Im Bereich Ansicht „Ereignisse“ und Neue Ansicht „Ereignisse“ – Ereignisrekonstruktion (Untersuchen > Bereich „Ereignisse“ > Klicken auf ein Ereignis) können Sie auf sichere Weise eine Rekonstruktion eines Ereignisses aus der Ansicht „Navigieren“ oder dem Bereich „Ereignisse“ anzeigen, über das Sie mehr erfahren möchten.
Workflow
Was möchten Sie tun?
Verwandte Themen
- Wie funktioniert NetWitness Investigate?
- Durchführen einer Ermittlung
- Analysieren von Ereignissen in der Ansicht „Ereignisanalyse“
- Ansicht „Navigieren“
- Ansicht „Ereignisanalyse“ – Bereich „Textanalyse“
Überblick
Der Bereich „Untersuchen > Rekonstruktion“ zeigt eine Rekonstruktion eines einzelnen Ereignisses in der Paketansicht, Dateiansicht und Textansicht an. Wenn Sie im Bereich „Ereignisse“ auf ein Ereignis klicken, wird im angrenzenden Bereich „Rekonstruktion“ die Paketrekonstruktion des Ereignisses angezeigt. Sie können mit den Optionen in der Symbolleiste „Ereignisrekonstruktion“ den Typ und die Richtung der Rekonstruktion (Anforderung oder Antwort) ändern, die Bereichsüberschrift verbergen oder anzeigen und den Bereich „Ereignisrekonstruktion“ einblenden, verkleinern und schließen. Je nach ausgewähltem Rekonstruktionstyp und dem Inhalt der Nutzlast stehen zusätzliche Optionen zur Verfügung. Sie können z. B. die Nutzlast nur in der Textansicht anzeigen, Dateien in der Dateiansicht herunterladen und PCAP-Dateien in der Paketansicht herunterladen.
Im Folgenden finden Sie ein Beispiel für eine Paketrekonstruktion.
1 | Registerkarten oder Drop-down-Menü, um den Rekonstruktionstyp auszuwählen: Paketansicht, Dateiansicht, Textansicht. Der aktuell ausgewählte Typ wird in der Bezeichnung angezeigt. |
2 | Klicken Sie, um die Bereichsüberschrift ein- oder auszublenden. |
3 | Klicken Sie auf diese Symbole, um die Anforderung, Antwort oder beides einzublenden. |
4 | Klicken Sie auf dieses Symbol, um den Bereich „Ereignis-Metadaten“ ein- oder auszublenden, der eine detaillierte Auflistung der dem Ereignis zugeordneten Metadaten enthält. |
5 | Eine Option zum horizontalen Erweitern oder Verkleinern des Bereichs „Rekonstruktion“ in der Ansicht „Navigieren“ |
6 | Eine Option zum Schließen des Bereichs „Rekonstruktion“ |
7 | In der Kopfzeile werden zusammenfassende Informationen für das zu rekonstruierende Ereignis angezeigt. |
8 | Listet jedes Paket im Ereignis auf. Für jedes Paket werden die Paketnummer, die Richtung (Anfrage oder Antwort) und der Paketinhalt links im Binärformat, in der Mitte im hexadezimalen Format und rechts im Textformat angezeigt. |
Details der Paketrekonstruktion
In der Paketrekonstruktion werden unter „Untersuchen“ die Paketnummer, die Richtung des Pakets (Anforderung oder Antwort), die Startzeit des Pakets und der Inhalt des Pakets angezeigt.
Alle Pakete beginnen mit einer Kopfzeile und einige Pakete weisen eine Fußzeile auf. In der Paketansicht haben die Kopfzeile und Fußzeile einen dunkleren Hintergrund, damit sie von der Nutzlast des Pakets zu unterscheiden sind. Der dunklere Hintergrund für die Kopf- und Fußzeile wird im hexadezimalen und im Textformat angezeigt.
Der Inhalt des Pakets wird im hexadezimalen und im Textformat angezeigt. Die Metadaten sind in Blau hervorgehoben. Wenn Sie den Mauszeiger über die Metadaten bewegen, werden der Metaschlüssel und der Metawert als Kurzinfo angezeigt.
Zusätzliche Optionen in der Paketansicht beinhalten die Möglichkeit, die PCAP-Datei für das Ereignis herunterzuladen und nur Nutzlast anzuzeigen. Wenn nur Nutzlast angezeigt wird, können Sie mit der Option „Byte schattieren“ Muster in den Daten unterscheiden.
Details der Textrekonstruktion
In der Textrekonstruktion werden Netzwerkereignisse und Protokollereignisse unterschiedlich dargestellt. Für Netzwerkereignisse stellt „Untersuchen“ die Richtung des Pakets (Anforderung oder Antwort) und die Inhalte jedes Pakets im Textformat bereit.
Für Protokollereignisse (Filter „Medium = Protokoll“) gibt es keine Anforderung oder Antwort; in der Textrekonstruktion wird nur das Rohdatenprotokoll angezeigt.
Eine Teilmenge der Rekonstruktionsoptionen ist in der Textansicht verfügbar. Sie können Folgendes tun:
- Die Kopfzeile aus- und einblenden.
- Für Netzwerkereignisse die Anzeige nur von Anforderungen oder nur von Antworten oder von beiden auswählen.
- Für Netzwerkereignisse die Sitzung als PCAP-Datei exportieren.
- Für Protokollereignisse das Rohdatenprotokoll exportieren.
- Zwischen einer komprimierten und dekomprimierten Ansicht der Nutzlast wechseln. Wenn die Sitzung dekomprimiert wird, werden die komprimierten Teile des Textes lesbar.
- Text für die Decodierung und Codierung auswählen.
Hinweis: Diese Funktion ist für die Dateiansicht, andere als http-Netzwerksitzungen und Protokolldaten nicht verfügbar.
Details der Dateirekonstruktion
In der Dateirekonstruktion zeigt Ermittlung eine Liste der Dateien an, die mit dem ausgewählten Netzwerkereignis verknüpft sind.
Sie können eine Datei, mehrere Dateien oder alle Dateien für den Export in Ihr lokales Dateisystem auswählen. Wenn Dateien ausgewählt sind, wird die Schaltfläche „Dateien exportieren“ aktiviert, auf der die Anzahl der ausgewählten Dateien angezeigt wird. Durch Klicken auf die Schaltfläche werden die ausgewählten Dateien als ZIP-Archiv exportiert. Damit wird sichergestellt, dass potenziell schädliche Dateien nicht von der Standardanwendung geöffnet und ausgeführt werden. Das exportierte Archiv wird nach der folgenden Konvention benannt:
<service-ID or host name>_SID<nnnnnnnn>_FC<n>.zip
Hierbei gilt:
- <service-ID or host name> ist der Name des Services (z. B. Concentrator oder Broker), in dem die Sitzung gespeichert wurde.
- SID<nnnnnnnn> ist die Sitzungs-ID-Nummer.
- FC<nnnnnnnn> ist die Dateianzahl oder die Anzahl der Dateien im Archiv.
NetWitness Suite exportiert das Archiv mit Passwortschutz, um zu verhindern, dass es beim Herunterladen automatisch entpackt wird. Geben Sie zum Öffnen eines Archivs das folgende Passwort ein: netwitness.
Achtung: Beim Entpacken und Öffnen von Dateien, die mit einer Standardanwendung verknüpft sind, ist Vorsicht geboten; beispielsweise könnte eine Excel-Tabelle automatisch in Excel geöffnet werden, bevor Sie überprüfen konnten, ob sie sicher ist.