Reagieren: Untersuchen des Incident

Document created by RSA Information Design and Development Employee on May 11, 2018Last modified by RSA Information Design and Development Employee on Apr 28, 2019
Version 4Show Document
  • View in full screen mode
 

Wenn Sie einen Incident in der Ansicht „Incident-Details“ weiter untersuchen möchten, finden Sie Links, über die Sie zu zusätzlichen Kontextinformationen zum Incident gelangen, wenn diese verfügbar sind. Dieser zusätzliche Kontext kann Ihnen zusätzlichen technischen Kontext und Unternehmenskontext zu einer bestimmten Entität im Incident verständlich machen. Sie können auch zusätzliche Informationen erhalten, die Sie untersuchen können, um sicherzustellen, dass Sie den vollen Umfang des Incident verstehen.

Anzeigen von kontextbezogenen Informationen

In den Bereichen „Indikatoren“, „Ereignisliste“ und „Ereignisdetails“ sowie im Node-Diagramm sehen Sie unterstrichene Entitäten. Wenn eine Entität unterstrichen ist, werden Informationen zu diesem Entitätentyp in Context Hub von NetWitness Platform aufgefüllt. Möglicherweise sind zusätzliche Informationen zu dieser Entität im Context Hub verfügbar.

Die folgende Abbildung zeigt unterstrichene Entitäten im Bereich „Indikatoren“ und im Node-Diagramm.

Indicators panel and Nodal Graph showing underlined entities

Die folgende Abbildung zeigt unterstrichene Entitäten im Bereich „Ereignisdetails“.

Event Details panel showing underlined entities

Der Context Hub ist mit Metadatenfeldern vorkonfiguriert, die den Entitäten zugeordnet sind. In NetWitness Respond und „Untersuchen und Reagieren“ werden diese Standardzuordnungen für die Kontextabfrage verwendet. Informationen zum Hinzufügen von Metaschlüsseln finden Sie unter „Konfigurieren von Einstellungen für eine Datenquelle“ im Context Hub-Konfigurationsleitfaden.

Achtung: Damit die Kontextabfrage in den Ansichten „Reagieren“ und „Untersuchen“ ordnungsgemäß funktioniert, empfiehlt RSA, dass Sie beim Zuordnen von Metaschlüsseln unter ADMIN > System > Ermittlungen > Kontextabfrage den Metaschlüsselzuordnungen nur Metaschlüssel und keine Felder der MongoDB hinzufügen. Zum Beispiel ist „ip.address“ ein Metaschlüssel und „ip_address“ ist kein Metaschlüssel (es ist ein Feld in der MongoDB).

So zeigen Sie kontextbezogene Informationen an:

  1. Bewegen Sie den Mauszeiger in den Bereichen „Indikatoren“, „Ereignisliste“ und „Ereignisdetails“ oder im Node-Diagramm über eine unterstrichene Entität.
    Eine Kontext-Kurzinformation wird mit einer kurzen Übersicht über den Typ der Kontextdaten, die für die ausgewählte Entität verfügbar sind, angezeigt.
    Nodal Graph showing context tooltip
    Die Kontext-Kurzinformation besteht aus zwei Abschnitten: Kontexthighlights und -aktionen.
    Context tooltip
    Die Informationen im Abschnitt Kontexthighlights helfen Ihnen, die Aktionen zu bestimmen, die Sie durchführen möchten. Es können verwandte Daten für Incidents, Warnmeldungen, Listen, Endpunkt, Live Connect, Bedeutung und Risiko für Bestände angezeigt werden. Abhängig von Ihren Daten können Sie möglicherweise auf diese Elemente klicken, um weitere Informationen anzuzeigen.
    Im obigen Beispiel sind 30 verwandte Incidents, 36 Warnmeldungen, eine Liste für die ausgewählte IP, Endpunkt NIEDRIG, Bedeutung HOCH und Risiko für Bestände HOCH dargestellt. Es gibt keine Informationen für Live Connect, in denen die ausgewählte IP-Adress-Entität erwähnt ist.
  1. Im Abschnitt Aktionen werden die verfügbaren Aktionen aufgeführt. Im obigen Beispiel sind die Optionen „Zu Liste hinzufügen/Aus Liste entfernen“, „Zu „Ermittlungen“ > „Navigation“ wechseln“, „Zu Archer wechseln“ und „Zu Endpunkt-Thick-Client wechseln“ verfügbar.

Hinweis: Der Link „Zu Archer wechseln“ ist deaktiviert, wenn die Daten von Archer nicht verfügbar sind oder wenn die Datenquelle nicht reagiert. Überprüfen Sie, ob die RSA Archer-Konfiguration aktiviert und richtig konfiguriert ist.

Weitere Informationen finden Sie unter Wechseln zu „Ermittlungen“ > „Navigation“., Wechseln zu Archer, Zu NetWitness Endpoint-Thick-Client wechseln und Hinzufügen einer Entität zu einer Whitelist.

  1. Zur Anzeige weiterer Details über die ausgewählte Entität klicken Sie auf die Schaltfläche Kontext anzeigen.
    Der Bereich „Kontextabfrage“ wird geöffnet und zeigt alle Informationen im Zusammenhang mit der Entität.
    Im folgenden Beispiel sind kontextbezogene Informationen für eine ausgewählte Quell-IP-Adresse dargestellt. Es werden alle Incidents aufgeführt, in denen die IP-Adresse erwähnt wird.
    Context panel

Weitere Informationen zum Verständnis der verschiedenen Ansichten im Bereich „Context Hub-Abfrage“ finden Sie unter
Bereich „Kontextabfrage“ – Ansicht „Reagieren“ .

Hinzufügen einer Entität zu einer Whitelist

Sie können eine beliebige unterstrichene Entität aus einer Kontext-Kurzinformation zu einer Liste, etwa einer Whitelist oder Blacklist, hinzufügen. Zum Beispiel können Sie zur Reduzierung falsch positiver Ergebnisse eine unterstrichene Domain zu einer Whitelist hinzufügen, um sie aus den verwandten Entitäten auszuschließen.

  1. Bewegen Sie den Mauszeiger in den Bereichen „Indikatoren“, „Ereignisliste“ und „Ereignisdetails“ oder im Node-Diagramm über die unterstrichene Entität, die Sie einer Context Hub-Liste hinzufügen möchten.
    Eine Kontext-Kurzinformation wird geöffnet und zeigt die verfügbaren Aktionen.
    Nodal graph showing Add to List option
  2. Klicken Sie im Abschnitt AKTIONEN der Kurzinformation auf Zu Liste hinzufügen/Aus Liste entfernen.
    Das Dialogfeld „Zu Liste hinzufügen/Aus Liste entfernen“ zeigt die verfügbaren Listen.
    Add to List dialog
  3. Wählen Sie eine oder mehrere Listen aus und klicken Sie auf Speichern.
    Die Entität wird in den ausgewählten Listen angezeigt.
    Das Dialogfeld „Zu Liste hinzufügen/Aus Liste entfernen“ bietet zusätzliche Informationen.

Eine Liste erstellen

Sie können Listen in Context Hub aus der Ansicht „Reagieren“ erstellen. Abgesehen von der Verwendung von Listen für Whitelist- und Blacklist-Entitäten können Sie Listen verwenden, um Entitäten auf abnormales Verhalten zu überwachen. Beispielsweise können Sie zur Verbesserung der Sichtbarkeit einer verdächtigen IP-Adresse und Domain unter Investigation diese in zwei separate Listen übernehmen. Eine Liste könnte für Domains sein, die verdächtigt werden, mit Befehls- und Kontrollverbindungen in Zusammenhang zu stehen, und eine andere Liste könnte für IP-Adressen sein, die mit Remotezugriffen über Trojaner-Verbindungen in Zusammenhang stehen. Sie können dann Indikatoren für Infizierungen anhand dieser Listen identifizieren.

So erstellen Sie eine Liste in Context Hub:

  1. Bewegen Sie den Mauszeiger in den Bereichen „Indikatoren“, „Ereignisliste“ und „Ereignisdetails“ oder im Node-Diagramm über die unterstrichene Entität, die Sie einer Context Hub-Liste hinzufügen möchten.
    Eine Kontext-Kurzinformation wird geöffnet und zeigt die verfügbaren Aktionen.
  2. Klicken Sie im Abschnitt AKTIONEN der Kurzinformation auf Zu Liste hinzufügen/Aus Liste entfernen.
  3. Klicken Sie im Dialogfeld „Zu Liste hinzufügen/Aus Liste entfernen“ auf Neue Liste erstellen.
    Add/Remove from List dialog Create New List section
  4. Geben Sie einen eindeutigen LISTENNAMEN für die Liste ein. Bei dem Listennamen wird nicht zwischen Groß- und Kleinschreibung unterschieden.
  5. (Optional) Geben Sie eine BESCHREIBUNG für die Liste ein.
    Analysten mit den entsprechenden Berechtigungen können Listen auch im CSV-Format exportieren, um sie für die weitere Nachverfolgung und Analyse an andere Analysten zu senden. Im Context Hub-Konfigurationsleitfaden finden Sie zusätzliche Informationen.

Wechseln zu „Ermittlungen“ > „Navigation“.

Für eine eingehendere Untersuchung des Incident können Sie die Ansicht „Ermittlungen, Navigation“ aufrufen.

  1. Bewegen Sie den Mauszeiger in den Bereichen „Indikatoren“, „Ereignisliste“ und „Ereignisdetails“ oder im Node-Diagramm über eine unterstrichene Entität, um eine Kontext-Kurzinformation aufzurufen.
  2. Wählen Sie im Abschnitt AKTIONEN der Kurzinformation Zu „Ermittlungen“ > „Navigation“ wechseln aus.
    Die Ansicht „Untersuchen“ > „Navigation“ wird geöffnet. Hier können Sie eine umfassendere Ermittlung durchführen.

Weitere Informationen finden Sie im NetWitness Investigate – Benutzerhandbuch.

Wechseln zu Archer

Zum Anzeigen weiterer Details über das Gerät in RSA Archer® Cyber Incident & Breach Response können Sie auf die Seite mit den Gerätedetails wechseln. Diese Informationen werden nur für IP-Adresse, Host und Mac-Adresse angezeigt.

  1. Bewegen Sie den Mauszeiger in den Bereichen „Indikatoren“, „Ereignisliste“ und „Ereignisdetails“ oder im Node-Diagramm über eine unterstrichene Entität (IP-Adresse, Host und Mac-Adresse), um eine Kontext-Kurzinformation aufzurufen.
  2. Wählen Sie im Abschnitt AKTIONEN die Option Zu Archer wechseln aus.
  3. Wenn Sie in der Anwendung angemeldet sind, wird die Seite mit den Gerätedetails in Reaktion auf Cyber-Incidents und Sicherheitsverletzungen von RSA Archer geöffnet. Anderenfalls wird der Anmeldebildschirm angezeigt.

Hinweis: Der Link „Zu Archer wechseln“ ist deaktiviert, wenn die Archer-Daten nicht verfügbar sind oder wenn die Archer-Datenquelle nicht reagiert. Überprüfen Sie, ob die RSA Archer-Konfiguration aktiviert und richtig konfiguriert ist.

Weitere Informationen finden Sie im RSA Archer-Integrationsleitfaden.

Zu NetWitness Endpoint-Thick-Client wechseln

Wenn bei Ihnen die NetWitness Endpoint-Thick-Clientanwendung installiert ist, können Sie sie über die Kontext-Kurzinformation starten. Von dort können Sie verdächtige IP-Adressen, Hosts oder MAC-Adressen weiter untersuchen.

  1. Bewegen Sie den Mauszeiger in den Bereichen „Indikatoren“, „Ereignisliste“ und „Ereignisdetails“ oder im Node-Diagramm über eine unterstrichene Entität, um eine Kontext-Kurzinformation aufzurufen.
  2. Wählen Sie im Abschnitt AKTIONEN der Kurzinformation Zu Endpunkt-Thick-Client wechseln aus.
    Die NetWitness Endpoint-Thick-Clientanwendung wird außerhalb des Webbrowsers geöffnet.

Weitere Informationen zum Thick-Client finden Sie im Benutzerhandbuch für NetWitness Endpoint.

Details zur Ereignisanalyse für Indikatoren anzeigen

In der Ansicht „Incident-Details“ erhalten Sie tiefere Einblicke in die Incidents zu den aufgeführten Indikatoren. Somit erzielen Sie ein besseres Verständnis der Ereignisse. Im Bereich „Ereignisanalyse“ können Analysten Raw-Ereignisse und Metadaten mit interaktiven Funktionen anzeigen, mit denen Sie bedeutsame Datenmuster identifizieren können. Sie können Netzwerk-, Protokoll- und Endpunktereignisse im Bereich „Ereignisanalyse“ untersuchen. Im Bereich „Ereignisanalyse“ in der Ansicht „Reagieren“ wird die Ansicht „Ereignisanalyse“ aus „Untersuchen“ für Ereignisse mit bestimmten Indikatoren angezeigt. Detaillierte Informationen zur Ereignisanalyse finden Sie im NetWitness Investigate – Benutzerhandbuch.

Hinweis: Sie müssen die folgenden Berechtigungen für den Investigate-Server haben, um die Ereignisanalyse in der Ansicht „Reagieren“:
event.read
content.reconstruct
content.export
anzuzeigen

Überlegungen zur Migration

Aus NetWitness Platform in den Versionen vor 11.2 migrierte Incidents werden nicht im Bereich „Ereignisanalyse“ in der Ansicht „Reagieren, Incident-Details“ im Bereich „Indikatoren“ angezeigt. Wenn Sie mit aus Versionen vor 11.2 migrierte Warnmeldungen Incidents in 11.2 erstellen, wird der Bereich „Ereignisanalyse“ in der Ansicht „Reagieren“ für diese Incidents ebenfalls nicht angezeigt.

So greifen Sie im Bereich „Indikatoren“ auf Details der Ereignisanalyse für ein Ereignis zu:

  1. Navigieren Sie zu Reagieren > Incidents.
  2. Wählen Sie in der Incident-Listenansicht einen Incident zur Ansicht aus und klicken Sie dann auf den Link in der Spalte ID oder NAME für diesen Incident.
    Die Ansicht „Incident-Details“ wird angezeigt.
  3. Klicken Sie im linken Bereich der Ansicht „Incident-Details“ auf INDIKATOREN.
    Incident Details view with Indicators panel in view
    Unter den Namen der Indikatoren werden Informationen zur Datenquelle angezeigt. Sie können auch das Datum und die Uhrzeit der Erstellung des Indikators und die Anzahl der Ereignisse im Indikator anzeigen. Wenn Informationen zur Ereignisanalyse (EA) verfügbar sind, wird ein EA-Symbol vor dem Ereignis angezeigt (siehe folgende Abbildung).
    Event with EA icon visible
  4. Zum Abrufen weiterer Informationen klicken Sie auf ein Ereignis mit EA-Symbol.
    Indicators panel showing additional event details
  5. Zum Öffnen des Bereichs „Ereignisanalyse“ klicken Sie auf einen Ereignistyp-Hyperlink innerhalb des Ereignisses. Im folgenden Beispiel lautet der Ereignistyp „Netzwerk“.
    Indicators panel showing event type hyperlink
    Im Bereich „Ereignisanalyse“ werden Incident-Details für das Ereignis angezeigt, z. B. Details der Paketanalyse. Die verfügbaren Informationen können je nach Ereignistyp variieren.
    Incident Details view showing the Event Analysis panel for the selected event
    Detaillierte Informationen zur Ereignisanalyse finden Sie im NetWitness Investigate – Benutzerhandbuch.

Hinweis: Wenn Sie den URL-Link „Ereignisanalyse“ an einen anderen Analysten senden möchten, können Sie den Ereignisyp-Hyperlink kopieren.

Dokumentmaßnahmen außerhalb von NetWitness

Das Journal zeigt Hinweise, die von Analysten hinzugefügt wurden, und ermöglicht es Ihnen, mit Kollegen zusammenzuarbeiten. Sie können Hinweise in einem Journal veröffentlichen, Tags für Ermittlungsmeilensteine (Aufklärung, Bereitstellung, Ausnutzung, Installation, Befehl und Kontrolle, Aktion für Ziel, Eingrenzung, Behebung und Abschluss) hinzufügen und den Verlauf der Aktivitäten für den Incident anzeigen.

Anzeigen von Journaleinträgen für einen Incident

Klicken Sie in der Symbolleiste der Ansicht „Incident-Details“ auf Journal icon .
Details view showing the Journal icon
Das Journal wird auf der rechten Seite der Ansicht „Incident-Details“ angezeigt.
Incident Details view showing Journal panel

Das Journal zeigt den Verlauf der Aktivitäten für einen Incident. Für jeden Journaleintrag sehen Sie den Autor und die Uhrzeit des Eintrags.
Journal Panel

Hinweis hinzufügen

In der Regel werden Sie einen Hinweis hinzufügen wollen, damit ein anderer Analyst den Incident verstehen kann, oder einen Hinweis für die Nachwelt, damit Ihre Ermittlungsschritte dokumentiert werden.

  1. Geben Sie unten im Bereich „Journal“ Ihren Hinweis in das Feld Neuer Journaleintrag ein.
    New Journal Entry example
  2. (Optional) Wählen Sie einen Ermittlungsmeilenstein aus der Drop-down-Liste (Aufklärung, Bereitstellung, Ausnutzung, Installation, Befehl und Kontrolle, Aktion für Ziel, Eingrenzung, Behebung und Abschluss) aus.

  3. Nachdem Sie die Notiz abgeschlossen haben, klicken Sie auf Senden.
    Ihr neuer Journaleintrag wird im Journal angezeigt.
    Journal showing a successful joural entry

Löschen eines Hinweises

  1. Suchen Sie im Bereich „Journal“ nach dem Journaleintrag, den Sie löschen möchten.
  2. Klicken Sie auf das Papierkorb-Symbol (löschen) Trash can (delete) icon neben dem Journaleintrag.
    Journal entry showing trash can (delete) icon
  3. Klicken Sie im angezeigten Bestätigungsdialogfeld auf OK, um zu bestätigen, dass Sie den Journaleintrag löschen möchten. Diese Aktion kann nicht rückgängig gemacht werden.

Anzeigen des Reputationsstatus eines Datei-Hash

Sie können den Reputationsstatus eines Datei-Hash anzeigen. Die Informationen über den Datei-Hash werden aus dem Context Hub abgerufen. Möglicherweise sind zusätzliche Informationen zu dieser Entität im Context Hub verfügbar.

So zeigen Sie kontextbezogene Informationen an:

  1. Klicken Sie in der Ansicht Incidents auf einen Incident.
  2. Bewegen Sie den Mauszeiger über einen Datei-Hash.
  3. Der Reputationsstatus wird angezeigt.

You are here
Table of Contents > Untersuchen des Incident

Attachments

    Outcomes