Konfigurieren von Respond: Registerkarte „Neue Regel“

Document created by RSA Information Design and Development on May 14, 2018
Version 1Show Document
  • View in full screen mode
 

Auf der Registerkarte „Neue Regel“ können Sie benutzerdefinierte Aggregationsregeln erstellen, um die Incident-Erstellung zu automatisieren. In diesem Thema wird beschrieben, welche Informationen bei der Erstellung einer neuen Regel benötigt werden.

Was möchten Sie tun?

                       
RolleZielDetails anzeigen
Analyst, Contentexperte, SOC-ManagerAggregationsregel erstellenSchritt 3. Erstellen einer Aggregationsregel für Warnmeldungen
Incident-Experten, Analysten, Contentexperten, SOC-ManagerErgebnisse einer Aggregationsregel anzeigen („Erkannte Bedrohungen anzeigen“)Siehe „Reagieren auf Incidents“ im NetWitness Respond-Benutzerhandbuch.

Verwandte Themen

Neue Regel

So greifen Sie auf die Registerkartenansicht Neue Regel zu:

  1. Navigieren Sie zu Konfigurieren > Incident-Regeln > Aggegrationsregeln.

  2. Klicken Sie auf Hinzufügen-Symbol.

    Die Registerkarte Neue Regel wird angezeigt.

    Registerkarte „Neue Regel“

In der folgenden Tabelle sind die Optionen beschrieben, die bei der Erstellung benutzerdefinierter Aggregationsregeln zur Verfügung stehen.

                                                        
FeldBeschreibung
AktiviertAktivieren Sie dieses Kontrollkästchen, um die Regel zu aktivieren.
Name*Name der Regel. Dies ist ein Pflichtfeld. 
BeschreibungEine Beschreibung der Regel, um knapp zu erläutern, welche Warnmeldungen kumuliert werden.
Bedingungen abstimmen*

Abfrageerstellung – Markieren Sie diese Option, wenn Sie eine Abfrage mit verschiedenen Bedingungen erstellen möchten, die gruppiert werden können. Auch verschachtelte Gruppen von Bedingungen sind möglich.

Bedingungen abstimmen - Sie können die folgenden Werte zum Abstimmen der Bedingungen auswählen:Alle diese, Beliebige von diesen oder Nichts davon. Abhängig von Ihrer Auswahl werden die in den Bedingungen und den Gruppen von Bedingungen angegebenen Kriterientypen abgestimmt, um die Warnmeldungen zu gruppieren.

Beispiel: Wenn Sie die Abstimmungsbedingung „Alle diese“ festlegen, werden die Warnmeldungen, die den in den Bedingungen und Gruppen von Bedingungen aufgeführten Kriterien entsprechen, in einem Incident gruppiert.

  • Klicken Sie zum Hinzufügen einer Abstimmungsbedingung auf Hinzufügen-Symbol Bedingung hinzufügen.
  • Klicken Sie zum Hinzufügen einer Gruppe von Bedingungen zunächst auf Hinzufügen-Symbol Gruppe hinzufügen und fügen Sie anschließend durch Klicken auf Hinzufügen-Symbol Bedingung hinzufügen Bedingungen hinzu.

Sie können mehrere Bedingungen und Gruppen von Bedingungen hinzufügen, die gemäß Kriteriensatz abgestimmt werden. Die eingehenden Warnmeldungen können Sie in Incidents gruppieren.

Erweitert – Markieren Sie diese Option, wenn Sie eine erweiterte Abfrageerstellung hinzufügen möchten. Sie können eine bestimmte Bedingung hinzufügen, die gemäß der ausgewählten Abstimmungsoption zutreffen muss.

Beispiel: Geben Sie das Kriterienerstellungsformat {"$und": [{"alert.severity": {"$gt": 4}}]} ein, um Warnmeldungen zu gruppieren, deren Schweregrad 4 übersteigt.

Informationen zur erweiterten Syntax erhalten Sie unterhttp://docs.mongodb.org/manual/reference/operator/query/ oder http://docs.mongodb.org/manual/reference/method/db.collection.find/

Aktion

In einen Incident eingruppieren – Wenn diese Option aktiviert ist, werden die Warnmeldungen, die den festgelegten Kriterien entsprechen, in einer Warnmeldung gruppiert.

Warnmeldung unterdrücken –Wenn diese Option aktiviert ist, werden die den Kriterien entsprechenden Warnmeldungen unterdrückt.

Gruppierungsoptionen*

Gruppieren nach: Hier finden Sie die verfügbaren Kriterien zur Gruppierung der Warnmeldungen ausgehend von der angegebenen Kategorie. Sie können Warnmeldungen anhand von maximal 2 Attributen gruppieren. Die Warnmeldungen können wahlweise anhand von 1 oder 2 Attributen gruppiert werden. Eine Gruppierung von Warnmeldungen anhand von Attributen ohne Wert (leere Attribute) ist nicht mehr möglich.
Die Gruppierung anhand eines Attributs hat zur Folge, dass alle übereinstimmenden Warnmeldungen, die denselben Wert für dieses Attribut aufweisen, gemeinsam im selben Incident gruppiert werden.

Zeitfenster: Der festgelegte Zeitbereich für die Gruppierung der Warnmeldungen.
Wenn Sie als Zeitfenster beispielsweise 1 Stunde angeben, werden alle Warnmeldungen in einem Incident gruppiert, die den im Feld „Gruppieren nach“ festgelegten Kriterien entsprechen und innerhalb einer Stunde aufeinanderfolgen.

Incident-Optionen

Titel: (Optional) Titel des Incident. Sie können Platzhalter auf Basis der gruppierten Attribute angeben. Die Platzhalter sind optional. Wenn Sie keine Platzhalter verwenden, erhalten alle durch die Regel erstellten Incidents denselben Titel.

Wenn Sie beispielsweise eine Gruppierung anhand der Quelle konfiguriert haben, können Sie den resultierenden Incident „Warnmeldungen für ${groupByValue1}“ nennen. Dann würden die Incidents aller Warnmeldungen von NetWitness Endpoint zukünftig den Namen Warnmeldungen für NetWitness Endpoint erhalten.

Zusammenfassung (optional) – Zusammenfassung des Incident.
Kategorie (optional) – Kategorie des erstellten Incident. Ein Incident kann unter Verwendung von mehr als einer Kategorie klassifiziert werden.
Zuweisungsempfänger (optional) – Name des Empfängers, dem der Incident zugewiesen wird.
Priorität

Durchschn. Risikobewertung für alle Warnmeldungen – Verwendet den Durchschnitt der Risikobewertungen von allen Warnmeldungen, um die Priorität des erstellten Incident festzulegen.

Höchste verfügbare Risikobewertung für alle Warnmeldungen – Verwendet die höchste verfügbare Risikobewertung von allen Warnmeldungen, um die Priorität des erstellten Incident festzulegen.

Anzahl der Warnmeldungen im Zeitfenster – Verwendet die Anzahl von Warnmeldungen in dem ausgewählten Zeitfenster, um die Priorität des erstellten Incident festzulegen.

„Kritisch“, „Hoch“, „Mittel“ oder „Niedrig“ – Hier können Sie den Prioritätsschwellenwert festlegen, dem die Incidents entsprechen sollen. Die Standardwerte sind:

  • Kritisch: 90
  • Hoch: 50
  • Mittel: 20
  • Low: 1

Beispiel: Wenn Sie für die Priorität „Kritisch“ den Wert „90“ festlegen, wird diese Regel Incidents mit einer Risikobewertung ab 90 die Priorität „Kritisch“ zuweisen.

Zum Ändern dieser Standardeinstellungen können Sie die Prioritäten manuell anpassen oder den Schieberegler unter Skala mit Schieberegler anpassen entsprechend versetzen.

You are here
Table of Contents > Konfiguration von NetWitness Respond – Referenz > Registerkarte „Neue Regel“

Attachments

    Outcomes