ESM: Bestätigen und Zuordnen von Ereignisquellen

Document created by RSA Information Design and Development on May 14, 2018Last modified by RSA Information Design and Development on May 14, 2018
Version 2Show Document
  • View in full screen mode
 

Bestätigen von Ereignisquellentypen

Über die Registerkarte „Discovery“ können Sie die Ereignisquellentypen überprüfen, die NetWitness für jede Adresse ermittelt hat, und die Zuverlässigkeit des Systems hinsichtlich der Wahrscheinlichkeit, dass sie korrekt identifiziert wurden. Wenn die erkannten Ereignisquellentypen korrekt sind, können Sie bestätigen, dass diese Ereignisquelle standardmäßig aus der Ansicht herausgefiltert werden soll. Wenn sie falsch sind, können Sie die zulässigen Ereignisquellentypen für eine bestimmte Adresse festlegen, damit zukünftige Protokolle mit dem richtigen Parser analysiert werden.

Gehen Sie wie folgt vor, um zu bestätigen, dass die erkannten Ereignisquellentypen korrekt sind:

  • Wählen Sie die Ereignisquellen aus, die Sie bestätigen möchten, und klicken Sie in der Symbolleiste auf die Schaltfläche Bestätigen. Sobald die Ereignisquellen bestätigt wurden, werden sie nicht mehr in der Spalte „Ereignisquelltyp(en)“ angezeigt.

Hinweis: Bestätigte Ereignisquellen werden standardmäßig nicht angezeigt.

Zuordnen von Ereignisquellentypen

Wenn die erkannten Ereignisquellentypen nicht vollständig korrekt sind, können Sie die Parser zuordnen, um zusätzliche Informationen zu erhalten. Gehen Sie hierzu wie folgt vor:

  • Wählen Sie die Ereignisquellen aus, die Sie zuordnen möchten, und klicken Sie in der Symbolleiste auf die Schaltfläche Zuordnen.

Hinweis: Discovery Scores für die zugeordneten Ereignisquellen werden in der Spalte „Ereignisquelltyp(en)“ vom niedrigsten zum höchsten Discovery Score aufgeführt. Discovery Scores reichen von 0 (geringstes Vertrauen) bis 100 (stärkstes Vertrauen).

You are here
Table of Contents > Managen von Ereignisquellengruppen > ESM: Bestätigen und Zuordnen von Ereignisquellen

Attachments

    Outcomes