In der Ansicht „Warnmeldungsdetails“ finden Sie Übersichtsinformationen zu der Warnmeldung, beispielsweise ihre Quelle, die Anzahl von in ihr enthaltenen Ereignissen und Angabe dazu, ob sie zu einem Incident gehört. (Zugriff: „REAGIEREN“ > „Warnmeldungen“ > Klick auf den Link in „NAME“-Spalte der Warnmeldungsliste) Außerdem können Sie hier detaillierte Informationen zu den Ereignissen in der Warnmeldung sowie die Ereignismetadaten einsehen.
Workflow
Dieser Workflow veranschaulicht den allgemeinen Prozess, anhand dessen Analysten Warnmeldungen überprüfen und Incidents erstellen.
Sobald Sie die Warnmeldungsliste in der Ansicht „Warnmeldungsdetails“ durchgesehen haben, können Sie Warnmeldungen von Interesse in der zugehörigen Detailansicht näher untersuchen und Incidents aus ihnen erstellen. Unter Konfigurieren > „Incident-Regeln“ können Sie Incident-Regeln erstellen, auf deren Grundlage Incidents erstellt werden sollen.
Hinweis: Sie können auch NetWitness Suite Automated Threat Detection nutzen. Mit diesem Service können Sie Incidents erstellen, ohne erst manuell Regeln definieren zu müssen.
Was möchten Sie tun?
* Sie können diese Aufgaben in der aktuellen Ansicht (d. h. in der Detailansicht der Warnmeldung) durchführen.
Verwandte Themen
Ansicht „Warnmeldungsdetails“
-
Navigieren Sie zum Aufrufen der Ansicht „Warnmeldungsdetails“ zu Reagieren > Warnmeldungen.
- Wählen Sie aus der Warnmeldungsliste die Warnmeldung aus, deren Details Sie einsehen möchten, und klicken Sie in der Spalte „NAME“ auf den Link dieser Warnmeldung.
Die Ansicht „Warnmeldungsdetails“ besteht aus dem Bereich „Übersicht“ links und dem Ereignisbereich rechts. Sie können die Größe der Bereiche anpassen, um mehr Informationen zu sehen (siehe Abbildung unten).
Bereich „Übersicht“
Im Bereich „Übersicht“ finden Sie grundlegende Übersichtsinformationen zu der jeweils ausgewählten Warnmeldung. Der Bereich „Übersicht“ in der Warnmeldungsliste enthält dieselben Informationen. Details hierzu finden Sie im Thema „Warnmeldungsliste“ im Abschnitt Bereich „Übersicht“.
Ereignisbereich
Enthält die Warnmeldung mehr als ein Ereignis, wird im Ereignisbereich eine Liste der Ereignisse angezeigt. Enthält die Warnmeldung nur ein einziges Ereignis, werden im Ereignisbereich die Ereignisdetails angezeigt. Diese können Sie auch aufrufen, indem Sie in der Ereignisliste auf ein Ereignis klicken.
Ereignisliste
In der Ereignisliste für eine ausgewählte Warnmeldung werden sämtliche in der betreffenden Warnmeldung enthaltenen Ereignisse aufgeführt.
In der nachfolgenden Tabelle sind die Spalten der Ereignisliste aufgeführt. Sie liefern einen Überblick über das jeweilige Ereignis.
| ZEIT | Zeigt an, wann das Ereignis eingetreten ist. |
| TYP | Zeigt den Typ der Warnmeldung an, z. B. „Protokoll“ oder „Netzwerk“. |
| QUELL-IP | Zeigt die Quell-IP-Adresse an, wenn eine Transaktion zwischen zwei Rechnern erfolgt ist. |
| Ziel-IP | Zeigt die Ziel-IP-Adresse an, wenn eine Transaktion zwischen zwei Rechnern erfolgt ist. |
| DETEKTOR-IP | Zeigt die IP-Adresse des Rechners an, auf dem eine Anomalie erkannt wurde. |
| QUELLBENUTZER | Zeigt den Benutzer des Quellrechners an. |
| ZIELBENUTZER | Zeigt den Benutzer des Zielrechners an. |
| DATEINAME | Zeigt den Dateinamen an, falls eine Datei in das Ereignis involviert ist. |
| DATEI-HASH | Zeigt einen Hash der Dateiinhalte an. |
Ereignisdetails
In den Ereignisdetails im Bereich „Ereignisse“ finden Sie die Ereignismetadaten aller Ereignisse in der betreffenden Warnmeldung.
Ereignismetadaten
In der folgenden Tabelle sind einige der Abschnitte und Unterabschnitte der Ereignismetadaten aufgeführt, die in den ersten beiden Spalten der Ereignisdetails aufgeführt werden. Diese Liste ist nicht vollständig.
| Daten | | Zeigt Informationen zu den in das Ereignis involvierten Daten an, beispielsweise die involvierten Dateien. In ein Ereignis können 0 oder mehr Dateien involviert sein. |
| | Dateiname | Zeigt den Dateinamen an, falls eine Datei in das Ereignis involviert ist. |
| | Hash | Zeigt einen Hash der Dateiinhalte an, beispielsweise MD5 oder SHA1. |
| | Größe | Zeigt die Größe der in das Ereignis involvierten Übertragung oder Datei an. |
| Beschreibung | | Zeigt eine allgemeine Beschreibung des Ereignisses an. |
| Ziel | | Zeigt das Zielgerät und dessen Benutzer an. |
| | Gerät | Zeigt Informationen über das Zielgerät an. Siehe Attribute von Ereignisquellen und Zielgeräten unten. |
| | Benutzer | Zeigt Informationen über den oder die Benutzer des Zielgeräts an. Siehe Attribute von Ereignisquellen und Zielbenutzern unten. |
| Detektor | | Zeigt den Host oder das Softwareprodukt an, von dem das Problem erkannt wurde. Diese Angabe ist die wichtigste für Schadsoftwarescanner und Protokolle. |
| | Geräteklasse | Zeigt die Geräteklasse des Produkts an, das die Warnmeldung erkannt hat. |
| | IP-Adresse | Zeigt die IP-Adresse des Produkts an, das die Warnmeldung erkannt hat. |
| | Produktname | Zeigt den Namen des Produkts an, das die Warnmeldung erkannt hat. |
| Domain | | Zeigt die dem Ereignis zugeordnete Domain an. |
| Erweiterung | | Zeigt alle zur Erweiterung verfügbaren Informationen an. |
| Verwandte Links | | Zeigt sofern verfügbar einen Link zurück zur Benutzeroberfläche des Quellprodukts an |
| | Typ | Zeigt den Typ des Ereignisses an, z. B. „investigate_original_event“. |
| | URL | Zeigt die URL zurück zur Benutzeroberfläche des Quellprodukts an. |
| Größe | | Zeigt die Größe der involvierten Übertragung oder Datei an. |
| Quelle | | Zeigt das Quellgerät und dessen Benutzer an. |
| | Gerät | Zeigt Informationen zum Quellrechner an. Siehe Attribute von Ereignisquellen und Zielgeräten unten. |
| | Benutzer | Zeigt Informationen zum Benutzer bzw. zu den Benutzern des Quellrechners an. Siehe Attribute von Ereignisquellen und Zielbenutzern unten. |
| Zeitstempel | | Zeigt die Uhrzeit an, zu der das Ereignis eingetreten ist. |
| Typ | | Zeigt den Typ der Warnmeldung an, beispielsweise „Protokoll“, „Netzwerk“, „Korrelation“, „Neuübermittlung“, „Manuell hochladen“, „On demand“, „Dateifreigaben“ oder „IOC-Sofortwarnmeldung“. |
Attribute von Ereignisquellen und Zielgeräten
In der folgenden Tabelle sind die in den Ereignisdetails verfügbaren Attribute von Ereignisquellen oder Zielgeräten aufgeführt.
| Asset-Typ | Zeigt den Gerätetyp an, zum Beispiel „Desktop“, „Laptop“, „Server“, „Netzwerksystem“ oder „Tablet“. |
| Geschäftseinheit | Zeigt den Geschäftsbereich an, dem das Gerät zugeordnet ist. |
| Compliancerating | Zeigt das Compliancerating des Geräts an. Mögliche Werte sind „Niedrig“, „Mittel“ und „Hoch“. |
| Bedeutung | Zeigt an, wie wichtig (geschäftskritisch) das Gerät für das Unternehmen ist. |
| Anlage | Zeigt den Standort des Geräts an. |
| Geolocation | Zeigt den geografischen Standort des Hosts an. Folgende Attribute können enthalten sein: „Stadt“, „Land“, „Breitengrad“, „Längengrad“, „Organisation“ und „Domain“. |
| IP-Adresse | Zeigt die IP-Adresse des Geräts an. |
| MAC-Adresse | Zeigt die MAC-Adresse des Geräts an. |
| NetBIOS-Name | Zeigt den NetBIOS-Namen des Geräts an. |
| Port | Zeigt den TCP-Port, den UDP-Port oder den IP Src-Port (erster verfügbarer) für Verbindungen zum und vom Host an. |
Attribute von Ereignisquellen und Zielbenutzern
In der folgenden Tabelle sind die in den Ereignisdetails verfügbaren Attribute von Ereignisquellen oder Zielbenutzern aufgeführt.
| AD-Domain | Zeigt die Active Directory-Domain an. |
| AD-Benutzername | Zeigt den Active Directory-Benutzernamen an. |
| E-Mail-Adresse | Zeigt die E-Mail-Adresse des Benutzers an. |
| Benutzername | Zeigt einen allgemeinen Namen an, falls die Quelle des Benutzernamens unbekannt ist, beispielsweise UNIX oder den Benutzernamen aus einem bestimmten System. |
Symbolleistenaktionen
In dieser Tabelle werden die Aktionen aufgeführt, die in der Symbolleiste der Ansicht „Warnmeldungsdetails“ verfügbar sind.
|
 | (Zurück zu Warnmeldungen) Bringt den Benutzer zurück zur Warnmeldungsliste. |
 | Klicken Sie auf die Pfeile, um durch die Ereignismetadetails der Ereignisse in einer Warnmeldung zu navigieren. Die Zahlen geben an, welches Ereignis gerade angezeigt wird (z. B. „1 von 2“). Klicken Sie auf Zurück zu Tabelle, um zur Ereignisliste zurückzukehren. Sie wird auch als Ereignistabelle bezeichnet. |
