Ansicht „Services > Konfiguration“ – Registerkarte „Auditing“

Document created by RSA Information Design and Development on May 11, 2018Last modified by RSA Information Design and Development on May 14, 2018
Version 2Show Document
  • View in full screen mode
 

Im Bereich Ansicht „Ereignisse“ und Neue Ansicht „Ereignisse“ – Ereignisrekonstruktion (Untersuchen > Bereich „Ereignisse“ > Klicken auf ein Ereignis) können Sie auf sichere Weise eine Rekonstruktion eines Ereignisses aus der Ansicht „Navigieren“ oder dem Bereich „Ereignisse“ anzeigen, über das Sie mehr erfahren möchten.

Workflow

Was möchten Sie tun?

                                      
BenutzerrolleAufgabeDokumentation

Threat Hunter

Abfrage sendenDurchführen einer Ermittlung
Threat HunterAbfrageergebnisse anzeigenAnalysieren von Ereignissen in der Ansicht „Ereignisanalyse“

Threat Hunter

Ereignis rekonstruieren*

Rekonstruieren eines Ereignisses

Threat HunterDateien aus einem Ereignis exportierenRekonstruieren eines Ereignisses
Threat HunterZusätzlichen Kontext für ein Ereignis suchenNachschlagen kontextbezogener Informationen

Verwandte Themen

  • Wie funktioniert NetWitness Investigate?
  • Durchführen einer Ermittlung
  • Analysieren von Ereignissen in der Ansicht „Ereignisanalyse“
  • Ansicht „Navigieren“
  • Ansicht „Ereignisanalyse“ – Bereich „Textanalyse“

Überblick

Der Bereich „Untersuchen > Rekonstruktion“ zeigt eine Rekonstruktion eines einzelnen Ereignisses in der Paketansicht, Dateiansicht und Textansicht an. Wenn Sie im Bereich „Ereignisse“ auf ein Ereignis klicken, wird im angrenzenden Bereich „Rekonstruktion“ die Paketrekonstruktion des Ereignisses angezeigt. Sie können mit den Optionen in der Symbolleiste „Ereignisrekonstruktion“ den Typ und die Richtung der Rekonstruktion (Anforderung oder Antwort) ändern, die Bereichsüberschrift verbergen oder anzeigen und den Bereich „Ereignisrekonstruktion“ einblenden, verkleinern und schließen. Je nach ausgewähltem Rekonstruktionstyp und dem Inhalt der Nutzlast stehen zusätzliche Optionen zur Verfügung. Sie können z. B. die Nutzlast nur in der Textansicht anzeigen, Dateien in der Dateiansicht herunterladen und PCAP-Dateien in der Paketansicht herunterladen.

Im Folgenden finden Sie ein Beispiel für eine Paketrekonstruktion.

Event Reconstruction with labels

                                     
1Registerkarten oder Drop-down-Menü, um den Rekonstruktionstyp auszuwählen: Paketansicht, Dateiansicht, Textansicht. Der aktuell ausgewählte Typ wird in der Bezeichnung angezeigt.
2Klicken Sie, um die Bereichsüberschrift ein- oder auszublenden.
3Klicken Sie auf diese Symbole, um die Anforderung, Antwort oder beides einzublenden.
4Klicken Sie auf dieses Symbol, um den Bereich „Ereignis-Metadaten“ ein- oder auszublenden, der eine detaillierte Auflistung der dem Ereignis zugeordneten Metadaten enthält.
5Eine Option zum horizontalen Erweitern oder Verkleinern des Bereichs „Rekonstruktion“ in der Ansicht „Navigieren“
6Eine Option zum Schließen des Bereichs „Rekonstruktion“
7In der Kopfzeile werden zusammenfassende Informationen für das zu rekonstruierende Ereignis angezeigt.
8Listet jedes Paket im Ereignis auf. Für jedes Paket werden die Paketnummer, die Richtung (Anfrage oder Antwort) und der Paketinhalt links im Binärformat, in der Mitte im hexadezimalen Format und rechts im Textformat angezeigt.

Details der Paketrekonstruktion

In der Paketrekonstruktion werden unter „Untersuchen“ die Paketnummer, die Richtung des Pakets (Anforderung oder Antwort), die Startzeit des Pakets und der Inhalt des Pakets angezeigt.

Alle Pakete beginnen mit einer Kopfzeile und einige Pakete weisen eine Fußzeile auf. In der Paketansicht haben die Kopfzeile und Fußzeile einen dunkleren Hintergrund, damit sie von der Nutzlast des Pakets zu unterscheiden sind. Der dunklere Hintergrund für die Kopf- und Fußzeile wird im hexadezimalen und im Textformat angezeigt.

a header and footer in the Packet View

Der Inhalt des Pakets wird im hexadezimalen und im Textformat angezeigt. Die Metadaten sind in Blau hervorgehoben. Wenn Sie den Mauszeiger über die Metadaten bewegen, werden der Metaschlüssel und der Metawert als Kurzinfo angezeigt.

Zusätzliche Optionen in der Paketansicht beinhalten die Möglichkeit, die PCAP-Datei für das Ereignis herunterzuladen und nur Nutzlast anzuzeigen. Wenn nur Nutzlast angezeigt wird, können Sie mit der Option „Byte schattieren“ Muster in den Daten unterscheiden.

Details der Textrekonstruktion

In der Textrekonstruktion werden Netzwerkereignisse und Protokollereignisse unterschiedlich dargestellt. Für Netzwerkereignisse stellt „Untersuchen“ die Richtung des Pakets (Anforderung oder Antwort) und die Inhalte jedes Pakets im Textformat bereit.

Für Protokollereignisse (Filter „Medium = Protokoll“) gibt es keine Anforderung oder Antwort; in der Textrekonstruktion wird nur das Rohdatenprotokoll angezeigt.


Eine Teilmenge der Rekonstruktionsoptionen ist in der Textansicht verfügbar. Sie können Folgendes tun:

  • Die Kopfzeile aus- und einblenden.
  • Für Netzwerkereignisse die Anzeige nur von Anforderungen oder nur von Antworten oder von beiden auswählen.
  • Für Netzwerkereignisse die Sitzung als PCAP-Datei exportieren.
  • Für Protokollereignisse das Rohdatenprotokoll exportieren.
  • Zwischen einer komprimierten und dekomprimierten Ansicht der Nutzlast wechseln. Wenn die Sitzung dekomprimiert wird, werden die komprimierten Teile des Textes lesbar.
  • Text für die Decodierung und Codierung auswählen.

Hinweis: Diese Funktion ist für die Dateiansicht, andere als http-Netzwerksitzungen und Protokolldaten nicht verfügbar.

Details der Dateirekonstruktion

In der Dateirekonstruktion zeigt Ermittlung eine Liste der Dateien an, die mit dem ausgewählten Netzwerkereignis verknüpft sind.

Sie können eine Datei, mehrere Dateien oder alle Dateien für den Export in Ihr lokales Dateisystem auswählen. Wenn Dateien ausgewählt sind, wird die Schaltfläche „Dateien exportieren“ aktiviert, auf der die Anzahl der ausgewählten Dateien angezeigt wird. Durch Klicken auf die Schaltfläche werden die ausgewählten Dateien als ZIP-Archiv exportiert. Damit wird sichergestellt, dass potenziell schädliche Dateien nicht von der Standardanwendung geöffnet und ausgeführt werden. Das exportierte Archiv wird nach der folgenden Konvention benannt:

<service-ID or host name>_SID<nnnnnnnn>_FC<n>.zip

Hierbei gilt:

  • <service-ID or host name> ist der Name des Services (z. B. Concentrator oder Broker), in dem die Sitzung gespeichert wurde.
  • SID<nnnnnnnn> ist die Sitzungs-ID-Nummer.
  • FC<nnnnnnnn> ist die Dateianzahl oder die Anzahl der Dateien im Archiv.

NetWitness Suite exportiert das Archiv mit Passwortschutz, um zu verhindern, dass es beim Herunterladen automatisch entpackt wird. Geben Sie zum Öffnen eines Archivs das folgende Passwort ein: netwitness.

Achtung: Beim Entpacken und Öffnen von Dateien, die mit einer Standardanwendung verknüpft sind, ist Vorsicht geboten; beispielsweise könnte eine Excel-Tabelle automatisch in Excel geöffnet werden, bevor Sie überprüfen konnten, ob sie sicher ist.

Detaillierte Beschreibung

                                           
FunktionBeschreibung
Menü „Rekonstruktionstyp“In diesem Menü können Sie den Typ der Rekonstruktion auswählen: Paket oder Datei. Wenn Sie eine Rekonstruktion zum ersten Mal öffnen, wählt NetWitness Suite standardmäßig die beste Rekonstruktion aus.
DownloadoptionenOptionen zum Exportieren eines Protokolls, einer PCAP-Datei oder von Dateien zur genaueren Analyse und zum Teilen mit anderen.
Steuert die Anzeige einer Kopfzeile über der Paketliste; Sie können auf dieses Symbol klicken, um die Kopfzeile aus- oder einzublenden. Durch Ausblenden der Kopfzeile steht mehr Platz für die Paketliste zur Verfügung und der erforderliche Bildlauf zur Anzeige weiterer Pakete wird reduziert.
Die Kopfzeile enthält Informationen über das rekonstruierte Ereignis: Name des Services, der das Paket erfasst hat, Sitzungs- oder Ereignisnummer, Typ des Ereignisses (Netzwerk), Quell-IP:Port, Ziel-IP:Port, Servicetyp, erste Paketzeit im Ereignis, letzte Paketzeit im Ereignis, Ereignisgröße, Größe der Nutzlast in Byte, Paketanzahl sowie die Flags des Ereignisses (beibehalten, zusammengestellt, App-Metadaten, Netzwerkmetadaten).

Zwei Steuerelemente aktivieren und deaktivieren die Anzeige von Anforderung und Antwort (siehe Rekonstruieren eines Ereignisses).

Zeigt die Metadetails für das Ereignis in einem anderen Bereich an.

(Zukünftig) Menü „Einstellungen“.
Dimensionierung der Steuerelemente für den Bereich „Rekonstruktion“ (siehe Rekonstruieren eines Ereignisses).

Schließt den Bereich „Rekonstruktion“. In der Ansicht wird jetzt nur der Bereich „Ereignisse“ angezeigt.

You are here
Table of Contents > Ressourcen für „Malware Analysis“ > Ansicht „Services“ > „Konfiguration“ – Registerkarte „Auditing“

Attachments

    Outcomes