Reagieren: Ansicht „Warnmeldungsdetails“

Document created by RSA Information Design and Development

on May 11, 2018•Last modified by RSA Information Design and Development

on Apr 28, 2019

Version 4Show Document

Like • Show 0 Likes0
Comment • 0
View in full screen mode

In der Ansicht „Warnmeldungsdetails“ finden Sie Übersichtsinformationen zu der Warnmeldung, beispielsweise ihre Quelle, die Anzahl von in ihr enthaltenen Ereignissen und Angabe dazu, ob sie zu einem Incident gehört. (Zugriff: „REAGIEREN“ > „Warnmeldungen“ > Klick auf den Link in „NAME“-Spalte der Warnmeldungsliste) Außerdem können Sie hier detaillierte Informationen zu den Ereignissen in der Warnmeldung sowie die Ereignismetadaten einsehen.

Workflow

Dieser Workflow veranschaulicht den allgemeinen Prozess, anhand dessen Analysten Warnmeldungen überprüfen und Incidents erstellen.

Sobald Sie die Warnmeldungsliste in der Ansicht „Warnmeldungsdetails“ durchgesehen haben, können Sie Warnmeldungen von Interesse in der zugehörigen Detailansicht näher untersuchen und Incidents aus ihnen erstellen. Unter Konfigurieren > „Incident-Regeln“ können Sie Incident-Regeln erstellen, auf deren Grundlage Incidents erstellt werden sollen.

Hinweis: Sie können auch NetWitness Platform Automatisierte Bedrohungserkennung nutzen. Mit diesem Service können Sie Incidents erstellen, ohne erst manuell Regeln definieren zu müssen.

Was möchten Sie tun?

Rolle	Ziel	Details anzeigen
Incident-Experten, Analysten	Alle Warnmeldungen in NetWitness Platform anzeigen	Anzeigen von Warnmeldungen
SOC-Manager, Administratoren	Incident-Regeln erstellen	Siehe „Erstellen einer Incident-Regel für Warnmeldungen“ im NetWitness Respond-Konfigurationsleitfaden.
Incident-Experten, Analysten	Liste aller Ereignisse in einer Warnmeldung anzeigen*	Anzeigen von Ereignisdetails für eine Warnmeldung
Incident-Experten, Analysten	Ereignismetadaten für jedes Ereignis in einer Warnmeldung anzeigen*	Anzeigen von Ereignisdetails für eine Warnmeldung
Incident-Experten, Analysten	Ereignisse in einer Warnmeldung eingehender untersuchen*	Untersuchen von Ereignissen
Incident-Experten, Analysten	Einem bereits vorhandenen Incident Warnmeldungen hinzufügen	Hinzufügen von Warnmeldungen zu einem Incident Hinzufügen verwandter Indikatoren zum Incident
Incident-Experten, Analysten	Incidents aus Warnmeldungen erstellen	Manuelles Erstellen eines Incident
Datenschutzbeauftragte, Administratoren	Warnmeldungen löschen	Löschen von Warnmeldungen

* Sie können diese Aufgaben in der aktuellen Ansicht (d. h. in der Detailansicht der Warnmeldung) durchführen.

Überblick

Navigieren Sie zum Aufrufen der Ansicht „Warnmeldungsdetails“ zu Reagieren > Warnmeldungen.
Wählen Sie aus der Warnmeldungsliste die Warnmeldung aus, deren Details Sie einsehen möchten, und klicken Sie in der Spalte „NAME“ auf den Link dieser Warnmeldung.
Die Ansicht „Warnmeldungsdetails“ besteht aus dem Bereich „Übersicht“ links und dem Ereignisbereich rechts. Sie können die Größe der Bereiche anpassen, um mehr Informationen zu sehen (siehe Abbildung unten).

Bereich „Übersicht“

Im Bereich „Übersicht“ finden Sie grundlegende Übersichtsinformationen zu der jeweils ausgewählten Warnmeldung. Der Bereich „Übersicht“ in der Warnmeldungsliste enthält dieselben Informationen. Details hierzu finden Sie im Thema „Warnmeldungsliste“ im Abschnitt Bereich „Übersicht“.

Ereignisbereich

Enthält die Warnmeldung mehr als ein Ereignis, wird im Ereignisbereich eine Liste der Ereignisse angezeigt. Enthält die Warnmeldung nur ein einziges Ereignis, werden im Ereignisbereich die Ereignisdetails angezeigt. Diese können Sie auch aufrufen, indem Sie in der Ereignisliste auf ein Ereignis klicken.

Ereignisliste

In der Ereignisliste für eine ausgewählte Warnmeldung werden sämtliche in der betreffenden Warnmeldung enthaltenen Ereignisse aufgeführt.

In der nachfolgenden Tabelle sind die Spalten der Ereignisliste aufgeführt. Sie liefern einen Überblick über das jeweilige Ereignis.

Spalte	Beschreibung
ZEIT	Zeigt an, wann das Ereignis eingetreten ist.
TYP	Zeigt den Typ der Warnmeldung an, z. B. „Protokoll“ oder „Netzwerk“.
QUELL-IP	Zeigt die Quell-IP-Adresse an, wenn eine Transaktion zwischen zwei Rechnern erfolgt ist.
Ziel-IP	Zeigt die Ziel-IP-Adresse an, wenn eine Transaktion zwischen zwei Rechnern erfolgt ist.
DETEKTOR-IP	Zeigt die IP-Adresse des Rechners an, auf dem eine Anomalie erkannt wurde.
QUELLBENUTZER	Zeigt den Nutzer des Quellrechners an.
ZIELBENUTZER	Zeigt den Nutzer des Zielrechners an.
DATEINAME	Zeigt den Dateinamen an, falls eine Datei in das Ereignis involviert ist.
DATEI-HASH	Zeigt einen Hash der Dateiinhalte an.

Ereignisdetails

In den Ereignisdetails im Bereich „Ereignisse“ finden Sie die Ereignismetadaten aller Ereignisse in der betreffenden Warnmeldung.

Ereignismetadaten

In der folgenden Tabelle sind einige der Abschnitte und Unterabschnitte der Ereignismetadaten aufgeführt, die in den ersten beiden Spalten der Ereignisdetails aufgeführt werden. Diese Liste ist nicht vollständig.

Abschnitt	Unterabschnitt	Beschreibung
Daten		Zeigt Informationen zu den in das Ereignis involvierten Daten an, beispielsweise die involvierten Dateien. In ein Ereignis können 0 oder mehr Dateien involviert sein.
	Dateiname	Zeigt den Dateinamen an, falls eine Datei in das Ereignis involviert ist.
	Hash	Zeigt einen Hash der Dateiinhalte an, beispielsweise MD5 oder SHA1.
	Größe	Zeigt die Größe der in das Ereignis involvierten Übertragung oder Datei an.
Beschreibung		Zeigt eine allgemeine Beschreibung des Ereignisses an.
Ziel		Zeigt das Zielgerät und dessen Nutzer an.
	Gerät	Zeigt Informationen über das Zielgerät an. Siehe Attribute von Ereignisquellen und Zielgeräten unten.
	Nutzer	Zeigt Informationen über den oder die Nutzer des Zielgeräts an. Siehe Attribute von Ereignisquellen und Zielbenutzern unten.
Detektor		Zeigt den Host oder das Softwareprodukt an, von dem das Problem erkannt wurde. Diese Angabe ist die wichtigste für Schadsoftwarescanner und Protokolle.
	Geräteklasse	Zeigt die Geräteklasse des Produkts an, das die Warnmeldung erkannt hat.
	IP-Adresse	Zeigt die IP-Adresse des Produkts an, das die Warnmeldung erkannt hat.
	Produktname	Zeigt den Namen des Produkts an, das die Warnmeldung erkannt hat.
Domain		Zeigt die dem Ereignis zugeordnete Domain an.
Erweiterung		Zeigt alle zur Erweiterung verfügbaren Informationen an.
Verwandte Links		Zeigt sofern verfügbar einen Link zurück zur Benutzeroberfläche des Quellprodukts an
	Typ	Zeigt den Typ des Ereignisses an, z. B. „investigate_original_event“.
	URL	Zeigt die URL zurück zur Benutzeroberfläche des Quellprodukts an.
Größe		Zeigt die Größe der involvierten Übertragung oder Datei an.
Quelle		Zeigt das Quellgerät und dessen Nutzer an.
	Gerät	Zeigt Informationen zum Quellrechner an. Siehe Attribute von Ereignisquellen und Zielgeräten unten.
	Nutzer	Zeigt Informationen zum Nutzer bzw. zu den Nutzern des Quellrechners an. Siehe Attribute von Ereignisquellen und Zielbenutzern unten.
Zeitstempel		Zeigt die Uhrzeit an, zu der das Ereignis eingetreten ist.
Typ		Zeigt den Typ der Warnmeldung an, beispielsweise „Protokoll“, „Netzwerk“, „Korrelation“, „Neuübermittlung“, „Manuell hochladen“, „On demand“, „Dateifreigaben“ oder „IOC-Sofortwarnmeldung“.

Attribute von Ereignisquellen und Zielgeräten

In der folgenden Tabelle sind die in den Ereignisdetails verfügbaren Attribute von Ereignisquellen oder Zielgeräten aufgeführt.

Name	Beschreibung
Asset-Typ	Zeigt den Gerätetyp an, zum Beispiel „Desktop“, „Laptop“, „Server“, „Netzwerksystem“ oder „Tablet“.
Geschäftseinheit	Zeigt den Geschäftsbereich an, dem das Gerät zugeordnet ist.
Compliancerating	Zeigt das Compliancerating des Geräts an. Mögliche Werte sind „Niedrig“, „Mittel“ und „Hoch“.
Bedeutung	Zeigt an, wie wichtig (geschäftskritisch) das Gerät für das Unternehmen ist.
Anlage	Zeigt den Standort des Geräts an.
Geolocation	Zeigt den geografischen Standort des Hosts an. Folgende Attribute können enthalten sein: „Stadt“, „Land“, „Breitengrad“, „Längengrad“, „Organisation“ und „Domain“.
IP-Adresse	Zeigt die IP-Adresse des Geräts an.
MAC-Adresse	Zeigt die MAC-Adresse des Geräts an.
NetBIOS-Name	Zeigt den NetBIOS-Namen des Geräts an.
Port	Zeigt den TCP-Port, den UDP-Port oder den IP Src-Port (erster verfügbarer) für Verbindungen zum und vom Host an.

Attribute von Ereignisquellen und Zielbenutzern

In der folgenden Tabelle sind die in den Ereignisdetails verfügbaren Attribute von Ereignisquellen oder Zielbenutzern aufgeführt.

Attributname	Beschreibung
AD-Domain	Zeigt die Active Directory-Domain an.
AD-Nutzername	Zeigt den Active Directory-Nutzernamen an.
E-Mail-Adresse	Zeigt die E-Mail-Adresse des Nutzers an.
Nutzername	Zeigt einen allgemeinen Namen an, falls die Quelle des Nutzernamens unbekannt ist, beispielsweise UNIX oder den Nutzernamen aus einem bestimmten System.

Symbolleistenaktionen

In dieser Tabelle werden die Aktionen aufgeführt, die in der Symbolleiste der Ansicht „Warnmeldungsdetails“ verfügbar sind.

Option	Beschreibung
	(Zurück zu Warnmeldungen) Bringt den Nutzer zurück zur Warnmeldungsliste.
	Klicken Sie auf die Pfeile, um durch die Ereignismetadetails der Ereignisse in einer Warnmeldung zu navigieren. Die Zahlen geben an, welches Ereignis gerade angezeigt wird (z. B. „1 von 2“). Klicken Sie auf Zurück zu Tabelle, um zur Ereignisliste zurückzukehren. Sie wird auch als Ereignistabelle bezeichnet.