Konfigurieren von Respond: Registerkarte „Aggregationsregeln“

Document created by RSA Information Design and Development on May 14, 2018

Version 1Show Document

Like • Show 0 Likes0
Comment • 0
View in full screen mode

Auf der Registerkarte „Aggregationsregeln“ können Sie Aggregationsregeln zur Automatisierung der Incident-Erstellung erstellen und verwalten. NetWitness Suite stellt 11 vorkonfigurierte Regeln bereit. Sie können diese Regeln ergänzen und an Ihre eigene Umgebung anpassen.

Was möchten Sie tun?

Rolle	Ich möchte…	Anleitung
Analyst, Contentexperte, SOC-Manager	eine Aggregationsregel erstellen.	Schritt 3. Erstellen einer Aggregationsregel für Warnmeldungen
Incident-Experten, Analysten, Contentexperten, SOC-Manager	die Ergebnisse einer Aggregationsregel anzeigen („Erkannte Bedrohungen anzeigen“).	Siehe „Reagieren auf Incidents“ im NetWitness Respond-Benutzerhandbuch

Aggregationsregeln

Klicken Sie zum Öffnen der Registerkarte „Aggregationsregeln“ auf Konfigurieren > Incident-Regeln > Aggregationsregeln.

Die Registerkarte „Aggregationsregeln“ besteht aus einer Liste und einer Symbolleiste.

Liste „Aggregationsregeln“

In der folgenden Tabelle werden die Spalten in der Liste „Aggregationsregeln“ beschrieben.

Spalte	Beschreibung
Auswählen	Ermöglicht, eine Regel auszuwählen, um eine Aktion dafür durchzuführen, etwa sie zu klonen oder zu löschen.
Reihenfolge	Zeigt die Position der Regel in der Regelreihenfolge an. Die Reihenfolge der Regeln legt fest, welche Regel aktiv wird, wenn die Kriterien mehrerer Regeln mit derselben Warnmeldung übereinstimmen. Wenn zwei Regeln mit einer Warnmeldung übereinstimmen, wird nur die Regel mit der höchsten Priorität ausgewertet.
Name	Zeigt den Namen einer Regel an.
Aktiviert	Zeigt an, ob die Regel aktiviert ist. gibt an, dass die Regel aktiviert ist.
Beschreibung	Zeigt die Beschreibung einer Regel an.
Zuletzt abgestimmt	Zeigt an, wann zuletzt eine Warnmeldung mit der Regel übereingestimmt hat. Dieser Wert wird einmal pro Woche zurückgesetzt.
Abgestimmte Warnmeldungen	Zeigt die Anzahl der Warnmeldungen an, die mit der Regel übereingestimmt haben. Dieser Wert wird einmal pro Woche zurückgesetzt. Informationen zum Ändern dieser Einstellungen erhalten Sie unter Einstellen des Zählers für abgestimmte Warnmeldungen und Incidents.
Incidents	Zeigt die Anzahl der von der Regel erstellten Incidents an. Dieser Wert wird einmal pro Woche zurückgesetzt. Informationen zum Ändern dieser Einstellungen finden Sie unter Einstellen des Zählers für abgestimmte Warnmeldungen und Incidents.

Symbolleiste auf der Registerkarte „Aggregationsregeln“

In der folgenden Tabelle sind die Vorgänge aufgelistet, die Sie auf der Registerkarte „Aggregationsregeln“ durchführen können.

Option	Beschreibung
	Ermöglicht es Ihnen, eine neue Regel hinzuzufügen.
	Ermöglicht es Ihnen, eine Regel zu bearbeiten.
	Ermöglicht es Ihnen, eine Regel zu löschen.
	Ermöglicht es Ihnen, eine Regel zu duplizieren.