NW Cfg: Investigation-Konfigurationsbereich

Document created by RSA Information Design and Development on May 11, 2018

Version 1Show Document

Like • Show 0 Likes0
Comment • 0
View in full screen mode

In diesem Thema werden die Funktionen im Bereich „Investigation“ „Konfiguration“ der Ansicht „System“ vorgestellt. Über diese Benutzeroberfläche können Administratoren die systemweiten Einstellungen konfigurieren, die NetWitness Suite Investigation zur Analyse von Daten und Rekonstruktion von Ereignissen verwendet.

Über die Investigation-Konfigurationseinstellungen kann ein Administrator die Anwendungsperformance für Ermittlungen managen. Wenn Analysten bei der Ermittlung Sitzungen analysieren und wiederherstellen, kann die Performance durch Operationen wie das Laden, Suchen, Visualisieren und Wiederherstellen großer Datenmengen beeinträchtigt werden.

Hinweis: Analysten können auch individuelle Einstellungen für Investigation in der Profilansicht und in der Navigationsansicht festlegen.

Workflow

Was möchten Sie tun?

Rolle	Ich möchte...	Details anzeigen
Administrator	Konfigurieren der Einstellungen für Navigation, Ereignisse und Kontextabfrage	Konfigurieren von Ermittlungseinstellungen
Administrator	Löschen des Rekonstruktionscaches für Services	Konfigurieren von Ermittlungseinstellungen

Verwandte Themen

Standardverfahren

Überblick

Der Bereich „Investigation-Konfiguration“ umfasst drei Registerkarten: „Navigieren“, „Ereignisse“ und „Kontextabfrage“.

Obwohl die meisten Felder auf den Registerkarten eine Auswahlliste mit spezifischen Inkrementen über eine Reihe möglicher Werte haben, können Sie einen Wert innerhalb des erlaubten Bereichs auch manuell eingeben. Ein ungültiger Eintrag wird angezeigt, indem das Feld rot markiert wird. Wenn gültige Werte ausgewählt werden, werden die Änderungen durch ein Klicken auf Anwenden in einem gegebenen Bereich sofort wirksam.

Registerkarte Navigieren

Die folgende Abbildung zeigt die Registerkarte Navigieren.

1	Der Bereich Investigation-Konfiguration wird angezeigt.
2	Zeigt die Registerkarte Navigieren.

Symbolleiste und Funktionen

Die Registerkarte Navigieren hat zwei Abschnitte: Render-Threadeinstellung und Einstellungen zu Parallelkoordinaten.

Render-Threadeinstellung

Die Render-Threadeinstellung ist ein auswählbarer Wert zwischen 1 und 20, der die Anzahl gleichzeitiger Ladevorgänge (von Werten) in der Navigationsansicht definiert. Der Standardwert ist 1.

Einstellungen zu Parallelkoordinaten

Die Einstellungen zu Parallelkoordinaten gelten für die Parallelkoordinatenvisualisierung in der Navigationsansicht. Es gibt eine feste Höchstgrenze für die Datenmenge, die als Parallelkoordinatendiagramm gerendert werden kann. In NetWitness Suite kann der Administrator hier die Grenzwerte für Parallelkoordinaten konfigurieren.

Hinweis: Die empfohlenen Einstellungen für bessere Performance sind Scangrenzwert für Metawerte: 100.000 und Ergebnisgrenzwert für Metawerte: 1.000-10.000.

In der folgenden Tabelle werden die Einstellungen zu Parallelkoordinaten beschrieben.

Parameter	Beschreibung
Scangrenzwert für Metawerte	Die maximale Anzahl von Metawerten, die innerhalb des Ermittlungszeitraums gescannt werden, den der Analyst in der Navigationsansicht ausgewählt hat. Mögliche Werte liegen im Bereich zwischen 1.000 und 10.000.000. Der Standardwert lautet 100.000.
Ergebnisgrenzwert für Metawerte	Die maximale Anzahl von Metawerten, die innerhalb des Ermittlungszeitraums zurückgegeben werden, den der Analyst in der Navigationsansicht ausgewählt hat. Mögliche Werte liegen im Bereich zwischen 100 und 1.000.000.000. Der Standardwert ist 10.000.

Überblick

Registerkarte „Ereignisse“

Die folgende Abbildung zeigt die Registerkarte Ereignisse.

Diesem Bereich zugeordnete Verfahren werden zur Verfügung gestellt in Standardverfahren.

1	Der Bereich Investigation-Konfiguration wird angezeigt.
2	Zeigt die Registerkarte „Ereignisse“ an.

Symbolleiste und Funktionen

Auf der Registerkarte Ereignisse können Einstellungen bezüglich der Ermittlung von Ereignissen konfiguriert werden. Diese Registerkarte ist in vier Abschnitte aufgeteilt: Sucheinstellungen für Ereignisse, Rekonstruktionseinstellungen, Einstellungen für Rekonstruktion der Webansicht und Rekonstruktionscacheeinstellungen.

Sucheinstellungen für Ereignisse

Mithilfe der Sucheinstellungen für Ereignisse kann die Anzahl der gescannten Ereignisse bei der Suche in der Ereignisansicht begrenzt werden.

In der folgenden Tabelle werden die Sucheinstellungen für Ereignisse beschrieben.

Parameter	Beschreibung
Limit für gescannte Ereignisse	Die maximale Anzahl der gescannten Ereignisse bei der Suche in der Ereignisansicht.
Ereignisergebnis-Grenzwert	Die maximale Anzahl der wiederzugebenden Ereignisse bei der Suche in der Ereignisansicht.

Rekonstruktionseinstellungen

Wenn Analysten Sitzungen rekonstruieren, die sie untersuchen, können einige Ereignisse sehr groß sein und viele Tausend Quellpakete enthalten. Das Rekonstruieren dieser Sitzungen, insbesondere in einer Mehr-Benutzer-Umgebung, kann die Anwendungsperformance beeinträchtigen. Die Rekonstruktionseinstellungen erlauben es einem Administrator, die Anzahl der Pakete und die Größe eines einzelnen Ereignisses während der Rekonstruktion zu begrenzen.

Hinweis: Der Abschnitt Rekonstruktionseinstellungen kann für Webansichten außer Kraft gesetzt werden (unter Einstellungen für Rekonstruktion der Webansicht).

In der folgenden Tabelle werden die Funktionen der Rekonstruktionseinstellungen beschrieben.

Parameter	Beschreibung
Maximale Anzahl von Paketen pro Ereignis	Diese Einstellung schützt die Performance, indem die Anzahl der Pakete begrenzt wird, die für eine einzige Ereignisrekonstruktion verarbeitet werden. Mögliche Werte liegen im Bereich zwischen 100 und 10.000 Paketen. Sie können manuell eingegeben oder in Schritten von 100 aus der Auswahlliste ausgewählt werden. Der Standardwert ist 100 Pakete.
Maximale Größe pro Ereignis (in Byte)	Diese Einstellung schützt die Performance, indem die maximale Größe (in Byte) einer einzigen Ereignisrekonstruktion begrenzt wird. Mögliche Werte liegen im Bereich zwischen 102.400 und 104.857.600 Byte. Sie können manuell eingegeben oder in Schritten von 10.240 aus der Auswahlliste ausgewählt werden. Der Standardwert ist 2.097.152 Byte.
Außerkraftsetzung von vollständiger Paketrekonstruktion zulassen	Wenn dieses Kontrollkästchen aktiviert ist, steht dem Analysten im Bereich Ereignisrekonstruktion die der Schaltfläche „Mehr Pakete verwenden“ zur Verfügung. Dadurch kann der NW-Server Ereignisse mithilfe der im Ereignis verfügbaren Pakete neu erstellen.
Analysieren des HTML-Zeichensatzes für Webseiten zulassen	Mit dieser Option kann NetWitness-Server die Webseite-Codierung im HTML-Metatag anstelle der HTTP-Kopfzeile identifizieren. Die Einstellung ist standardmäßig deaktiviert.

Einstellungen für Rekonstruktion der Webansicht

Mithilfe der Einstellungen für Rekonstruktion der Webansicht kann ein Administrator Einstellungen konfigurieren, die die Rekonstruktion einer Webansicht verbessern, indem verbundene Ereignisse gescannt und rekonstruiert werden, die dieselben Begleitdateien enthalten. Wenn NetWitness Suite eine Webansicht rekonstruiert, die mehrere Ereignisse umfasst, kann die Rekonstruktion des Zielereignisses verbessert werden, indem verbundene Ereignisse gescannt und rekonstruiert werden, die dieselben Begleitdateien enthalten, wie etwa Bilder und CSS-Dateien (Cascading Style Sheet).

Die einzigen gescannten verbundenen Ereignisse sind Ereignisse vom Servicetyp HTTP, mit derselben Quelladresse wie das Zielereignis und einem Zeitstempel innerhalb eines spezifizierten Zeitbereichs vor und nach dem Zielereignis.
Die maximale Anzahl zu scannender verbundener Ereignisse ist konfigurierbar.

Durch Klicken auf die Option Erweiterte Einstellungen werden alle konfigurierbaren Einstellungen in diesem Abschnitt angezeigt.

In der folgenden Tabelle werden die Einstellungen für Rekonstruktion der Webansicht beschrieben.

Parameter	Beschreibung
Begleitdateien für Webansicht zulassen	Diese Option legt fest, wie Webansichten, die verbundene Daten in anderen Sitzungen haben, rekonstruiert werden. Die Standardeinstellung ist „Aktiviert“. Wenn sie aktiviert ist, können Begleitdateien von verbundenen Ereignissen bei der Rekonstruktion von Webansichten verwendet werden. Zusätzliche Einstellungen zur Kalibrierung der Performance werden in diesem Abschnitt aktiviert und Analysten haben die Option, die Verwendung von CSS in Rekonstruktionen zu aktivieren. Wenn sie deaktiviert ist, werden Begleitdateien von verbundenen Ereignissen nicht verwendet und die Einstellung, dass Analysten die Verwendung von CSS in Rekonstruktionen aktivieren können, ist deaktiviert.
Zeitbereich für das Scannen von verbundenen Ereignissen	Verfügbar, wenn Begleitdateien für Webansicht zulassen aktiviert ist. Konfiguriert den Zeitbereich, innerhalb dessen NetWitness Suite verbundene Ereignisse scannt, die den Servicetyp „HTTP“ und dieselbe Quelladresse wie das Zielereignis aufweisen. Dies ist ein Dezimalwert zwischen 0 und 60. Sekunden vor Zielereignis Sekunden nach Zielereignis
Begrenzen der Anzahl verarbeiteter verbundener Ereignisse	Ermöglicht die Konfiguration der maximalen Anzahl verbundener Ereignisse, die NetWitness Suite innerhalb des angegebenen Zeitbereichs scannt, um Begleitdateien für das Zielereignis zu erkennen. Standardmäßig ist dies deaktiviert. Wenn es aktiviert ist, wird das Feld Maximale Anzahl verbundener Ereignisse aktiv.
Maximale Anzahl verbundener Ereignisse	Wenn Begrenzen der Anzahl verarbeiteter Ereignisse aktiviert ist, gibt dieses Feld die maximale Anzahl verbundener Ereignisse an, die NetWitness Suite innerhalb des angegebenen Zeitbereichs scannt, um Begleitdateien für das Zielereignis zu erkennen. Dies ist ein auswählbarer Wert zwischen 10 und 1.000, der in Schritten von 100 erhöht werden kann. Der Standardwert ist 100.
Begrenzen der Anzahl der Pakete und der Größe der einzelnen verbundenen Ereignisse	Setzt die allgemeinen Einstellungen für die maximale Anzahl der Pakete und die maximale Größe (in Byte) für einzelne verbundene Ereignisse außer Kraft.
Maximale Anzahl von Paketen pro Ereignis	Mögliche Werte liegen im Bereich zwischen 100 und 10.000 Paketen. Sie können in Schritten von 100 aus der Auswahlliste ausgewählt werden. Der Standardwert ist 100 Pakete.
Maximale Größe pro Ereignis (in Byte)	Mögliche Werte liegen im Bereich zwischen 102.400 und 104.857.600 Paketen. Sie können in Schritten von 10.240 aus der Auswahlliste ausgewählt werden. Der Standardwert ist 524.288 Byte.

Rekonstruktionscacheeinstellungen

In einigen Fällen kann der Rekonstruktionscache falsche Inhalte darstellen. Aus diesem Grund löscht NetWitness Suite Rekonstruktionen, deren Daten älter als einen Tag sind, aus dem Cache. Der Cache wird täglich um Mitternacht geleert. Zwischen den täglichen Cachebereinigungen können bestimmte Aktionen dazu führen, dass ein nicht mehr gültiger Cache für die Rekonstruktion verwendet wird. Bei Bedarf können Administratoren für einen oder mehrere Services, die mit dem aktuellen NetWitness-Server verbunden sind, den Cache manuell leeren.

In der folgenden Tabelle werden die Funktionen der Rekonstruktionscacheeinstellungen beschrieben.

Funktion	Beschreibung
Auswahlfeld	Auswahlfeld in einzelnen Zeilen und in der Titelleiste erlauben die Auswahl von einem oder mehreren oder allen Services, für die der Cache manuell geleert werden muss.
Cache für ausgewählte Services leeren	Leert den Rekonstruktionscache für jeden ausgewählten Service.
Cache für alle Services leeren	Leert den Rekonstruktionscache für alle Services.

Überblick

Registerkarte „Kontextabfrage“

In der folgenden Abbildung ist die Registerkarte „Kontextabfrage“ dargestellt.

Die Verfahren zu diesem Bereich finden Sie unter Managen der Metatyp- und Metaschlüsselzuordnung im Context Hub-Konfigurationsleitfaden.

1	Der Bereich Investigation-Konfiguration wird angezeigt.
2	Zeigt die Registerkarte Kontextabfrage.

Symbolleiste und Funktionen

In der Registerkarte „Kontextabfrage“ kann der Administrator die Zuordnung der Investigation-Metaschlüssel und des Investigation-Metadatentyps konfigurieren. Der Administrator kann Investigation-Metaschlüssel zur Liste der von Context Hub unterstützten Metadatentypen hinzufügen oder entfernen.

In der folgenden Tabelle sind die Funktionen der Registerkarte „Kontextabfrage“ beschrieben.

Funktion	Beschreibung
	Fügt einen Metaschlüssel zum ausgewählten Metadatentyp hinzu, der vom Context Hub-Service unterstützt wird.
	Löscht den Metaschlüssel aus dem ausgewählten Metadatentyp.
Anwenden	Speichert die an der Registerkarte „Kontextabfrage“ vorgenommenen Änderungen.

Previous Topic:Bereich „Einstellungen für ESA“

Next Topic:Bereich „Konfiguration der Live-Services“

You are here

Table of Contents > Referenzen > Investigation-Konfigurationsbereich

NW Cfg: Investigation-Konfigurationsbereich

Attachments

Outcomes

Related Content

Recommended Content

Incoming Links