MA: Ansicht „Service-Konfiguration“ – Registerkarte „IOC-Zusammenfassung“

Document created by RSA Information Design and Development on May 11, 2018Last modified by RSA Information Design and Development on May 14, 2018
Version 2Show Document
  • Comment0
  • View in full screen mode
 

In diesem Thema erhalten Sie eine Einführung zu den Funktionen auf der Registerkarte „IOC-Zusammenfassung“ in der Ansicht „Service-Konfiguration“. Auf dieser Registerkarte können Sie für jeden IOC zusammenfassende Informationen anzeigen. Ein Raster für jedes Bewertungsmodul listet die konfigurierten IOCs jeweils zusammen mit den Statistiken für den IOC für einen bestimmten Zeitbereich auf. Hierzu gehören die folgenden Statistiken:

  • die Anzahl an Ereignissen für eine Netzwerksitzung oder die Anzahl an im IOC gekennzeichneten Dateien für ein statisches Ereignis bzw. ein Community- oder Sandbox-Ereignis
  • die aktuelle für den IOC konfigurierte Bewertung auf der Registerkarte Indikatoren für eine Infizierung
  • die von den einzelnen Bewertungsmodulen zurückgegebenen Bewertungen

Wenn Sie ein Ereignis auswählen, können Sie entweder die Ansicht Schadsoftwareereignisse oder die Ansicht Schadsoftwaredateien für den IOC anzeigen. Sie können den ausgewählten IOC auch auf der Registerkarte „Indikatoren für eine Infizierung“ öffnen, um die aktuelle Bewertung zu bearbeiten.

Dies ist ein Beispiel der Registerkarte „IOC-Zusammenfassung“ für das Netzwerk-Bewertungsmodul.

Funktionen

Die IOC-Zusammenfassung enthält vier Registerkarten – eine pro Bewertungsmodul: Netzwerk, Statisch, Community und Sandbox. Alle Registerkarten besitzen dasselbe Format und dieselben Informationen sowie eine Symbolleiste und ein auslagerbares Raster.

In der folgenden Tabelle werden die Funktionen der einzelnen Registerkarten beschrieben.

                                   
FunktionBeschreibung
Zeitbereich Wählt den Zeitbereich für die IOC-Zusammenfassung aus. Die möglichen Werte sind: „Letzte 5 Minuten„, „Letzte 15 Minuten“, „Letzte 30 Minuten“, „Letzte Stunde“, „Letzte 3 Stunden“, „Letzte 6 Stunden“, „Letzte 12 Stunden“, „Letzte 24 Stunden“, „Letzte 2 Tage“, „Letzte 5 Tage“, „Morgen“, „Vormittag“, „Nachmittag“, „Abend“, „Den ganzen Tag“, „Gestern“, „Diese Woche“, „Letzte Woche“ oder „Benutzerdefiniert“.
Spalte BeschreibungFührt die Beschreibungen für die IOCs auf.
Spalte AnzahlFührt die Anzahl der Vorkommen von IOCs auf. Auf der Registerkarte Netzwerk ist dies die Anzahl an Ereignissen, in denen ein IOC gefunden wurde. Auf den anderen Registerkarten stellt der Wert unter Anzahl die Anzahl an Dateien dar, in denen ein IOC gefunden wurde.
Spalte Aktuelle BewertungFührt die aktuelle Bewertung für die IOCs laut der Konfiguration auf der Registerkarte Indikatoren für eine Infizierung auf.
Spalten Statisch, Netzwerk, Community und SandboxFührt die Bewertungen auf, die die einzelnen Bewertungsmodule den IOCs zugewiesen haben.
Drop-down-Menü „Aktionen“Das Drop-down-Menü „Aktionen“ enthält zwei Optionen:
„Ereignisse/Dateien anzeigen“ und „Bearbeiten“. Über die Option „Ereignisse anzeigen“ wird der IOC in der Ansicht „Ermittlungsereignisse“ bzw. „Dateien“ geöffnet. Sie können diese Ansicht auch aufrufen, indem Sie auf den IOC doppelklicken. Über die Option Bearbeiten wird der IOC auf der Registerkarte Indikatoren für eine Infizierung geöffnet, damit die aktuelle Bewertung bearbeitet werden kann.
You are here
Table of Contents > Ressourcen für „Malware Analysis“ > Ansicht „Services“ > „Konfiguration“ – Registerkarte „IOC-Zusammenfassung“

Attachments

    Outcomes

      Visibility: RSA NetWitness Logs & Network 11.x Documentation (German)5 Views
      Last modified on May 14, 2018 2:05 PM
      Tags:
      Categories: Administration
      Ratings: