Die Auswertung von Alerts stellt eine der häufigsten Tasks dar, die von Visualizer-Benutzern ausgeführt wird, um zu entscheiden,
welche Alerts geprüft und welche an andere
Visualizer-Gruppen übertragen werden sollen.
Alerts werden im Fenster Alertzusammenfassung von
Visualizer angezeigt. Dieses Fenster stellt den Ausgangspunkt für die Auswertung, Zuordnung oder Übertragung und Überprüfung von Alerts dar.
Alerts sind in Alertzusammenfassungen gruppiert. Alertzusammenfassungen enthalten alle Alerts eines Alerttyps mit den folgenden gleichen Merkmalen: Beschreibung, Alertwertigkeit, Status, Auflösungsregel,
Beziehungsbewertung und Auflösungs(ähnlichkeits)bewertung. Eine Alertzusammenfassung enthält üblicherweise mehrere einzelne Alerts, von denen jeder geprüft und analysiert werden muss. Ein Teil der Prüfung umfasst die Zuordnung einer
Disposition zum Alert, damit Ihnen und anderen
Visualizer-Benutzern der Status der Analyse und Kommentare zu den Suchergebnissen angezeigt werden.
Beachten Sie, dass im Fenster
Alertzusammenfassung lediglich Folgendes angezeigt wird:
- Alertzusammenfassungen für Ihre Visualizer-Analytikergruppe, die nicht zugeordnete Alerts enthalten
- Alerts, die Sie bereits sich selbst zugeordnet haben
Ihnen werden keine Alerts angezeigt, die andere Analytiker in Ihrer Visualizer-Analytikergruppe sich selbst zugeordnet haben. Ferner werden Ihnen auch keine Alerts angezeigt, die anderen
Visualizer-Analytikergruppen zugeordnet sind.
Auswerten von Alertzusammenfassungen
Wie entscheiden Sie, welche Alerts Sie sich selbst für die Analyse zuordnen? Beginnen Sie mit der Prüfung der Alertzusammenfassungen im Fenster Alertzusammenfassung.
Vergleichen Sie den Stellenwert der Informationen, aus denen die Alertzusammenfassung besteht, mit Ihren Analysezielen.
Möglicherweise müssen Sie eine oder mehrere Alertangaben auswerten, bevor Sie eine Entscheidung treffen können.
Tipps zur Vergabe von Prioritäten für die Alertzusammenfassungen:- Alertwertigkeit: Beginnen Sie mit dem Sortieren der Alertzusammenfassungen nach Wertigkeit. Klicken Sie die Spaltenüberschrift Alertwertigkeit an. Diese Informationen sind möglicherweise ausreichend für die Entscheidung, welche Alerts am kritischsten oder wichtigsten sind und daher eine Analyse erfordern. Wenn Ihr Unternehmen beispielsweise
"C" für Alerts mit einer kritischen Wertigkeit verwendet, können Sie unverzüglich erkennen, welche Alerts kritisch sind, indem Sie ihre Wertigkeit prüfen.
- Alertbeschreibung: Die Wertigkeit allein ist jedoch möglicherweise nicht ausreichend. Die Alertbeschreibung kann Sie bei der Entscheidung unterstützen, welche Alerts in der Prioritätenliste eine höhere Priorität aufweisen, wenn mehrere
Alertzusammenfassungen mit derselben Alertwertigkeit vorliegen. Es ist möglicherweise wichtiger, Alerts zu analysieren, die nach der Beschreibung "Passagier in No-Fly-Liste enthalten" gruppiert sind, als Alerts mit der Beschreibung "Passagier kennt Arbeitnehmer".
- Ähnlichkeitsbewertung und Beziehungsbewertung: Je höher die Bewertungen, desto wahrscheinlicher ist es, dass eine relevante Beziehung vorhanden ist, oder dass die Identität die Entität ist. Wenn im Beispiel "Passagier in No-Fly-Liste enthalten" sowohl die Ähnlichkeits- als auch die Beziehungsbewertung 100 beträgt, ist die Person
auf der No-Fly-Liste mit dem Passagier identisch und Sie möchten möglicherweise sofort entsprechende Maßnahmen einleiten. Wenn die Ähnlichkeitsbewertung dagegen unter 70 und die Beziehungsbewertung unter 85 liegt, kann dieser Alert zwar noch wichtig sein, aber nicht mehr kritisch. Sie möchten möglicherweise weiterhin die am Alert beteiligten Entitäten analysieren, halten jedoch eine sofortige Maßnahme nicht für erforderlich.
Als Visualizer-Benutzer sind Sie mit den Zielen Ihres Unternehmens vertraut und können wahrscheinlich Ihre eigenen Faktoren hinzufügen, die bei der Vergabe von Prioritäten für Alerts verwendet werden sollen. Diese Tipps helfen Ihnen bei der Ausführung der ersten Schritte.
Zuordnen von Alerts
Wenn Sie auf Basis der Priorität entschieden haben, mit welchen Alerts Sie arbeiten möchten, können Sie diese Alerts sich selbst zuordnen. Durch das Zuordnen von Alerts kann Ihre Visualizer-Analytikergruppe die Liste der eingehenden Alerts
aufteilen und bearbeiten. Wenn Ihnen ein Alert zugeordnet ist, wird dieser nur in Ihrem Fenster Alertzusammenfassung angezeigt, wodurch verhindert wird, dass ein anderer Visualizer-Benutzer denselben Alert bearbeitet.
Sie können unverzüglich sehen, welche Alerts Sie zurzeit alleine prüfen.
Wenn in Ihrem Fenster Alertzusammenfassung mindestens ein Alert angezeigt wird, der Ihrer Meinung nach zu einer anderen
Visualizer-Analytikergruppe gehören könnte, können Sie den bzw. die betreffenden Alerts übertragen. Beispiel: Sie arbeiten als Sachbearbeiter für Buchungen und werten die durch neue oder geänderte Buchungen generierten Alerts aus. Es wird ein Alert aufgelistet, der vom Sicherheitsdienst bearbeitet wird. Sie können diesen Alert der Sicherheitsgruppe zuordnen, da er in ihren Zuständigkeitsbereich fällt.
Prüfung und Disposition von Alerts ausführen
Wenn Sie sich selbst mindestens einen Alert zuordnen,
können Sie mit dem Untersuchen und Analysieren dieser Alerts beginnen. Visualizer
vereinfacht die Task im Prüffenster, in dem alle relevanten zugeordneten Informationen zum Alert in nur einem Fenster angezeigt werden.
Im Prüffenster können Sie die folgenden Tasks im Rahmen Ihrer Analyse ausführen:
- Prüfen der Alertdetails
- Überprüfen der Entitätszusammenfassungen der zusammengehörigen Entitäten
- Anzeigen der zugeordneten Entitäts- oder Alertdiagramme, um die Gemeinsamkeiten der Entitäten oder Attribute anzuzeigen und zu untersuchen, die Teil des Alerts darstellen
- Hinzufügen von Kommentaren, die die Suchergebnisse Ihrer Analyse angeben
- Ändern des Status (bzw. der Statusdisposition) des Alerts während der Analyse