Reagieren: Bereich „Kontextabfrage“

Document created by RSA Information Design and Development on May 11, 2018Last modified by RSA Information Design and Development on Oct 19, 2018
Version 3Show Document
  • View in full screen mode
 

Der Context-Hub-Service konsolidiert kontextbezogene Informationen aus verschiedenen Datenquellen in der Ansicht „Reagieren“, damit Analysten während ihrer Untersuchungen bessere Entscheidungen treffen und die richtigen Maßnahmen ergreifen können. Der zentrale Überblick über die Entitäten, Metawerte und kontextbezogenen Informationen hilft Analysten, Schwerpunktbereiche zu ermitteln und zu priorisieren. Beispielsweise werden kürzlich erzeugte Incidents und Warnmeldungen aus der Ansicht „Reagieren“, in die eine bestimmte Entität oder ein bestimmter Metawert involviert ist, angezeigt, wenn ein Analyst zusätzliche Informationen zu der betreffenden Entität bzw. dem betreffenden Metawert abfragt. Im Bereich „Kontextabfrage“ werden kontextbezogene Informationen zu den ausgewählten Entitäten oder Metawerten angezeigt, darunter beispielsweise IP-Adresse, Benutzer, Host, Domain, Dateiname oder Datei-Hash. Welche Daten verfügbar sind, hängt von den im Context Hub konfigurierten Quellen ab.

    

Im Bereich „Kontextabfrage“ werden die kontextbezogenen Informationen basierend auf den Daten angezeigt, die in den konfigurierten Quellen im Context Hub verfügbar sind.

Was möchten Sie tun?

                                 
RolleZielAnleitung

Incident-Experten, Analysten, Threat Hunters

Bereich „Kontextabfrage“ aufrufen

Über die Incident-Dateilansicht: Siehe Anzeigen von kontextbezogenen Informationen .

Über die Ansicht „Warnmeldungsdetails“: Siehe Anzeigen von kontextbezogenen Informationen .

Incident-Experten, Analysten, Threat HuntersIm Bereich „Kontextabfrage“ angezeigte Informationen zu einer bestimmten Entität verstehenSiehe die Informationen in diesem Thema.

Administrator

Datenquellen für Context Hub konfigurierenSiehe „Konfigurieren von Datenquellen für Context Hub“ im Context Hub-Konfigurationsleitfaden.
AdministratorContext Hub-Einstellungen konfigurierenSiehe „Konfigurieren der Einstellungen von Datenquellen für den Context Hub“ im Context Hub-Konfigurationsleitfaden.

Verwandte Themen

Kontextbezogene Informationen im Bereich „Kontextabfrage“

Welche kontextbezogenen Informationen oder Abfrageergebnisse im Bereich „Kontextabfrage“ angezeigt werden, hängt von der ausgewählten Einheit und den ihr zugeordneten Datenquellen ab.

Für jede Datenquelle wird im Bereich „Kontextabfrage“ eine separate Registerkarte angezeigt. Die Registerkarte „Listendatenquelle“ wird dabei an erster Stelle im Kontextbereich angezeigt, gefolgt von den Registerkarten „Archer“, „Endpoint“, „Incidents“, „Warnmeldungen“ und „Live Connect“.

Die folgende Abbildung zeigt den Bereich „Kontextabfrage“ für eine ausgewählte Entität in der Incident-Detailansicht. Zu sehen ist die Registerkarte „Incidents“ im Bereich „Kontextabfrage“.
Context Lookup panel Incidents tab

In der folgenden Tabelle sind die auf den verschiedenen Registerkarten verfügbaren Daten und die unterstützten Entitäten beschrieben.

                                                
RegisterkarteBeschreibungUnterstützte Entitäten

Lists icon
(Listen)

Zeigt alle Listendaten an, die der ausgewählten Entität bzw. dem ausgewählten Metawert zugeordnet sind. Die Ergebnisse werden beginnend ab der zuletzt aktualisierten Liste angezeigt.

Alle Entitäten

Archer icon
(Archer)
Zeigt Informationen zu Ressourcen sowie Wichtigkeitsratings an, basierend auf der Archer-Datenquelle.IP und Host

Active Directory icon
(Active Directory)

Zeigt alle Benutzerinformationen für den ausgewählten Benutzer an.

Benutzer

NetWitness Endpoint icon
(NetWitness Endpoint)



Zeigt die aus der NetWitness Endpoint-Datenquelle abgerufenen Informationen zu der ausgewählten Entität bzw. zu dem ausgewählten Metawert an, inklusive der Angaben „Rechner“, „Module“ und „IIOC-Stufen“. Module werden auf Basis des IOC-Werts sortiert (vom höchsten Wert zum niedrigsten Wert), IIOC-Stufen von der höchsten Stufe zur niedrigsten Stufe.IP, MAC-Adresse und Host
Incidents icon
(Incidents)
Zeigt eine Liste aller Incidents an, die der ausgewählten Entität bzw. dem ausgewählten Metawert zugeordnet sind. Die Ergebnisse werden beginnend ab dem neuesten Incident sortiert.

Alle Entitäten

Alerts icon
(Warnmeldungen)
Zeigt eine Liste aller Warnmeldungen an, die der ausgewählten Entität bzw. dem ausgewählten Metawert zugeordnet sind. Die Ergebnisse werden beginnend ab der neuesten Warnmeldung sortiert.Alle Entitäten
Live Connect icon
(Live Connect)
Zeigt Live Connect-Informationen an.

IP, Domain und Datei-Hash

Listen

Auf der Registerkarte „Listen“ im Bereich „Kontextabfrage“ werden alle Listen angezeigt, die der ausgewählten Entität bzw. dem ausgewählten Metawert zugeordnet sind. Die folgende Abbildung zeigt ein Beispiel für die Registerkarte „Listen“ im Kontextbereich.

Context Panel for Lists

Für Listen werden die folgenden Informationen werden angezeigt:

                                           
FeldBeschreibung
NameName der Liste (definiert bei der Erstellung der Liste)
BeschreibungBeschreibung der Liste (definiert bei der Erstellung der Liste)
VerfasserEigentümer, der die Liste erstellt hat
ErstelltDatum der Listenerstellung
UpdatedDatum, an dem die Liste zuletzt aktualisiert oder geändert wurde
AnzahlAnzahl der Listen, in denen die ausgewählte Entität bzw. der ausgewählte Metawert aufgeführt werden
ZeitfensterBasiert auf dem Wert, der im Feld „Abfrage der letzten“ im Dialogfenster „Antworten konfigurieren“ festgelegt wurde. Standardmäßig werden alle Listendaten abgerufen.

Letzte Aktualisierung

Zeitpunkt, zu dem Context Hub die Abfragedaten abgerufen und im Cache gespeichert hat

Archer

Auf der Registerkarte „Archer“ im Bereich „Kontextabfrage“ werden Informationen zu Ressourcen sowie Wichtigkeitsratings angezeigt. Hierfür wird auf die Archer-Datenquellen zurückgegriffen, die den IP- und Hostentitäten bzw. den Metawerten zugeordnet sind. Die folgende Abbildung zeigt ein Beispiel für die Registerkarte „Archer“ im Kontextbereich.
Context panel for Archer

Auf der Registerkarte „Archer“ werden die nachfolgend aufgeführten Informationen angezeigt.

                                                               
FeldBeschreibung
WichtigkeitsratingZeigt die operative Wichtigkeit des Geräts an, basierend auf den Anwendungen, die es unterstützt. Mögliche Wichtigkeitsratings sind „Ohne Rating“, „Niedrig“, „Mittelniedrig“, „Mittel“, „Mittelhoch“ oder „Hoch“.
Geräte-IDZeigt einen automatisch eingesetzten Wert an, der den Datensatz in allen Anwendungen innerhalb des Systems eindeutig identifiziert.
GerätenameZeigt den eindeutigen Namen des Geräts an.
Device-EigentümerZeigt die Eigentümer des Geräts an, die für es verantwortlich sind. Sie sind zum Lesen und Aktualisieren des Datensatzes berechtigt.
HostnameZeigt den Hostnamen des Geräts an.
AnlagenZeigt Links zu Datensätzen der Anwendung „Anlagen“ an, die mit dem Gerät in Verbindung stehen.
GeschäftsbereichZeigt Links zu Datensätzen der Anwendung „Geschäftsbereich“ an, die mit dem Gerät in Verbindung stehen.
RisikoratingBerechnet das Risikorating des Geräts auf Basis der letzten Bewertung und des durchschnittlichen Risikoratings aller Anlagen, in denen das Gerät eingesetzt wird. Mögliche Risikoratings sind „Schwerwiegend“, „Hoch“, „Mittel“, „Niedrig“ oder „Minimal“.
TypZeigt den Gerätetyp an, z. B. Server, Laptop oder Desktop.
IP-AdresseZeigt die primäre interne IP-Adresse des Geräts an.

Anzahl

Zeigt die Anzahl der verfügbaren Ressourcen an.

Zeitfenster

Basiert auf dem Wert, der im Feld „Abfrage der letzten“ im Dialogfenster „Antworten konfigurieren“ festgelegt wurde. Standardmäßig werden alle Archer-Daten abgerufen.

Letzte Aktualisierung Zeitpunkt, zu dem Context Hub die Abfragedaten abgerufen und im Cache gespeichert hat
  

Active Directory

Die folgende Abbildung zeigt ein Beispiel für die Registerkarte „Active Directory“ im Kontextbereich.

Context panel for Active Directory

Auf der Registerkarte „Active Directory“ im Bereich „Kontextabfrage“ werden sämtliche Informationen zu einem Benutzer sowie alle ihm zugeordneten Incidents und Warnmeldungen aufgeführt. Abfragen können die folgenden Formate haben:

  • Benutzerprinzipalname
  • Domain/Benutzername
  • SAM-Konto-Name

Existiert ein Benutzer in mehreren Domains oder Gesamtstrukturen, werden alle verfügbaren Kontextinformationen zu dem Benutzer angezeigt.

Auf der Registerkarte „Active Directory“ werden die nachfolgend aufgeführten Informationen angezeigt.

                                                                               
FeldBeschreibung

Angezeigter Name

Zeigt den Namen des Benutzers an.

Mitarbeiterkennung

Zeigt die Mitarbeiterkennung des Benutzers an.

Telefon

Zeigt die Telefonnummer des Benutzers an.

E-Mail

Zeigt die E-Mail-Kennung des Benutzers an.

AD-Benutzer-ID

Zeigt die eindeutige Kennung des Benutzers innerhalb seiner Organisation an.

Position

Zeigt die Stellenbezeichnung des Benutzers an.

Manager

Zeigt den Namen des für den Benutzer zuständigen Managers an.

Gruppen

Listet die Gruppen auf, in denen der Benutzer Mitglied ist.

Unternehmen

Zeigt den Namen des Unternehmens an, für das der Benutzer arbeitet.

Abteilung

Zeigt den Namen der Organisationsabteilung an, zu der der Benutzer gehört.

Standort

Zeigt den Standort des Benutzers an.

Letzte Anmeldung

Zeigt an, wann der Benutzer sich letztmals beim System angemeldet hat (nur bei Definition des globalen Katalogs).

Zeitstempel letzte AnmeldungZeigt an, wann sich der Benutzer beim System angemeldet hat.
Distinguished NameZeigt den eindeutigen Namen an, der dem Benutzer zugewiesen wurde.
Anzahl

Zeigt die Anzahl der Benutzer an.

Zeitfenster

Basiert auf dem Wert, der im Feld „Abfrage der letzten“ im Dialogfenster „Einstellungen der Datenquelle konfigurieren“ festgelegt wurde. Standardmäßig werden alle Active Directory-Daten abgerufen.

Letzte Aktualisierung

Zeitpunkt, zu dem Context Hub die Abfragedaten abgerufen und im Cache gespeichert hat

  

NetWitness Endpoint

Auf der Registerkarte „NetWitness Endpoint“ im Bereich „Kontextabfrage“ werden die nachfolgend aufgeführten Informationen angezeigt.

Context panel for NetWitness Endpoint

Es werden die nachfolgend aufgeführten IIOC-Informationen angezeigt.

                                           
FeldBeschreibung
ModulanzahlZeigt an, wie viele Module abgefragt wurden.
AdministratorstatusZeigt den Administratorstatus an (falls verfügbar).
Letzte AktualisierungZeigt an, wann die Daten zuletzt aktualisiert wurden.
Letzte AnmeldungZeigt an, wann sich der Benutzer letztmals angemeldet hat.
MAC-AdresseMAC-Adresse des Computers
BetriebssystemAuf dem NetWitness Endpoint-Computer installierte Betriebssystemversion
ComputerstatusZeigt den Status des abgefragten Moduls an: „Online“, „Offline“, „Aktiv“ oder „Inaktiv“.
IP-AdresseZeigt die IP-Adresse des betreffenden Moduls an.

Es werden die nachfolgend aufgeführten Modulinformationen angezeigt.

                               
FeldBeschreibung
IIOC-WertDer IIOC-Wert eines Computers ist der aus den Modulwerten aggregierte Wert. Er basiert auf dem Wert, der im Feld „IIOC-Mindestwert“ im Dialogfeld „Einstellungen für Context Hub-Datenquellen“ festgelegt wurde. Der Standardwert für „IIOC-Mindestwert“ lautet „500“. Siehe Thema „Konfigurieren der Einstellungen von Datenquellen für den Context Hub“ im Context Hub-Konfigurationsleitfaden.
ModulnameName des abgefragten Moduls
AnalysewertAnzahl der aktiven Dateien für den ausgewählten Computer.
Rechneranzahl Gibt an, wann die Scanergebnisse zuletzt in der NetWitness Endpoint-Datenbank aktualisiert wurden.
SignaturGibt an, ob die Datei signiert oder unsigniert bzw. gültig oder ungültig ist. Ebenfalls angegeben sind Informationen zum Unterzeichner (z. B. Google oder Apple).

Für Computer werden die nachfolgend aufgeführten Informationen angezeigt.

                                   
FeldBeschreibung

IOC-Ebene

Zeigt die IOC-Ebenen an.

BeschreibungZeigt die Beschreibung der IOC-Ebene an (falls verfügbar).
Letzte Ausführung Zeigt an, wann die Aktion ausgeführt wurde.

Anzahl

Zeigt an, wie viele Hosts abgefragt wurden.

ZeitfensterBasiert auf dem Wert, der im Feld „Abfrage der letzten“ im Dialogfeld „Einstellungen der Datenquelle konfigurieren“ festgelegt wurde. Standardmäßig werden alle NetWitness Endpoint-Daten abgerufen.
Letzte AktualisierungGibt an, wann die Scanergebnisse zuletzt in der NetWitness Endpoint-Datenbank aktualisiert wurden.

Warnmeldungen

Die folgende Abbildung zeigt ein Beispiel für die Registerkarte „Warnmeldungen“ im Kontextbereich. Die Ergebnisse werden zuerst nach Eingang der Warnmeldung (neu nach alt) und dann nach Schweregrad sortiert.

Context panel for Alerts

Auf der Registerkarte „Warnmeldungen“ im Bereich „Kontextabfrage“ werden die nachfolgend aufgeführten Informationen angezeigt.

                                               
FeldBeschreibung
ErstelltDatum und Uhrzeit der Erstellung der Warnmeldung
SchweregradSchweregradwert der Warnmeldungen
NameName der Warnmeldung. Klicken Sie auf den Namen, um die Details der Warnmeldung einzusehen.
QuelleName der Warnmeldungsquelle, die die Warnmeldung ausgelöst hat
EreignisanzahlAnzahl der Ereignisse, die der Warnmeldung zugeordnet sind
Incident-IDDies ist die ID des Incident, dem die Warnmeldung zugeordnet ist (falls zutreffend). Klicken Sie auf die ID, um die Details der Warnmeldung einzusehen.

Anzahl

Zeigt die Anzahl der Warnmeldungen an. Standardmäßig werden nur die ersten 100 Warnmeldungen angezeigt. Weitere Informationen zur Konfiguration der Einstellungen finden Sie im Thema „Konfigurieren der Einstellungen von Datenquellen für den Context Hub“ im Context Hub-Konfigurationsleitfaden.

Zeitfenster

Basiert auf dem Wert, der im Feld „Abfrage der letzten“ im Dialogfeld „Einstellungen der Datenquelle konfigurieren“ festgelegt wurde. Standardmäßig werden die Warnmeldungsdaten der letzten 7 Tage abgerufen.

Letzte AktualisierungGibt an, wann zuletzt kontextbezogene Daten aus der Datenquelle abgerufen wurden.

Incidents

Die folgende Abbildung zeigt ein Beispiel für die Registerkarte „Incidents“ im Kontextbereich. Die Ergebnisse werden zuerst nach Eingang des Incidents (neu nach alt) und dann nach Prioritätsstatus sortiert.

Context panel for Incidents

Auf der Registerkarte „Incidents“ im Bereich „Kontextabfrage“ werden die nachfolgend aufgeführten Informationen angezeigt.

                                                       
FeldBeschreibung
ErstelltDatum der Erstellung des Incident
PrioritätPrioritätsstatus der Incidents
RisikowertRisikowert der Incidents
IDIncident-ID des Incident. Durch Klicken auf eine Incident-ID können Sie weitere Details zu dem betreffenden Incident einsehen.
NameIncident-Name
StatusStatus des Incident
ZuweisungsempfängerAktueller Eigentümer des Incident
WarnmeldungenAnzahl der Warnmeldungen, die dem Incident zugeordnet sind

Anzahl

Zeigt die Anzahl von Incidents an. Standardmäßig werden nur die ersten 100 Warnmeldungen angezeigt. Weitere Informationen zur Konfiguration der Einstellungen finden Sie im Thema „Konfigurieren der Einstellungen von Datenquellen für den Context Hub“ im Context Hub-Konfigurationsleitfaden.

Zeitfenster

Basiert auf dem Wert, der im Feld „Abfrage der letzten“ im Dialogfenster „Einstellungen der Datenquelle konfigurieren“ festgelegt wurde. Standardmäßig werden die Warnmeldungsdaten der letzten 7 Tage abgerufen.

Letzte AktualisierungGibt an, wann zuletzt kontextbezogene Daten aus der Datenquelle abgerufen wurden.

Live Connect

Die folgende Abbildung zeigt ein Beispiel für die Registerkarte „Live Connect“ im Kontextbereich.

Context panel for Live Connect

Im Bereich „Live Connect“ werden die folgenden Informationen angezeigt:

  • Prüfstatus
  • Live Connect-Risikobewertung
  • Risikoindikatoren
  • Community-Aktivität
  • WHOIS

  • Verwandte Dateien, Domains und IPs

  • Identität

  • Zertifikatinformationen

Auf der Registerkarte „Live Connect“ im Bereich „Kontextabfrage“ werden die nachfolgend aufgeführten Informationen angezeigt.

                                                       
FeldBeschreibung
Prüfstatus

Zeigt den Überprüfungsstatus der ausgewählten Live Connect-Entität an (IP, Datei oder Domain), basierend auf der Analystenaktivität. Das ermöglicht Transparenz hinsichtlich der Analystenaktivität innerhalb eines Unternehmens.

Status
Nachfolgend sind die verschiedenen Statustypen aufgeführt:

  • Neu: Wenn Abfrageergebnisse für eine IP-Adresse erstmals innerhalb des Unternehmens abgerufen werden.
  • Angezeigt: Wenn die Abfrageergebnisse für eine IP-Adresse bereits von Analysten innerhalb des Unternehmens abgerufen wurden.
  • Als sicher markiert: Wenn ein Analyst innerhalb des Unternehmens die Suchergebnisse für eine IP-Adresse bereits abgerufen und die IP-Adresse als sicher markiert hat.
  • Als riskant markiert: Wenn ein Analyst innerhalb des Unternehmens die Suchergebnisse bereits angezeigt und die IP-Adresse als riskant markiert hat.
Risikobewertung

Zeigt die Risikobewertung für die ausgewählte Live Connect-Entität an (IP, Datei oder Domain), basierend auf der Live Connect-Analyse und Feedback von Analysten. Die Kategorien der Risikobewertung lauten:

  • Sicher: Die Live Connect-Entität gilt als sicher.
  • Unbekannt: In Live Connect liegen nicht genügend Informationen zu der Entität vor, um das Risiko berechnen zu können.
  • Hohes Risiko: Basierend auf der Analyse und den Risikogründen der Community mit „Hohes Risiko“ gekennzeichnet. Die mit „Hohes Risiko“ gekennzeichneten Entitäten erfordern sofortige Maßnahmen.
  • Verdächtig: Basierend auf der Analyse und den Risikogründen der Community als „Verdächtig“ gekennzeichnet. Die Analyse deutet auf eine potenziell bedrohliche Aktivität hin, die Maßnahmen erfordert.
  • Unsicher: Basierend auf der Analyse und den Risikogründen der Community als „Verdächtig“ gekennzeichnet.
Die Entität wurde als „Hohes Risiko“, „Verdächtig“ oder „Unsicher“ eingestuft. Die entsprechenden Risikogründe werden angezeigt.
Feedback zur Risikobewertung

Über das Feedback zur Risikobewertung können Analysten Threat Intelligence-Feedback zu einer Entität an den Live Connect-Server übermitteln.

  • Kompetenzebene des Analysten
    Nachfolgend sind die möglichen Kompetenzebenen eines Analysten aufgeführt:
    • Tier 1: Analysten auf dieser Kompetenzebene definieren in der Regel Korrekturverfahren und entscheiden, ob ein Incident an andere Stellen innerhalb des SOC (Security Operations Center) eskaliert werden soll. Dies ist der Standardwert.
    • Tier 2: Analysten auf dieser Kompetenzebene untersuchen Incidents, dokumentieren die Untersuchung und leiten ihr Feedback an die anderen SOC-Workflows weiter.
    • Tier 3: Analysten auf dieser Kompetenzebene leiten die Untersuchungsergebnisse an die SOC-Teams weiter. Sie sind im Allgemeinen für das Incident-Management verantwortlich und verfügen über umfassende, fundierte Fähigkeiten in Bezug auf die Incident-Reaktion und den Umgang mit den zugehörigen Tools.

    Hinweis: Bei der Erstellung eines neuen NetWitness Suite-Benutzers (Analysten) sollten Administratoren angeben, ob es sich um einen Tier-1-, Tier-2- oder Tier-3-Analysten handelt.

  • Risikobestätigung: die Risikobestätigung für die ausgewählte Live Connect-Entität (IP, Datei oder Domain). Es existieren folgende Kategorien für die Risikobestätigung:
    • Sicher: Die Live Connect-Entität gilt als sicher.

    • Unbekannt: Dem Analysten liegen nicht genügend Informationen für eine Risikobestätigung vor.

    • Hohes Risiko: Basierend auf der Analyse und den Risikogründen der Community mit „Hohes Risiko“ gekennzeichnet. Die mit „Hohes Risiko“ gekennzeichneten Entitäten erfordern sofortige Maßnahmen.
    • Verdächtig: Basierend auf der Analyse und den Risikogründen der Community als „Verdächtig“ gekennzeichnet. Die Analyse deutet auf eine potenziell bedrohliche Aktivität hin, die Maßnahmen erfordert.
    • Unsicher: Basierend auf der Analyse und den Risikogründen der Community als „Unsicher“ gekennzeichnet.
  • Konfidenzniveau: das Konfidenzniveau, das ein Analyst seinem Feedback zur Live Connect-Entität beimisst. Es existieren folgende Kategorien für das Konfidenzniveau:
    • Hoch
    • Mittel
    • Niedrig
  • Risikoindikatortags: Hier können Sie eine Tagkategorie auswählen, basierend auf der Analyse.

Risk Feedback panel

Community-Aktivität

Community-Aktivitäten wie:

  • Datum, an dem die Community das Problem erstmals bemerkt hat
  • Verstrichene Zeit, seitdem die Community die IP/Datei/Domain erstmals bemerkt hat (aktueller Zeitpunkt - Zeitpunkt des ersten Bemerkens)

Trending-Community-Aktivität:

Wenn die IP-Adresse innerhalb der RSA-Community bekannt ist, wird eine grafische Darstellung des Community-Aktivitätstrends für folgende Parameter angezeigt:

  • Benutzer (in %), von denen die IP-Adresse in der Live Connect-Community im Lauf der Zeit angezeigt wurde
  • Benutzer (in %), die Feedback für die IP-Adresse übermittelt haben.
  • Benutzer (in %), von denen die IP-Adresse im Lauf der Zeit als „Unsicher“ markiert wurde

Risikoindikatoren

Risikoindikatoren werden basierend auf den Tags hervorgehoben, die den Entitäten (IPs, Dateien oder Domains) von der Community zugewiesen werden.
Risk Indicators

Die Tags werden wie folgt kategorisiert:

  • Aufklärung
  • Lieferung
  • Command and Control
  • Laterale Bewegung
  • Rechteerweiterung
  • Verpackung und Exfiltration

Diese Tags sind Muster und variieren je nach den Eingaben aus der Community, die auf dem Live Connect-Server eingehen.

Der Analyst kann die entsprechenden Risikoindikatortags auswählen, während er Prüfungsfeedback verfasst.

Hervorgehobene Tags bedeuten, dass die ausgewählte Entität der betreffenden Kategorie und dem betreffenden Tag zugeordnet ist. Durch Klicken auf ein hervorgehobenes Tag können Sie die Beschreibung des Tags einsehen.

Identität

Zeigt die folgenden Identitätsinformationen für die ausgewählte Entität bzw. den ausgewählten Metawert an:

Für IP-Adressen:

  • Autonomous System Number (ASN)
  • Präfix
  • Ländercode und Name des Landes
  • Registrierter Benutzer (Organisation)
  • Datum

Für Datei-Hashes:

  • Dateiname
  • Dateigröße
  • MD5
  • SH1
  • SH256
  • Kompilierzeit
  • MIME-Typ

Für Domains:

  • Domainname
  • Zugeordnete IP-Adresse
Zertifikatinformationen

Zeigt die folgenden Zertifikatinformationen für den ausgewählten Datei-Hash an

  • Aussteller des Zertifikats
  • Gültigkeit des Zertifikats
  • Signaturalgorithmus
  • Seriennummer des Zertifikats
WHOIS-Informationen

Die WHO IS-Informationen geben Details bezüglich des Eigentums für eine bestimmte Domain an.

WHOIS Information

Die folgenden Informationen zum Domaineigentümer werden angezeigt:

  • Erstellungsdatum
  • Aktualisierungsdatum
  • Ablaufdatum
  • Typ (Registrierungstyp)
  • Name
  • Organisation
  • Adresse mit Postleitzahl
  • Land
  • Telefonnummer
  • Fax
  • E-Mail-Adresse
Verwandte Dateien

Verwandte Dateien werden für Entitäten der Typen „IP“ und „Domain“ angezeigt. Eine Liste der bekannten zugehörigen Dateien wird zusammen mit den folgenden Informationen angezeigt:

  • Live Connect-Risikorating („Sicher“, „Riskant“ oder „Unbekannt“)
  • Dateiname
  • MD5
  • Kompilierzeit und Kompilierdatum
  • Import-Hash der API-Funktion
  • MIME-Typ

Verwandte Domains

Verwandte Domains werden für Entitäten der Typen „IP“ und „Dateien“ angezeigt. Eine Liste der bekannten zugehörigen Domains wird zusammen mit den folgenden Informationen angezeigt:

  • Live Connect-Risikorating („Sicher“, „Riskant“ oder „Unbekannt“)
  • Domainname
  • Name des Landes
  • Registrierungsdatum
  • Ablaufdatum
  • E-Mail-Adresse des Registranten
Verwandte IPs

Verwandte IPs werden für Entitäten der Typen „Domain“ und „Dateien“ angezeigt. Eine Liste der bekannten zugehörigen IPs wird zusammen mit den folgenden Informationen angezeigt:

  • Live Connect-Risikorating („Sicher“, „Riskant“ oder „Unbekannt“)
  • IP-Adresse
  • Domainname
  • Ländercode und Name des Landes
  • Name des Landes
  • Registrierungsdatum
  • Ablaufdatum
  • E-Mail-Adresse des Registranten
  
You are here
Table of Contents > NetWitness Respond-Referenzinformationen > Bereich „Kontextabfrage“

Attachments

    Outcomes