Reagieren: Bereich „Kontextabfrage“

Document created by RSA Information Design and Development Employee on May 11, 2018Last modified by RSA Information Design and Development Employee on Apr 28, 2019
Version 4Show Document
  • View in full screen mode
 

Der Context-Hub-Service konsolidiert kontextbezogene Informationen aus verschiedenen Datenquellen in der Ansicht „Reagieren“, damit Analysten während ihrer Untersuchungen bessere Entscheidungen treffen und die richtigen Maßnahmen ergreifen können. Der zentrale Überblick über die Entitäten, Metawerte und kontextbezogenen Informationen hilft Analysten, Schwerpunktbereiche zu ermitteln und zu priorisieren. Beispielsweise werden kürzlich erzeugte Incidents und Warnmeldungen aus der Ansicht „Reagieren“, in die eine bestimmte Entität oder ein bestimmter Metawert involviert ist, angezeigt, wenn ein Analyst zusätzliche Informationen zu der betreffenden Entität bzw. dem betreffenden Metawert abfragt. Im Bereich „Kontextabfrage“ werden kontextbezogene Informationen zu den ausgewählten Entitäten oder Metawerten angezeigt, darunter beispielsweise IP-Adresse, Nutzer, Host, Domain, Dateiname oder Datei-Hash. Welche Daten verfügbar sind, hängt von den im Context Hub konfigurierten Quellen ab.

    

Im Bereich „Kontextabfrage“ werden die kontextbezogenen Informationen basierend auf den Daten angezeigt, die in den konfigurierten Quellen im Context Hub verfügbar sind.

Was möchten Sie tun?

                                 
RolleZielAnleitung

Incident-Experten, Analysten, Threat Hunters

Bereich „Kontextabfrage“ aufrufen

Über die Incident-Dateilansicht: Siehe Anzeigen von kontextbezogenen Informationen .

Über die Ansicht „Warnmeldungsdetails“: Siehe Anzeigen von kontextbezogenen Informationen .

Incident-Experten, Analysten, Threat HuntersIm Bereich „Kontextabfrage“ angezeigte Informationen zu einer bestimmten Entität verstehenSiehe die Informationen in diesem Thema.

Administrator

Datenquellen für Context Hub konfigurierenSiehe „Konfigurieren von Datenquellen für Context Hub“ im Context-Hub-Konfigurationsleitfaden.
AdministratorContext-Hub-Einstellungen konfigurierenSiehe „Konfigurieren der Einstellungen von Datenquellen für den Context Hub“ im Context-Hub-Konfigurationsleitfaden.

Verwandte Themen

Kontextbezogene Informationen im Bereich „Kontextabfrage“

    

Welche kontextbezogenen Informationen oder Abfrageergebnisse im Bereich „Kontextabfrage“ angezeigt werden, hängt von der ausgewählten Einheit und den ihr zugeordneten Datenquellen ab. Für jede Datenquelle wird im Bereich „Kontextabfrage“ eine separate Registerkarte angezeigt. Die Registerkarten sind: Listen, Archer, Active Directory, Endpoint, Incidents, Warnmeldungen und Live Connect. Die folgende Abbildung zeigt den Bereich „Kontextabfrage“ für eine ausgewählte Entität in der Incident-Detailansicht mit der Registerkarte „Incidents“.
Context Lookup panel Incidents tab

In der folgenden Tabelle sind die auf den verschiedenen Registerkarten verfügbaren Daten und die unterstützten Entitäten beschrieben.

                                                
RegisterkarteBeschreibungUnterstützte Entitäten

Lists icon
(Listen)

Zeigt alle Listendaten an, die der ausgewählten Entität bzw. dem ausgewählten Metawert zugeordnet sind. Die Ergebnisse werden beginnend ab der zuletzt aktualisierten Liste angezeigt.

Alle Entitäten

Archer icon
(Archer)
Zeigt Informationen zu Ressourcen sowie Wichtigkeitsratings an, basierend auf der Archer-Datenquelle.IP, Host und Mac

Active Directory icon
(Active Directory)

Zeigt alle Benutzerinformationen für den ausgewählten Benutzer an.

Benutzer

NetWitness Endpoint icon
(NetWitness Endpoint)



Zeigt die aus der NetWitness Endpoint-Datenquelle abgerufenen Informationen zu der ausgewählten Entität bzw. zu dem ausgewählten Metawert an, inklusive der Angaben „Rechner“, „Module“ und „IIOC-Stufen“. Module werden auf Basis des IOC-Werts sortiert (vom höchsten Wert zum niedrigsten Wert), IIOC-Stufen von der höchsten Stufe zur niedrigsten Stufe.IP, MAC-Adresse und Host
Incidents icon
(Incidents)
Zeigt eine Liste aller Incidents an, die der ausgewählten Entität bzw. dem ausgewählten Metawert zugeordnet sind. Die Ergebnisse werden beginnend ab dem neuesten Incident sortiert.

Alle Entitäten

Alerts icon
(Warnmeldungen)
Zeigt eine Liste aller Warnmeldungen an, die der ausgewählten Entität bzw. dem ausgewählten Metawert zugeordnet sind. Die Ergebnisse werden beginnend ab der neuesten Warnmeldung sortiert.Alle Entitäten
Live Connect icon
(Live Connect)
Zeigt Live Connect-Informationen an.

IP, Domain und Datei-Hash

Registerkarte „Listen“

Auf der Registerkarte „Listen“ im Bereich „Kontextabfrage“ werden alle Listen angezeigt, die der ausgewählten Entität bzw. dem ausgewählten Metawert zugeordnet sind. Die folgende Abbildung zeigt ein Beispiel eines Kontextbereichs für Listen und in der Tabelle werden die Felder beschrieben.

Context Panel for Lists

                                           
FeldBeschreibung
NameName der Liste (definiert bei der Erstellung der Liste)
BeschreibungBeschreibung der Liste (definiert bei der Erstellung der Liste)
VerfasserEigentümer, der die Liste erstellt hat
ErstelltDatum der Listenerstellung
UpdatedDatum, an dem die Liste zuletzt aktualisiert oder geändert wurde
AnzahlAnzahl der Listen, in denen die ausgewählte Entität bzw. der ausgewählte Metawert aufgeführt werden
ZeitfensterDas Zeitfenster basierend auf dem Wert, der im Feld „Abfrage der letzten“ im Dialogfeld „Antworten konfigurieren“ festgelegt wurde. Standardmäßig werden alle Listendaten abgerufen.

Letzte Aktualisierung

Zeitpunkt, zu dem Context Hub die Abfragedaten abgerufen und im Cache gespeichert hat

Registerkarte „Archer“

Auf der Registerkarte „Archer“ im Bereich „Kontextabfrage“ werden Informationen zu Ressourcen zusammen mit Wichtigkeitsratings angezeigt. Hierfür wird auf die Archer-Datenquellen für IP-, Host- und Mac-Entitäten zugegriffen. Die folgende Abbildung zeigt ein Beispiel des Bereichs „Kontextabfrage“ für Archer und in der Tabelle werden die Felder beschrieben.


                                                               
FeldBeschreibung
WichtigkeitsratingDie operative Wichtigkeit des Geräts anhand der von ihm unterstützten Anwendungen. Mögliche Wichtigkeitsratings sind „Ohne Rating“, „Niedrig“, „Mittelniedrig“, „Mittel“, „Mittelhoch“ oder Hoch.
RisikoratingDas berechnete Risikorating des Geräts auf Basis der letzten Bewertung und des durchschnittlichen Risikoratings aller Anlagen, in denen das Gerät eingesetzt wird. Mögliche Risikoratings sind „Schwerwiegend“, „Hoch“, „Mittel“, „Niedrig“ oder „Minimal“.
GerätenameDer eindeutige Name des Geräts.
HostnameDer Hostname des Geräts.
IP-AdresseGeben Sie die primäre, interne IP-Adresse des Geräts ein.
Geräte-IDDer automatisch ausgefüllte Wert, der den Datensatz in allen Anwendungen innerhalb des Systems eindeutig identifiziert.
TypDer Gerätetyp, zum Beispiel Server, Laptop, Desktop und andere.
AnlagenLinks zu Datensätzen der Anwendung „Anlagen“, die mit dem Gerät in Verbindung stehen.
GeschäftsbereichLinks zu Datensätzen der Anwendung „Geschäftsbereich“, die mit dem Gerät in Verbindung stehen. Bei mehr als drei Geschäftsbereichswerten können Sie mit der Maus auf das Feld zeigen, um alle Werte zu sehen.
Device-EigentümerDie Person, die für das Gerät verantwortlich ist und über Berechtigungen zum Lesen und Aktualisieren für den Datensatz verfügt.

Anzahl

Die Anzahl der verfügbaren Ressourcen.

Zeitfenster

Das Zeitfenster basierend auf dem Wert, der im Feld „Abfrage der letzten“ im Dialogfeld „Antworten konfigurieren“ festgelegt wurde. Standardmäßig werden alle Archer-Daten abgerufen.
Letzte Aktualisierung Zeitpunkt, zu dem Context Hub die Abfragedaten abgerufen und im Cache gespeichert hat

Hinweis: In den lokalisierten Versionen werden nur diese zwölf Felder angezeigt: Wichtigkeitsrating, Risikorating, Device-Eigentümer, Geschäftsbereich, Hostname, MAC-Adresse, Anlagen, IP-Adresse, Typ, Geräte-ID, Gerätename und Geschäftsprozesse.

  

Registerkarte „Active Directory“

Die folgende Abbildung zeigt ein Beispiel für den Bereich „Kontextabfrage“ für Active Directory.

Context panel for Active Directory

Auf der Registerkarte „Active Directory“ im Bereich „Kontextabfrage“ werden sämtliche Informationen zu einem Benutzer sowie alle ihm zugeordneten Incidents und Warnmeldungen aufgeführt. Abfragen können die folgenden Formate haben:

  • Benutzerprinzipalname
  • Domain/Benutzername
  • SAM-Konto-Name

Existiert ein Benutzer in mehreren Domains oder Gesamtstrukturen, werden alle verfügbaren Kontextinformationen zu dem Benutzer angezeigt.

Auf der Registerkarte „Active Directory“ werden die nachfolgend aufgeführten Informationen angezeigt.

                                                                               
FeldBeschreibung

Anzeigename

Der Name des Nutzers.

Mitarbeiterkennung

Die Mitarbeiter-ID des Nutzers.

Telefon

Die Telefonnummer des Nutzers

E-Mail

Die E-Mail-ID des Nutzers.

AD-Nutzer-ID

Zeigt die eindeutige Kennung des Nutzers innerhalb einer Organisation an.

Position

Die Bezeichnung des Nutzers.

Manager

Der Name des Managers des Nutzers.

Gruppen

Die Liste der Gruppen, bei denen der Nutzer Mitglied ist.

Unternehmen

Der Name des Unternehmens des Nutzers.

Abteilung

Zeigt den Namen der Abteilung an, zu der der Nutzer innerhalb der Organisation gehört.

Standort

Der geografische Standort des Nutzers.

Letzte Anmeldung

Zeitpunkt, zu dem sich der Nutzer zuletzt beim System angemeldet hat (nur wenn der globale Katalog definiert ist).

Zeitstempel letzte AnmeldungZeitpunkt, zu dem sich der Nutzer zuletzt beim System angemeldet hat.
Distinguished NameEindeutiger Name, der dem Nutzer zugewiesen wurde.
Anzahl

Die Anzahl der Benutzer.

Zeitfenster

Das Zeitfenster basierend auf dem Wert, der im Feld „Abfrage der letzten“ im Dialogfeld zum Konfigurieren der Datenquelleneinstellungen festgelegt wurde. Standardmäßig werden alle Active Directory-Daten abgerufen.

Letzte Aktualisierung

Zeitpunkt, zu dem Context Hub die Abfragedaten abgerufen und im Cache gespeichert hat

  

Registerkarte „NetWitness Endpoint“

Die folgende Abbildung zeigt ein Beispiel für den Bereich „Kontextabfrage“ für NetWitness Endpoint.

Context panel for NetWitness Endpoint

Es werden die nachfolgend aufgeführten IIOC-Informationen angezeigt.

                                           
FeldBeschreibung
ModulanzahlDie Anzahl der Module, die abgefragt werden.
AdministratorstatusAdministratorstatus (falls vorhanden).
Letzte AktualisierungZeitpunkt der letzten Datenaktualisierung.
Letzte AnmeldungDer Zeitpunkt, zu dem der Nutzer sich das letzte Mal angemeldet hat.
MAC-AdresseMAC-Adresse des Computers.
BetriebssystemDie Version des vom NetWitness Endpoint-Computer verwendeten Betriebssystems.
ComputerstatusDer Status des angezeigten Moduls: Online, Offline, Aktiv oder Inaktiv.
IP-AdresseDie IP-Adresse des betreffenden Moduls.

Es werden die nachfolgend aufgeführten Modulinformationen angezeigt.

                               
FeldBeschreibung
IIOC-WertDer IIOC-Wert eines Computers ist der aus den Modulwerten aggregierte Wert. Dies ist abhängig von dem im Feld „IIOC-Mindestwert“ im Dialogfeld für die Datenquelleneinstellungen von Context Hub festgelegten Wert. Der Standardwert für „IIOC-Mindestwert“ beträgt 500. Siehe „Konfigurieren der Einstellungen von Datenquellen für den Context Hub“ im Context Hub-Konfigurationsleitfaden.
ModulnameDer Name des abgefragten Moduls.
AnalysewertDie Anzahl der aktiven Dateien für den ausgewählten Computer.
Rechneranzahl Die Anzahl der Computern, auf denen dieser spezielle IOC ausgelöst wurde.
SignaturGibt an, ob die Datei signiert oder unsigniert bzw. gültig oder ungültig ist. Ebenfalls angegeben sind Informationen zum Unterzeichner (z. B. Google oder Apple).

Für Computer werden die nachfolgend aufgeführten Informationen angezeigt.

                                   
FeldBeschreibung

IOC-Ebene

Die IOC-Ebenen.

BeschreibungDie Beschreibung der IOC-Ebene (falls verfügbar).
Letzte Ausführung Zeitpunkt der letzten Ausführung der Aktion.

Anzahl

Die Anzahl der abgefragten Hosts.

ZeitfensterDas Zeitfenster basierend auf dem Wert, der im Feld „Abfrage der letzten“ im Dialogfeld zum Konfigurieren von Datenquelleneinstellungen festgelegt wurde. Standardmäßig werden alle NetWitness Endpoint-Daten abgerufen.
Letzte AktualisierungZeitpunkt der letzten Aktualisierung der Scanergebnisse in der NetWitness Endpoint-Datenbank.

Registerkarte „Warnmeldungen“

Die folgende Abbildung zeigt ein Beispiel für die Registerkarte „Alerts“ im Kontextbereich. Die Ergebnisse werden zuerst nach Eingang der Warnmeldung (neu nach alt) und dann nach Schweregrad sortiert.

Context panel for Alerts

Auf der Registerkarte „Warnmeldungen“ im Bereich „Kontextabfrage“ werden die nachfolgend aufgeführten Informationen angezeigt.

                                               
FeldBeschreibung
ErstelltDatum und Uhrzeit der Erstellung der Warnmeldung.
SchweregradSchweregradwert der Warnmeldungen.
Name Der Name der Warnmeldung. Klicken Sie auf den Namen, um die Details einer Warnmeldung einzusehen.
QuelleName der Warnmeldungsquelle, die die Warnmeldung ausgelöst hat.
EreignisanzahlAnzahl der Ereignisse, die der Warnmeldung zugeordnet sind.
Incident-IDDie ID des Incident, dem die Warnmeldung zugeordnet ist (falls zutreffend). Klicken Sie auf die ID, um die Details einer Warnmeldung einzusehen.

Anzahl

Anzahl der Warnmeldungen. Standardmäßig werden nur die ersten 100 Warnmeldungen angezeigt. Weitere Informationen zur Konfiguration der Einstellungen finden Sie im Thema „Konfigurieren der Einstellungen von Datenquellen für den Context Hub“ im Context Hub-Konfigurationsleitfaden.

Zeitfenster

Das Zeitfenster basierend auf dem Wert, der im Feld „Abfrage der letzten“ im Dialogfeld zum Konfigurieren von Datenquelleneinstellungen festgelegt wurde. Standardmäßig werden die Warnmeldungsdaten der letzten 7 Tage abgerufen.

Letzte AktualisierungZeitpunkt, zu dem zuletzt kontextbezogene Daten aus der Datenquelle abgerufen wurden.

Registerkarte „Incidents“

Die folgende Abbildung zeigt ein Beispiel für die Registerkarte „Incidents“ im Kontextbereich. Die Ergebnisse werden zuerst nach Eingang des Incidents (neu nach alt) und dann nach Prioritätsstatus sortiert.

Context panel for Incidents

Auf der Registerkarte „Incidents“ im Bereich „Kontextabfrage“ werden die nachfolgend aufgeführten Informationen angezeigt.

                                                       
FeldBeschreibung
ErstelltDatum der Erstellung des Incident.
PrioritätDer Prioritätsstatus der Incidents.
RisikowertRisikowert der Incidents.
IDDie ID des Incident. Klicken Sie auf die ID, um die Details des Incident anzuzeigen.
NameDer Name des Incident.
StatusDer Status des Incident.
ZuweisungsempfängerDer aktuelle Eigentümer des Incident.
WarnmeldungenDie Anzahl der Warnmeldungen, die dem Incident zugeordnet sind.

Anzahl

Die Anzahl der Incidents. Standardmäßig werden nur die ersten 100 Incidents angezeigt. Weitere Informationen zur Konfiguration der Einstellungen finden Sie im Thema „Konfigurieren der Einstellungen von Datenquellen für den Context Hub“ im Context Hub-Konfigurationsleitfaden.

Zeitfenster

Das Zeitfenster basierend auf dem Wert, der im Feld „Abfrage der letzten“ im Dialogfeld zum Konfigurieren von Datenquelleneinstellungen festgelegt wurde. Standardmäßig werden die Warnmeldungsdaten der letzten 7 Tage abgerufen.

Letzte AktualisierungZeitpunkt, zu dem zuletzt kontextbezogene Daten aus der Datenquelle abgerufen wurden.

Registerkarte „Live Connect“

Die folgende Abbildung zeigt das Beispiel eines Kontextbereichs für „Live Connect“ und in der Tabelle werden die angezeigten Informationen beschrieben.

Context panel for Live Connect

                                                       
FeldBeschreibung
Prüfstatus

Der Überprüfungsstatus der ausgewählten Live Connect-Entität (IP, Datei oder Domain), basierend auf der Analystenaktivität. Das ermöglicht Transparenz hinsichtlich der Analystenaktivität innerhalb eines Unternehmens.

Status
Nachfolgenden finden Sie die Statustypen:

  • Neu: Abfrageergebnisse für eine IP-Adresse werden zum ersten Mal innerhalb des Unternehmens angezeigt.
  • Angezeigt: Die Abfrageergebnisse für eine IP-Adresse wurden bereits von Analysten innerhalb des Unternehmens abgerufen.
  • Als sicher markiert: Ein Analyst innerhalb des Unternehmens hat die Abfrageergebnisse für die IP-Adresse bereits gesichtet und als sicher markiert.
  • Als riskant markiert: Ein Analyst innerhalb des Unternehmens hat die Abfrageergebnisse bereits gesichtet die IP-Adresse als riskant markiert.
Risikobewertung

Die Risikobewertung für die ausgewählte Live Connect-Entität (IP, Datei oder Domain), basierend auf der Live Connect-Analyse und Feedback von Analysten. Die Kategorien der Risikobewertung lauten:

  • Sicher: Die Live Connect-Entität gilt als sicher.
  • Unbekannt: In Live Connect liegen nicht genügend Informationen zu der Entität vor, um das Risiko berechnen zu können.
  • Hohes Risiko: Basierend auf der Analyse und den Risikogründen der Community mit „Hohes Risiko“ gekennzeichnet. Die mit „Hohes Risiko“ gekennzeichneten Entitäten erfordern sofortige Maßnahmen.
  • Verdächtig: Basierend auf der Analyse und den Risikogründen der Community als „Verdächtig“ gekennzeichnet. Die Analyse deutet auf eine potenziell bedrohliche Aktivität hin, die Maßnahmen erfordert.
  • Unsicher: Basierend auf der Analyse und den Risikogründen der Community als „Unsicher“ gekennzeichnet.
Die Entität wurde als „Hohes Risiko“, „Verdächtig“ oder „Unsicher“ eingestuft. Die entsprechenden Risikogründe werden angezeigt.
Feedback zur Risikobewertung

Risk Feedback panel

Über das Feedback zur Risikobewertung können Analysten Threat Intelligence-Feedback zu einer Entität an den Live Connect-Server übermitteln.

  • Kompetenzebene des Analysten
    Nachfolgend sind die möglichen Kompetenzebenen eines Analysten aufgeführt:
    • Tier 1: Analysten dieser Kompetenzebene definieren Korrekturverfahren und entscheiden, ob ein Incident an andere Stellen innerhalb des SOC (Security Operations Center) eskaliert werden soll. Dies ist der Standardwert.
    • Tier 2: Analysten dieser Kompetenzebene untersuchen Incidents, dokumentieren die Untersuchung und leiten ihr Feedback an die anderen SOC-Workflows weiter.
    • Tier 3: Analysten dieser Kompetenzebene leiten die Untersuchungsergebnisse an die SOC-Teams weiter. Sie sind im Allgemeinen für das Incident-Management verantwortlich und verfügen über umfassende, fundierte Fähigkeiten in Bezug auf die Incident-Reaktion und den Umgang mit den zugehörigen Tools.

    Hinweis: Bei der Erstellung eines neuen NetWitness Platform-Benutzers (Analysten) sollten Administratoren angeben, ob es sich um einen Tier-1-, Tier-2- oder Tier-3-Analysten handelt.

  • Risikobestätigung: die Risikobestätigung für die ausgewählte Live Connect-Entität (IP, Datei oder Domain). Es existieren folgende Kategorien für die Risikobestätigung:
    • Sicher: Die Live Connect-Entität gilt als sicher.

    • Unbekannt: Dem Analysten liegen nicht genügend Informationen für eine Risikobestätigung vor.

    • Hohes Risiko: Basierend auf der Analyse und den Risikogründen der Community mit „Hohes Risiko“ gekennzeichnet. Die mit „Hohes Risiko“ gekennzeichneten Entitäten erfordern sofortige Maßnahmen.
    • Verdächtig: Basierend auf der Analyse und den Risikogründen der Community als „Verdächtig“ gekennzeichnet. Die Analyse deutet auf eine potenziell bedrohliche Aktivität hin, die Maßnahmen erfordert.
    • Unsicher: Basierend auf der Analyse und den Risikogründen der Community als „Unsicher“ gekennzeichnet.
  • Konfidenzniveau: das Konfidenzniveau, das ein Analyst seinem Feedback zur Live Connect-Entität beimisst. Es existieren folgende Kategorien für das Konfidenzniveau: Hoch, Mittel und Niedrig.
  • Risikoindikatortags: Hier können Sie eine Tagkategorie auswählen, basierend auf der Analyse.
Community-Aktivität

Community-Aktivitäten wie:

  • Datum, an dem die Community das Problem erstmals bemerkt hat.
  • Verstrichene Zeit, seitdem die Community die IP/Datei/Domain erstmals bemerkt hat (aktueller Zeitpunkt - Zeitpunkt des ersten Bemerkens)

Trending-Community-Aktivität:

Wenn die IP-Adresse innerhalb der RSA-Community bekannt ist, wird eine grafische Darstellung des Community-Aktivitätstrends für folgende Parameter angezeigt:

  • Benutzer (in %), von denen die IP-Adresse in der Live Connect-Community im Lauf der Zeit angezeigt wurde
  • Nutzer (in %), die Feedback für die IP-Adresse übermittelt haben.
  • Nutzer (in %), von denen die IP-Adresse im Lauf der Zeit als „Unsicher“ markiert wurde

Risikoindikatoren

Risk Indicators

Risikoindikatoren werden basierend auf den Tags hervorgehoben, die den Entitäten (IPs, Dateien oder Domains) von der Community zugewiesen werden.

Die Tags sind wie folgt kategorisiert: Aufklärung, Lieferung, Befehl und Kontrolle, Laterale Bewegung, Rechteerweiterung, Verpackung und Exfiltration.

Diese Tags sind Muster und variieren je nach den Eingaben aus der Community, die auf dem Live Connect-Server eingehen. Der Analyst kann die entsprechenden Risikoindikatortags auswählen, während er Prüfungsfeedback verfasst. Hervorgehobene Tags bedeuten, dass die ausgewählte Entität der betreffenden Kategorie und dem betreffenden Tag zugeordnet ist. Durch Klicken auf ein hervorgehobenes Tag können Sie die Beschreibung des Tags einsehen.

Identität

Zeigt die folgenden Identitätsinformationen für die ausgewählte Entität bzw. den ausgewählten Metawert an:

Für IP-Adressen: Autonomous System Nummer (ASN), Präfix, Ländercode und Name des Landes, Registrierter Nutzer (Organisation) und Datum.

Für Datei-Hashes: Dateiname, Dateigröße, MD5, SH1, SH256, Kompilierzeit und MIME-Typ.

Für Domains: Domainname und Zugeordnete IP-Adresse.

Zertifikatinformationen

Zeigt die folgenden Zertifikatinformationen für den ausgewählten Datei-Hash an Aussteller des Zertifikats, Gültigkeit des Zertifikats, Signaturalgorithmus und Seriennummer des Zertifikats.

WHOIS-Informationen

WHOIS Information

Die WHO IS-Informationen geben Details bezüglich des Eigentümers einer bestimmten Domain an.

Die folgenden Informationen zum Domaineigentümer werden angezeigt: Erstellungsdatum, Aktualisierungsdatum, Ablaufdatum, Typ (Registrierungstyp), Name, Organisation, Adresse mit Postleitzahl, Land, Telefon, Fax und E-Mail.

Verwandte Dateien

Verwandte Dateien werden für Entitäten der Typen „IP“ und „Domain“ angezeigt. Eine Liste der bekannten zugehörigen Dateien wird zusammen mit den folgenden Informationen angezeigt: Live Connect-Risikorating (Sicher, Riskant und Unbekannt), Dateiname, MD5, Kompilierzeit und Kompilierdatum, Import-Hash der API-Funktion und MIME-Typ.

Verwandte Domains

Verwandte Domains werden für Entitäten der Typen „IP“ und „Dateien“ angezeigt. Eine Liste der bekannten zugehörigen Domains wird zusammen mit den folgenden Informationen angezeigt: Live Connect-Risikorating (Sicher, Riskant und Unbekannt), Domainname, Name des Landes, Registrierungsdatum, Ablaufdatum und E-Mail-Adresse des Registranten.

Verwandte IPs

Zugehörige IPs werden für Einheitentypen-Domain und -Dateien angezeigt. Eine Liste der bekannten zugehörigen IPs wird zusammen mit den folgenden Informationen angezeigt: Live Connect-Risikorating (Sicher, Riskant und Unbekannt), IP-Adresse, Domainname, Ländercode und Name des Landes, Registrierungsdatum, Ablaufdatum und E-Mail-Adresse des Registranten.

      
You are here
Table of Contents > NetWitness Respond-Referenzinformationen > Bereich „Kontextabfrage“

Attachments

    Outcomes