Untersuchen: Starten einer Ermittlung

Document created by RSA Information Design and Development on May 14, 2018Last modified by RSA Information Design and Development on Oct 19, 2018
Version 3Show Document
  • View in full screen mode
 

NetWitness Suite bietet verschiedene Ausgangspunkte, basierend auf der Frage, die Sie beantworten möchten: Ansichten „Navigation“, „Ereignisse“, „Ereignisanalyse“ (Version 11.1), „Hosts“ (Version 11.1), „Dateien“ (Version 11.1) und „Malware Analysis“.

Hinweis: Spezifische Benutzerrollen und -berechtigungen werden von einem Benutzer benötigt, damit dieser Ermittlungen in NetWitness Suite durchführen kann. Wenn Sie eine Analyseaufgabe nicht durchführen oder eine Ansicht nicht sehen können, muss der Administrator unter Umständen die für Sie konfigurierten Rollen und Berechtigungen anpassen. Die Ansichten „Hosts“ und „Dateien“ sind in Version 11.1 und höher verfügbar. Die Ansicht „Ereignisanalyse“ ist in Version 11.0 verfügbar, aber die Methode für den Zugriff erfolgt über die Ansicht „Ereignisse“.

Fokus auf Metadaten, Raw-Ereignisse und Ereignisanalyse

Um nach Ereignissen zu suchen, die den Workflow für die Reaktion auf Incidents voranbringen, oder um strategische Analysen durchzuführen, nachdem ein anderes Tool ein Ereignis erzeugt hat, sollten Sie in der Ansicht „Navigation“, „Ereignisse“ oder „Ereignisanalyse“ beginnen. Untersuchen Sie die Metadaten auf einen einzelnen Broker oder Concentrator. In jeder dieser Ansichten starten Sie die Ermittlung, indem Sie die Ansicht öffnen, in dem Sie eine Abfrage ausführen und die Ergebnisse filtern können, indem Sie den Zeitbereich eingrenzen und Metadaten abfragen. Diese Themen bieten Details zum Starten einer Ermittlung in jeder Ansicht:

Fokus auf Hosts und Dateien

Um Informationen auf Hosts zu suchen, auf denen der Agent ausgeführt wird, starten Sie die Ermittlung in der Ansicht „Hosts“ (Untersuchen > Hosts). Für jeden Host können Sie Prozesse, Treiber, DLLs, (ausführbare) Dateien, Services und automatische Ausführungen sehen, die ausgeführt werden, sowie Informationen in Bezug auf angemeldete Benutzer. (Siehe Untersuchen von Hosts.)

Sie können die Ermittlung auf Dateien in Ihrer Bereitstellung in der Ansicht „Dateien“ starten (Untersuchen > Dateien). (Siehe Untersuchen von Dateien.)

Fokus auf Scannen von Dateien auf Malware

Um Dateien auf potenzielle Schadsoftware zu scannen oder um den kontinuierlichen Scan eines Service einzurichten, können Sie in der Ansicht „Malware Analysis“ beginnen. Ergebnisse werden mithilfe von vier Arten von Analysen ausgedrückt: Netzwerk, statisch, Community und Sandbox, mit einem IOC-Rating (Indicator of Compromise, Indikator für eine Infizierung). Es gibt mehrere Möglichkeiten, mit Malware Analysis zu beginnen:

  • Sie können Malware Analysis von den Malware Analysis-Dashlets in der Überwachungsansicht aus starten, um schnell die risikoreichsten potenziellen Bedrohungen zu sehen.
  • Gehen Sie zu Untersuchen > Malware Analysis, um die Ereigniszusammenfassung in Malware Analysis zu öffnen.
  • Sie können mit der rechten Maustaste auf einen Metaschlüssel in der Navigationsansicht klicken und Auf Schadsoftware scannen auswählen.

Weitere Informationen zum Arbeiten in der Ansicht „Malware Analysis“ finden Sie unter Durchführen von Schadsoftwareanalysen.


You are here
Table of Contents > Starten einer Ermittlung

Attachments

    Outcomes