Reagieren: Reagieren auf Incidents

Document created by RSA Information Design and Development on May 11, 2018Last modified by RSA Information Design and Development on Oct 19, 2018
Version 3Show Document
  • View in full screen mode
 

Ein Incident ist ein Satz logisch gruppierter Warnmeldungen, die automatisch von der Incident-Aggregations-Engine erstellt und nach bestimmten Kriterien gruppiert werden. Über einen Incident, der in der Ansicht „Reagieren“ zur Verfügung steht, können Analysten diese Gruppen der Warnmeldungen priorisieren, untersuchen und beheben. Incidents können zwischen Benutzern verschoben, mit Anmerkungen versehen und in einem Node-Diagramm untersucht werden. Incidents sorgen dafür, dass Benutzer das volle Ausmaß eines Angriffs oder eines Ereignisses in ihrem NetWitness Suite-System verstehen und dann Maßnahmen ergreifen können.

Die Ansicht Reagieren soll Ihnen helfen, die noch nicht behobenen Probleme in Ihrem Netzwerk schnell zu identifizieren und diese Probleme mit anderen Analysten zusammen schnell zu lösen.

In der Ansicht „Reagieren“ wird Incident-Experten eine Warteschlange mit Incidents in der Reihenfolge des Schweregrads angezeigt. Wenn Sie einen Incident in der Warteschlange auswählen, erhalten Sie relevante zugehörige Daten, damit Sie den Incident untersuchen können. So können Sie den Umfang des Incident ermitteln und ihn nach Bedarf eskalieren oder korrigieren.

In der Ansicht „Reagieren“ werden Incidents, Warnmeldungen und Aufgaben angezeigt:

  • Incidents: Ermöglicht es Ihnen, auf Incidents zu reagieren und sie zu managen.
  • Warnmeldungen: Ermöglicht es Ihnen, Warnmeldungen aus allen Quellen zu managen, die von NetWitness Suite empfangen werden, und zu ausgewählten Warnmeldungen Incidents zu erstellen.
  • Aufgaben: Ermöglicht es Ihnen, die vollständige Liste der Aufgaben anzuzeigen und zu managen, die für alle Incidents erstellt wurde.

Wenn Sie zu „REAGIEREN“ > „Incidents“ navigieren, können Sie die Ansicht „Incident-Liste“ sehen. Von dort aus können Sie auf die Ansicht „Incident-Details“ für einen ausgewählten Incident zugreifen. Hierbei handelt es sich um die Hauptansichten, die Sie verwenden, um auf Incidents zu reagieren. Auf der folgenden Abbildung ist die Liste der priorisierten Incidents in der Ansicht Incident-Liste zu sehen.

Respond view - Incidents List view

Die nächste Abbildung zeigt ein Beispiel für Details, die in der Ansicht Incident-Details verfügbar sind.

Incident Details View

Die Ansicht „Reagieren“ soll die Bewertung von Incidents, die Kontextualisierung von Daten, die Zusammenarbeit mit anderen Analysten und bei Bedarf den Wechsel zu einer detaillierten Untersuchung vereinfachen.

Reagieren auf Incidents-Workflow

Dieser Workflow veranschaulicht den allgemeinen Prozess, anhand dessen Incident-Experten in NetWitness Suite auf Incidents reagieren.

High-level workflow for responding to incidents

Sie müssen zunächst die Liste der priorisierten Incidents überprüfen, in der grundlegende Informationen zu allen Incidents stehen, und herausfinden, für welche Aktionen erforderlich sind. Sie können einen Link in einem Incident anklicken, um zugehörige Details in der Ansicht „Incident-Details“ anzuzeigen. Von dort können Sie den Incident genauer untersuchen. Dann können Sie bestimmen, wie Sie auf den Incident reagieren, indem sie ihn eskalieren oder korrigieren.

Dies sind die grundlegenden Schritte zum Reagieren auf einen Incident:

  1. Überprüfen der Liste mit priorisierten Incidents
  2. Ermitteln, welche Incidents eine Aktion erfordern
  3. Untersuchen des Incident
  4. Eskalieren oder Korrigieren des Incident

 

Überprüfen der Liste mit priorisierten Incidents

In der Ansicht „Reagieren“ können Sie die Liste der priorisierten Incidents anzeigen. In der Incident-Liste werden sowohl aktive als auch geschlossene Incidents angezeigt.

Aufrufen der Incident-Liste

Nach der Anmeldung bei NetWitness Suite wird den meisten Incident-Experten die Ansicht „Reagieren“ angezeigt, da sie als Standardansicht festgelegt ist. Wenn für Sie eine andere erste Ansicht eingestellt ist, können Sie zur Ansicht „Reagieren“ navigieren.

  1. Melden Sie sich in NetWitness Suite an.
    In der Ansicht „Reagieren“ wird die Liste der Incidents angezeigt, die auch als Ansicht „Incident-Liste“ bezeichnet wird.
    Incident List View
  2. Wenn Sie die Incident-Liste in der Ansicht „Reagieren“ nicht sehen, navigieren Sie zu Reagieren > Incidents.
  3. Blättern Sie durch die Incident-Liste, in der grundlegende Informationen zu jedem Incident wie in der folgenden Tabelle beschrieben angezeigt werden.
                                           
SpalteBeschreibung
CREATEDZeigt das Erstellungsdatum des Incident an.
PRIORITÄTZeigt die Priorität des Incident an. Die Priorität kann „Kritisch“, „Hoch“, „Mittel“ oder „Niedrig“ sein.

Für die Priorität wird ein Farbcode verwendet: Rot kennzeichnet einen Incident als Kritisch, Orange steht für Incidents mit der Risikobewertung Hoch, Gelb für Incidents mit der RisikobewertungMittel und Grün für Incidents mit der Risikobewertung Niedrig. Beispiel:

Shows Risk Levels

Risikowert

Zeigt den Risikowert des Incident an. Der Risikowert gibt das Risikopotenzial des Incident an. Er wird mittels eines Algorithmus berechnet und liegt zwischen 0 und 100. 100 ist der höchste Risikowert.

IDZeigt die automatisch erstellte Incident-Nummer an. Jedem Incident wird eine eindeutige Nummer zugewiesen, anhand derer Sie den Incident nachverfolgen können.
NAMEZeigt den Namen des Incident an. Der Incident-Name leitet sich aus der Regel ab, die den Incident ausgelöst hat. Durch Klicken auf den Link können Sie die Detailansicht des jeweils ausgewählten Incident aufrufen.
STATUS

Zeigt den Status des Incident an. Mögliche Status sind: Neu, Zugewiesen, Läuft, Aufgabe angefordert, Aufgabe abgeschlossen, Geschlossen und Geschlossen – falsch positives Ergebnis.

ZUWEISUNGSEMPFÄNGERZeigt das Teammitglied an, dem der Incident derzeit zugewiesen ist.
WARNMELDUNGENZeigt an, wie viele Warnmeldungen dem Incident zugeordnet sind. Ein Incident kann viele Warnmeldungen enthalten. Eine große Anzahl von Warnmeldungen kann auf einen großflächigen Angriff hindeuten.

Am unteren Rand der Liste sehen Sie die Anzahl der Incidents auf der aktuellen Seite, die Gesamtzahl der Incidents und die Anzahl der ausgewählten Incidents. Beispiel: 1.000 von 1.115 Elementen werden angezeigt | 3 ausgewählt. Es können maximal 1.000 Incidents gleichzeitig angezeigt werden.

Filtern der Incident-Liste

Die Anzahl der Incidents in der Ansicht „Incident-Liste“ kann sehr groß sein, sodass es schwierig ist, bestimmte Incidents zu finden. Mit dem Filter können Sie die Incidents angeben, die Sie anzeigen möchten. Sie können auch den Zeitraum auswählen, in dem diese Incidents aufgetreten sind. Nehmen wir an, Sie möchten alle neuen kritischen Incidents anzeigen, die in der letzten Stunde aufgetreten sind.

  1. Stellen Sie sicher, dass der Bereich „Filter“ links neben der Liste mit Incidents angezeigt wird. Sollte der Bereich „Filter“ nicht angezeigt werden, klicken Sie in der Symbolleiste der Ansicht „Incident-Liste“ auf Filter icon, um den Bereich „Filter“ zu öffnen.
    Filters panel
  2.  Wählen Sie im Bereich „Filter“ eine oder mehrere Optionen zum Filtern der Incident-Liste aus:
    • ZEITBEREICH: Sie können einen bestimmten Zeitraum in der Drop-down-Liste „Zeitbereich“ auswählen. Der Zeitbereich basiert auf dem Erstellungsdatum der Incidents. Wenn Sie zum Beispiel „Letzte Stunde“ auswählen, werden die Incidents angezeigt, die innerhalb der letzten 60 Minuten erstellt wurden.
    • BENUTZERDEFINIERTER DATUMSBEREICH: Sie können einen bestimmten Datumsbereich anstelle der Option „Zeitbereich“ auswählen. Klicken Sie dazu auf den weißen Kreis vor „Benutzerdefinierter Datumsbereich“, damit die Felder „Startdatum“ und „Enddatum“ angezeigt werden. Wählen Sie die Datums- und Zeitangaben im Kalender aus.
      Custom Date Range option in the filter
    • INCIDENT-ID: Hier können Sie die Incident-ID des Incident eingeben, den Sie suchen, zum Beispiel „INC-1050“.
    • PRIORITÄT: Wählen Sie die Prioritäten aus, die Sie anzeigen möchten.
    • STATUS: Wählen Sie einen oder mehrere Incident-Status aus. Wenn Sie beispielsweise „Geschlossen – falsch positives Ergebnis“ auswählen, werden nur falsch positive Incidents angezeigt, also Incidents, die zunächst als verdächtigt eingestuft, dann aber als sicher bestätigt wurden.
    • ZUWEISUNGSEMPFÄNGER: Hier können Sie einen oder mehrere Zuweisungsempfänger auswählen, deren Incidents Sie anzeigen möchten. Sollen beispielsweise nur die Incidents angezeigt werden, die Cale oder Stanley zugewiesen sind, wählen Sie „Cale“ und „Stanley“ in der Drop-down-Liste „Zuweisungsempfänger“ aus. Lassen Sie die Auswahl unter „Zuweisungsempfänger“ frei, wenn die Incidents unabhängig von ihrem Zuweisungsempfänger angezeigt werden sollen.
      (Verfügbar in Version 11.1 und neueren Versionen) Wenn Sie nur Incidents anzeigen möchten, die nicht zugewiesen sind, wählen Sie Nur nicht zugewiesene Incidents anzeigen aus.
    • KATEGORIEN: In dieser Drop-down-Liste können Sie eine oder mehrere Kategorien auswählen. Wenn Sie beispielsweise nur Incidents der Kategorien „Backdoor“ oder „Rechtemissbrauch“ anzeigen möchten, müssen Sie „Backdoor“ und „Rechtemissbrauch“ auswählen.

    In der Incident-Liste wird eine Liste der Incidents angezeigt, die Ihre Auswahlkriterien erfüllen. Sie finden die Anzahl der Incidents in der gefilterten Liste am unteren Rand der Incident-Liste.
    Number of incidents shown in the Incident List footer

  3. Klicken Sie auf Close (x) icon, um den Bereich „Filter“ zu schließen und zur Ansicht „Incident-Liste“ zurückzukehren, in der nun Ihre gefilterten Incidents angezeigt werden.

Entfernen meiner Filter aus der Ansicht „Incident-Liste“

NetWitness Suite speichert Ihre Filterauswahl in der Ansicht „Incident-Liste“. Sie können Ihre Filterauswahl entfernen, wenn Sie sie nicht mehr benötigen. Wenn Sie beispielsweise nicht die erwartete Anzahl an Incidents sehen oder alle Incidents in der Incident-Liste anzeigen möchten, können Sie Ihre Filter zurücksetzen.

  1. Klicken Sie auf der Symbolleiste der Ansicht „Incident-Liste“ auf Filter icon.
    Der Bereich „Filter“ erscheint links neben der Incident-Liste.
  2. Klicken Sie am unteren Rand des Bereichs „Filter“ auf Filter zurücksetzen.

Anzeigen eigener Incidents

Sie können Ihre Incidents anzeigen, indem Sie die Incidents nach Ihrem Benutzernamen filtern.

  1. Wenn Sie den Bereich „Filter“ nicht sehen können, klicken Sie auf der Symbolleiste der Ansicht „Incident-Liste“ auf Filter icon.
  2. Wählen Sie im Bereich „Filter“ unter „ZUWEISUNGSEMPFÄNGER“ Ihren Benutzernamen aus der Drop-down-Liste aus.
    In der Incident-Liste werden die Incidents angezeigt, die Ihnen zugewiesen sind.

Suchen von Incidents

Wenn Sie die Incident-ID kennen, können Sie einen Incident schnell mithilfe des Filters suchen. Beispiel: Sie möchten einen bestimmten Incident in Tausenden von Incidents suchen.

  1. Navigieren Sie zu Reagieren > Incidents.
    Der Bereich „Filter“ wird links neben der Liste mit Incidents angezeigt. Sollte der Bereich „Filter“ nicht angezeigt werden, klicken Sie in der Symbolleiste der Ansicht „Incident-Liste“ auf Filter icon, um den Bereich „Filter“ zu öffnen.
    Part of Incidents List Filters panel showing example search for an incident in the INCIDENT ID field
  2. Geben Sie in das Feld „Incident-ID“ die Incident-ID für den Incident ein, nach dem Sie suchen möchten, z. B. INC-43763.

    Der angegebene Incident wird in der Incident-Liste angezeigt. Wenn keine Ergebnisse angezeigt werden, versuchen Sie, die Filter zurücksetzen.
    Incidents List showing the result of an Incident ID filter

Sortieren der Incident-Liste

Die Sortierung der Incident-Liste erfolgt standardmäßig nach dem Erstellungsdatum in absteigender Reihenfolge (neueste oben).

Incidents List showing default sort column "Created"

Sie können die Sortierreihenfolge der Incident-Liste ändern, indem Sie auf eine Spalte in der Liste klicken.

Wenn Sie Ihre Incidents zum Beispiel priorisieren möchten, können Sie sie anhand der Spalte „Priorität“ sortieren. Bewegen Sie dazu den Mauszeiger über die Spalte „Priorität“ und klicken Sie auf den Abwärtspfeil (Down arrow icon). Die Incident-Liste wird nach Priorität und in absteigender Reihenfolge sortiert (höchste Priorität zuerst), wie auf der folgenden Abbildung zu sehen.

Incident List showing sort by Priority descending

Sie können nach „Priorität“ in aufsteigender Reihenfolge sortieren (niedrigste Priorität oben), indem Sie auf den Aufwärtspfeil (Up arrow icon) klicken, wie auf der folgenden Abbildung dargestellt.

Incident List showing sort by Priority ascending

Nicht zugewiesene Vorfälle

Diese Option ist nur für Version 11.1 und höher verfügbar.

Mithilfe des Filters können Sie nicht zugewiesene Incidents anzeigen.

  1. Wenn Sie den Bereich „Filter“ nicht sehen können, klicken Sie auf der Symbolleiste der Ansicht „Incident-Liste“ auf Filter icon.
  2. Wählen Sie im Bereich „Filter“ unter ZUWEISUNGSEMPFÄNGER die Option Nur nicht zugewiesene Incidents anzeigen aus.
    "Show only unassigned incidents" option filter selection
    Die Liste der Incidents wird so gefiltert, dass nur noch nicht zugewiesenen Incidents angezeigt werden.

Zuweisen von Incidents an sich selbst

  1. Wählen Sie in der Ansicht „Incident-Liste“ einen oder mehrere Incidents aus, die Sie sich selbst zuweisen möchten.
  2. Klicken Sie auf Zuweisungsempfänger ändern und wählen Sie in der Drop-down-Liste Ihren Benutzernamen aus.
    Incidents List showing Assignee drop-down list
  3. Bei Auswahl von mehr als einem Incident klicken Sie im Dialogfeld „Aktualisierung bestätigen“ auf OK.
    Confirm Update dialog

Eine Benachrichtigung über die erfolgreiche Änderung wird angezeigt.
Incident List showing success message

Aufheben der Zuweisung eines Incidents

  1. Wählen Sie in der Ansicht „Incident-Liste“ einen oder mehrere Incidents aus, für die Sie die Zuweisung aufheben möchten.
  2. Klicken Sie auf Zuweisungsempfänger ändern und wählen Sie in der Drop-down-Liste (Nicht zugewiesen) aus.
    Incidents List showing Assignee drop-down list with (Unassign) selected
  3. Bei Auswahl von mehr als einem Incident klicken Sie im Dialogfeld „Aktualisierung bestätigen“ auf OK.
    Confirm Update dialog for Unassign
  4. Überprüfen Sie, ob der Status weiterhin korrekt ist, und nehmen Sie die erforderlichen Änderungen vor. Um den Status zu ändern, wählen Sie einen oder mehrere Incidents aus, klicken Sie auf Status ändern und wählen Sie einen neuen Status aus.
    Wenn Sie einen Incident beispielsweise versehentlich sich selbst zugewiesen haben, können Sie die Zuweisung des Incident aufheben und den Status von „Zugewiesen“ wieder zu „Neu“ ändern.


You are here
Table of Contents > Reagieren auf Incidents

Attachments

    Outcomes