Reagieren: Ansicht „Warnmeldungsdetails“

Document created by RSA Information Design and Development on May 11, 2018Last modified by RSA Information Design and Development on Oct 19, 2018
Version 3Show Document
  • View in full screen mode
 

In der Ansicht „Warnmeldungsdetails“ finden Sie Übersichtsinformationen zu der Warnmeldung, beispielsweise ihre Quelle, die Anzahl von in ihr enthaltenen Ereignissen und Angabe dazu, ob sie zu einem Incident gehört. (Zugriff: „REAGIEREN“ > „Warnmeldungen“ > Klick auf den Link in „NAME“-Spalte der Warnmeldungsliste) Außerdem können Sie hier detaillierte Informationen zu den Ereignissen in der Warnmeldung sowie die Ereignismetadaten einsehen.

Workflow

Dieser Workflow veranschaulicht den allgemeinen Prozess, anhand dessen Analysten Warnmeldungen überprüfen und Incidents erstellen.

Incident Details view workflow diagram

Sobald Sie die Warnmeldungsliste in der Ansicht „Warnmeldungsdetails“ durchgesehen haben, können Sie Warnmeldungen von Interesse in der zugehörigen Detailansicht näher untersuchen und Incidents aus ihnen erstellen. Unter Konfigurieren > „Incident-Regeln“ können Sie Incident-Regeln erstellen, auf deren Grundlage Incidents erstellt werden sollen.

Hinweis: Sie können auch NetWitness Suite Automated Threat Detection nutzen. Mit diesem Service können Sie Incidents erstellen, ohne erst manuell Regeln definieren zu müssen.

Was möchten Sie tun?

                                                     
RolleZielDetails anzeigen
Incident-Experten,
Analysten
Alle Warnmeldungen in NetWitness Suite anzeigen

Anzeigen von Warnmeldungen

SOC-Manager,
Administratoren
Incident-Regeln erstellen

Siehe „Erstellen einer Incident-Regel für Warnmeldungen“ im NetWitness Respond-Konfigurationsleitfaden.

Incident-Experten,
Analysten
Liste aller Ereignisse in einer Warnmeldung anzeigen*Anzeigen von Ereignisdetails für eine Warnmeldung
Incident-Experten, AnalystenEreignismetadaten für jedes Ereignis in einer Warnmeldung anzeigen*Anzeigen von Ereignisdetails für eine Warnmeldung

Incident-Experten,
Analysten

Ereignisse in einer Warnmeldung eingehender untersuchen*

Untersuchen von Ereignissen

Incident-Experten,
Analysten
Einem bereits vorhandenen Incident Warnmeldungen hinzufügen

Warnmeldungen zu einem Incident hinzufügen

Hinzufügen verwandter Indikatoren zum Incident

Incident-Experten,
Analysten
Incidents aus Warnmeldungen erstellenManuelles Erstellen eines Incident
Datenschutzbeauftragte,
Administratoren
Warnmeldungen löschenLöschen von Warnmeldungen

* Sie können diese Aufgaben in der aktuellen Ansicht (d. h. in der Detailansicht der Warnmeldung) durchführen.

Verwandte Themen

Ansicht „Warnmeldungsdetails“

  1. Navigieren Sie zum Aufrufen der Ansicht „Warnmeldungsdetails“ zu Reagieren > Warnmeldungen.

  2. Wählen Sie aus der Warnmeldungsliste die Warnmeldung aus, deren Details Sie einsehen möchten, und klicken Sie in der Spalte „NAME“ auf den Link dieser Warnmeldung.
    Die Ansicht „Warnmeldungsdetails“ besteht aus dem Bereich „Übersicht“ links und dem Ereignisbereich rechts. Sie können die Größe der Bereiche anpassen, um mehr Informationen zu sehen (siehe Abbildung unten).
    Alert Details view

Bereich „Übersicht“

Im Bereich „Übersicht“ finden Sie grundlegende Übersichtsinformationen zu der jeweils ausgewählten Warnmeldung. Der Bereich „Übersicht“ in der Warnmeldungsliste enthält dieselben Informationen. Details hierzu finden Sie im Thema „Warnmeldungsliste“ im Abschnitt Bereich „Übersicht“.

Alert Details view Overview panel (This panel is the same as the Overview panel in the Alerts List view)

Ereignisbereich

Enthält die Warnmeldung mehr als ein Ereignis, wird im Ereignisbereich eine Liste der Ereignisse angezeigt. Enthält die Warnmeldung nur ein einziges Ereignis, werden im Ereignisbereich die Ereignisdetails angezeigt. Diese können Sie auch aufrufen, indem Sie in der Ereignisliste auf ein Ereignis klicken.

Ereignisliste

In der Ereignisliste für eine ausgewählte Warnmeldung werden sämtliche in der betreffenden Warnmeldung enthaltenen Ereignisse aufgeführt.

Alerts Details view - Events panel showing Event List

In der nachfolgenden Tabelle sind die Spalten der Ereignisliste aufgeführt. Sie liefern einen Überblick über das jeweilige Ereignis.

                                               

Spalte

Beschreibung

ZEITZeigt an, wann das Ereignis eingetreten ist.
TYPZeigt den Typ der Warnmeldung an, z. B. „Protokoll“ oder „Netzwerk“.
QUELL-IPZeigt die Quell-IP-Adresse an, wenn eine Transaktion zwischen zwei Rechnern erfolgt ist.
Ziel-IPZeigt die Ziel-IP-Adresse an, wenn eine Transaktion zwischen zwei Rechnern erfolgt ist.
DETEKTOR-IPZeigt die IP-Adresse des Rechners an, auf dem eine Anomalie erkannt wurde.
QUELLBENUTZERZeigt den Benutzer des Quellrechners an.
ZIELBENUTZERZeigt den Benutzer des Zielrechners an.
DATEINAMEZeigt den Dateinamen an, falls eine Datei in das Ereignis involviert ist.
DATEI-HASHZeigt einen Hash der Dateiinhalte an.

Ereignisdetails

In den Ereignisdetails im Bereich „Ereignisse“ finden Sie die Ereignismetadaten aller Ereignisse in der betreffenden Warnmeldung.

Alerts Details view - Events panel showing Event List

Ereignismetadaten

In der folgenden Tabelle sind einige der Abschnitte und Unterabschnitte der Ereignismetadaten aufgeführt, die in den ersten beiden Spalten der Ereignisdetails aufgeführt werden. Diese Liste ist nicht vollständig.

                                                                                                                                

Abschnitt

Unterabschnitt

Beschreibung

Daten

 

Zeigt Informationen zu den in das Ereignis involvierten Daten an, beispielsweise die involvierten Dateien. In ein Ereignis können 0 oder mehr Dateien involviert sein.
 DateinameZeigt den Dateinamen an, falls eine Datei in das Ereignis involviert ist.
 HashZeigt einen Hash der Dateiinhalte an, beispielsweise MD5 oder SHA1.
 GrößeZeigt die Größe der in das Ereignis involvierten Übertragung oder Datei an.
Beschreibung Zeigt eine allgemeine Beschreibung des Ereignisses an.
Ziel

 

Zeigt das Zielgerät und dessen Benutzer an.
 GerätZeigt Informationen über das Zielgerät an. Siehe Attribute von Ereignisquellen und Zielgeräten unten.
 BenutzerZeigt Informationen über den oder die Benutzer des Zielgeräts an. Siehe Attribute von Ereignisquellen und Zielbenutzern unten.
Detektor

 

Zeigt den Host oder das Softwareprodukt an, von dem das Problem erkannt wurde. Diese Angabe ist die wichtigste für Schadsoftwarescanner und Protokolle.

 

Geräteklasse

Zeigt die Geräteklasse des Produkts an, das die Warnmeldung erkannt hat.

 

IP-Adresse

Zeigt die IP-Adresse des Produkts an, das die Warnmeldung erkannt hat.

 

Produktname

Zeigt den Namen des Produkts an, das die Warnmeldung erkannt hat.

Domain Zeigt die dem Ereignis zugeordnete Domain an.
Erweiterung

 

Zeigt alle zur Erweiterung verfügbaren Informationen an.

Verwandte Links Zeigt sofern verfügbar einen Link zurück zur Benutzeroberfläche des Quellprodukts an

 

Typ

Zeigt den Typ des Ereignisses an, z. B. „investigate_original_event“.

 

URL

Zeigt die URL zurück zur Benutzeroberfläche des Quellprodukts an.

Größe

 

Zeigt die Größe der involvierten Übertragung oder Datei an.

Quelle Zeigt das Quellgerät und dessen Benutzer an.

 

Gerät

Zeigt Informationen zum Quellrechner an. Siehe Attribute von Ereignisquellen und Zielgeräten unten.
 BenutzerZeigt Informationen zum Benutzer bzw. zu den Benutzern des Quellrechners an. Siehe Attribute von Ereignisquellen und Zielbenutzern unten.

Zeitstempel

 

Zeigt die Uhrzeit an, zu der das Ereignis eingetreten ist.

Typ

 

Zeigt den Typ der Warnmeldung an, beispielsweise „Protokoll“, „Netzwerk“, „Korrelation“, „Neuübermittlung“, „Manuell hochladen“, „On demand“, „Dateifreigaben“ oder „IOC-Sofortwarnmeldung“.

Attribute von Ereignisquellen und Zielgeräten

In der folgenden Tabelle sind die in den Ereignisdetails verfügbaren Attribute von Ereignisquellen oder Zielgeräten aufgeführt.

                                                   

Name

Beschreibung

Asset-Typ

Zeigt den Gerätetyp an, zum Beispiel „Desktop“, „Laptop“, „Server“, „Netzwerksystem“ oder „Tablet“.

GeschäftseinheitZeigt den Geschäftsbereich an, dem das Gerät zugeordnet ist.
ComplianceratingZeigt das Compliancerating des Geräts an. Mögliche Werte sind „Niedrig“, „Mittel“ und „Hoch“.
BedeutungZeigt an, wie wichtig (geschäftskritisch) das Gerät für das Unternehmen ist.
AnlageZeigt den Standort des Geräts an.
GeolocationZeigt den geografischen Standort des Hosts an. Folgende Attribute können enthalten sein: „Stadt“, „Land“, „Breitengrad“, „Längengrad“, „Organisation“ und „Domain“.
IP-AdresseZeigt die IP-Adresse des Geräts an.
MAC-AdresseZeigt die MAC-Adresse des Geräts an.
NetBIOS-NameZeigt den NetBIOS-Namen des Geräts an.
Port

Zeigt den TCP-Port, den UDP-Port oder den IP Src-Port (erster verfügbarer) für Verbindungen zum und vom Host an.

Attribute von Ereignisquellen und Zielbenutzern

In der folgenden Tabelle sind die in den Ereignisdetails verfügbaren Attribute von Ereignisquellen oder Zielbenutzern aufgeführt.

                           

Attributname

Beschreibung

AD-Domain

Zeigt die Active Directory-Domain an.

AD-BenutzernameZeigt den Active Directory-Benutzernamen an.
E-Mail-AdresseZeigt die E-Mail-Adresse des Benutzers an.
BenutzernameZeigt einen allgemeinen Namen an, falls die Quelle des Benutzernamens unbekannt ist, beispielsweise UNIX oder den Benutzernamen aus einem bestimmten System.

Symbolleistenaktionen

In dieser Tabelle werden die Aktionen aufgeführt, die in der Symbolleiste der Ansicht „Warnmeldungsdetails“ verfügbar sind.

                    
OptionBeschreibung
Back to Alerts icon (arrow pointing left)

(Zurück zu Warnmeldungen) Bringt den Benutzer zurück zur Warnmeldungsliste.

Events Details Navigation options showing Back To Table button Klicken Sie auf die Pfeile, um durch die Ereignismetadetails der Ereignisse in einer Warnmeldung zu navigieren. Die Zahlen geben an, welches Ereignis gerade angezeigt wird (z. B. „1 von 2“). Klicken Sie auf Zurück zu Tabelle, um zur Ereignisliste zurückzukehren. Sie wird auch als Ereignistabelle bezeichnet.

 

You are here
Table of Contents > NetWitness Respond-Referenzinformationen > Ansicht „Warnmeldungsdetails“

Attachments

    Outcomes