Untersuchen: Bereich „Kontextabfrage“

Document created by RSA Information Design and Development on May 14, 2018Last modified by RSA Information Design and Development on Apr 28, 2019
Version 4Show Document
  • View in full screen mode
 

Nachdem ein Administrator den Context-Hub-Service konfiguriert hat, können Sie die Kontextinformationen für die Metawerte in den Ansichten „Navigation“, „Ereignisse“ und „Ereignisanalyse“ (Version 11.2) anzeigen. Der Context-Hub-Service ist mit einer Standardzuordnung von Metadatentypen und Metaschlüsseln vorkonfiguriert. Informationen über die Zuordnung von Context Hub-Metawerten zu Investigation-Metaschlüsseln finden Sie unter „Managen der Metadatentyp- und Metaschlüsselzuordnung“ im Context Hub-Konfigurationsleitfaden.

Der Bereich „Kontextabfrage“ wird rechts neben der Ansicht „Navigation“ und der Ansicht „Ereignisse“ angezeigt. Metawerte, die einer Context Hub-Liste hinzugefügt wurden, sind in den Ergebnissen der Ansichten „Navigation“ oder „Ereignisse“ grau hervorgehoben. In der Ansicht „Ereignisanalyse“ sind sie mit einem Unterstrich gekennzeichnet. Sobald Sie mit der rechten Maustaste auf einen hervorgehobenen Wert klicken und im Kontextmenü Kontextabfrage auswählen, werden im Bereich „Kontextabfrage“ die zu dem ausgewählten Metawert gehörenden Abfrageerbenisse aus den konfigurierten Quellen angezeigt. In der Symbolleiste des Bereichs „Kontextabfrage“ können Sie die jeweils gewünschte Quelle auswählen, um die entsprechenden Kontextinformationen abzurufen.

Bei Darstellung und Inhalt des Bereichs „Kontextabfrage“ gibt es einige Unterschiede, wenn er in der Ansicht „Navigation“ oder „Ereignisse“ und in der Ansicht „Ereignisanalyse“ geöffnet wird.

Workflow

the high-level Investigate workflow with Perform Internal Lookups highlighted

Was möchten Sie tun?

                                                     
NutzerrolleZielDetails anzeigen
Threat Hunter

Durchsuchen von Ereignismetadaten

Starten einer Ermittlung in der Ansicht „Navigation“ oder „Ereignisse“

Threat Hunter

Durchsuchen von Raw-Ereignissen

Starten einer Ermittlung in der Ansicht „Navigation“ oder „Ereignisse“

Threat Hunter

Analyse von Raw-Ereignissen und Metadaten

Starten einer Ermittlung in der Ansicht „Ereignisanalyse“

Threat HunterUntersuchen von Endpunkten (Version 11.1)Untersuchen von Hosts

Threat Hunter

Verdächtige Endpunktdateien finden (Version 11.1)

Untersuchen von Dateien

Threat HunterDateien und Ereignisse auf Schadsoftware scannenDurchführen von Schadsoftwareanalysen

Incident-Experte

Priorisieren eines Incident in „Untersuchen“

NetWitness Respond – Benutzerhandbuch

Threat HunterZusätzlichen Kontext zu einem Metawert abrufen*Suchen von weiteren Kontexten in den Ansichten „Navigation“ und „Ereignisse“ und Suchen von zusätzlichem Kontext in der Ansicht „Ereignisanalyse“

* Sie können diese Aufgabe in der aktuellen Ansicht durchführen.

Verwandte Themen

Überblick (über die Ansichten „Navigation“ und „Ereignisse“)

Die folgende Abbildung ist ein Beispiel für die Anzeige des Bereichs „Kontextabfrage“ in den Ansichten „Navigation“ und „Ereignisse“. Bedienelemente und Funktionen sind in der Tabelle beschrieben.

Navigate view with the Context Lookup panel open

                               
FunktionBeschreibung
Leiste mit Quellenoptionen Zeigt die Symbole für die verfügbaren Quellen an: Endpoint, Incidents, Warnmeldungen und Listen.
Quellenname Zeigt den Quellennamen basierend auf dem ausgewählten Symbol an:
  • Endpoint
  • Incidents
  • Warnmeldungen
  • Listen
  • Live Connect
Sortieren

Bietet eine Drop-down-Liste der Sortieroptionen für die aufgelisteten Kontextinformationen. Mögliche Sortieroptionen sind: „Schweregrad: Hoch bis Niedrig“, „Schweregrad: Niedrig bis Hoch“, „Datum (ältestes bis neuestes)“ und „Datum (neuestes bis ältestes)“. Die Sortieroptionen variieren je nach Typ der Datenquelle.

Refresh icon Aktualisiert die Abfrageergebnisse.
<n Elemente> (erste <n> Ergebnisse)Die Fußzeile zeigt die Anzahl der derzeit angezeigten Ergebnisse sowie die Gesamtzahl von Ergebnissen an. Beispiel: 5 Warnmeldungen (erste 50 Warnmeldungen)

Incidents

Incidents werden zunächst basierend auf Zeit (Neuestes bis Ältestes) und dann auf Prioritätsstatus angezeigt. Die folgenden Informationen werden für Incident-Abfragen angezeigt:

  • Name und ID des Incident
  • Prioritätsstatus der Incidents
  • Risikowert der Incidents
  • Datum der Erstellung des Incident
  • Status des Incident
  • Zuweisungsempfänger für Incident
  • Letzte Aktualisierung: Gibt an, wann zuletzt kontextbezogene Daten aus der Datenquelle abgerufen und im Cache aktualisiert wurden.
  • Zeitfenster: Diese Angabe basiert auf dem Wert, den Sie im Feld „Letzte Abfrage (Tage)“ im Fenster zum Konfigurieren von „Respond“ festgelegt haben. Weitere Informationen finden Sie im Thema „Konfigurieren von Respond als Datenquelle“ im Context Hub-Konfigurationsleitfaden.
  • Sortieren: Dieses Drop-down-Feld bietet Optionen zum Sortieren der Ergebnisse auf Basis von Zeitpunkt oder Priorität.

Warnmeldungen

Warnmeldungen werden basierend auf dem Schweregrad angezeigt. Die folgenden Informationen für ECAT-Abfragen werden angezeigt:

  • Name der Warnmeldung
  • Schweregradwert der Warnmeldungen
  • Datum der Erstellung der Warnmeldung
  • Incident-ID: die ID des Incident, dem die Warnmeldung zugeordnet ist (falls zutreffend)
  • Quellen: Name der Ereignisquelle
  • Anzahl der Ereignisse, die der Warnmeldung zugeordnet sind
  • Letzte Aktualisierung: Gibt an, wann zuletzt kontextbezogene Daten aus der Datenquelle abgerufen und im Cache aktualisiert wurden.
  • Zeitfenster: Diese Angabe basiert auf dem Wert, den Sie im Feld „Letzte Abfrage (Tage)“ im Fenster zum Konfigurieren von „Respond“ festgelegt haben. Weitere Informationen finden Sie im Thema „Konfigurieren von Respond als Datenquelle“ im Context Hub-Konfigurationsleitfaden.
  • Sortieren: Dieses Drop-down-Feld bietet die Option, die Sortierung des Ergebnisses basierend auf Zeit oder Priorität zu ändern.

Listen

Die folgenden Informationen werden für Listenabfragen angezeigt:

  • Listenname
  • Eigentümer, der die Liste erstellt hat
  • Erstellungsdatum
  • Datum der letzten Aktualisierung
  • Beschreibung der Liste

Endpoint

Bei Endpoint-Abfragen werden die folgenden Informationen angezeigt:

  • Computername und IP-Adresse des Computers.
    Durch Klicken auf die IP-Adresse oder den Endpoint-Rechernamen werden Sie zur Endpoint-Benutzeroberfläche weitergeleitet, wo Sie weitere Untersuchungen vornehmen können.
  • Letzte Aktualisierung: Gibt an, wann zuletzt kontextbezogene Daten aus der Datenquelle abgerufen und im Cache aktualisiert wurden.
  • Rechnerwert Hier wird ein Rechner-IIOC-Wert aggregiert, basierend auf den Modulwerten.
  • Anzahl der Module: Anzahl der aktiven Dateien für den ausgewählten Computer.
  • Letzte Aktualisierung: Gibt an, wann die Scanergebnisse zuletzt in der Endpoint-Datenbank aktualisiert wurden.
  • Zuletzt angemeldeter Nutzer
  • MAC-Adresse des Computers
  • Betriebssystemversion
  • Administratorhinweise (falls vorhanden)
  • Administratorstatus (falls vorhanden)
  • Verdächtigste Module (Module mit einem IIOC-Wert > 500): Diese Angabe basiert auf dem Wert im Feld „IIOC-Mindestwert“, den Sie im Fenster „Endpoint konfigurieren“ festgelegt haben. Der Standardwert für „IIOC-Mindestwert“ beträgt 500.
  • Rechner-IIOC-Ebenen

Überblick über die Ansicht „Ereignisanalyse“ (ab Version 11.2)

Die folgende Abbildung ist ein Beispiel für die Anzeige des Bereichs „Kontextabfrage“ in der Ansichte „Ereignisanalyse“.

the Context Lookup panel in the Event Analysis view

    

Welche kontextbezogenen Informationen oder Abfrageergebnisse im Bereich „Kontextabfrage“ angezeigt werden, hängt von der ausgewählten Einheit und den ihr zugeordneten Datenquellen ab. Für jede Datenquelle wird im Bereich „Kontextabfrage“ eine separate Registerkarte angezeigt. Die Registerkarten sind: Listen, Archer, Active Directory, Endpoint, Incidents, Warnmeldungen und Live Connect. Die folgende Abbildung zeigt den Bereich „Kontextabfrage“ für eine ausgewählte Entität in der Incident-Detailansicht mit der Registerkarte „Incidents“.

In der folgenden Tabelle sind die auf den verschiedenen Registerkarten verfügbaren Daten und die unterstützten Entitäten beschrieben.

                                                
RegisterkarteBeschreibungUnterstützte Entitäten


(Listen)

Zeigt alle Listendaten an, die der ausgewählten Entität bzw. dem ausgewählten Metawert zugeordnet sind. Die Ergebnisse werden beginnend ab der zuletzt aktualisierten Liste angezeigt.

Alle Entitäten


(Archer)
Zeigt Informationen zu Ressourcen sowie Wichtigkeitsratings an, basierend auf der Archer-Datenquelle.IP, Host und Mac


(Active Directory)

Zeigt alle Benutzerinformationen für den ausgewählten Benutzer an.

Benutzer


(NetWitness Endpoint)



Zeigt die aus der NetWitness Endpoint-Datenquelle abgerufenen Informationen zu der ausgewählten Entität bzw. zu dem ausgewählten Metawert an, inklusive der Angaben „Rechner“, „Module“ und „IIOC-Stufen“. Module werden auf Basis des IOC-Werts sortiert (vom höchsten Wert zum niedrigsten Wert), IIOC-Stufen von der höchsten Stufe zur niedrigsten Stufe.IP, MAC-Adresse und Host

(Incidents)
Zeigt eine Liste aller Incidents an, die der ausgewählten Entität bzw. dem ausgewählten Metawert zugeordnet sind. Die Ergebnisse werden beginnend ab dem neuesten Incident sortiert.

Alle Entitäten


(Warnmeldungen)
Zeigt eine Liste aller Warnmeldungen an, die der ausgewählten Entität bzw. dem ausgewählten Metawert zugeordnet sind. Die Ergebnisse werden beginnend ab der neuesten Warnmeldung sortiert.Alle Entitäten

(Live Connect)
Zeigt Live Connect-Informationen an.

IP, Domain und Datei-Hash

Registerkarte „Listen“

Auf der Registerkarte „Listen“ im Bereich „Kontextabfrage“ werden alle Listen angezeigt, die der ausgewählten Entität bzw. dem ausgewählten Metawert zugeordnet sind. Die folgende Abbildung zeigt ein Beispiel eines Kontextbereichs für Listen und in der Tabelle werden die Felder beschrieben.

                                           

FeldBeschreibung
NameName der Liste (definiert bei der Erstellung der Liste)
BeschreibungBeschreibung der Liste (definiert bei der Erstellung der Liste)
VerfasserEigentümer, der die Liste erstellt hat
ErstelltDatum der Listenerstellung
UpdatedDatum, an dem die Liste zuletzt aktualisiert oder geändert wurde
AnzahlAnzahl der Listen, in denen die ausgewählte Entität bzw. der ausgewählte Metawert aufgeführt werden
ZeitfensterDas Zeitfenster basierend auf dem Wert, der im Feld „Abfrage der letzten“ im Dialogfeld „Antworten konfigurieren“ festgelegt wurde. Standardmäßig werden alle Listendaten abgerufen.

Letzte Aktualisierung

Zeitpunkt, zu dem Context Hub die Abfragedaten abgerufen und im Cache gespeichert hat

Registerkarte „Archer“

Auf der Registerkarte „Archer“ im Bereich „Kontextabfrage“ werden Informationen zu Ressourcen zusammen mit Wichtigkeitsratings angezeigt. Hierfür wird auf die Archer-Datenquellen für IP-, Host- und Mac-Entitäten zugegriffen. Die folgende Abbildung zeigt ein Beispiel des Bereichs „Kontextabfrage“ für Archer und in der Tabelle werden die Felder beschrieben.


                                                               
FeldBeschreibung
WichtigkeitsratingDie operative Wichtigkeit des Geräts anhand der von ihm unterstützten Anwendungen. Mögliche Wichtigkeitsratings sind „Ohne Rating“, „Niedrig“, „Mittelniedrig“, „Mittel“, „Mittelhoch“ oder Hoch.
RisikoratingDas berechnete Risikorating des Geräts auf Basis der letzten Bewertung und des durchschnittlichen Risikoratings aller Anlagen, in denen das Gerät eingesetzt wird. Mögliche Risikoratings sind „Schwerwiegend“, „Hoch“, „Mittel“, „Niedrig“ oder „Minimal“.
GerätenameDer eindeutige Name des Geräts.
HostnameDer Hostname des Geräts.
IP-AdresseGeben Sie die primäre, interne IP-Adresse des Geräts ein.
Geräte-IDDer automatisch ausgefüllte Wert, der den Datensatz in allen Anwendungen innerhalb des Systems eindeutig identifiziert.
TypDer Gerätetyp, zum Beispiel Server, Laptop, Desktop und andere.
AnlagenLinks zu Datensätzen der Anwendung „Anlagen“, die mit dem Gerät in Verbindung stehen.
GeschäftsbereichLinks zu Datensätzen der Anwendung „Geschäftsbereich“, die mit dem Gerät in Verbindung stehen. Bei mehr als drei Geschäftsbereichswerten können Sie mit der Maus auf das Feld zeigen, um alle Werte zu sehen.
Device-EigentümerDie Person, die für das Gerät verantwortlich ist und über Berechtigungen zum Lesen und Aktualisieren für den Datensatz verfügt.

Anzahl

Die Anzahl der verfügbaren Ressourcen.

Zeitfenster

Das Zeitfenster basierend auf dem Wert, der im Feld „Abfrage der letzten“ im Dialogfeld „Antworten konfigurieren“ festgelegt wurde. Standardmäßig werden alle Archer-Daten abgerufen.
Letzte Aktualisierung Zeitpunkt, zu dem Context Hub die Abfragedaten abgerufen und im Cache gespeichert hat

Hinweis: In den lokalisierten Versionen werden nur diese zwölf Felder angezeigt: Wichtigkeitsrating, Risikorating, Device-Eigentümer, Geschäftsbereich, Hostname, MAC-Adresse, Anlagen, IP-Adresse, Typ, Geräte-ID, Gerätename und Geschäftsprozesse.

  

Registerkarte „Active Directory“

Die folgende Abbildung zeigt ein Beispiel für den Bereich „Kontextabfrage“ für Active Directory.

 

Auf der Registerkarte „Active Directory“ im Bereich „Kontextabfrage“ werden sämtliche Informationen zu einem Benutzer sowie alle ihm zugeordneten Incidents und Warnmeldungen aufgeführt. Abfragen können die folgenden Formate haben:

  • Benutzerprinzipalname
  • Domain/Benutzername
  • SAM-Konto-Name

Existiert ein Benutzer in mehreren Domains oder Gesamtstrukturen, werden alle verfügbaren Kontextinformationen zu dem Benutzer angezeigt.

Auf der Registerkarte „Active Directory“ werden die nachfolgend aufgeführten Informationen angezeigt.

                                                                               
FeldBeschreibung

Anzeigename

Der Name des Nutzers.

Mitarbeiterkennung

Die Mitarbeiter-ID des Nutzers.

Telefon

Die Telefonnummer des Nutzers

E-Mail

Die E-Mail-ID des Nutzers.

AD-Nutzer-ID

Zeigt die eindeutige Kennung des Nutzers innerhalb einer Organisation an.

Position

Die Bezeichnung des Nutzers.

Manager

Der Name des Managers des Nutzers.

Gruppen

Die Liste der Gruppen, bei denen der Nutzer Mitglied ist.

Unternehmen

Der Name des Unternehmens des Nutzers.

Abteilung

Zeigt den Namen der Abteilung an, zu der der Nutzer innerhalb der Organisation gehört.

Standort

Der geografische Standort des Nutzers.

Letzte Anmeldung

Zeitpunkt, zu dem sich der Nutzer zuletzt beim System angemeldet hat (nur wenn der globale Katalog definiert ist).

Zeitstempel letzte AnmeldungZeitpunkt, zu dem sich der Nutzer zuletzt beim System angemeldet hat.
Distinguished NameEindeutiger Name, der dem Nutzer zugewiesen wurde.
Anzahl

Die Anzahl der Benutzer.

Zeitfenster

Das Zeitfenster basierend auf dem Wert, der im Feld „Abfrage der letzten“ im Dialogfeld zum Konfigurieren der Datenquelleneinstellungen festgelegt wurde. Standardmäßig werden alle Active Directory-Daten abgerufen.

Letzte Aktualisierung

Zeitpunkt, zu dem Context Hub die Abfragedaten abgerufen und im Cache gespeichert hat

  

Registerkarte „NetWitness Endpoint“

Die folgende Abbildung zeigt ein Beispiel für den Bereich „Kontextabfrage“ für NetWitness Endpoint.

 

Es werden die nachfolgend aufgeführten IIOC-Informationen angezeigt.

                                           
FeldBeschreibung
ModulanzahlDie Anzahl der Module, die abgefragt werden.
AdministratorstatusAdministratorstatus (falls vorhanden).
Letzte AktualisierungZeitpunkt der letzten Datenaktualisierung.
Letzte AnmeldungDer Zeitpunkt, zu dem der Nutzer sich das letzte Mal angemeldet hat.
MAC-AdresseMAC-Adresse des Computers.
BetriebssystemDie Version des vom NetWitness Endpoint-Computer verwendeten Betriebssystems.
ComputerstatusDer Status des angezeigten Moduls: Online, Offline, Aktiv oder Inaktiv.
IP-AdresseDie IP-Adresse des betreffenden Moduls.

Es werden die nachfolgend aufgeführten Modulinformationen angezeigt.

                               
FeldBeschreibung
IIOC-WertDer IIOC-Wert eines Computers ist der aus den Modulwerten aggregierte Wert. Dies ist abhängig von dem im Feld „IIOC-Mindestwert“ im Dialogfeld für die Datenquelleneinstellungen von Context Hub festgelegten Wert. Der Standardwert für „IIOC-Mindestwert“ beträgt 500. Siehe „Konfigurieren der Einstellungen von Datenquellen für den Context Hub“ im Context Hub-Konfigurationsleitfaden.
ModulnameDer Name des abgefragten Moduls.
AnalysewertDie Anzahl der aktiven Dateien für den ausgewählten Computer.
Rechneranzahl Die Anzahl der Computern, auf denen dieser spezielle IOC ausgelöst wurde.
SignaturGibt an, ob die Datei signiert oder unsigniert bzw. gültig oder ungültig ist. Ebenfalls angegeben sind Informationen zum Unterzeichner (z. B. Google oder Apple).

Für Computer werden die nachfolgend aufgeführten Informationen angezeigt.

                                   
FeldBeschreibung

IOC-Ebene

Die IOC-Ebenen.

BeschreibungDie Beschreibung der IOC-Ebene (falls verfügbar).
Letzte Ausführung Zeitpunkt der letzten Ausführung der Aktion.

Anzahl

Die Anzahl der abgefragten Hosts.

ZeitfensterDas Zeitfenster basierend auf dem Wert, der im Feld „Abfrage der letzten“ im Dialogfeld zum Konfigurieren von Datenquelleneinstellungen festgelegt wurde. Standardmäßig werden alle NetWitness Endpoint-Daten abgerufen.
Letzte AktualisierungZeitpunkt der letzten Aktualisierung der Scanergebnisse in der NetWitness Endpoint-Datenbank.

Registerkarte „Warnmeldungen“

Die folgende Abbildung zeigt ein Beispiel für die Registerkarte „Alerts“ im Kontextbereich. Die Ergebnisse werden zuerst nach Eingang der Warnmeldung (neu nach alt) und dann nach Schweregrad sortiert.

 

Auf der Registerkarte „Warnmeldungen“ im Bereich „Kontextabfrage“ werden die nachfolgend aufgeführten Informationen angezeigt.

                                               
FeldBeschreibung
ErstelltDatum und Uhrzeit der Erstellung der Warnmeldung.
SchweregradSchweregradwert der Warnmeldungen.
Name Der Name der Warnmeldung. Klicken Sie auf den Namen, um die Details einer Warnmeldung einzusehen.
QuelleName der Warnmeldungsquelle, die die Warnmeldung ausgelöst hat.
EreignisanzahlAnzahl der Ereignisse, die der Warnmeldung zugeordnet sind.
Incident-IDDie ID des Incident, dem die Warnmeldung zugeordnet ist (falls zutreffend). Klicken Sie auf die ID, um die Details einer Warnmeldung einzusehen.

Anzahl

Anzahl der Warnmeldungen. Standardmäßig werden nur die ersten 100 Warnmeldungen angezeigt. Weitere Informationen zur Konfiguration der Einstellungen finden Sie im Thema „Konfigurieren der Einstellungen von Datenquellen für den Context Hub“ im Context Hub-Konfigurationsleitfaden.

Zeitfenster

Das Zeitfenster basierend auf dem Wert, der im Feld „Abfrage der letzten“ im Dialogfeld zum Konfigurieren von Datenquelleneinstellungen festgelegt wurde. Standardmäßig werden die Warnmeldungsdaten der letzten 7 Tage abgerufen.

Letzte AktualisierungZeitpunkt, zu dem zuletzt kontextbezogene Daten aus der Datenquelle abgerufen wurden.

Registerkarte „Incidents“

Die folgende Abbildung zeigt ein Beispiel für die Registerkarte „Incidents“ im Kontextbereich. Die Ergebnisse werden zuerst nach Eingang des Incidents (neu nach alt) und dann nach Prioritätsstatus sortiert.

 

Auf der Registerkarte „Incidents“ im Bereich „Kontextabfrage“ werden die nachfolgend aufgeführten Informationen angezeigt.

                                                       
FeldBeschreibung
ErstelltDatum der Erstellung des Incident.
PrioritätDer Prioritätsstatus der Incidents.
RisikowertRisikowert der Incidents.
IDDie ID des Incident. Klicken Sie auf die ID, um die Details des Incident anzuzeigen.
NameDer Name des Incident.
StatusDer Status des Incident.
ZuweisungsempfängerDer aktuelle Eigentümer des Incident.
WarnmeldungenDie Anzahl der Warnmeldungen, die dem Incident zugeordnet sind.

Anzahl

Die Anzahl der Incidents. Standardmäßig werden nur die ersten 100 Incidents angezeigt. Weitere Informationen zur Konfiguration der Einstellungen finden Sie im Thema „Konfigurieren der Einstellungen von Datenquellen für den Context Hub“ im Context Hub-Konfigurationsleitfaden.

Zeitfenster

Das Zeitfenster basierend auf dem Wert, der im Feld „Abfrage der letzten“ im Dialogfeld zum Konfigurieren von Datenquelleneinstellungen festgelegt wurde. Standardmäßig werden die Warnmeldungsdaten der letzten 7 Tage abgerufen.

Letzte AktualisierungZeitpunkt, zu dem zuletzt kontextbezogene Daten aus der Datenquelle abgerufen wurden.

Registerkarte „Live Connect“

Die folgende Abbildung zeigt das Beispiel eines Kontextbereichs für „Live Connect“ und in der Tabelle werden die angezeigten Informationen beschrieben.

                                                       

FeldBeschreibung
Prüfstatus

Der Überprüfungsstatus der ausgewählten Live Connect-Entität (IP, Datei oder Domain), basierend auf der Analystenaktivität. Das ermöglicht Transparenz hinsichtlich der Analystenaktivität innerhalb eines Unternehmens.

Status
Nachfolgenden finden Sie die Statustypen:

  • Neu: Abfrageergebnisse für eine IP-Adresse werden zum ersten Mal innerhalb des Unternehmens angezeigt.
  • Angezeigt: Die Abfrageergebnisse für eine IP-Adresse wurden bereits von Analysten innerhalb des Unternehmens abgerufen.
  • Als sicher markiert: Ein Analyst innerhalb des Unternehmens hat die Abfrageergebnisse für die IP-Adresse bereits gesichtet und als sicher markiert.
  • Als riskant markiert: Ein Analyst innerhalb des Unternehmens hat die Abfrageergebnisse bereits gesichtet die IP-Adresse als riskant markiert.
Risikobewertung

Die Risikobewertung für die ausgewählte Live Connect-Entität (IP, Datei oder Domain), basierend auf der Live Connect-Analyse und Feedback von Analysten. Die Kategorien der Risikobewertung lauten:

  • Sicher: Die Live Connect-Entität gilt als sicher.
  • Unbekannt: In Live Connect liegen nicht genügend Informationen zu der Entität vor, um das Risiko berechnen zu können.
  • Hohes Risiko: Basierend auf der Analyse und den Risikogründen der Community mit „Hohes Risiko“ gekennzeichnet. Die mit „Hohes Risiko“ gekennzeichneten Entitäten erfordern sofortige Maßnahmen.
  • Verdächtig: Basierend auf der Analyse und den Risikogründen der Community als „Verdächtig“ gekennzeichnet. Die Analyse deutet auf eine potenziell bedrohliche Aktivität hin, die Maßnahmen erfordert.
  • Unsicher: Basierend auf der Analyse und den Risikogründen der Community als „Unsicher“ gekennzeichnet.
Die Entität wurde als „Hohes Risiko“, „Verdächtig“ oder „Unsicher“ eingestuft. Die entsprechenden Risikogründe werden angezeigt.
Feedback zur Risikobewertung

 

Über das Feedback zur Risikobewertung können Analysten Threat Intelligence-Feedback zu einer Entität an den Live Connect-Server übermitteln.

  • Kompetenzebene des Analysten
    Nachfolgend sind die möglichen Kompetenzebenen eines Analysten aufgeführt:
    • Tier 1: Analysten dieser Kompetenzebene definieren Korrekturverfahren und entscheiden, ob ein Incident an andere Stellen innerhalb des SOC (Security Operations Center) eskaliert werden soll. Dies ist der Standardwert.
    • Tier 2: Analysten dieser Kompetenzebene untersuchen Incidents, dokumentieren die Untersuchung und leiten ihr Feedback an die anderen SOC-Workflows weiter.
    • Tier 3: Analysten dieser Kompetenzebene leiten die Untersuchungsergebnisse an die SOC-Teams weiter. Sie sind im Allgemeinen für das Incident-Management verantwortlich und verfügen über umfassende, fundierte Fähigkeiten in Bezug auf die Incident-Reaktion und den Umgang mit den zugehörigen Tools.

    Hinweis: Bei der Erstellung eines neuen NetWitness Platform-Benutzers (Analysten) sollten Administratoren angeben, ob es sich um einen Tier-1-, Tier-2- oder Tier-3-Analysten handelt.

  • Risikobestätigung: die Risikobestätigung für die ausgewählte Live Connect-Entität (IP, Datei oder Domain). Es existieren folgende Kategorien für die Risikobestätigung:
    • Sicher: Die Live Connect-Entität gilt als sicher.

    • Unbekannt: Dem Analysten liegen nicht genügend Informationen für eine Risikobestätigung vor.

    • Hohes Risiko: Basierend auf der Analyse und den Risikogründen der Community mit „Hohes Risiko“ gekennzeichnet. Die mit „Hohes Risiko“ gekennzeichneten Entitäten erfordern sofortige Maßnahmen.
    • Verdächtig: Basierend auf der Analyse und den Risikogründen der Community als „Verdächtig“ gekennzeichnet. Die Analyse deutet auf eine potenziell bedrohliche Aktivität hin, die Maßnahmen erfordert.
    • Unsicher: Basierend auf der Analyse und den Risikogründen der Community als „Unsicher“ gekennzeichnet.
  • Konfidenzniveau: das Konfidenzniveau, das ein Analyst seinem Feedback zur Live Connect-Entität beimisst. Es existieren folgende Kategorien für das Konfidenzniveau: Hoch, Mittel und Niedrig.
  • Risikoindikatortags: Hier können Sie eine Tagkategorie auswählen, basierend auf der Analyse.
Community-Aktivität

Community-Aktivitäten wie:

  • Datum, an dem die Community das Problem erstmals bemerkt hat.
  • Verstrichene Zeit, seitdem die Community die IP/Datei/Domain erstmals bemerkt hat (aktueller Zeitpunkt - Zeitpunkt des ersten Bemerkens)

Trending-Community-Aktivität:

Wenn die IP-Adresse innerhalb der RSA-Community bekannt ist, wird eine grafische Darstellung des Community-Aktivitätstrends für folgende Parameter angezeigt:

  • Benutzer (in %), von denen die IP-Adresse in der Live Connect-Community im Lauf der Zeit angezeigt wurde
  • Nutzer (in %), die Feedback für die IP-Adresse übermittelt haben.
  • Nutzer (in %), von denen die IP-Adresse im Lauf der Zeit als „Unsicher“ markiert wurde

Risikoindikatoren

 

Risikoindikatoren werden basierend auf den Tags hervorgehoben, die den Entitäten (IPs, Dateien oder Domains) von der Community zugewiesen werden.

Die Tags sind wie folgt kategorisiert: Aufklärung, Lieferung, Befehl und Kontrolle, Laterale Bewegung, Rechteerweiterung, Verpackung und Exfiltration.

Diese Tags sind Muster und variieren je nach den Eingaben aus der Community, die auf dem Live Connect-Server eingehen. Der Analyst kann die entsprechenden Risikoindikatortags auswählen, während er Prüfungsfeedback verfasst. Hervorgehobene Tags bedeuten, dass die ausgewählte Entität der betreffenden Kategorie und dem betreffenden Tag zugeordnet ist. Durch Klicken auf ein hervorgehobenes Tag können Sie die Beschreibung des Tags einsehen.

Identität

Zeigt die folgenden Identitätsinformationen für die ausgewählte Entität bzw. den ausgewählten Metawert an:

Für IP-Adressen: Autonomous System Nummer (ASN), Präfix, Ländercode und Name des Landes, Registrierter Nutzer (Organisation) und Datum.

Für Datei-Hashes: Dateiname, Dateigröße, MD5, SH1, SH256, Kompilierzeit und MIME-Typ.

Für Domains: Domainname und Zugeordnete IP-Adresse.

Zertifikatinformationen

Zeigt die folgenden Zertifikatinformationen für den ausgewählten Datei-Hash an Aussteller des Zertifikats, Gültigkeit des Zertifikats, Signaturalgorithmus und Seriennummer des Zertifikats.

WHOIS-Informationen

 

Die WHO IS-Informationen geben Details bezüglich des Eigentümers einer bestimmten Domain an.

Die folgenden Informationen zum Domaineigentümer werden angezeigt: Erstellungsdatum, Aktualisierungsdatum, Ablaufdatum, Typ (Registrierungstyp), Name, Organisation, Adresse mit Postleitzahl, Land, Telefon, Fax und E-Mail.

Verwandte Dateien

Verwandte Dateien werden für Entitäten der Typen „IP“ und „Domain“ angezeigt. Eine Liste der bekannten zugehörigen Dateien wird zusammen mit den folgenden Informationen angezeigt: Live Connect-Risikorating (Sicher, Riskant und Unbekannt), Dateiname, MD5, Kompilierzeit und Kompilierdatum, Import-Hash der API-Funktion und MIME-Typ.

Verwandte Domains

Verwandte Domains werden für Entitäten der Typen „IP“ und „Dateien“ angezeigt. Eine Liste der bekannten zugehörigen Domains wird zusammen mit den folgenden Informationen angezeigt: Live Connect-Risikorating (Sicher, Riskant und Unbekannt), Domainname, Name des Landes, Registrierungsdatum, Ablaufdatum und E-Mail-Adresse des Registranten.

Verwandte IPs

 

Zugehörige IPs werden für Einheitentypen-Domain und -Dateien angezeigt. Eine Liste der bekannten zugehörigen IPs wird zusammen mit den folgenden Informationen angezeigt: Live Connect-Risikorating (Sicher, Riskant und Unbekannt), IP-Adresse, Domainname, Ländercode und Name des Landes, Registrierungsdatum, Ablaufdatum und E-Mail-Adresse des Registranten.

    

 

You are here
Table of Contents > Investigate-Referenzmaterialien > Bereich „Kontextabfrage“

Attachments

    Outcomes