Konfiguration von NetWitness Respond – Übersicht

Document created by RSA Information Design and Development on May 14, 2018
Version 1Show Document
  • View in full screen mode
 

RSA NetWitness® Suite NetWitness Respond verarbeitet Warnmeldungsdaten von verschiedenen Quellen über den Nachrichtenbus und zeigt diese Warnmeldungen auf der NetWitness Suite-Benutzeroberfläche an. Der Antwortserver-Dienst erlaubt Ihnen, die Warnmeldungen logisch zu gruppieren und einen NetWitness Respond-Workflow für die Reaktion auf den Incident zu starten, um die aufgetretenen Sicherheitsprobleme zu untersuchen und zu beheben. 

Der Antwortserver-Dienst verarbeitet Warnmeldungen vom Nachrichtenbus und normalisiert die Daten in ein gemeinsames Format (unter Beibehaltung der Originaldaten), um eine einfachere Regelverarbeitung zu ermöglichen. Er führt regelmäßig Regeln aus, um mehrere Warnmeldungen in einem Incident zu aggregieren und einige Attribute des Incident einzustellen (zum Beispiel Schwere, Kategorie usw.). Die Incidents werden vom Antwortserver-Dienst dauerhaft in MongoDb abgelegt. Incidents werden im Nachrichtenbus auch zur Verarbeitung durch andere Systeme gepostet (zum Beispiel zur Integration in Archer).

Hinweis: NetWitness Respond erfordert einen primären ESA-Server, der die MongoDb enthält. Warnmeldungen, Incidents und Aufgabendatensätze werden vom Respond Server dauerhaft in der MongoDb gespeichert.

Die folgende Abbildung illustriert den allgemeinen Fluss der Warnmeldungen.

Ablaufdiagramm für allgemeine Warnmeldungsdaten

Sie müssen verschiedene Quellen konfigurieren, von denen die Warnmeldungen durch den Antwortserver-Dienst gesammelt und aggregiert werden.

Previous Topic:Über dieses Dokument
You are here
Table of Contents > Über dieses Dokument > Konfiguration von NetWitness Respond – Übersicht

Attachments

    Outcomes