Untersuchen: Visualisieren von Metadaten als Parallelkoordinaten

Document created by RSA Information Design and Development on May 14, 2018Last modified by RSA Information Design and Development on Oct 19, 2018
Version 3Show Document
  • View in full screen mode
 

Analysten können mithilfe der Parallelkoordinatenvisualisierung in der Ansicht „Navigation“ die Ermittlung auf Kombinationen aus Metaschlüsseln und -werten fokussieren, die eventuell auf abnormale Ereignisse hindeuten und eine Ermittlung wert sind.

Hinweis: In Version 11.1 und höher können Sie bei Verwendung von Metaschlüsseln auch konfigurierte Metaeinheiten verwenden.

Das Parallelkoordinatendiagramm ist eine Möglichkeit zur Visualisierung des aktuellen Drill-down-Punkts in Investigation, um mehr als zwei Metaschlüssel gleichzeitig zu betrachten. Die gleichzeitige Visualisierung mehrerer Metaschlüssel kann helfen, Sicherheitsprobleme im Zusammenhang mit multivarianten Mustern und Vergleichen zu identifizieren. So zum Beispiel, wenn einzelne Metaschlüssel und -werte nicht wichtig sind, ihre Kombination jedoch abnormale Muster oder Beziehungen zutage fördert. Metagruppen (siehe Metagruppen managen) können effektiv verwendet werden, um eine Sammlung von Metaschlüsseln zu definieren, die Sie als Parallelkoordinaten visualisieren möchten.

Best Practices für effektive Parallelkoordinatendiagramme

Befolgen Sie diese Empfehlungen, um effektive Parallelkoordinatendiagramme zu erstellen:

  • Starten Sie von einem Drill-down-Punkt in der Ansicht „Navigation“, statt zu versuchen, alle Daten zu visualisieren.
  • Begrenzen Sie den Zeitbereich, falls erforderlich.
  • Wählen Sie den kleinsten nützlichen Satz Metaschlüssel als Achsen.
  • Legen Sie die Reihenfolge der Achsen fest, um Anomalien zwischen Metawerten hervorzuheben, wenn Sie einer Linie über das Diagramm folgen.
  • Wenn Sie einen nützlichen Satz Metaschlüssel und eine Reihenfolge identifizieren können, erstellen Sie eine benutzerdefinierte Metagruppe für zukünftige Ermittlungen. Beispiel: Sie können eine benutzerdefinierte Metagruppe für ausführbare Windows-Dateitypen erstellen.
  • Verwenden Sie die RSA Out-of-the-Box(OOTB)-Metagruppen, die in einer neuen Installation enthalten sind.
  • Nutzen Sie benutzerdefinierte Metagruppen erneut und teilen Sie sie durch Importieren und Exportieren der Gruppen als .jsn-Dateien.
  • Es kann hilfreich sein, zwei Versionen jeder benutzerdefinierten Metagruppe zu erstellen: eine für die Analyse von Metawerten und eine für das Erstellen eines Parallelkoordinatendiagramms, das auf eine kleinere Untergruppe des gesamten Anwendungsfalls fokussiert ist.

Hinweis: Beim Importieren von Metagruppen zeigt eine Fehlermeldung an, ob eine der Gruppen bereits vorhanden ist. Zum Importieren einer Gruppe, die ein Duplikat darstellt, müssen Sie zuerst die vorhandene Gruppe löschen. Wenn Sie eine Metagruppe löschen möchten, darf diese nicht von einem Profil verwendet werden.

Um Sie bei der Erstellung besserer Parallelkoordinatendiagramme zu unterstützen, enthält NetWitness Suite mehrere Optimierungen.

  • Analysten können angeben, dass nur Sitzungen in dem Diagramm dargestellt werden, in denen alle Metaschlüssel vorkommen.
  • Der Administrator kann die Anzahl der dargestellten Metawerte in den „Einstellungen zu Parallelkoordinaten“ in der Ansicht „Administration > System“ festlegen.

RSA-Metagruppen für Parallelkoordinaten – Anwendungsbeispiele

Eine Reihe von vordefinierten Metagruppen ist im Lieferumfang von NetWitness Suite enthalten. Wenn Sie die neueste Version erhalten möchten, können Sie die Metagruppen-Datei MetaGroups_ootb_w_query.jsn im Dialogfeld „Metagruppen managen“ importieren. Einige gut für die Parallelkoordinatenvisualisierung geeignete Aktivitäten sind:

  • Botnet Beaconing
  • Verdeckte Kanäle
  • E-Mail
  • Verschlüsselte Sitzungen
  • Endpunktanalyse
  • Dateianalyse
  • Malware Analysis
  • Ausgehender HTTP
  • Ausgehendes SSL/TLS
  • SQL-Injektionsangriffe
  • Bedrohungsanalyse
  • Webanalyse

Anzeigen einer Parallelkoordinatenvisualisierung

Führen Sie in einer Ermittlung in der Ansicht „Investigate > Navigation“ folgende Schritte aus:

  1. Wenn der Bereich „Visualisierung“ über dem Bereich „Werte“ geschlossen ist, wählen Sie Visualisierung aus.
  2. Wählen Sie in der Symbolleiste Metagruppe verwenden > Dateianalyse (Malware-Analyse) aus.
  3. Klicken Sie im Bereich Werte im Metaschlüssel Forensischer Fingerabdruck auf windows_executable und dann auf x86 pe, sodass die Brotkrümelnavigation filetype = 'windows_executable' | filetype = 'x86 pe' lautet.
    values in the Values panel
  4. Als Zeitachse wird eine Standardvisualisierung für den aktuellen Drill-down-Punkt angezeigt.
    default visualization in the Navigate view
  5. Wählen Sie im Bereich Visualisierung den Punkt Optionen aus.
    Das Dialogfeld „Visualisierungsoptionen“ wird angezeigt.
  6. Wählen Sie in der Drop-down-Liste Visualisierung die Option Koordinaten aus und klicken Sie auf Anwenden.
    Visualization Options dialog
    Die Visualisierung wird geladen. In diesem Beispiel wurden 249 Ereignisse gefunden und es werden 199 eindeutige Pfade visualisiert.
    example of a parallel coordinates visualization

Auswählen der Metaschlüssel für eine Parallelkoordinatenvisualisierung

Gehen Sie bei geöffneter Parallelkoordinatenvisualisierung wie folgt vor:

  1. Wählen Sie im Bereich „Visualisierung“ den Punkt Optionen aus.
    Das Dialogfeld „Visualisierungsoptionen“ wird angezeigt. Klicken Sie in der Symbolleiste auf ic-info2.png, um die empfohlene Anzahl an Achsen für eine lesbare Visualisierung anzuzeigen. Wenn eine empfohlene Anzahl an Schlüsseln angezeigt wird, ändert sich diese basierend auf der Browsergröße. Wenn Sie das Browserfenster vergrößern, steigt die empfohlene Anzahl.
    the Visualization Options dialog
  2. Wenn Sie die Reihenfolge der Metaschlüssel ändern möchten, ziehen Sie die Metaschlüssel in die gewünschte Reihenfolge nach oben oder unten.
  3. Wenn Sie Metaschlüssel löschen möchten, klicken Sie in das Auswahlfeld und klicken Sie auf icon-remove.png.
    Die Metaschlüssel werden entfernt, aber die Änderung wurde nicht angewendet.
  4. Wenn Sie den vorherigen Zustand wiederherstellen möchten, klicken Sie auf icon-revert.png.
    Die von Ihnen gelöschten Metaschlüssel werden wiederhergestellt und alle vorgenommenen Änderungen werden entfernt.
  5. Wenn Sie einzelne Metaschlüssel auswählen möchten, klicken Sie auf the add icon, wählen Sie Aus Standardschlüsseln aus und wählen Sie in der Drop-down-Liste die Metaschlüssel aus.
    From Default Meta Keys drop-down list
    Die ausgewählten Schlüssel werden aufgeführt.
    selected keys listed in the Add Keys to Parallel Coordinates Visualization dialog
  6. Wenn Sie alle Schlüssel einer Metagruppe hinzufügen möchten, können Sie keine einzelnen Schlüssel hinzufügen. Wählen Sie Aus Metagruppen aus und wählen Sie in der Drop-down-Liste eine Gruppe aus.
    From Meta Groups drop-down list in the Add Keys to Parallel Coordinates Visualization
    Die ausgewählten Metagruppen werden in dem Feld aufgelistet.
  7. Wählen Sie die Methode für das Hinzufügen von Schlüsseln oder Gruppen aus: Aktuelle Schlüsselliste ersetzen, An aktuelle Schlüsselliste anhängen (am Ende) oder Am Anfang der aktuellen Schlüsselliste einfügen.
    Method to add meta keys is Replace the current list of keys
  8. Klicken Sie auf Hinzufügen, um das Verfahren abzuschließen.
    Das Dialogfeld „Visualisierungsoptionen“ wird mit den ausgewählten Metaschlüsseln oder -gruppen angezeigt.
  9. Klicken Sie zum Anzeigen des neuen Visualisierungsdiagramms auf Anwenden.
    Parallel coordinates visualization

Optimieren einer Parallelkoordinatenvisualisierung

  1. Wählen Sie zum Optimieren der Visualisierung durch Entfernen der Ereignisse, in denen nicht alle Metaschlüssel enthalten sind, Optionen aus.
    Visualization options
  2. Wählen Sie im Dialogfeld „Visualisierungsoptionen“ die Option Alle Metaschlüssel müssen in einem Ereignis vorhanden sein aus. Klicken Sie auf Anwenden.
    Das resultierende Diagramm ist besser lesbar und nützlicher und enthält eine geringere Anzahl eindeutiger Pfade.
    Parallel Coordinates visualization with All Keys Must Exist in an Event in effect
  3. Wenn Sie einen kleinen Satz Punkte hervorheben möchten, um den Pfad der Linie von links nach rechts zu verfolgen, klicken Sie auf eine Achse. Der Cursor ändert sich zu einem Fadenkreuz, das Sie ziehen können, um einen oder mehrere Werte auszuwählen. Wenn Sie die Maus loslassen, werden die Linien hervorgehoben. Im Beispiel unten ist der SSL-Servicetyp durch ein graues Feld hervorgehoben.
    Parallel Coordinates visualization with a small set of points highlighted
  4. Wenn Sie die Visualisierung vergrößern möchten, ziehen Sie die untere Ecke des Bereichs nach unten und ziehen Sie die rechte Ecke des Browserfensters breiter.

Anwendungsbeispiel

Unten sehen Sie ein Beispiel für eine Parallelkoordinatenvisualisierung von Metaschlüsseln, die Dateimetadaten in einer Sitzung repräsentieren. Von links nach rechts gibt es drei Metaschlüssel oder Achsen: „Erweiterungen“, „Forensischer Fingerabdruck“ und „Dateiname“. Entlang jeder Achse sind Werte aufgetragen. Die Werte auf der Achse „Erweiterungen“ zeigen die Dateierweiterungen an und die Werte auf der Achse „Forensischer Fingerabdruck“ sind ausführbare Windows-Dateien. Normalerweise passt der Dateityp zum erwarteten forensischen Fingerabdruck. Es ist jedoch abnormal, dass ein gif-Dateityp mit dem Fingerabdruck einer ausführbaren Windows-Datei kombiniert ist. Der gif-Dateityp ist ausgewählt, um die Korrelationen dieses Dateityps, x86pe und zwei Dateinamen in der dritten Achse hervorzuheben, sodass ein Analyst Dateien, die eine Ermittlung erfordern, schnell erkennen kann.

So gelangen Sie zu dieser Ansicht:

  1. Nach Wert ordnen und In aufsteigender Reihenfolge sortieren.
  2. Wenden Sie in der Ansicht „Navigation“ zwei Filter an (Dateityp = „ausführbare Windows-Datei“ und Erweiterung = „gif“), um die Datenmenge zu begrenzen.
  3. Konfigurieren Sie ein Parallelkoordinatendiagramm durch Auswählen von drei Achsen: file extension, forensic fingerprint und filename.
    parallel coordinates visualization with three axes

Beispielvisualisierung eines großen Datensatzes

Dieses Beispiel für eine Parallelkoordinatenvisualisierung, die auf einen größeren Datensatz angewendet wurde, veranschaulicht mehrere Meldungen, anhand derer Analysten verstehen können, was visualisiert wurde.

  • Zum Erstellen des Diagramms beginnt NetWitness Suite mit dem Scannen von Metawerten und der Ausgabe von Ergebnissen. Ein typischer Zeitbereich könnte bis zu 10.000.000 Metawerte enthalten. Wenn die Anzahl der zurückgegebenen Metawerte den Ergebnisgrenzwert für Metawerte erreicht, wird das Diagramm dargestellt, auch wenn die von NetWitness Suite gescannte Anzahl an Metawerten nicht dem Scangrenzwert für Metawerte entspricht.
  • Es gibt eine feste Höchstgrenze für die Datenmenge, die als Parallelkoordinatendiagramm gerendert werden kann. In NetWitness Suite 10.4 und früher basiert diese Grenze auf der Anzahl von Achsen multipliziert mit den Datenwerten: 1000 x die Anzahl der Achsen zum Schutz der Performance. In NetWitness Suite 10.5 konfiguriert der Administrator die Grenzen für Parallelkoordinatenvisualisierungen in den Investigation-Einstellungen in der Ansicht „Administration System“.

parallel coordinates visualization illustrating messages to help user understand

Bei einem größeren Datensatz dauert die Verarbeitung des Parallelkoordinatendiagramms länger als bei einem kleinen Satz Daten und Metaschlüssel. Zur Wahrung der Performance stellt NetWitness Suite die Metawerte aus dem Bereich „Werte“ unten so lange dar, bis die vom Administrator festgelegten Grenzen erreicht sind. Es wird folgende Informationsmeldung angezeigt: Nur eine Teilmenge der Ereignisse wird angezeigt.

Unter allen für 249 Ereignisse visualisierten Daten gab es nur 199 eindeutige Parallelkoordinatenpfade. Einige Ereignisse sind enthalten, obwohl darin einige Metaschlüssel fehlen. Sie sind mit DNE gekennzeichnet, da die Metadaten in dem Ereignis nicht vorhanden sind.

Previous Topic:Metagruppen managen
You are here
Table of Contents > Untersuchen von Metadaten in der Ansicht „Navigation“ > Visualisieren von Metadaten als Parallelkoordinaten

Attachments

    Outcomes