Untersuchen: Anzeigen von zusätzlichem Kontext für einen Datenpunkt

Document created by RSA Information Design and Development on May 14, 2018Last modified by RSA Information Design and Development on Oct 19, 2018
Version 3Show Document
  • View in full screen mode
 

 

In der Ansicht „Ereignisse“ oder der Ansicht „Navigation“ können Sie Details und Informationen zu Elementen nachschlagen, die mit einem Ereignis im Context Hub verknüpft sind. Die Daten aus konfigurierten Quellen wie RSA NetWitness Endpoint können Ihnen helfen, die Vorfälle zu verstehen.

Diese Elemente oder Entitäten sind Kennungen, z. B. eine IP-Adresse, ein Benutzername, ein Hostname, ein Domain-Name, ein Dateiname oder ein Datei-Hash. Zum Abrufen externer Informationen zu einer bestimmten Entität verwendet NetWitness Suite den Context Hub. Der Context Hub ist ein zentralisierter Service, der Daten zu Entitäten aus mehreren konfigurierbaren Datenquellen aggregiert. Diese Daten können Ihre Untersuchung durch zusätzlichen Kontext über die sofortigen Ergebnisse einer bestimmten Abfrage hinaus erweitern. Z. B. kann Ihnen der Context Hub sagen, ob eine bestimmte Entität in Incidents, Warnmeldungen, Feeds oder Veröffentlichungen von Communityinformationen erwähnt wurde.

Bei Rechtsklick auf die Entität in Investigate fragt der Context Hub die konfigurierten Datenquellen nach relevanten Informationen ab. Der Bereich „Kontextabfrage“ wird auf der rechten Seite des Browser-Fensters geöffnet. Der Bereich „Kontextabfrage“ wird mit den Informationen aus dem Context Hub gefüllt, sobald diese verfügbar sind.

Um eine weitere Suche ausführen, klicken Sie mit der rechten Maustaste auf eine andere Entität und der Bereich „Kontextabfrage“ wird mit den Informationen zu dieser Entität aktualisiert.

Um den Bereich „Kontextabfrage“ zu schließen, klicken Sie im Bereich auf X.

Im Bereich „Kontextabfrage“ können Sie einzelne Datenquellen anzeigen und weiter durchsuchen. Wenn Sie beispielsweise auf einen bestimmten Incident-Wert klicken, werden die spezifischen Incident-Details in der Ansicht „Respond“ angezeigt.

Eine detaillierte Beschreibung der Informationen, die für jede Datenquelle im Bereich „Kontextabfrage“ angezeigt werden, finden Sie unter Bereich „Kontextabfrage“.

Bevor ein Analyst kontextbezogenen Informationen anzeigen kann, muss der Administrator Folgendes tun:

  • Stellen Sie sicher, dass der Analyst eine Rolle mit der Berechtigung Context Lookup hat, wie unter „Rollenberechtigungen“ und „Managen von Benutzern mit Rollen und Berechtigungen“ im Handbuch Systemsicherheit und Benutzerverwaltung beschrieben wird.
  • Fügen Sie den Context-Hub-Service in RSA NetWitness Suite hinzu.
  • Konfigurieren Sie Datenquellen für den Context-Hub-Service, wie im Context Hub-Konfigurationsleitfaden beschrieben.

Hinweis: Navigieren Sie zu Masterinhaltsverzeichnis für RSA NetWitness Logs & Packets 11.x, um alle Dokumente zu NetWitness Suite 11.x zu suchen.

So zeigen Sie Informationen im Bereich „Kontextübersicht“ an:

  1. Suchen Sie in der Ansicht „Navigation“ oder „Ereignisse“ einen Metawert, für den Sie zusätzlichen Kontext anzeigen möchten, und bewegen Sie den Mauszeiger über den Metawert.
    Der Bereich Kontexthighlights wird mit einer kurzen Übersicht über den Typ der Kontextdaten angezeigt, die für die Datenquelle verfügbar sind: NetWitness Endpoint, Incidents, Warnmeldungen, Hosts, Dateien, Feeds und Live Connect.
  2. Klicken Sie mit der rechten Maustaste auf einen Metawert und klicken Sie im Drop-down-Menü auf Kontextabfrage, um den Bereich „Kontextabfrage“ zu öffnen.
    This is the menu with Context Lookup
    Der Bereich „Kontextübersicht“ wird auf der rechten Seite des Browser-Fensters geöffnet. Der Bereich „Kontextübersicht“ wird mit den Informationen aus dem Context Hub gefüllt, sobald diese verfügbar sind.
  3. Um Aktionen aus dem Bereich „Kontext“ auszuführen, klicken Sie auf eine Entität, z. B. IP-Adresse, und klicken Sie mit der rechten Maustaste.
    Folgende Optionen sind verfügbar: „Link in neuer Registerkarte öffnen“, „In Investigate abfragen“, „Link kopieren“, „Einfügen“, „Google-Abfrage“, VirusTotal-Abfrage“ und „In Endpoint abfragen“.

 
You are here
Table of Contents > Abfragen von und Reagieren auf Daten in den Ansichten „Navigation“ und „Ereignisse“ > Anzeigen von zusätzlichem Kontext für einen Datenpunkt

Attachments

    Outcomes