NW Cfg: Investigation-Konfigurationsbereich

Document created by RSA Information Design and Development on May 11, 2018
Version 1Show Document
  • View in full screen mode
 

In diesem Thema werden die Funktionen im Bereich „Investigation“ „Konfiguration“ der Ansicht „System“ vorgestellt. Über diese Benutzeroberfläche können Administratoren die systemweiten Einstellungen konfigurieren, die NetWitness Suite Investigation zur Analyse von Daten und Rekonstruktion von Ereignissen verwendet.

Über die Investigation-Konfigurationseinstellungen kann ein Administrator die Anwendungsperformance für Ermittlungen managen. Wenn Analysten bei der Ermittlung Sitzungen analysieren und wiederherstellen, kann die Performance durch Operationen wie das Laden, Suchen, Visualisieren und Wiederherstellen großer Datenmengen beeinträchtigt werden.

Hinweis: Analysten können auch individuelle Einstellungen für Investigation in der Profilansicht und in der Navigationsansicht festlegen. 

Workflow

Workflow Investigation-Konfiguration

Was möchten Sie tun?

                       
Rolle Ich möchte...Details anzeigen
AdministratorKonfigurieren der Einstellungen für Navigation, Ereignisse und KontextabfrageKonfigurieren von Ermittlungseinstellungen
AdministratorLöschen des Rekonstruktionscaches für ServicesKonfigurieren von Ermittlungseinstellungen

Verwandte Themen

Überblick

Der Bereich „Investigation-Konfiguration“ umfasst drei Registerkarten: „Navigieren“, „Ereignisse“ und „Kontextabfrage“.

Obwohl die meisten Felder auf den Registerkarten eine Auswahlliste mit spezifischen Inkrementen über eine Reihe möglicher Werte haben, können Sie einen Wert innerhalb des erlaubten Bereichs auch manuell eingeben. Ein ungültiger Eintrag wird angezeigt, indem das Feld rot markiert wird. Wenn gültige Werte ausgewählt werden, werden die Änderungen durch ein Klicken auf Anwenden in einem gegebenen Bereich sofort wirksam.

Registerkarte Navigieren

Die folgende Abbildung zeigt die Registerkarte Navigieren.
Registerkarte Navigieren im Bereich Investigation

             
1Der Bereich Investigation-Konfiguration wird angezeigt.
2Zeigt die Registerkarte Navigieren.

Symbolleiste und Funktionen

Die Registerkarte Navigieren hat zwei Abschnitte: Render-Threadeinstellung und Einstellungen zu Parallelkoordinaten.

Render-Threadeinstellung

Die Render-Threadeinstellung ist ein auswählbarer Wert zwischen 1 und 20, der die Anzahl gleichzeitiger Ladevorgänge (von Werten) in der Navigationsansicht definiert. Der Standardwert ist 1.

Render-Threadeinstellung in Registerkarte Navigieren

Einstellungen zu Parallelkoordinaten

Die Einstellungen zu Parallelkoordinaten gelten für die Parallelkoordinatenvisualisierung in der Navigationsansicht. Es gibt eine feste Höchstgrenze für die Datenmenge, die als Parallelkoordinatendiagramm gerendert werden kann. In NetWitness Suite kann der Administrator hier die Grenzwerte für Parallelkoordinaten konfigurieren.

Hinweis: Die empfohlenen Einstellungen für bessere Performance sind Scangrenzwert für Metawerte: 100.000 und Ergebnisgrenzwert für Metawerte: 1.000-10.000

Einstellungen zu Parallelkoordinaten in der Registerkarte Navigieren

In der folgenden Tabelle werden die Einstellungen zu Parallelkoordinaten beschrieben.

                     
ParameterBeschreibung
Scangrenzwert für MetawerteDie maximale Anzahl von Metawerten, die innerhalb des Ermittlungszeitraums gescannt werden, den der Analyst in der Navigationsansicht ausgewählt hat. Mögliche Werte liegen im Bereich zwischen 1.000 und 10.000.000. Der Standardwert lautet 100.000.
Ergebnisgrenzwert für MetawerteDie maximale Anzahl von Metawerten, die innerhalb des Ermittlungszeitraums zurückgegeben werden, den der Analyst in der Navigationsansicht ausgewählt hat. Mögliche Werte liegen im Bereich zwischen 100 und 1.000.000.000. Der Standardwert ist 10.000.

Überblick

Registerkarte „Ereignisse“

Die folgende Abbildung zeigt die Registerkarte Ereignisse.

Registerkarte Ereignisse“ im Bereich Investigation

Diesem Bereich zugeordnete Verfahren werden zur Verfügung gestellt in Standardverfahren.

             
1Der Bereich Investigation-Konfiguration wird angezeigt.
2Zeigt die Registerkarte „Ereignisse“ an.

Symbolleiste und Funktionen

Auf der Registerkarte Ereignisse können Einstellungen bezüglich der Ermittlung von Ereignissen konfiguriert werden. Diese Registerkarte ist in vier Abschnitte aufgeteilt: Sucheinstellungen für Ereignisse, Rekonstruktionseinstellungen, Einstellungen für Rekonstruktion der Webansicht und Rekonstruktionscacheeinstellungen.

Sucheinstellungen für Ereignisse

Mithilfe der Sucheinstellungen für Ereignisse kann die Anzahl der gescannten Ereignisse bei der Suche in der Ereignisansicht begrenzt werden.

Sucheinstellungen für Ereignisse in der Registerkarte Ereignisse

In der folgenden Tabelle werden die Sucheinstellungen für Ereignisse beschrieben.

                 
ParameterBeschreibung
Limit für gescannte EreignisseDie maximale Anzahl der gescannten Ereignisse bei der Suche in der Ereignisansicht.
Ereignisergebnis-GrenzwertDie maximale Anzahl der wiederzugebenden Ereignisse bei der Suche in der Ereignisansicht.

Rekonstruktionseinstellungen

Wenn Analysten Sitzungen rekonstruieren, die sie untersuchen, können einige Ereignisse sehr groß sein und viele Tausend Quellpakete enthalten. Das Rekonstruieren dieser Sitzungen, insbesondere in einer Mehr-Benutzer-Umgebung, kann die Anwendungsperformance beeinträchtigen. Die Rekonstruktionseinstellungen erlauben es einem Administrator, die Anzahl der Pakete und die Größe eines einzelnen Ereignisses während der Rekonstruktion zu begrenzen.

Hinweis: Der Abschnitt Rekonstruktionseinstellungen kann für Webansichten außer Kraft gesetzt werden (unter Einstellungen für Rekonstruktion der Webansicht).

Rekonstruktionseinstellungen der in der Registerkarte Investigation

In der folgenden Tabelle werden die Funktionen der Rekonstruktionseinstellungen beschrieben.

                         
ParameterBeschreibung
Maximale Anzahl von Paketen pro EreignisDiese Einstellung schützt die Performance, indem die Anzahl der Pakete begrenzt wird, die für eine einzige Ereignisrekonstruktion verarbeitet werden.

Mögliche Werte liegen im Bereich zwischen 100 und 10.000 Paketen. Sie können manuell eingegeben oder in Schritten von 100 aus der Auswahlliste ausgewählt werden. Der Standardwert ist 100 Pakete.
Maximale Größe pro Ereignis (in Byte)Diese Einstellung schützt die Performance, indem die maximale Größe (in Byte) einer einzigen Ereignisrekonstruktion begrenzt wird.
Mögliche Werte liegen im Bereich zwischen 102.400 und 104.857.600 Byte. Sie können manuell eingegeben oder in Schritten von 10.240 aus der Auswahlliste ausgewählt werden. Der Standardwert ist 2.097.152 Byte.

Außerkraftsetzung von vollständiger Paketrekonstruktion zulassen

Wenn dieses Kontrollkästchen aktiviert ist, steht dem Analysten im Bereich Ereignisrekonstruktion die der Schaltfläche „Mehr Pakete verwenden“ zur Verfügung. Dadurch kann der NW-Server Ereignisse mithilfe der im Ereignis verfügbaren Pakete neu erstellen.

Analysieren des HTML-Zeichensatzes für Webseiten zulassenMit dieser Option kann NetWitness-Server die Webseite-Codierung im HTML-Metatag anstelle der HTTP-Kopfzeile identifizieren. Die Einstellung ist standardmäßig deaktiviert.

Einstellungen für Rekonstruktion der Webansicht

Mithilfe der Einstellungen für Rekonstruktion der Webansicht kann ein Administrator Einstellungen konfigurieren, die die Rekonstruktion einer Webansicht verbessern, indem verbundene Ereignisse gescannt und rekonstruiert werden, die dieselben Begleitdateien enthalten. Wenn NetWitness Suite eine Webansicht rekonstruiert, die mehrere Ereignisse umfasst, kann die Rekonstruktion des Zielereignisses verbessert werden, indem verbundene Ereignisse gescannt und rekonstruiert werden, die dieselben Begleitdateien enthalten, wie etwa Bilder und CSS-Dateien (Cascading Style Sheet).

  • Die einzigen gescannten verbundenen Ereignisse sind Ereignisse vom Servicetyp HTTP, mit derselben Quelladresse wie das Zielereignis und einem Zeitstempel innerhalb eines spezifizierten Zeitbereichs vor und nach dem Zielereignis.
  • Die maximale Anzahl zu scannender verbundener Ereignisse ist konfigurierbar.

Durch Klicken auf die Option Erweiterte Einstellungen werden alle konfigurierbaren Einstellungen in diesem Abschnitt angezeigt.

Einstellungen für Rekonstruktion der Webansicht in der Registerkarte Ereignisse

In der folgenden Tabelle werden die Einstellungen für Rekonstruktion der Webansicht beschrieben.

                                     
ParameterBeschreibung
Begleitdateien für Webansicht zulassenDiese Option legt fest, wie Webansichten, die verbundene Daten in anderen Sitzungen haben, rekonstruiert werden. Die Standardeinstellung ist „Aktiviert“.

Wenn sie aktiviert ist, können Begleitdateien von verbundenen Ereignissen bei der Rekonstruktion von Webansichten verwendet werden. Zusätzliche Einstellungen zur Kalibrierung der Performance werden in diesem Abschnitt aktiviert und Analysten haben die Option, die Verwendung von CSS in Rekonstruktionen zu aktivieren.

Wenn sie deaktiviert ist, werden Begleitdateien von verbundenen Ereignissen nicht verwendet und die Einstellung, dass Analysten die Verwendung von CSS in Rekonstruktionen aktivieren können, ist deaktiviert.
Zeitbereich für das Scannen von verbundenen EreignissenVerfügbar, wenn Begleitdateien für Webansicht zulassen aktiviert ist. Konfiguriert den Zeitbereich, innerhalb dessen NetWitness Suite verbundene Ereignisse scannt, die den Servicetyp „HTTP“ und dieselbe Quelladresse wie das Zielereignis aufweisen. Dies ist ein Dezimalwert zwischen 0 und 60.
  • Sekunden vor Zielereignis
  • Sekunden nach Zielereignis
Begrenzen der Anzahl verarbeiteter verbundener EreignisseErmöglicht die Konfiguration der maximalen Anzahl verbundener Ereignisse, die NetWitness Suite innerhalb des angegebenen Zeitbereichs scannt, um Begleitdateien für das Zielereignis zu erkennen. Standardmäßig ist dies deaktiviert.  Wenn es aktiviert ist, wird das Feld Maximale Anzahl verbundener Ereignisse aktiv.
Maximale Anzahl verbundener EreignisseWenn Begrenzen der Anzahl verarbeiteter Ereignisse aktiviert ist, gibt dieses Feld die maximale Anzahl verbundener Ereignisse an, die NetWitness Suite innerhalb des angegebenen Zeitbereichs scannt, um Begleitdateien für das Zielereignis zu erkennen.

Dies ist ein auswählbarer Wert zwischen 10 und 1.000, der in Schritten von 100 erhöht werden kann. Der Standardwert ist 100.
Begrenzen der Anzahl der Pakete und der Größe der einzelnen verbundenen Ereignisse
 
Setzt die allgemeinen Einstellungen für die maximale Anzahl der Pakete und die maximale Größe (in Byte) für einzelne verbundene Ereignisse außer Kraft.
Maximale Anzahl von Paketen pro EreignisMögliche Werte liegen im Bereich zwischen 100 und 10.000 Paketen. Sie können in Schritten von 100 aus der Auswahlliste ausgewählt werden. Der Standardwert ist 100 Pakete.
Maximale Größe pro Ereignis (in Byte)Mögliche Werte liegen im Bereich zwischen 102.400 und 104.857.600 Paketen. Sie können in Schritten von 10.240 aus der Auswahlliste ausgewählt werden. Der Standardwert ist 524.288 Byte.

Rekonstruktionscacheeinstellungen

In einigen Fällen kann der Rekonstruktionscache falsche Inhalte darstellen. Aus diesem Grund löscht NetWitness Suite Rekonstruktionen, deren Daten älter als einen Tag sind, aus dem Cache.  Der Cache wird täglich um Mitternacht geleert. Zwischen den täglichen Cachebereinigungen können bestimmte Aktionen dazu führen, dass ein nicht mehr gültiger Cache für die Rekonstruktion verwendet wird. Bei Bedarf können Administratoren für einen oder mehrere Services, die mit dem aktuellen NetWitness-Server verbunden sind, den Cache manuell leeren.

Rekonstruktionscacheeinstellungen in der Registerkarte Ereignisse

In der folgenden Tabelle werden die Funktionen der Rekonstruktionscacheeinstellungen beschrieben.

                       
FunktionBeschreibung
AuswahlfeldAuswahlfeld in einzelnen Zeilen und in der Titelleiste erlauben die Auswahl von einem oder mehreren oder allen Services, für die der Cache manuell geleert werden muss.
Cache für ausgewählte Services leerenLeert den Rekonstruktionscache für jeden ausgewählten Service.
Cache für alle Services leerenLeert den Rekonstruktionscache für alle Services.

Überblick

Registerkarte „Kontextabfrage“

In der folgenden Abbildung ist die Registerkarte „Kontextabfrage“ dargestellt.

Registerkarte Kontextabfrage im Bereich Investigation

Die Verfahren zu diesem Bereich finden Sie unter Managen der Metatyp- und Metaschlüsselzuordnung im Context Hub-Konfigurationsleitfaden.

             
1Der Bereich Investigation-Konfiguration wird angezeigt.
2Zeigt die Registerkarte Kontextabfrage.

Symbolleiste und Funktionen

In der Registerkarte „Kontextabfrage“ kann der Administrator die Zuordnung der Investigation-Metaschlüssel und des Investigation-Metadatentyps konfigurieren. Der Administrator kann Investigation-Metaschlüssel zur Liste der von Context Hub unterstützten Metadatentypen hinzufügen oder entfernen.

In der folgenden Tabelle sind die Funktionen der Registerkarte „Kontextabfrage“ beschrieben.

                   
FunktionBeschreibung
Fügt einen Metaschlüssel zum ausgewählten Metadatentyp hinzu, der vom Context Hub-Service unterstützt wird.
Löscht den Metaschlüssel aus dem ausgewählten Metadatentyp.
AnwendenSpeichert die an der Registerkarte „Kontextabfrage“ vorgenommenen Änderungen.
You are here
Table of Contents > Referenzen > Investigation-Konfigurationsbereich

Attachments

    Outcomes