Reagieren: Untersuchen des Incident

Document created by RSA Information Design and Development on May 11, 2018Last modified by RSA Information Design and Development on Oct 19, 2018
Version 3Show Document
  • View in full screen mode
 

Um einen Incident in der Ansicht „Incident-Details“ weiter zu untersuchen, finden Sie Links, über die Sie zu zusätzlichen Kontextinformationen zum Incident gelangen, wenn diese verfügbar sind. Dieser zusätzliche Kontext kann Ihnen zusätzlichen technischen Kontext und Unternehmenskontext zu einer bestimmten Entität im Incident verständlich machen. Sie können auch zusätzliche Informationen erhalten, die Sie untersuchen können, um sicherzustellen, dass Sie den vollen Umfang des Incident verstehen.

Anzeigen von kontextbezogenen Informationen

In den Bereichen „Indikatoren“, „Ereignisliste“ und „Ereignisdetails“ sowie im Node-Diagramm sehen Sie unterstrichene Entitäten. Wenn eine Entität unterstrichen ist, werden Informationen zu diesem Entitätentyp in Context Hub von NetWitness Suite aufgefüllt. Möglicherweise sind zusätzliche Informationen zu dieser Entität im Context Hub verfügbar.

Die folgende Abbildung zeigt unterstrichene Entitäten im Bereich „Indikatoren“ und im Node-Diagramm.

Indicators panel and Nodal Graph showing underlined entities

Die folgende Abbildung zeigt unterstrichene Entitäten im Bereich „Ereignisdetails“.

Event Details panel showing underlined entities

Der Context Hub ist mit Metadatenfeldern vorkonfiguriert, die den Entitäten zugeordnet sind. NetWitness Respond und Investigation nutzen diese Standardzuordnungen für die Kontextabfrage. Informationen zum Hinzufügen von Metaschlüsseln finden Sie unter „Konfigurieren von Einstellungen für eine Datenquelle“ im Context Hub-Konfigurationsleitfaden.

Achtung: Damit die Kontextabfrage in den Ansichten „Reagieren“ und „Untersuchen“ ordnungsgemäß funktioniert, empfiehlt RSA, dass Sie beim Zuordnen von Metaschlüsseln unter ADMIN > SYSTEM > Ermittlung > Kontextabfrage den Metaschlüsselzuordnungen nur Metaschlüssel hinzufügen, nicht Felder der MongoDB. Zum Beispiel ist „ip.address“ ein Metaschlüssel und „ip_address“ ist kein Metaschlüssel (es ist ein Feld in der MongoDB).

So zeigen Sie kontextbezogene Informationen an:

  1. Bewegen Sie den Mauszeiger in den Bereichen „Indikatoren“, „Ereignisliste“ und „Ereignisdetails“ oder im Node-Diagramm über eine unterstrichene Entität.
    Eine Kontext-Kurzinformation wird mit einer kurzen Übersicht über den Typ der Kontextdaten, die für die ausgewählte Entität verfügbar sind, angezeigt.
    Nodal Graph showing context tooltip
    Die Kontext-Kurzinformation besteht aus zwei Abschnitten: Kontexthighlights und -aktionen.
    Context tooltip
    Die Informationen im Abschnitt Kontexthighlights helfen Ihnen, die Aktionen zu bestimmen, die Sie durchführen möchten. Es können verwandte Daten für Incidents, Warnmeldungen, Listen, Endpoint und Live Connect angezeigt werden. Abhängig von Ihren Daten können Sie möglicherweise auf diese Elemente klicken, um weitere Informationen anzuzeigen. Das obige Beispiel zeigt 430 verwandte Incidents, 665 Warnmeldungen, 0 Listen und keine Informationen in NetWitness Endpoint oder Live Connect an, die die IP-Adressentität 192.168.144.254 erwähnen.

    Im Abschnitt Aktionen werden die verfügbaren Aktionen aufgeführt. Im obigen Beispiel sind die Optionen „Zu Ermittlungen wechseln“, „Zu Endpoint wechseln“ und „Zu Liste hinzufügen/Aus Liste entfernen“ verfügbar. Weitere Informationen finden Sie unter Zu Ermittlungen wechseln, Wechseln zum NetWitness Endpoint, und Hinzufügen einer Entität zu einer Whitelist.
  2. Um weitere Details über die ausgewählte Entität anzuzeigen, klicken Sie auf die Schaltfläche Kontext anzeigen.
    Der Bereich „Kontextabfrage“ wird geöffnet und zeigt alle Informationen im Zusammenhang mit der Entität.
    Das folgende Beispiel zeigt kontextbezogene Informationen für eine ausgewählte Quell-IP-Adresse. Es werden alle Incidents aufgeführt, die die IP-Adresse erwähnen.
    Context panel
    Weitere Informationen zum Verständnis der verschiedenen Ansichten im Bereich „Context Hub-Abfrage“ finden Sie unter
    Bereich „Kontextabfrage“ – Ansicht „Reagieren“ .

Hinzufügen einer Entität zu einer Whitelist

Sie können eine beliebige unterstrichene Entität aus einer Kontext-Kurzinformation zu einer Liste, etwa einer Whitelist oder Blacklist, hinzufügen. Zum Beispiel können Sie zur Reduzierung falsch positiver Ergebnisse eine unterstrichene Domain zur einer Whitelist hinzufügen, um sie aus den verwandten Entitäten auszuschließen.

  1. Bewegen Sie den Mauszeiger in den Bereichen „Indikatoren“, „Ereignisliste“ und „Ereignisdetails“ oder im Node-Diagramm über die unterstrichene Entität, die Sie einer Context Hub-Liste hinzufügen möchten.
    Eine Kontext-Kurzinformation wird geöffnet und zeigt die verfügbaren Aktionen.
    Nodal graph showing Add to List option
  2. Klicken Sie im Abschnitt AKTIONEN der Kurzinformation auf Zu Liste hinzufügen/Aus Liste entfernen.
    Das Dialogfeld „Zu Liste hinzufügen/Aus Liste entfernen“ zeigt die verfügbaren Listen.
    Add to List dialog
  3. Wählen Sie eine oder mehrere Listen aus und klicken Sie auf Speichern.
    Die Entität wird in den ausgewählten Listen angezeigt.
    Das Dialogfeld „Zu Liste hinzufügen/Aus Liste entfernen“ bietet zusätzliche Informationen.

Eine Liste erstellen

Sie können Listen in Context Hub aus der Ansicht „Reagieren“ erstellen. Abgesehen von der Verwendung von Listen für Whitelist- und Blacklist-Entitäten können Sie Listen verwenden, um Entitäten auf abnormales Verhalten zu überwachen. Beispielsweise können Sie zur Verbesserung der Sichtbarkeit einer verdächtigen IP-Adresse und Domain unter Investigation diese in zwei separate Listen übernehmen. Eine Liste könnte für Domains sein, die verdächtigt werden, mit Befehls- und Kontrollverbindungen in Zusammenhang zu stehen, und eine andere Liste könnte für IP-Adressen sein, die mit Remotezugriffen über Trojaner-Verbindungen in Zusammenhang stehen. Sie können dann Indikatoren für Infizierungen anhand dieser Listen identifizieren.

So erstellen Sie eine Liste in Context Hub:

  1. Bewegen Sie den Mauszeiger in den Bereichen „Indikatoren“, „Ereignisliste“ und „Ereignisdetails“ oder im Node-Diagramm über die unterstrichene Entität, die Sie einer Context Hub-Liste hinzufügen möchten.
    Eine Kontext-Kurzinformation wird geöffnet und zeigt die verfügbaren Aktionen.
  2. Klicken Sie im Abschnitt AKTIONEN der Kurzinformation auf Zu Liste hinzufügen/Aus Liste entfernen.
  3. Klicken Sie im Dialogfeld „Zu Liste hinzufügen/Aus Liste entfernen“ auf Neue Liste erstellen.
    Add/Remove from List dialog Create New List section
  4. Geben Sie einen eindeutigen LISTENNAMEN für die Liste ein. Bei dem Listennamen wird nicht zwischen Groß- und Kleinschreibung unterschieden.
  5. (Optional) Geben Sie eine BESCHREIBUNG für die Liste ein.
    Analysten mit den entsprechenden Berechtigungen können Listen auch im CSV-Format exportieren, um sie für die weitere Nachverfolgung und Analyse an andere Analysten zu senden. Im Context Hub-Konfigurationsleitfaden finden Sie zusätzliche Informationen.

Wechseln zum NetWitness Endpoint

Wenn bei Ihnen die NetWitness Endpoint-Thick-Clientanwendung installiert ist, können Sie sie über die Kontext-Kurzinformation starten. Von dort können Sie verdächtige IP-Adressen, Hosts oder MAC-Adressen weiter untersuchen.

  1. Bewegen Sie den Mauszeiger in den Bereichen „Indikatoren“, „Ereignisliste“ und „Ereignisdetails“ oder im Node-Diagramm über eine unterstrichene Entität, um eine Kontext-Kurzinformation aufzurufen.
  2. Wählen Sie im Abschnitt AKTIONEN der Kurzinformation Zu Endpoint wechseln.
    Die NetWitness Endpoint-Thick-Clientanwendung wird außerhalb des Webbrowsers geöffnet.

Weitere Informationen zum Thick-Client finden Sie im Benutzerhandbuch für NetWitness Endpoint.

Zu Ermittlungen wechseln

Für eine eingehendere Untersuchung des Incident können Sie die Ansicht „Untersuchen“ aufrufen.

  1. Bewegen Sie den Mauszeiger in den Bereichen „Indikatoren“, „Ereignisliste“ und „Ereignisdetails“ oder im Node-Diagramm über eine unterstrichene Entität, um eine Kontext-Kurzinformation aufzurufen.
  2. Wählen Sie im Abschnitt AKTIONEN der Kurzinformation Zu Ermittlungen wechseln.
    Die Ansicht „Untersuchen“ > „Navigation“ wird geöffnet, in der Sie eine umfassendere Untersuchung durchführen können.

Weitere Informationen finden Sie im NetWitness Investigate – Benutzerhandbuch.

Dokumentmaßnahmen außerhalb von NetWitness

Das Journal zeigt Hinweise, die von Analysten hinzugefügt wurden, und ermöglicht es Ihnen, mit Kollegen zusammenzuarbeiten. Sie können Hinweise in einem Journal veröffentlichen, Ermittlungsmeilensteintags (Aufklärung, Bereitstellung, Ausnutzung, Installation, Befehl und Kontrolle) hinzufügen und den Verlauf der Aktivitäten für den Incident anzeigen.

Anzeigen von Journaleinträgen für einen Incident

Klicken Sie in der Symbolleiste der Ansicht „Incident-Details“ auf Journal icon .
Details view showing the Journal icon
Das Journal wird auf der rechten Seite der Ansicht „Incident-Details“ angezeigt.
Incident Details view showing Journal panel

Das Journal zeigt den Verlauf der Aktivitäten für einen Incident. Für jeden Journaleintrag sehen Sie den Autor und die Uhrzeit des Eintrags.
Journal Panel

Hinweis hinzufügen

In der Regel werden Sie einen Hinweis hinzufügen wollen, damit ein anderer Analyst den Incident verstehen kann, oder einen Hinweis für die Nachwelt, damit Ihre Ermittlungsschritte dokumentiert werden.

  1. Geben Sie unten im Bereich „Journal“ Ihren Hinweis in das Feld Neuer Journaleintrag ein.
    New Journal Entry example
  2. (Optional) Wählen Sie einen Ermittlungsmeilenstein aus der Drop-down-Liste (Aufklärung, Bereitstellung, Ausnutzung, Installation, Befehl und Kontrolle, Aktion für Ziel, Eindämmung, Behebung und Abschluss).

  3. Nachdem Sie die Notiz abgeschlossen haben, klicken Sie auf Senden.
    Ihr neuer Journaleintrag wird im Journal angezeigt.
    Journal showing a successful joural entry

Löschen eines Hinweises

  1. Suchen Sie im Bereich „Journal“ nach dem Journaleintrag, den Sie löschen möchten.
  2. Klicken Sie auf das Papierkorb-Symbol (löschen) Trash can (delete) icon neben dem Journaleintrag.
    Journal entry showing trash can (delete) icon
  3. Klicken Sie im angezeigten Bestätigungsdialogfeld auf OK, um zu bestätigen, dass Sie den Journaleintrag löschen möchten. Diese Aktion kann nicht rückgängig gemacht werden.
You are here
Table of Contents > Untersuchen des Incident

Attachments

    Outcomes