Untersuchen: Metagruppen managen

Document created by RSA Information Design and Development on May 14, 2018Last modified by RSA Information Design and Development on Oct 19, 2018
Version 3Show Document
  • View in full screen mode
 

Eine Metagruppe kombiniert ausgewählte Metaschlüssel in einer Gruppe, um nur Daten anzuzeigen, in denen die Metaschlüssel und -einheiten gefunden wurden.

Hinweis: In Version 11.1 und höher können Sie auch konfigurierte Metaeinheiten in Metagruppen verwenden.

In der Ansicht „Untersuchen > Navigation“ können Metagruppen zum Filtern der in einer Ermittlung angezeigten Daten verwendet werden. Eine Neuinstallation von NetWitness Suite umfasst vordefinierte Metagruppen, damit Sie interessante Datasets in Ermittlung finden können. Zur Identifizierung wird den OOTB-Metagruppen, die dupliziert, aber nicht gelöscht werden können, das Präfix RSA vorangestellt. Sie können Ihre eigenen Gruppen erstellen und eine OOTB-Gruppe zum Erstellen einer benutzerdefinierten Gruppe duplizieren und bearbeiten.

Mit einer während einer Untersuchung wirksamen Metagruppe zeigen die Informationen im Bereich „Werte“ nur die Metaschlüssel in der ausgewählten Gruppe an. Wenn Sie eine Parallelkoordinatenvisualisierung öffnen, werden die Metaschlüssel und -einheiten in einer Gruppe als Achsen von links nach rechts angezeigt. Es kann hilfreich sein, zwei Versionen jeder benutzerdefinierten Metagruppe zu erstellen: eine für die Analyse von Metawerten und eine für das Erstellen eines Parallelkoordinatendiagramms, das auf eine kleinere Untergruppe des gleichen Anwendungsfalls fokussiert ist.

Benutzerdefinierte Metagruppen werden allen Benutzern eines Service angezeigt und können für den Import in einen beliebigen Service exportiert werden, sind jedoch durch die verfügbaren Metaschlüssel für diesen Service begrenzt.

Hinweis: Wenn Administratoren benutzerdefinierte Metagruppen manuell hinzufügen, indem sie die benutzerdefinierte Indexdatei eines Service bearbeiten, sind die neuen Gruppen für Investigation verfügbar, nachdem der Service von Neuem gestartet wurde.

In diesem Abschnitt wird erläutert, wie Sie die während der Navigation in einem bestimmten Service zu verwendenden benutzerdefinierten Metagruppen hinzufügen, bearbeiten, importieren, exportieren und löschen.

Out-of-the-Box-Metagruppen

Die OOTB-Metagruppen sind in die RSA NetWitness Suite integriert. Die Standard-Metagruppen sind nützlich, um den Fokus einer Ermittlung auf typische Anwendungsbeispiele zu setzen und die Bedrohungserkennung anhand des RSA Hunting Pack zu unterstützen.

Dies sind die OOTB-Metagruppen:

  • RSA-E-Mail-Analyse umfasst Metaschlüssel, die E-Mail-Aktivitäten beschreiben.
  • RSA-Endpunktanalyse enthält Metaschlüssel, die einen Einblick in die Prozesse, die Dateien, die Benutzer und die Verbindungen von NetWitness Endpoint-Hosts (NWE) bieten.
  • RSA Malware Analysis umfasst Metaschlüssel, die Indikatoren für eine Infizierung in den Dateien in den Ereignissen markieren.
  • Ausgehender HTTP-Datenverkehr von RSA umfasst Metaschlüssel, die einen Einblick in ausgehenden Webdatenverkehr bieten.
  • Ausgehendes SSL/TLS von RSA umfasst Metaschlüssel, die sich auf verschlüsselten Webdatenverkehr konzentrieren.
  • Die RSA-Hostabfrage umfasst Metaschlüssel, die alle Metaschlüssel zum Finden von Hosts umfassen.
  • Die RSA-IP-Abfrage umfasst Metaschlüssel, die alle Metaschlüssel zum Finden von IP-Adressen umfassen.
  • Die RSA-E-Mail-Abfrage umfasst Metaschlüssel, die alle Metaschlüssel zum Finden von E-Mails umfassen.
  • Die RSA-Benutzerabfrage umfasst Metaschlüssel, die alle Metaschlüssel zum Finden von Benutzern umfassen.
  • Die RSA-Bedrohungsanalyse umfasst Metaschlüssel, die potenzielle Bedrohungen im Dataset markieren.
  • Die RSA-Webanalyse umfasst Metaschlüssel, die Anomalien im Webdatenverkehr markieren.

Erstellen von Metagruppen und Hinzufügen von Metaschlüsseln

  1. Wenn Sie einen Service in der Ansicht Untersuchen > Navigation untersuchen möchten, wählen Sie in der Symbolleiste Metadaten > Metagruppen managen aus.
    Das Dialogfeld „Metagruppen managen“ wird angezeigt. Zu Beginn sind nur OOTB-Gruppen für einen Service konfiguriert und unter „Gruppenname“ aufgeführt. Wenn andere benutzerdefinierte Gruppen konfiguriert wurden, werden sie ebenfalls unter „Gruppenname“ aufgelistet.
    Manage Meta Groups Dialog
  2. Klicken Sie in der Rastersymbolleiste auf Add Icon.
    Oben im Raster „Metagruppen“ wird eine neue Zeile eingefügt.
  3. Geben Sie einen Namen für die neue Metagruppe ein und drücken Sie die Eingabetaste.
    Das Formular rechts wird zur Bearbeitung geöffnet.
    Manage Meta Groups dialog ready to create a New Meta Group
  4. (Optional) Wenn Sie den Namen der Metagruppe ändern möchten, geben Sie einen neuen Wert im Feld Name ein.
  5. Klicken Sie in der Symbolleiste Metaschlüssel auf Add Icon.
    Das Dialogfeld „Verfügbare Metaschlüssel“ wird mit den Schlüsseln in alphabetischer Reihenfolge geöffnet.
    the Available Meta Keys dialog
  6. Um die Liste der Metaschlüssel zu filtern, geben Sie ein Wort oder einen Begriff im Feld Filtern ein und drücken Sie die Eingabetaste.
    In der Liste werden Metaschlüssel basierend auf einer Suche ohne Berücksichtigung der Groß- und Kleinschreibung angezeigt. Löschen Sie den Filtertext und drücken Sie die Eingabetaste, um den Filter zu entfernen.
  7. Zum Auswählen der in der Metagruppe zu berücksichtigenden Metaschlüssel aktivieren Sie die Kontrollkästchen. Zum Auswählen aller Metaschlüssel aktivieren Sie das Kontrollkästchen in der Titelleiste und klicken Sie auf Hinzufügen.
    Die ausgewählten Metaschlüssel werden zur Liste „Metaschlüssel“ hinzugefügt.
  8. (Optional) Wenn Sie die Reihenfolge ändern möchten, in der die Metaschlüssel geladen und in einer Ermittlung aufgelistet werden, klicken Sie auf einen oder mehrere Metaschlüssel und ziehen Sie ihn bzw. sie an eine neue Position.
  9. Führen Sie einen der folgenden Schritte aus, um die Erstellung der Metagruppe abzuschließen:
    1. Klicken Sie zum Speichern der Metagruppe auf Speichern.
      Die Gruppe wird erstellt und kann nun verwendet werden.
    2. Um die Metagruppe zu speichern und in die aktuelle Investigation-Ansicht zu übernehmen, klicken Sie auf Speichern und übernehmen.
      Die Gruppe wird gespeichert und sofort in die aktuelle Investigation-Ansicht übernommen.
  10. Klicken Sie auf Schließen.

Duplizieren und Bearbeiten einer Out-of-the-Box-Metagruppe

Wenn Sie eine OOTB-Metagruppe anpassen möchten, müssen Sie die Gruppe duplizieren und anschließend das Duplikat bearbeiten.

  1. Wählen Sie im Raster „Metagruppen managen“ eine vordefinierte Metagruppe aus und klicken Sie auf .
    Das Formular rechts wird zur Bearbeitung geöffnet und enthält alle Metaschlüssel, die in der vordefinierten Gruppe enthalten sind.
    Manage Meta Groups dialog with form open to select meta keys
  2. Geben Sie einen Namen für die neue Gruppe ein und setzen Sie die Bearbeitung wie unter „Bearbeiten von Metagruppen“ unten beschrieben fort.

Bearbeiten von Metagruppen

  1. Wählen Sie eine Gruppe im Raster Metagruppen aus.
    Das Formular rechts wird zur Bearbeitung geöffnet.
    Edit Meta Group
  2. (Optional) Bearbeiten Sie den Namen der Gruppe.
  3. (Optional) Fügen Sie neue Metaschlüssel hinzu, wie im obigen Abschnitt „Erstellen von Metagruppen und Hinzufügen von Metaschlüsseln“ beschrieben.
  4. (Optional) Um die Reihenfolge für die Schlüssel festzulegen, ziehen Sie einen oder mehrere Schlüssel per Drag-and-drop.
  5. (Optional) Zum Ändern der ursprünglichen Ansicht eines Metaschlüssels klicken Sie auf View Options und wählen Sie eine der möglichen Ansichten aus.
    Wenn Sie die Metagruppe ändern, kann der Schlüssel nicht auf OPEN eingestellt werden. Wenn Sie die Standardansicht für eine Gruppe von Metaschlüsseln in OPEN ändern und einige der Metaschlüssel nicht indiziert sind, werden die nicht indizierten Metaschlüssel auf AUTO zurückgesetzt. Daher wird der Metaschlüssel nur automatisch geladen, wenn er indiziert ist, und nicht indizierte Metaschlüssel haben den Status „CLOSED“, bis sie manuell geöffnet werden.
    Der Wert für die ursprüngliche Ansicht wird in der Spalte „Ansicht“ angezeigt.
  6. Klicken Sie zum Speichern der Änderungen auf Speichern.
  7. Um die Änderungen auf die aktuelle Navigationsansicht anzuwenden, klicken Sie auf Speichern und übernehmen.

Löschen von Metagruppen

  1. Wählen Sie die zu entfernende Gruppe im Raster Metagruppen aus.
  2. Klicken Sie auf Delete.
    Ein Bestätigungsdialogfeld wird angezeigt, in dem Sie die Anforderung abbrechen oder abschließen können.
  3. Klicken Sie auf OK.
    Die Metagruppe wird gelöscht. Wenn Sie das Fenster schließen und es sich bei der gelöschten Gruppe um die derzeit angewendete Metagruppe handelte, wird sie entfernt und die Standardmetaschlüssel werden zum Erstellen der Ansicht verwendet.

Exportieren von Metagruppen

Benutzerdefinierte Metagruppen werden für einzelne Services erstellt. Um die Metagruppen für einen anderen Service zur Verfügung zu stellen, müssen Sie sie in Ihr lokales Dateisystem exportieren. So exportieren Sie eine oder mehrere Metagruppen:

  1. Wählen Sie eine oder mehrere zu exportierende Gruppen im Raster Metagruppen aus.
  2. Klicken Sie auf Export.
    Die ausgewählten Gruppen werden auf Ihr lokales Dateisystem als MetaGroups.jsn heruntergeladen. Alle heruntergeladenen Metagruppen haben denselben Namen mit einer angefügten Zahl, um das Überschreiben vorheriger Downloads zu vermeiden.

Importieren von Metagruppen

Um benutzerdefinierte Metagruppen eines anderen Service dem derzeit untersuchten Service zur Verfügung zu stellen, müssen Sie die Datei MetaGroups.jsn aus dem lokalen Dateisystem importieren. Beim Importieren von Metagruppen zeigt eine Fehlermeldung an, ob eine der Gruppen bereits vorhanden ist. Zum Importieren einer Gruppe, die ein Duplikat darstellt, müssen Sie zuerst die vorhandene Gruppe löschen. Wenn Sie eine Metagruppe löschen möchten, darf diese nicht von einem Profil verwendet werden.

So importieren Sie Metagruppen:

  1. Wählen Sie im Raster Metagruppen eine Datei für den Import aus und klicken Sie auf Import.
    Das Auswahldialogfeld wird angezeigt.
    Meta Group Import
  2. Klicken Sie auf Durchsuchen und navigieren Sie zu dem Verzeichnis in Ihrem lokalen Dateisystem, in dem die heruntergeladenen MetaGroups.jsn-Dateien gespeichert sind. Wählen Sie eine Datei aus und klicken Sie auf Öffnen.
    Der Dateiname wird im Feld Datei hochladen angezeigt.
  3. Klicken Sie auf Hochladen.
    Der Hochladevorgang wird gestartet und in einer Meldung wird angezeigt, ob der Upload erfolgreich war. Die Metagruppen werden zum Raster Metagruppen hinzugefügt. Wenn es sich bei der Datei um ein Duplikat einer vorhandenen Metagruppe handelt, werden Sie in einem Dialogfeld darüber informiert, dass die Metagruppe bereits vorhanden ist.
You are here
Table of Contents > Untersuchen von Metadaten in der Ansicht „Navigation“ > Metagruppen managen

Attachments

    Outcomes