des Incidents geführt haben. |
Symbolleistenaktionen
In dieser Tabelle werden die Aktionen aufgeführt, die in der Symbolleiste der Incidents-Listenansicht verfügbar sind.
|
 | Öffnet den Bereich „Filter“, in dem Sie festlegen können, welche Incidents in der Incident-Liste angezeigt werden sollen. |
|  | Schließt den Bereich. |
| Schaltfläche Priorität ändern | Ermöglicht die Änderung der Prioität eines oder mehrerer ausgewählter Incidents in der Incidents-Liste. |
| Schaltfläche Status ändern | Ermöglicht die Änderung des Status eines oder mehrerer ausgewählter Incidents. |
| Schaltfläche Zuweisungsempfänger ändern | Ermöglicht die Änderung des Zuweisungsempfängers eines oder mehrerer ausgewählter Incidents. |
| Schaltfläche Löschen | Löscht die ausgewählten Incidents, die entsprechenden Berechtigungen vorausgesetzt (z. B. Administrator oder Datenschutzbeauftragter). |
on May 11, 2018
