ESM: Registerkarte „Erkennung“

Document created by RSA Information Design and Development on May 14, 2018Last modified by RSA Information Design and Development on Apr 28, 2019
Version 3Show Document
  • View in full screen mode
 

Um auf die Registerkarte „Erkennung“ zuzugreifen, navigieren Sie zu NetWitness ADMIN> Ereignisquellen. Die Registerkarte „Erkennung“ wird angezeigt.

Auf der Registerkarte „Erkennung“ sehen Sie alle Ereignisquellen, die NetWitness unter den einzelnen Adressen erkannt hat, samt Angaben zu ihrem Typ und der Wahrscheinlichkeit, mit der das System sie vollständig korrekt identifiziert hat. Wenn die erkannten Ereignisquellentypen korrekt sind, können Sie bestätigen, dass die betreffende Ereignisquelle herausgefiltert werden soll. Wenn sie falsch sind, können Sie die zulässigen Ereignisquellentypen für eine bestimmte Adresse festlegen, damit zukünftige Protokolle mit dem richtigen Parser analysiert werden.

Hinweis: Die folgenden Funktionen gelten für RSA NetWitness® Platform Version 11.1 und höher:
- Bestätigung mehrerer Ereignisquellen
- Filterung nach Ereignisquelltyp
- (für 11.2 und höher) Zuordnungsfilteroptionen „Keine“, „Automatisch“ und „Manuell“
- Zuordnung mehrerer Ereignisquellen
- Suche nach Ereignisquellen auf der Seite „Ereignisquellenerkennung“

RSA NetWitness® Platform in der Version11.2 und höher ordnet eingehende Ereignisse automatisch anhand früherer Protokolle, die von dieser Adresse erhalten wurden, einem Typ zu und reduziert damit das nicht korrekte Parsing von Nachrichten sowie die Anzahl der Elemente, für die Ihre Aufmerksamkeit im Erkennungsworkflow erforderlich ist. Der Wert Automatisch in der Spalte Zuordnungstyp gibt an, dass eine Adresse automatisch zugewiesen wurde.

Workflow

Dieser Workflow veranschaulicht den allgemeinen Prozess zur Konfiguration von Ereignisquellen.

Was möchten Sie tun?

                                 
RolleZielDokumentation
Administrator

Bestätigen und Zuordnen von Ereignisquellen.*

Bestätigen und Zuordnen von Ereignisquellen

Administrator

Hinzufügen und Konfigurieren von Parser-Zuordnungen für einen Log Decoder.*

Parser-Zuordnungen verwalten

AdministratorAnzeigen von Ereignisquellenalarmen.Anzeigen von Ereignisquellenalarmen

Administrator

Troubleshooting für das Ereignisquellenmanagement.

ESM-Troubleshooting & Anhang

*Sie können diese Aufgabe hier durchführen.

Verwandte Themen

Parser-Zuordnungen verwalten

Detailansicht

Überblick

Das Beispiel unten zeigt eine Liste mit Adressen und den für sie erkannten Ereignisquellentypen. Unter „Ereignisquellentypen“ werden alle Ereignisquellen aufgeführt, die erkannt wurden.

Dies ist ein Beispiel für die Registerkarte.

                                                                 
1

Zeigt die Bereiche „Filter“ und „Ereignisquellen“ mit geöffneter Registerkarte „Erkennung“ an.

2

Zeigt das Feld „Ereignisquellenfilter“ mit einem Drop-down-Menü an, das folgende Optionen bietet:

  • Geben Sie die vollständige oder einen Teil der Adresse (IP, IPv6 oder Hostname) der Quelle(n) ein, die Sie überprüfen möchten. Sie können auch mehrere Einträge eingeben, die durch Kommas getrennt sind.
    Beispiel: 10.10.10.10,10.10.10.11,host1.company.com
  • Exakt: Gibt Quellen zurück, die vollständig mit dem Suchbegriff übereinstimmen.
    Beispiel: 10.10.10.10 gibt nur 10.10.10.10 und nicht 10.10.10.101 zurück.
  • Beginnt mit: Gibt Quellen zurück, die mit dem Suchbegriff beginnen.
    Beispiel: 10.10.10. gibt das gesamte 10.10.10.x Subnetz zurück.
  • Enthält: Gibt Quellen zurück, die mit dem Suchbegriff beginnen.
    Beispiel: exch gibt Begriffe wie us-exch-1.company.com zurück oder lab21 gibt Begriffe wie hostx.lab21.company.com zurück.
  • Endet mit: Gibt Quellen zurück, die mit dem Suchbegriff enden.
    Beispiel: lab21.company.com gibt alle Hosts zurück.

Hinweis: Wenn Sie den Suchtext eingeben, können Sie die Zeichen . - : (Punkt, Strich, Doppelpunkt) verwenden.

3Mit dem Drop-down-Menü „Ereignisquellentyp“ können Sie nach Adressen filtern, die alle ausgewählten Ereignisquellentypen enthalten.
4
  • Aktivieren Sie das Kontrollkästchen Bestätigte anzeigen, um die bestätigten Ereignisquellen anzuzeigen.
  • Die Filteroptionen für die Zuordnung können nur einen der im Filterbereich aufgelisteten Zuordnungstypen enthalten oder es können mehrere Zuordnungstypen ausgewählt werden.

Hinweis: Wenn keine Filteroptionen für die Zuordnung ausgewählt sind, werden standardmäßig die Zuordnungstypen Alle, Ohne, Manuell zugeordnet und Automatisch angezeigt.

5
  • Die Schaltfläche Anwenden verwendet alle Kriterien, die in allen Filtern festgelegt sind.
  • Die Schaltfläche Löschen löscht alle Filter im Bereich.
6Schaltet zwischen bestätigten und nicht bestätigten Ereignisquellen um.
7Ordnet die ausgewählten Ereignisquellen zu.
8Schaltfläche „Details anzeigen“ zum Aufrufen von Details zu der ausgewählten Ereignisquelle
9Zeigt die Adressen der ausgewählten Ereignisquellen an.
10Zeigt den Discovery Score für die ausgewählten Ereignisquellen an.
11Zeigt an, ob die ausgewählten Ereignisquellen bestätigt wurden oder nicht.
12Zeigt den ausgewählten Typ der Ereignisquellenzuordnung als „Automatisch“, „Manuell zugeordnet“ oder „Ohne“ an. Änderungen an der Zuordnung werden nur hier angezeigt.
13Zeigt die Hostnamen der Log Collector-Instanzen an, von denen die Ereignisquelle gehostet wird.
14Zeigt die Hostnamen der Log Decoder-Instanzen an, von denen die Ereignisquelle gehostet wird.
15Zeigt die erkannten Ereignisquellentypen samt ihres Discovery Score an.

Symbolleiste und Funktionen

Die Registerkarte „Erkennung“ enthält die folgenden Funktionen:

                                           
FeldBeschreibung

Tools

Folgende Optionen sind in der Symbolleiste verfügbar:

  • Bestätigung umschalten: Schaltet den Bestätigungsstatus für die ausgewählte Ereignisquelle zwischen Ja und Nein um.
  • Karte: Öffnet das Dialogfeld „Parser-Zuordnungen verwalten“, in dem Sie eine Ereignisquelle dem richtigen Protokollparser zuweisen können.
  • Details anzeigen: Enthält Details über die ausgewählte Ereignisquelle.

Ereignisquelle

Die IP-Adresse, IPv6-Adresse oder der Hostname der Ereignisquelle.

Discovery Score

Zeigt den allgemeinen Discovery Score der betreffenden Adresse an. Höhere Ergebnisse weisen auf ein stärkeres Vertrauen hin. Der Discovery Score kann einen Wert zwischen 0 (geringste Zuverlässigkeit) bis 100 (höchste Zuverlässigkeit) haben.

Bestätigt

Zur Auswahl stehen Ja (Sie haben die Ereignisquelle bestätigt) oder
Nein (Sie haben die Ereignisquelle nicht bestätigt).

Zuordnungstyp

Zur Auswahl stehen Manuell zugeordnet (Sie haben die Ereignisquelle zugewiesen), Automatisch (das System hat die Ereignisquelle automatisch zugewiesen) oder Ohne (Sie haben die Ereignisquelle nicht zugewiesen).

Die automatische Zuordnung erfolgt inhaltsbezogen. Wenn es sich bei einer Protokollnachricht um eine Nachricht mit einem vertrauensvollen Header oder um eine Nachricht handelt, die mit Tags versehen wurde, wird für diese Adresse und diesen Typ eine automatische Zuordnung eingestellt. Diese automatische Zuordnung ist 24 Stunden gültig und wird jedesmal erneuert, wenn eine Protokollnachricht mit einem mit Tags versehenen Header einer Nachricht übereinstimmt.

Protokollnachrichten werden zunächst anhand automatisch zugewiesener Parser analysiert und gehen nur dann zurück in die Erkennung, wenn sich unter den zugewiesenen Parsern keine Übereinstimmung findet. Protokollnachrichten, die zurück in die Erkennung gehen, können mit den mit Tags versehenen Headern oder Nachrichten anderer Ereignisquellen übereinstimmen. Dies führt dazu, dass mehrere Typen zugewiesen werden.

Zum Beispiel könnte eine Adresse irgendwann auf Windows, MS SQL und Apache zugewiesen werden und diese Parser werden zuerst ausgewertet. Wird eine Ereignisquelle stillgelegt und ihre IP-Adresse erneut verwendet, werden die Zuordnungen für die stillgelegten Typen enstprechend dem 24-Stunden-Timer ungültig.

Hinweis: Diese Funktion gilt für die RSA NetWitness Version 11.2 und höher.

Log Collector

Log Collector, die Protokolle von dieser Ereignisquellenadresse erhalten haben.

Log Decoder

Log Decoder, die Protokolle von dieser Ereignisquellenadresse erhalten haben.

Ereignisquelltyp(en)

Die analysierten Typen der Ereignisquellenadresse und der entsprechenden Discovery Score für jeden Typ.

Hinweis: Discovery Scores sind nur für Log Decoder ab Version 11.0 verfügbar. Discovery Scores für eine Log Decoder-Version vor 11.0 werden als „Nicht verfügbar“ angezeigt.

In der folgenden Tabelle wird die Sortierreihenfolge für Discovery Scores beschrieben. Um auf das Drop-down-Menü „Sortierreihenfolge“ zuzugreifen, klicken Sie auf den Pfeil nach unten in der Spalte „Ereignisquellen“.

                       
FeldBeschreibung

Aufsteigend sortieren

Sortiert die Spalte nach Discovery Score in aufsteigender Reihenfolge.

Absteigend sortieren

Sortiert die Spalte nach Discovery Score in absteigender Reihenfolge.

Spalten

Wird verwendet, um eine oder mehrere Spalten ein- oder auszublenden.

Previous Topic:Referenzen
You are here
Table of Contents > Referenzen > Registerkarte „Erkennung“

Attachments

    Outcomes