NW Cfg: Konfigurieren von Ermittlungseinstellungen

Document created by RSA Information Design and Development on May 11, 2018
Version 1Show Document
  • View in full screen mode
 

Dieses Thema enthält Anweisungen für Administratoren, die die Einstellungen konfigurieren, die für alle Ermittlungen auf der konfigurierten NetWitness Suite-Instanz gelten. Die Einstellungen zum Konfigurieren und Optimieren des Verhaltens von NetWitness Suite Investigation werden in der Ansicht „System“ > Bereich „Investigation“ angezeigt. Diese Einstellungen gelten für alle Ermittlungen und Rekonstruktionen auf der aktuellen Instanz von NetWitness Suite.

Konfigurieren der Einstellungen für Navigation, Ereignisse und Kontextabfrage

  1. Navigieren Sie zu ADMIN > System.
  2. Wählen Sie im Bereich Optionen die Option Investigation
    aus. Der Bereich „Investigation-Konfiguration“ wird angezeigt.
  3. Wählen Sie auf der Registerkarte Navigieren im Feld Render-Threadeinstellung die maximale Anzahl von gleichzeitigen Metaschlüsselwerten aus, die von einem Benutzer in der Navigationsansicht geladen werden. Klicken Sie auf Anwenden.
  4. Legen Sie auf der Registerkarte Navigieren im Abschnitt Einstellungen zu Parallelkoordinaten die maximalen Grenzwerte für gescannte Metawerte und Metawertergebnisse fest, die in einer Parallelkoordinatenvisualisierung enthalten sein können. Für eine bessere Performance werden folgende Einstellungen empfohlen: Scangrenzwert für Metawerte: 100.000 und Ergebnisgrenzwert für Metawerte: 1.000 bis 10.000
    Klicken Sie auf Anwenden.
  5. Legen Sie auf der Registerkarte Ereignisse im Abschnitt Sucheinstellungen für Ereignisse die maximale Anzahl von gescannten Ereignissen und Ereignisergebnissen fest, die in der Ereignisansicht angezeigt werden, wenn ein Analyst eine Ereignissuche durchführt. Klicken Sie auf Anwenden.
  6. Legen Sie auf der Registerkarte Ereignisse im Abschnitt Rekonstruktionseinstellungen die Grenzwerte für die Menge der in der Rekonstruktion eines einzelnen Ereignisses verarbeiteten Daten fest. Die Standardwerte sind maximal 100 Pakete und 2.097.152 Byte. Wenn Analysten bei der Rekonstruktion von Sitzungen in Investigation eine langsame Performance feststellen, müssen die Rekonstruktionseinstellungen möglicherweise angepasst werden. Klicken Sie auf Anwenden.

Achtung: Das Einstellen eines höheren Werts beeinträchtigt durch die längere Dauer und den erhöhten Arbeitsspeicherverbrauch zur Rekonstruktion eines Ereignisses die Performance des NetWitness-Server. Das Einstellen des Werts auf Null deaktiviert jede Begrenzung und kann möglicherweise zu einem Ausfall von NetWitness-Server führen.

  1. (Optional) Aktivieren Sie auf der Registerkarte Ereignisse im Abschnitt Einstellungen für Rekonstruktion der Webansicht die Verwendung von Begleitdateien in einer Rekonstruktion der Webansicht und konfigurieren Sie die zusätzlichen Einstellungen zum Kalibrieren der Webansichtsrekonstruktionen. Hierzu gehört der Zeitraum (in Sekunden), in dem verknüpfte Ereignisse gescannt werden, die maximale Anzahl von zu scannenden verknüpften Ereignissen und Außerkraftsetzen der Rekonstruktionseinstellungen, die für Webansichtsrekonstruktionen verwendet werden. Klicken Sie auf Anwenden.
  2. Verwalten Sie auf der Registerkarte Kontextabfrage die Zuordnung der Context Hub-Metadatentypen mit Metaschlüsseln in Investigation. Sie können Metaschlüssel zur Liste der in Investigation von Context Hub unterstützten Metadatentypen hinzufügen oder entfernen. Verfahren im Zusammenhang mit dieser Registerkarte finden Sie unter „Managen der Metadatentyp- und Metaschlüsselzuordnung“ im Leitfaden Investigation und Malware Analysis.

Löschen des Rekonstruktionscaches für Services

Unter Rekonstruktionscacheeinstellungen können Administratoren den Cache für einen oder mehrere Services löschen. Der Administrator kann z. B. den Cache für einen einzigen Broker, einen Broker und Decoder oder für alle verbundenen Services löschen. Im Folgenden finden Sie Beispiele dafür, warum in einer Rekonstruktion ein veralteter Cache verwendet wird.

  • Die Sitzungen von Downstreamservices können ungültig gemacht worden sein oder die Daten von Downstreamservices wurden zurückgesetzt. Beispiel: Wenn Investigation einen Broker durchsucht und bei einem Downstream-Concentrator oder -Decoder die Daten zurückgesetzt wurden, stimmen die Meta- und Sitzungsdaten für den ermittelnden Service (Broker) nicht mit dem Inhalt überein, wenn der Downstreamservice zurückgesetzt und neu aufgefüllt wurde. Die Rekonstruktion in Investigation zeigt Inhalt aus dem Cache an, der nicht mit dem tatsächlichen Inhalt übereinstimmt. Sogar wenn der Decoder offline ist, wird der Inhalt weiterhin in der Broker-Rekonstruktion angezeigt. Das Löschen des Caches auf dem Broker führt zu einem Zugriffsversuch von NetWitness Suite auf den Decoder. Da der Decoder offline ist, wird ein Fehler zurückgegeben.
  • Der Cache kann auch veraltet sein, wenn eine Service-ID für einen Downstreamservice geändert wird. Dies kann vorkommen, wenn Sie Services aus NetWitness Suite exportieren oder Services importieren, löschen oder hinzufügen, da NetWitness Suite Service-IDs wiederverwenden kann. In dieser Situation führt das Löschen des Caches auf dem Broker dazu, dass NetWitness Suite Daten von den Services anfordert.

Führen Sie einen der folgenden Schritte aus, um den Rekonstruktionscache zu leeren:

  1. Um den Cache für einen oder mehrere Services zu leeren, wählen Sie die Services aus und klicken Sie auf Cache für ausgewählte Services leeren.
  2. Klicken Sie zum Leeren des Caches für alle aufgeführten Services auf Cache für alle Services leeren
    . Der Rekonstruktionscache für die ausgewählten Services wird gelöscht. NetWitness Suite sendet eine Datenanforderung an die Services.
You are here
Table of Contents > Standardverfahren > Konfigurieren von Ermittlungseinstellungen

Attachments

    Outcomes