Untersuchen: Beginnen einer Schadsoftwareanalyse-Ermittlung

Document created by RSA Information Design and Development on May 14, 2018Last modified by RSA Information Design and Development on Oct 19, 2018
Version 3Show Document
  • View in full screen mode
 

Sie können Daten untersuchen, die von Malware Analysis gescannt, markiert und klassifiziert wurden als Indikatoren für eine Infizierung aufweisend. Dazu gehören alle Typen von Malware Analysis-Scans: Abfrage im kontinuierlichen Modus, Abfrage nach Bedarf und nach Bedarf hochgeladene Dateien. Abfrage im kontinuierlichen Modus muss aktiviert werden, wenn der Administrator grundlegende Einstellungen für den Malware Analysis-Service konfiguriert.

NetWitness Suite bietet mehrere Methoden zum Starten einer Malware Analysis-Ermittlung.

Am schnellsten: Sofortiges Starten von Malware Analysis-Dashlets

Die schnellste Art, eine Malware Analysis-Ermittlung zu beginnen, ist ein Sofortstart im NetWitness Suite-Dashboard über eines der Malware Analysis-Dashlets, die Ereignisse oder Dateien auflisten, die wahrscheinlich Schadsoftware enthalten. Die Dashlets werden als Teil des RSA NetWitness-Inhalts unter Dashlets beschrieben. Von einem dieser Dashlets können Sie direkt zu den Analyseergebnissen für ein bestimmtes Ereignis gehen, das als ermittelnswert aufgelistet wurde:

  • Top-Liste höchst verdächtiger Schadsoftware
  • Top-Liste möglicher Zero-Day-Schadsoftware
  • Dashlet Schadsoftware mit IOCs mit hoher Wahrscheinlichkeit und hohen Werten

Abfrage nach Bedarf von einem Metawert in der Navigationsansicht

Sie können die Abfrage nach Bedarf von innerhalb einer Ermittlung starten, indem Sie mit der rechten Maustaste auf einen Metawert in der Navigationsansicht klicken und eine Option aus dem Kontextmenü auswählen. Wenn die Abfrage abgeschlossen ist, stehen die gescannten Daten für die Schadsoftwareanalyse zur Verfügung (siehe Starten eines Malware Analysis-Scans in der Ansicht „Navigation“.

Untersuchen eines bestimmten RSA-Services

Sie können eine Malware Analysis-Ermittlung eines Services auch in der Ansicht „Untersuchen > Malware Analysis“ beginnen. Für Schadsoftwareanalyse-Ermittlungen auf Servicebasis muss ein Service in der Ansicht „Untersuchen > Malware Analysis:Inve“ angegeben werden.

  1. Ermittlung öffnet die Ansicht „Malware Analysis“, wobei der benutzerdefinierte Standardservice ausgewählt ist.
  2. Wenn gegenwärtig kein Standardservice angegeben ist, kann in einem Dialogfeld der zu untersuchende Malware Analysis-Service ausgewählt werden kann.
  3. Wenn ein Service in der Ansicht „Malware Analysis“ ausgewählt wurde, werden die Ereigniszusammenfassung für den ausgewählten Service und kontinuierliche Scandaten für den Service angezeigt.

Dieses Thema enthält Anweisungen für alle Methoden, eine Malware Analysis-Ermittlung zu starten.

Starten einer Schadsoftwareermittlung von einem Malware Analysis-Dashlet aus

Eine Vorbedingung für dieses Verfahren ist, dass eines der folgenden Dashlets im NetWitness Suite-Dashboard oder in der Malware Analysis-Ansicht sichtbar sein und aufgelistete Ereignisse oder Dateien enthalten muss. Wenn Sie die Dashlets nicht sehen, fügen Sie sie hinzu und konfigurieren Sie sie.

  • Top-Liste höchst verdächtiger Schadsoftware
  • Top-Liste möglicher Zero-Day-Schadsoftware
  • Dashlet Schadsoftware mit IOCs mit hoher Wahrscheinlichkeit und hohen Werten

So starten Sie eine Malware Analysis-Ermittlung von einem Dashlet aus:

  1. Melden Sie sich bei NetWitness Suite an und suchen Sie nach einem der oben genannten Dashlets in der Ansicht „Überwachung“ oder in der Ansicht „Malware Analysis“.
  2. Doppelklicken Sie im Dashlet auf ein Ereignis oder eine Datei für eine genauere Analyse. In der Malware Analysis-Ansicht wird eine detaillierte Analyse des Ereignisses in der Ereignisliste oder des Ereignisses, mit dem die Datei in der Dateiliste verbunden ist, geöffnet.
    Analysis Results

Weitere Informationen über die Konfiguration von Malware Analysis-Dashlets im Dashboard „Überwachung“ finden Sie unter „Dashlets“ im Leitfaden für die ersten Schritte mit NetWitness Suite.

Weitere Informationen über Methoden, Informationen in Dashlets in der Malware Analysis-Ansicht zu konfigurieren und zu filtern, finden Sie unter Filtern der Dashlet-Daten in der Ansicht Ereigniszusammenfassung.

Weitere Informationen über die Aktionen, die Sie in den Analyseergebnissen durchführen können, finden Sie unter Anzeigen der detaillierten Schadsoftwareanalyse eines Ereignisses.

Beginnen einer Malware Analysis Investigation (ohne Standardservice)

So starten Sie eine Ermittlung ohne angegebenen Standardservice:

  1. Wählen Sie Investigation > Malware Analysis.
    Das Dialogfeld „Malware Analysis Service auswählen“ wird mit verfügbaren Malware Analysis-Hosts und -Services für den aktuellen Benutzer im linken Bereich und verfügbaren Scanjobs im rechten Bereich angezeigt. Dieser Scanjob-Bereich enthält dieselben Spalten wie das Dashlet „Schadsoftwarescanjobs“ im Dashboard „Unified“. Darüber hinaus hat es eine Symbolleiste und Ansichtsoptionen, die unter Dialogfeld „Malware Analysis Service auswählen“ beschrieben sind.
    Select a Malware Analysis Service dialog
  2. Wählen Sie aus der Liste von Malware Analysis-Hosts einen Host aus. Anschließend wird eine Liste von Scanjobs im rechten Bereich angezeigt. Diese Jobs werden erstellt, wenn Sie ein Ereignis oder eine Datei scannen (siehe Hochladen von Dateien für Malware Analysis-Scans und Starten eines Malware Analysis-Scans in der Ansicht „Navigation“).
  3. Führen Sie einen der folgenden Schritte aus, um mit der Analyse eines Scans zu beginnen:
    1. Wählen Sie einen Scan aus und klicken Sie auf Scan anzeigen.
    2. Klicken Sie auf Fortlaufenden Modus anzeigen.
      Die Ereigniszusammenfassung für den ausgewählten Scan wird mit geöffneten Standard-Dashlets angezeigt. Jeder Benutzer kann Standard-Dashlets hinzufügen, ändern und löschen, die für verschiedene Scanermittlungen persistent sind. Benutzer können außerdem Standard-Dashlets wiederherstellen, wie in Filtern der Dashlet-Daten in der Ansicht Ereigniszusammenfassung beschrieben.
      Summary of Events view

Einrichten oder Löschen des Standardservices

Im Dialogfeld Malware Analysis Service auswählen können Sie den Standardservice festlegen und löschen.

So richten Sie einen Standardservice ein:

  1. Klicken Sie in der Symbolleiste „Ereigniszusammenfassung“ auf den Servicenamen.
    Das Dialogfeld Malware Analysis Service auswählen wird angezeigt.
    Select a Malware Analysis Service dialog
  2. Wählen Sie einen Service aus der Liste verfügbarer Schadsoftwareservices aus und klicken Sie auf Default Service button.
    Der Service wird zum Standardservice (angezeigt durch Default icon vor dem Hostnamen).
  3. Wählen Sie zum Löschen des Standardservices den Service aus dem Raster aus und klicken Sie auf Default Service button.
    Es wurde kein Standardservice eingerichtet.

Hochladen und Scannen von Dateien

Ein Schadsoftwareanalyst mit der Berechtigung für Initiate Malware Analysis Scan kann zu scannende Dateien mithilfe der Option „Dateien scannen“ des Dialogfelds „Malware Analysis Service auswählen“ hochladen (siehe Hochladen von Dateien für Malware Analysis-Scans). Ein Administrator kann Paketerfassungsdateien zu einem Decoder für Malware Analysis in der Ansicht „Services-System“ hochladen, wie beschrieben in „Hochladen einer Paketerfassungsdatei“ im Konfigurationsleitfaden für Decoder und Log Decoder.

Starten einer Ermittlung (Standardservice angegeben)

So starten Sie eine Ermittlung mit angegebenem Standardservice:

  1. Wählen Sie Investigation > Malware Analysis.
    Die Ereigniszusammenfassung für den kontinuierlichen Scan des ausgewählten Services wird mit den geöffneten Standard-Dashlets angezeigt. Jeder Benutzer kann Standard-Dashlets hinzufügen, ändern und löschen, die für verschiedene Scanermittlungen persistent sind. Benutzer können außerdem Standard-Dashlets wiederherstellen, wie in Filtern der Dashlet-Daten in der Ansicht Ereigniszusammenfassung beschrieben.
    Summary of Events view

Anwenden von Zeitparameterfilter auf Ergebnisse

Sie können einen Schwellenwertfilter anwenden, um die Ergebnisse der ausgewählten Dashlets zu aktualisieren.

  1. Wählen Sie zur Auswahl eines anderen Zeitraums entweder Kontinuierlicher Modus oder einen anderen Scan aus der Symbolleiste aus.
    Die Schadsoftware-Ereigniszusammenfassung für den ausgewählten Scan wird angezeigt.
  2. Klicken Sie zur Auswahl eines neuen Zeitraums für den Scan auf die Bereichsauswahlliste in der Symbolleiste. Folgende Bereiche sind verfügbar: Letzte 5 Minuten, letzte 10 Minuten, letzte 15 Minuten, letzte 30 Minuten, letzte Stunde, letzte 3 Stunden, letzte 6 Stunden, letzte 12 Stunden, letzte 24 Stunden, letzte 2 Tage, letzte 5 Tage, Morgen, Vormittag, Nachmittag, Abend, den ganzen Tag, gestern, diese Woche, letzte Woche oder benutzerdefiniert. 
    Time Range menu
    Die Ergebnisse werden sofort aktualisiert.
  3. Klicken Sie zur Aktualisierung eines Scans im kontinuierlichen Modus mit neuen Daten auf Refresh icon.

Anwenden eines Schwellenwertfilters auf Ergebnisse von Scans im kontinuierlichen Modus

Sie können einen neuen Schwellenwertfilter auf eine Instanz des Dashlet „Schadsoftware mit IOCs mit hoher Wahrscheinlichkeit und hohen Werten“, des Dashlet „Meta-Treemap“, des Dashlet „Ergebnisrad“ und des Dashlet „Ereigniszeitachsen“ anwenden.

Gehen Sie zur Anpassung der auf den Scan angewendeten Auswertung in der Symbolleiste wie folgt vor:

  1. Wählen Sie Actions drop-down menu > Schwellenwertfilter anwenden.
    Das Dialogfeld „Schwellenwertfilter anwenden“ wird angezeigt.
    Apply Threshold Filter dialog
  2. Wenn Sie die Anzahl der angezeigten Ereignisse auf Ereignisse beschränken möchten, die einen Wert über einem bestimmten Schwellenwert erhalten haben, gehen Sie wie folgt vor:
    1. Ziehen Sie die Schieberegler für Statisch, Netzwerk, Community und Sandbox.
    2. Aktivieren Sie zur Auswahl der Dashlets, auf die die Schwellenwerte zutreffen, die entsprechenden Kontrollkästchen.
    3. Klicken Sie auf Anwenden.

Löschen oder erneutes Übermitteln eines Scans nach Bedarf mit neuen Umgehungseinstellungen

Sie können einen Scan nach Bedarf löschen oder ihn mit anderen Umgehungseinstellungen als denjenigen, die in der Servicekonfigurationsansicht für einen Malware Analysis-Service angegeben sind, erneut übermitteln.

Gehen Sie zum Löschen eines Scans während der Anzeige eines Scans nach Bedarf wie folgt vor:

  1. Wählen Sie Aktionen > Scan löschen aus.
    Ein Dialogfeld fordert Sie auf, zu bestätigen, dass Sie den Scan löschen möchten.
  2. Klicken Sie auf Yes.
    Der ausgewählte Scan wird gelöscht.

So wenden Sie andere Umgehungseinstellungen auf den aktuellen Scan an:

  1. Wählen Sie Aktionen > Scan erneut übermitteln aus.
    Das Dialogfeld „Auf Schadsoftware scannen“ wird angezeigt.
    Scan for Malware dialog
  2. Wählen Sie die Umgehungseinstellungen aus, die Sie auf den neuen Scan anwenden möchten, und klicken Sie auf Scannen.
    Malware Analysis setzt den Cache zurück und übermittelt die Datei für einen neuen Scan erneut und die Scanjobs werden der Jobwarteschlange hinzugefügt.
  3. Blättern Sie nach Abschluss des Jobs nach links und wählen Sie Anzeigen aus.
    Die Schadsoftware-Ereigniszusammenfassung für den ausgewählten Scan wird angezeigt.

Anzeigen der Dateiliste

Sie können eine Liste von Dateien für ein Ereignis von der Malware Analysis-Ereigniszusammenfassung und von jedem der Visualisierungsdiagramme anzeigen: Ereigniszeitachse, Meta-Strukturen, Meta-Treemap und Ergebnisrad.

Führen Sie für den Zugriff auf die Dateiliste einen der folgenden Schritte aus:

  • Klicken Sie in der Ereigniszusammenfassung auf die Anzahl der Dateien in der Zeile Gesamt oder in der Zeile Hohe Wahrscheinlichkeit unter Verarbeitete Dateien, PE-Dateien, Office-Dateien oder PDF‑Dateien. Die Dateiliste wird angezeigt.
  • Klicken Sie in einem Visualisierungs-Dashlet auf die Zahl neben dem Feld Dateien oben rechts im Dashlet.
    Die Dateiliste für den ausgewählten Drill-down-Punkt wird angezeigt.
    Files List

In der Dateiliste können Sie nach einer Datei nach Dateiname oder MD5-Datei-Hash suchen, die Liste nach zwei Kriterien und in aufsteigender oder absteigender Reihenfolge sortieren und Dateien herunterladen wie in Überprüfen von Scandateien und Ereignissen in Listenform beschrieben.

Um zur Ereigniszusammenfassung zurückzukehren, klicken Sie auf Zurück zur Zusammenfassung.

Anzeigen der Ereignisliste

Von der Malware Analysis-Ereigniszusammenfassung und von jedem der Visualisierungsdiagramme aus (Ereigniszeitachse, Meta-Strukturen, Meta-Treemap und Ergebnisrad) können Sie Ereignisse zur Ansicht im Raster „Ereignisse“ auswählen.

Führen Sie für den Zugriff auf die Ereignisliste einen der folgenden Schritte aus: 

  • Klicken Sie in der Ereigniszusammenfassung auf die Anzahl der erstellten Ereignisse in der Zeile Gesamt oder in der Zeile Hohe Wahrscheinlichkeit. Die Ereignisliste wird angezeigt.
  • Klicken Sie in einem Visualisierungs-Dashlet auf die Zahl neben dem Feld „Ereignisse“ oben rechts im Dashlet.
    Die Ereignisliste für die ausgewählte Zeit wird angezeigt.
    Malware Analysis Events List
You are here
Table of Contents > Durchführen von Schadsoftwareanalysen > Beginnen einer Schadsoftwareanalyse-Ermittlung

Attachments

    Outcomes