Untersuchen: Suchen von weiteren Kontexten in den Ansichten „Navigation“ und „Ereignisse“

Document created by RSA Information Design and Development on May 14, 2018Last modified by RSA Information Design and Development on Apr 28, 2019
Version 4Show Document
  • View in full screen mode
 

 

In der Ansicht „Ereignisse“ und der Ansicht „Navigation“ können Sie Details und Informationen zu Elementen nachschlagen, die mit einem Ereignis im Context Hub verknüpft sind. (In der Version 11.2 und höher können Sie auch in der Ansicht „Ereignisanalyse“ nach weiteren Kontexten suchen (siehe Beschreibung unter Suchen von zusätzlichem Kontext in der Ansicht „Ereignisanalyse“). Bei diesen Elementen oder Entitäten handelt es sich um Identifikatoren, wie z. B. eine IP-Adresse, ein Benutzername, ein Hostname, ein Domain-Name, ein Dateiname oder ein Dateihash. Die Daten aus konfigurierten Quellen wie RSA NetWitness Endpoint können Ihnen helfen, die Vorfälle zu verstehen.

Hinweis: Damit Sie kontextbezogene Informationen anzeigen können, muss Ihr Administrator den Context-Hub-Service in RSA NetWitness Platform hinzufügen und Datenquellen für den Context-Hub-Service konfigurieren wie im Context-Hub-Konfigurationsleitfaden beschrieben. Analysten müssen eine Rolle mit der Berechtigung Context Lookup haben, wie unter „Rollenberechtigungen“ und „Managen von Nutzern mit Rollen und Berechtigungen“ im Handbuch Systemsicherheit und Benutzerverwaltung beschrieben wird. Navigieren Sie zu Masterinhaltsverzeichnis, worüber alle Dokumente für NetWitness Platform Logs & Network 11.x aufgerufen werden können.

Der Context Hub ist ein zentralisierter Service, der Daten zu Entitäten aus mehreren konfigurierbaren Datenquellen aggregiert. Diese Daten können Ihre Untersuchung durch zusätzlichen Kontext über die sofortigen Ergebnisse einer bestimmten Abfrage hinaus erweitern. Zum Beispiel kann Ihnen der Context Hub sagen, ob eine bestimmte Entität in Incidents, Warnmeldungen, Feeds oder Veröffentlichungen von Communityinformationen erwähnt wurde.

In der Ansicht „Navigation“ und der Ansicht „Ereignisse“ werden Entitäten, die zugehörige Kontextdaten haben, mit grauem Hintergrund hervorgehoben. Wenn Sie den Mauszeiger über eine Entität bewegen, wird ein Popup-Feld mit einer Zusammenfassung der verfügbaren Daten angezeigt. Wenn Sie mit der rechten Maustaste auf die Entität klicken, fragt der Context Hub die konfigurierten Datenquellen nach relevanten Informationen ab und auf der rechten Seite des Browserfensters wird der Bereich „Kontextabfrage“ geöffnet. Der Bereich „Kontextabfrage“ wird mit den Informationen aus dem Context Hub gefüllt, sobald diese verfügbar sind. Zum Ausführen weiterer Suchen klicken Sie mit der rechten Maustaste auf eine andere Entität und der Bereich „Kontextabfrage“ wird mit den Informationen zu dieser Entität aktualisiert.

example of the Navigate view with the Context Lookup panel open

Im Bereich „Kontextabfrage“ können Sie einzelne Datenquellen anzeigen und weiter durchsuchen. Eine detaillierte Beschreibung der Informationen, die für jede Datenquelle angezeigt werden, finden Sie unter Bereich „Kontextabfrage“.

So zeigen Sie Informationen im Bereich „Kontextabfrage“ in der Ansicht „Navigation“ oder der Ansicht „Ereignisse“ an:

  1. Bewegen Sie den Mauszeiger über verschiedene Metawerte, um die für die Daten verfügbaren Datenquellen anzuzeigen.
    Ein Popup-Fenster zeigt eine Liste der Datenquellen an, für die Kontextdaten für den Metawert zur Verfügung stehen. Mögliche Datenquellen sind: NetWitness Endpoint, Incidents, Warnmeldungen, Hosts, Dateien, Feeds und Live Connect.
  2. Klicken Sie mit der rechten Maustaste auf einen Metawert und klicken Sie im Drop-down-Menü auf Kontextabfrage, um den Bereich „Kontextabfrage“ zu öffnen.
    This is the menu with Context Lookup
    Der Bereich „Kontextabfrage“ wird auf der rechten Seite des Browserfensters geöffnet. Der Bereich „Kontextabfrage“ wird mit den Informationen aus dem Context Hub gefüllt, sobald diese verfügbar sind.
  3. Zum Ausführen von Aktionen aus dem Bereich „Kontextabfrage“ klicken Sie mit der rechten Maustaste auf eine Entität, z. B. IP-Adresse.
    Folgende Optionen sind verfügbar: „Link in neuer Registerkarte öffnen“, „In Investigate abfragen“, „Link kopieren“, „Einfügen“, „Google-Abfrage“, VirusTotal-Abfrage“ und „In Endpoint abfragen“.

  4. Um den Bereich „Kontextabfrage“ zu schließen, klicken Sie im Bereich auf X.
 
You are here
Table of Contents > Abfragen von und Reagieren auf Daten in den Ansichten „Navigation“ und „Ereignisse“ > Suchen von zusätzlichem Kontext in den Ansichten „Navigieren“ und „Ereignisse“

Attachments

    Outcomes