Korrelations- Dashboards
Die Korrelations-Dashboards zeigen Korrelationen zwischen Ereignissen und aufgezeichneten zukünftigen Risikolisten an. Die Risikoliste, die für die Korrelation verwendet wird, hängt davon ab, welche Art von Korrelationsdashboard ausgewählt wird. Standardmäßig werden nur die Ereignisse der letzten 24 Stunden verwendet.
Die Korrelationsdashboards müssen konfiguriert werden, um sicherzustellen, dass die verwendeten Ereignisse den richtigen Entitätstyp enthalten, z. B. dass die Risikoliste der IP-Adresse mit Ereignissen abgeglichen wird, die IP-Adressen enthalten.
Die Korrelationsdashboards enthalten vier Elemente:
- Zusammenfassung zeigt die Anzahl der Entitäten an, die mit einem oder mehreren Ereignissen übereinstimmen.
- "Top Rule Hits" zeigt die Regeln, die von diesen Entitäten ausgelöst werden.
- "Top Counts" zeigt die Entitäten mit der Anzahl der Ereignisse an, mit denen sie abgeglichen wurden.
- "Hohes Risiko" enthält übereinstimmende Entitäten mit den Risikoinformationen.
Dashboard-Abschnitte
Zusammenfassung
Zusammenfassung zeigt die Anzahl der Ereignisse an, für die eine Übereinstimmung in der Risikoliste gefunden wurde.
Top-Regel-Treffer
Der Abschnitt "Top-Regeltreffer" enthält eine Liste aller aufgezeichneten zukünftigen Regeln, die von den übereinstimmenden Entitäten ausgelöst wurden, und ist nach der Anzahl der Entitäten sortiert, die die Regel ausgelöst haben.
Top-Zählungen
Im Abschnitt "Höchste Anzahl" werden alle Entitäten aufgelistet, die mit den Ereignissen abgeglichen wurden, und die Liste ist nach der Anzahl der Ereignisse sortiert, mit denen die Entität abgeglichen wurde. Klicken Sie auf eine Entität, um das entsprechende Anreicherungs-Dashboard in einem neuen Fenster aufzurufen.
Hohes Risiko
Dies ist eine Tabelle, in der die übereinstimmenden Entitäten in absteigender Risikoreihenfolge aufgeführt sind. Die Spalte "Risiko" ist entsprechend der Risikobewertung geordnet und farbcodiert.
| Feld | Beschreibung |
|---|---|
| Risiko | Der Risiko-Score, der der Entität von Recorded Future zugewiesen wurde |
| Entität | Die übereinstimmende Entität |
| Zählen | Die Anzahl der Ereignisse, die der Entität zugeordnet sind |
| Regeln | Die Anzahl der Recorded Future-Regeln, die für die Entität ausgelöst wurden, aus der Gesamtzahl der Regeln, die von Recorded Future für diesen Entitätstyp eingerichtet wurden. |
| Beweis | Jede der ausgelösten Regeln wird in absteigender Kritikalität aufgelistet. Die Kritikalität wird durch einen farblich gekennzeichneten Punkt am Anfang der Zeile signalisiert. Die Regel ist fett gedruckt, gefolgt von den Details in normalem Text. |
Weitere Informationen erhalten Sie über zwei Drill-Down-Optionen:
- Klicken Sie auf die Entität, z. B. die IP-Adresse oder die Domäne, um ein neues Suchfenster zu öffnen, in dem nach Ereignissen gesucht wird, die die Entität betreffen.
- Klicken Sie auf einen anderen Teil der Zeile, um das Anreicherungs-Dashboard für die Entität zu öffnen.
Konfiguration
Informationen zum Konfigurieren der Korrelationsdashboards finden Sie unter Hilfe → Anpassen und Optimieren → Adapt-Dashboards.
Weitere Hilfe
Die "Recorded Future App for Splunk Enterprise" wurde von Recorded Future entwickelt.
Weitere Informationen und Support finden Sie auf unserer Support-Website: support.recordedfuture.com