Untersuchen: Dialogfeld „Incident erstellen“

Document created by RSA Information Design and Development on May 14, 2018Last modified by RSA Information Design and Development on Oct 19, 2018
Version 3Show Document
  • View in full screen mode
 

In dem Dialogfeld „Incident erstellen“ können Analysten einen Incident aus ausgewählten Ereignissen in der Ansicht „Ereignisse“ erstellen. Der Incident ist dann für Incident-Experten verfügbar, die in Respond arbeiten.

Zugreifen können Sie auf dieses Dialogfeld wie folgt: Klicken Sie während der Untersuchung eines Service in der Investigation-Ansicht „Ereignisse“ auf der Symbolleiste auf Incidents > Neuen Incident erstellen.

Workflow

high-level Investigate workflor with Create an Incident in Repond highlighted

Was möchten Sie tun?

                                                     
BenutzerrolleZiel11.1 Dokumentation
Threat Hunter

Durchsuchen von Ereignismetadaten

Starten einer Ermittlung in der Ansicht „Navigation“ oder „Ereignisse“

Threat Hunter

Durchsuchen von Raw-Ereignissen

Starten einer Ermittlung in der Ansicht „Navigation“ oder „Ereignisse“

Threat Hunter

Analyse von Raw-Ereignissen und Metadaten

Starten einer Ermittlung in der Ansicht „Ereignisanalyse“

Threat HunterUntersuchen von Endpunkten (Version 11.1)Untersuchen von Hosts

Threat Hunter

Verdächtige Endpunktdateien finden (Version 11.1)

Untersuchen von Dateien

Threat HunterDateien und Ereignisse auf Schadsoftware scannenDurchführen von Schadsoftwareanalysen

Incident-Experte

Priorisieren eines Incident in „Untersuchen“

NetWitness Respond – Benutzerhandbuch

Threat Hunter oder Incident ResponderEin oder mehrere Ereignisse zu einem vorhandenen Incident oder einem neuen Incident hinzufügen*Hinzufügen von Ereignissen zu einem Incident zwecks Reaktion

Verwandte Themen

Überblick

Die folgende Abbildung zeigt ein Beispiel für das Dialogfeld „Incident erstellen“. Die entsprechenden Funktionen werden in der Tabelle beschrieben.

the Create an Incident dialog

                                           
FunktionBeschreibung
Erstellen einer Zusammenfassung aus diesen EreignissenDas Feld „Warnmeldungszusammenfassung“ wird von der Abfrage ausgefüllt, die die ausgewählten Warnmeldungen produziert hat, die Sie ausgewählt haben, um diesen Incident zu erstellen. Das Feld „Schweregrad“ zeigt den Schweregrad der ausgewählten Warnmeldung an, eine Ganzzahl zwischen 1 und 100.
Name(Erforderlich) Gibt einen Namen an, um den Incident zu identifizieren. In diesem Beispiel lautet der Name „Sample Incident“. Sie können einen Namen angeben, der deutlich die Art der Ereignisse identifiziert, die diesem Incident hinzugefügt werden.
Zusammenfassung(Optional) Gibt eine Beschreibung für den Incident an. Eine gute Zusammenfassung identifiziert den Incident deutlich für andere Analysten und Experten.
Zuweisungsempfänger(Optional) Weist den Incident einem Benutzer im SOC zu. Durch Klicken auf „Zuweisungsempfänger“ wird eine Drop-down-Liste mit den Namen von SOC-Mitarbeitern geöffnet, die auf Incidents reagieren.
Kategorien(Optional) Identifiziert Kategorien von Incidents. Durch Klicken auf „Kategorien“ wird eine Drop-down-Liste von Incident-Kategorien und -Unterkategorien geöffnet. Sie können mindestens eine Kategorie auswählen, mit der der Incident verknüpft ist. Kategorien fallen in diese Hauptgruppen: Umgebung, Fehler, Hacking, Malware, Missbrauch und Social Media.
PrioritätIdentifiziert die Priorität des Incident. Durch Klicken auf „Priorität“ öffnet sich eine Drop-down-Liste der Prioritäten: „Kritisch“, „Hoch“, „Mittel“ oder „Niedrig“ werden in der Drop-down-Liste angezeigt.
AbbrechenSchließt das Dialogfeld, ohne die Änderungen zu speichern.
SpeichernDer Incident wird gespeichert und das Dialogfeld wird geschlossen. Eine Meldung bestätigt, dass der Incident erfolgreich erstellt wurde.
You are here
Table of Contents > Investigate-Referenzmaterialien > Dialogfeld „Incident erstellen“

Attachments

    Outcomes