Untersuchen: Bereich „Kontextabfrage“

Document created by RSA Information Design and Development on May 14, 2018Last modified by RSA Information Design and Development on Oct 19, 2018
Version 3Show Document
  • View in full screen mode
 

Sobald ein Administrator den Context-Hub-Service konfiguriert hat, werden die Kontextinformationen der Metawerte in der Ansicht „Navigation“ und der Ansicht „Ereignisse“ von „Investigate“ angezeigt. Der Context-Hub-Service ist mit einer Standardzuordnung von Metadatentypen und Metaschlüsseln vorkonfiguriert. Informationen über die Zuordnung von Context Hub-Metawerten zu Investigation-Metaschlüsseln finden Sie unter „Managen der Metadatentyp- und Metaschlüsselzuordnung“ im Context Hub-Konfigurationsleitfaden.

Der Bereich „Kontextabfrage“ wird rechts neben der Ansicht „Navigation“ und der Ansicht „Ereignisse“ angezeigt. Metawerte, die einer Context Hub-Liste hinzugefügt wurden, sind in den Ergebnissen der Ansichten „Navigation“ oder „Ereignisse“ grau hervorgehoben. Sobald Sie mit der rechten Maustaste auf einen hervorgehobenen Wert klicken und im Kontextmenü Kontextabfrage auswählen, werden im Bereich „Kontextabfrage“ die zu dem ausgewählten Metawert gehörenden Abfrageerbenisse aus den konfigurierten Quellen angezeigt. In der Symbolleiste des Bereichs „Kontextabfrage“ können Sie die jeweils gewünschte Quelle auswählen, um die entsprechenden Kontextinformationen abzurufen.

Workflow

the high-level Investigate workflow with Perform Internal Lookups highlighted

Was möchten Sie tun?

 

                                                     
BenutzerrolleZiel11.1 Dokumentation
Threat Hunter

Durchsuchen von Ereignismetadaten

Starten einer Ermittlung in der Ansicht „Navigation“ oder „Ereignisse“

Threat Hunter

Durchsuchen von Raw-Ereignissen

Starten einer Ermittlung in der Ansicht „Navigation“ oder „Ereignisse“

Threat Hunter

Analyse von Raw-Ereignissen und Metadaten

Starten einer Ermittlung in der Ansicht „Ereignisanalyse“

Threat HunterUntersuchen von Endpunkten (Version 11.1)Untersuchen von Hosts

Threat Hunter

Verdächtige Endpunktdateien finden (Version 11.1)

Untersuchen von Dateien

Threat HunterDateien und Ereignisse auf Schadsoftware scannenDurchführen von Schadsoftwareanalysen

Incident-Experte

Priorisieren eines Incident in „Untersuchen“

NetWitness Respond – Benutzerhandbuch

Threat HunterZusätzlichen Kontext zu einem Metawert abrufen*Anzeigen von zusätzlichem Kontext für einen Datenpunkt

*Sie können diese Aufgabe in der aktuellen Ansicht durchführen.

Verwandte Themen

Überblick

Die folgende Abbildung zeigt ein Beispiel für den Bereich „Kontextabfrage“. Die Steuerelemente und Funktionen werden in der Tabelle beschrieben.

Navigate view with the Context Lookup panel open

                               
FunktionBeschreibung
Leiste mit Quellenoptionen Zeigt die Symbole für die verfügbaren Quellen an: Endpoint, Incidents, Warnmeldungen und Listen.
Quellenname Zeigt den Quellennamen basierend auf dem ausgewählten Symbol an:
  • Endpoint
  • INCIDENTS
  • WARNMELDUNGEN
  • LISTEN
SortierenBietet eine Drop-down-Liste der Sortieroptionen für die aufgelisteten Kontextinformationen. Mögliche Sortieroptionen sind: „Schweregrad: Hoch bis Niedrig“, „Schweregrad: Niedrig bis Hoch“, „Datum (ältestes bis neuestes)“ und „Datum (neuestes bis ältestes)“. Die Sortieroptionen variieren je nach Typ der Datenquelle.
Refresh icon Aktualisiert die Abfrageergebnisse.
n Elemente (Ergebnisse der ersten n)Die Fußzeile enthält die Anzahl der Gesamtzahl von Ergebnissen sowie die Anzahl der derzeit angezeigten Ergebnisse. Beispiel: 50 Warnmeldungen (erste 50 Warnmeldungen).

Abfrageergebnisse

Wenn Sie Kontextdaten aus den konfigurierten Quellen abrufen, werden im Bereich „Kontextabfrage“ die nachfolgend aufgeführten Informationen angezeigt.

Incidents

Incidents werden zunächst basierend auf Zeit (Neuestes bis Ältestes) und dann auf Prioritätsstatus angezeigt. Die folgenden Informationen werden für Incident-Abfragen angezeigt:

  • Name und ID des Incident
  • Prioritätsstatus der Incidents
  • Risikowert der Incidents
  • Datum der Erstellung des Incident
  • Status des Incident
  • Zuweisungsempfänger für Incident
  • Letzte Aktualisierung: Gibt an, wann zuletzt kontextbezogene Daten aus der Datenquelle abgerufen und im Cache aktualisiert wurden.
  • Zeitfenster: Diese Angabe basiert auf dem Wert, den Sie im Feld „Letzte Abfrage (Tage)“ im Fenster zum Konfigurieren von „Respond“ festgelegt haben. Weitere Informationen finden Sie im Thema „Konfigurieren von Respond als Datenquelle“ im Context Hub-Konfigurationsleitfaden.
  • Sortieren: Dieses Drop-down-Feld bietet Optionen zum Sortieren der Ergebnisse auf Basis von Zeitpunkt oder Priorität.

Warnmeldungen

Warnmeldungen werden basierend auf dem Schweregrad angezeigt. Die folgenden Informationen für ECAT-Abfragen werden angezeigt:

  • Name der Warnmeldung
  • Schweregradwert der Warnmeldungen
  • Datum der Erstellung der Warnmeldung
  • Incident-ID: die ID des Incident, dem die Warnmeldung zugeordnet ist (falls zutreffend)
  • Quellen: Name der Ereignisquelle
  • Anzahl der Ereignisse, die der Warnmeldung zugeordnet sind
  • Letzte Aktualisierung: Gibt an, wann zuletzt kontextbezogene Daten aus der Datenquelle abgerufen und im Cache aktualisiert wurden.
  • Zeitfenster: Diese Angabe basiert auf dem Wert, den Sie im Feld „Letzte Abfrage (Tage)“ im Fenster zum Konfigurieren von „Respond“ festgelegt haben. Weitere Informationen finden Sie im Thema „Konfigurieren von Respond als Datenquelle“ im Context Hub-Konfigurationsleitfaden.
  • Sortieren: Dieses Drop-down-Feld bietet die Option, die Sortierung des Ergebnisses basierend auf Zeit oder Priorität zu ändern.

Listen

Die folgenden Informationen werden für Listenabfragen angezeigt:

  • Listenname
  • Eigentümer, der die Liste erstellt hat
  • Erstellungsdatum
  • Datum der letzten Aktualisierung
  • Beschreibung der Liste

Endpoint

Bei Endpoint-Abfragen werden die folgenden Informationen angezeigt:

  • Computername und IP-Adresse des Computers.
    Durch Klicken auf die IP-Adresse oder den Endpoint-Rechernamen werden Sie zur Endpoint-Benutzeroberfläche weitergeleitet, wo Sie weitere Untersuchungen vornehmen können.
  • Letzte Aktualisierung: Gibt an, wann zuletzt kontextbezogene Daten aus der Datenquelle abgerufen und im Cache aktualisiert wurden.
  • Rechnerwert Hier wird ein Rechner-IIOC-Wert aggregiert, basierend auf den Modulwerten.
  • Anzahl der Module: Anzahl der aktiven Dateien für den ausgewählten Computer.
  • Letzte Aktualisierung: Gibt an, wann die Scanergebnisse zuletzt in der Endpoint-Datenbank aktualisiert wurden.
  • Zuletzt angemeldeter Benutzer
  • MAC-Adresse des Computers
  • Betriebssystemversion
  • Administratorhinweise (falls vorhanden)
  • Administratorstatus (falls vorhanden)
  • Verdächtigste Module (Module mit einem IIOC-Wert > 500): Diese Angabe basiert auf dem Wert im Feld „IIOC-Mindestwert“, den Sie im Fenster „Endpoint konfigurieren“ festgelegt haben. Der Standardwert für „IIOC-Mindestwert“ beträgt 500.
  • Rechner-IIOC-Ebenen
You are here
Table of Contents > Investigate-Referenzmaterialien > Bereich „Kontextabfrage“

Attachments

    Outcomes