Reagieren: Incidents-Listenansicht

Document created by RSA Information Design and Development on May 11, 2018Last modified by RSA Information Design and Development on Oct 19, 2018
Version 3Show Document
  • View in full screen mode
 

Die Incidents-Listenansicht (REAGIEREN > Incidents) gibt Incident-Experten und anderen Analysten eine priorisierte Ergebnisliste mit Incidents an die Hand, die von verschiedenen Quellen erstellt wurden. Ihre Ergebnisliste könnte beispielsweise Incidents enthalten, die auf Basis von ESA-Regeln, von NetWitness Endpoint oder von ESA Analytics-Modulen für Automatic Threat Detection erstellt wurden (z. B. C2 für Pakete oder Protokolle). Über die Incidents-Listenansicht haben Sie einfachen Zugriff auf alle nötigen Informationen, um Incidents schnell zu sichten, zu managen und endgültig zu beheben.

Workflow

Dieser Workflow veranschaulicht den allgemeinen Prozess, anhand dessen Incident-Experten in NetWitness Suite auf Incidents reagieren.

Incidents List view workflow diagram

In der Ansicht „Incident-Liste“ können Sie die Liste priorisierter Incidents überprüfen. Dort finden Sie auch grundlegende Informationen zu den einzelnen Incidents. Sie haben zudem die Möglichkeit, Zuweisungsempfänger, Priorität und Status der Incidents zu ändern. Da die Incidents-Liste sehr viele Incidents enthalten kann, lassen sich die Incidents nach Zeitbereich, Incident-ID, benutzerdefiniertem Datumsbereich, Status, Zuweisungsempfänger und Kategorie filtern.

Was möchten Sie tun?

                                                          
Rolle ZielAnleitung

Incident-Experten, Analysten und SOC-Manager

Priorisierte Incidents anzeigen*

Überprüfen der Liste mit priorisierten Incidents

Incident-Experten, Analysten und SOC-Manager

Incident-Liste filtern und sortieren*Filtern der Incident-Liste
Incident-Experten, AnalystenEigene Incidents anzeigen*Anzeigen eigener Incidents
Incident-Experten, AnalystenSich selbst Incidents zuweisenZuweisen von Incidents an sich selbst

Incident-Experten, Analysten und SOC-Manager

Incidents suchen*Suchen von Incidents

Incident-Experten, Analysten und SOC-Manager

Incident aktualisieren*

Eskalieren oder Korrigieren des Incident

Incident-Experten, AnalystenIncident-Details anzeigen

Ermitteln, welche Incidents eine Aktion erfordern

Incident-Experten, AnalystenIncident eingehender untersuchenUntersuchen des Incident
Incident-Experten, Analysten und SOC-ManagerAufgabe erstellenEskalieren oder Korrigieren des Incident

* Sie können diese Aufgaben in der aktuellen Ansicht (d. h. in der Incidents-Listenansicht) durchführen.

Verwandte Themen

Überblick

Das folgende Beispiel zeigt die anfängliche Incidents-Listenansicht mit dem Bereich „Filter“. Durch Klicken auf einen Incident in der Incident-Liste können Sie den Bereich „Übersicht“ für den betreffenden Incident öffnen.

Incidents List view diagram showing Filter Panel and access to Overview Panel

                 
1Bereich „Filter“
2Incidents-Liste
3Bereich „Übersicht“

Durch Klicken auf die Links in den Spalten „ID“ und „NAME“ können Sie direkt aus der Incidents-Liste heraus die Detailansicht eines Incident aufrufen. Der Bereich „Übersicht“ steht auch in der Incident-Detailansicht zur Verfügung. Weitere Informationen über die Incident-Detailansicht finden Sie unter Incident-Detailansicht.

Incidents-Listenansicht

Zum Öffnen der Incidents-Listenansicht klicken Sie auf Reagieren > Incidents. In der Incidents-Listenansicht wird eine Liste sämtlicher Incidents angezeigt. Die Incidents-Listenansicht besteht aus dem Bereich „Filter“, einer Liste von Incidents und einem Bereich „Übersicht“ für die einzelnen Incidents.

Auf der Abbildung unten sehen Sie links den Bereich „Filter“ und rechts die Incident-Liste.

Incident Lists View

Auf der Abbildung unten sehen Sie links die Incident-Liste und rechts den Bereich „Incident-Übersicht“.

Incidents List view showing Overview panel

Incidents-Liste

In der Incidents-Liste werden alle priorisierten Incidents aufgeführt. Sie können diese Liste so filtern, dass nur die Incidents angezeigt werden, die für Sie von Interesse sind.

                                            
SpalteBeschreibung
CREATEDZeigt das Erstellungsdatum des Incident an.
PRIORITÄT Zeigt die Priorität des Incident an. Die Priorität kann „Kritisch“, „Hoch“, „Mittel“ oder „Niedrig“ sein.

Für die Priorität wird ein Farbcode verwendet: Rot kennzeichnet einen Incident als Kritisch, Orange steht für Incidents mit der Risikobewertung Hoch, Gelb für Incidents mit der RisikobewertungMittel und Grün für Incidents mit der Risikobewertung Niedrig. Beispiel:

Shows Priority Levels

RISIKOWERT

Zeigt den Risikowert des Incident an. Der Risikowert gibt das Risikopotenzial des Incident an. Er wird mittels eines Algorithmus berechnet und liegt zwischen 0 und 100. 100 ist der höchste Risikowert.

IDZeigt die automatisch erstellte Incident-Nummer an. Jedem Incident wird eine eindeutige Nummer zugewiesen, anhand derer Sie den Incident nachverfolgen können.
NAMEZeigt den Namen des Incident an. Der Incident-Name leitet sich aus der Regel ab, die den Incident ausgelöst hat. Durch Klicken auf den Link können Sie die Detailansicht des jeweils ausgewählten Incident aufrufen.
STATUS

Zeigt den Status des Incident an. Mögliche Status sind: „Neu“, „Zugewiesen“, „Läuft“, „Aufgabe angefordert“, „Aufgabe abgeschlossen“, „Geschlossen“ und „Geschlossen – falsch positives Ergebnis“.

ZUWEISUNGSEMPFÄNGERZeigt das Teammitglied an, dem der Incident derzeit zugewiesen ist.
WARNMELDUNGENZeigt an, wie viele Warnmeldungen dem Incident zugeordnet sind. Ein Incident kann viele Warnmeldungen enthalten. Eine große Anzahl von Warnmeldungen kann auf einen großflächigen Angriff hindeuten.

Am unteren Rand der Liste sehen Sie die Anzahl der Incidents auf der aktuellen Seite, die Gesamtzahl der Incidents und die Anzahl der ausgewählten Incidents. Beispiel: 1.000 von 2.517 Elementen werden angezeigt | 2 ausgewählt. Es können maximal 1.000 Incidents gleichzeitig angezeigt werden.

Bereich „Filter“

Auf der Abbildung unten sehen Sie die im Bereich „Filter“ verfügbaren Filter.

Incidents List Filter panel

Im Bereich „Filter“ links neben der Ansicht „Incident-Liste“ stehen Optionen zur Verfügung, mit denen Sie die Incident-Liste filtern können. Wenn Sie den Bereich „Filter“ verlassen, werden die ausgewählten Filter für die Incidents-Listenansicht beibehalten.

                                            
OptionBeschreibung
ZEITBEREICH Sie können einen bestimmten Zeitraum aus der Drop-down-Liste „Zeitbereich“ auswählen. Der Zeitbereich basiert auf dem Datum, an dem die Warnmeldungen empfangen wurden. Wenn Sie zum Beispiel „Letzte Stunde“ auswählen, werden die Warnmeldungen angezeigt, die innerhalb der letzten 60 Minuten empfangen wurden.
BENUTZERDEFINIERTER DATUMSBEREICH Sie können einen bestimmten Datumsbereich anstelle der Option „Zeitbereich“ auswählen. Klicken Sie dazu auf den weißen Kreis vor „Benutzerdefinierter Datumsbereich“, damit die Felder „Startdatum“ und „Enddatum“ angezeigt werden. Wählen Sie die Datums- und Zeitangaben im Kalender aus.
Custom Date Range
Incident-IDHier können Sie die Incident-ID des Incident eingeben, den Sie suchen, zum Beispiel „INC-1050“.

PRIORITÄT

Hier können Sie festlegen, Incidents welcher Priorität angezeigt werden sollen.

STATUS

Hier können Sie einen oder mehrere Incident-Status auswählen. Wenn Sie beispielsweise „Geschlossen – falsch positives Ergebnis“ auswählen, werden nur falsch positive Incidents angezeigt, also Incidents, die zunächst als verdächtigt eingestuft, dann aber als sicher bestätigt wurden.

ZUWEISUNGSEMPFÄNGER

Hier können Sie einen oder mehrere Zuweisungsempfänger auswählen, deren Incidents Sie anzeigen möchten. Sollen beispielsweise nur die Incidents angezeigt werden, die Cale oder Stanley zugewiesen sind, wählen Sie „Cale“ und „Stanley“ in der Drop-down-Liste „Zuweisungsempfänger“ aus. Lassen Sie die Auswahl unter „Zuweisungsempfänger“ frei, wenn die Incidents unabhängig von ihrem Zuweisungsempfänger angezeigt werden sollen.
(Verfügbar in Version 11.1 und neueren Versionen) Wenn Sie nur Incidents anzeigen möchten, die nicht zugewiesen sind, wählen Sie Nur nicht zugewiesene Incidents anzeigen aus.

KATEGORIENAus dieser Drop-down-Liste können Sie eine oder mehrere Kategorien auswählen. Wenn Sie beispielsweise nur Incidents der Kategorien „Backdoor“ oder „Rechtemissbrauch“ anzeigen möchten, müssen Sie „Backdoor“ und „Rechtemissbrauch“ auswählen.

Filter zurücksetzen

Entfernt die Filterauswahl.

Bereich „Übersicht“

Im Bereich „Übersicht“ finden Sie grundlegende Übersichtsinformationen zu dem jeweils ausgewählten Incident. In der Incident-Liste haben Sie die Möglichkeit, einen Incident anzuklicken, um auf den Bereich „Übersicht“ zuzugreifen. Der Bereich „Übersicht“ in der Ansicht „Incident-Details“ enthält dieselben Informationen.

Incident Overview panel

In der folgenden Tabelle sind die Felder im Bereich „Incident-Übersicht“ aufgelistet.

                                                       

Feld

Beschreibung

<Incident-ID> Zeigt die ID des Incident an.
<Incident-Name>Zeigt den Namen des Incident an. Klicken Sie auf den Incident-Namen, wenn Sie ihn ändern möchten. Regeln beispielsweise erstellen unter Umständen viele Incidents mit identischem Namen. Dann können Sie die Namen der Incidents, um sie eindeutiger zu kennzeichnen.

Erstellt

Zeigt Datum und Uhrzeit der Erstellung des Incident an.

Regel/VonZeigt den Namen der Regel an, die den Incident erstellt hat, oder den Namen der Person, die den Incident erstellt hat.
RisikowertGibt das Risikopotenzial des Incidents an. Es wird mittels eines Algorithmus berechnet und liegt zwischen 0 und 100. 100 ist der höchste Risikowert.
PrioritätZeigt die Priorität des Incident an. Die Priorität kann „Kritisch“, „Hoch“, „Mittel“ oder „Niedrig“ sein. Wenn Sie die Priorität ändern möchten: Klicken Sie auf die Schaltfläche der Priorität und wählen Sie eine neue Priorität aus der Drop-down-Liste aus.
StatusZeigt den Status des Incident an. Der Status kann „Neu“, „Zugewiesen“, „Läuft“, „Aufgabe angefordert“, „Aufgabe abgeschlossen“, „Geschlossen“ und „Geschlossen – falsch positives Ergebnis“ lauten. Wenn Sie den Status ändern möchten: Klicken Sie auf die Schaltfläche des Status und wählen Sie einen neuen Status aus der Drop-down-Liste aus.
ZuweisungsempfängerZeigt das Teammitglied an, dem der Incident derzeit zugewiesen ist. Wenn Sie den Zuweisungsempfänger ändern möchten: Klicken Sie auf die Schaltfläche des Zuweisungsempfängers und wählen Sie einen neuen Zuweisungsempfänger aus der Drop-down-Liste aus.
QuellenZeigt die Datenquellen, die zur Lokalisierung der verdächtigen Aktivität verwendet wurden.

Kategorien

Zeigt die Kategorien der Incident-Ereignisse an.

KatalysatorenZeigt an, wie viele Indikatoren zur Erfassung des Incidents geführt haben.

Symbolleistenaktionen

In dieser Tabelle werden die Aktionen aufgeführt, die in der Symbolleiste der Incidents-Listenansicht verfügbar sind.

                                    
OptionBeschreibung
Filter icon

Öffnet den Bereich „Filter“, in dem Sie festlegen können, welche Incidents in der Incident-Liste angezeigt werden sollen

Close (X) icon

Schließt den Bereich

Schaltfläche Priorität ändernErmöglicht die Änderung der Prioität eines oder mehrerer ausgewählter Incidents in der Incidents-Liste.
Schaltfläche Status ändernErmöglicht die Änderung des Status eines oder mehrerer ausgewählter Incidents.
Schaltfläche Zuweisungsempfänger ändernErmöglicht die Änderung des Zuweisungsempfängers eines oder mehrerer ausgewählter Incidents.
Schaltfläche LöschenLöscht die ausgewählten Incidents, die entsprechenden Berechtigungen vorausgesetzt (z. B. Administrator oder Datenschutzbeauftragter).
You are here
Table of Contents > NetWitness Respond-Referenzinformationen > Incidents-Listenansicht

Attachments

    Outcomes