Untersuchen: Ansicht „Ereignisanalyse“

Document created by RSA Information Design and Development on May 14, 2018Last modified by RSA Information Design and Development on Oct 19, 2018
Version 3Show Document
  • View in full screen mode
 

In der Ansicht „Ereignisanalyse“ können Analysten Raw-Ereignisse und Metadaten mit interaktiven Funktionen anzeigen, die ihnen helfen, bedeutsame Datenmuster zu identifizieren. Diese Ansicht ist eine Alternative zur statischen Ansicht „Ereignisrekonstruktion“. Sie können Netzwerk-, Protokoll- und Endpunktereignisse in der Ansicht „Ereignisanalyse“ untersuchen. Die Ansicht „Ereignisanalyse“ bietet Paket-, Text und Protokollrekonstruktion und unterstützt keine direkte E-Mail- und Webrekonstruktion. In Version 11.1 und später können Sie jedoch eine E-Mail- oder Webrekonstruktion der aktuellen Ergebnisse in der e-Mail- oder Web Rekonstruktion der Ansicht „Ereignisse“ öffnen.

Hinweis: Der Administrator legt Berechtigungen für Analysten fest, um auf diese Ansicht zuzugreifen. Wenn Ihr Administrator Ihnen keinen Zugriff gewährt hat und Sie zur Ansicht „Ereignisanalyse“ navigieren, wird die folgende Meldung angezeigt: Forbidden. You cannot access the requested page. Wenn Sie z. B. eine Rekonstruktion der Ansicht „Ereignisse“ anzeigen und versuchen, dieselbe Rekonstruktion in der Ansicht „Ereignisanalyse“ anzuzeigen, sehen Sie die Meldung Forbidden.

Die in der Ansicht „Ereignisanalyse“ angezeigten Ereignisse sind für den aktuellen Drill-down-Punkt in der Ansicht „Navigation“ oder der Ansicht „Ereignisse“. Ab Version 11.1 können die Ereignisse die Ergebnisse einer Abfrage sein, die in der Brotkrümelnavigation der Ansicht „Ereignisanalyse“ eingegeben wurden. Woher die Abfrage auch immer stammt, in der Ansicht „Ereignisanalyse“ werden Ereignisse nach Zeit sortiert. Sie können die Spalten neu anordnen und ihre Größe ändern. Ab Version 11.1 können Sie auch die Spalten, die Sie sehen möchten, auswählen und eine der integrierten Spaltengruppen oder eine angepasste Spaltengruppe auswählen.

Wenn Sie auf ein Ereignis klicken, wird im selben Browserfenster entweder der Bereich „Netzwerkereignisdetails“, der Bereich „Protokollereignisdetails“ oder der Bereich „Endpunktereignisdetails“ geöffnet. Für jeden Ereignistyp stehen ein oder mehrere Analysetypen zur Verfügung: Textanalyse, Paketanalyse und Dateianalyse.

Es gibt mehrere Zugriffspunkte auf diese Ansicht, die unter Starten einer Ermittlung in der Ansicht „Ereignisanalyse“ beschrieben werden.

Workflow

Die folgende Abbildung zeigt einen allgemeinen Workflow, der die Aufgaben veranschaulicht, die Sie in NetWitness Investigate durchführen können, wobei die Aufgaben der Ansicht „Ereignisanalyse“ rot hervorgehoben sind.

the Investigate Workflow with Analyze Raw Events and Metadata highlighted

Was möchten Sie tun?

                                                                              
BenutzerrolleZiel11.1 Dokumentation
Threat Hunter

Durchsuchen von Ereignismetadaten

Starten einer Ermittlung in der Ansicht „Navigation“ oder „Ereignisse“

Threat Hunter

Durchsuchen von Raw-Ereignissen

Starten einer Ermittlung in der Ansicht „Navigation“ oder „Ereignisse“

Threat Hunter

Analyse von Raw-Ereignissen und Metadaten*

Starten einer Ermittlung in der Ansicht „Ereignisanalyse“

Threat Hunter

Abfragen von Ereignissen in der Ansicht „Ereignisanalyse“ (Version 11.1)*

Filtern von Ergebnissen in der Ansicht „Ereignisanalyse“

Threat HunterAnalysieren von Ereignissen in der Ansicht „Ereignisanalyse“*Herunterladen von Daten in der Ansicht „Ereignisanalyse“

Threat Hunter

Rekonstruktion von Ereignissen in der Ansicht „Ereignisanalyse“*

Analysieren von Raw-Ereignissen und Metadaten in der Ansicht „Ereignisanalyse“

Threat HunterDurchführen externer Suchen von der Ansicht „Ereignisanalyse“ aus (Version 11.1)*Reagieren auf Daten in der Ansicht „Ereignisanalyse“
Threat Hunter Abfragen von Ereignissen in der Ansicht „Navigation“ Untersuchen von Metadaten in der Ansicht „Navigation“

Threat Hunter

Abfragen von Ereignissen in der Ansicht „Ereignisse“

Untersuchen von Raw-Ereignissen in der Ansicht „Ereignisse“

Threat HunterUntersuchen von Endpunkten (Version 11.1)Untersuchen von Hosts

Threat Hunter

Verdächtige Endpunktdateien finden (Version 11.1)

Untersuchen von Dateien

Threat HunterDateien und Ereignisse auf Schadsoftware scannenDurchführen von Schadsoftwareanalysen

Incident-Experte

Priorisieren eines Incident in „Untersuchen“

NetWitness Respond – Benutzerhandbuch

*Sie können diese Aufgabe in der aktuellen Ansicht durchführen.

Verwandte Themen

Überblick

Wenn Sie „Untersuchen“ zum ersten Mal öffnen, werden die Eingabefelder für eine Abfrage angezeigt, damit Sie einen Service und Zeitbereich auswählen und eine optionale Abfrage eingeben können.

  • Version 11.0 hat die Eingabefelder in den Ansichten „Navigation“ und „Ereignisse“.
  • Version 11.1 hat die Eingabefelder in den Ansichten „Navigation“, „Ereignisse“ und „Ereignisanalyse“.

Sobald Sie einen Drill-down-Punkt in der Ansicht „Ereignisanalyse“ öffnen, zählt der untersuchte Service die Ergebnisse der ersten Abfrage bis zu einem Limit von 100.000 Ereignissen. Die ersten 100 Ereignisse (Pakete, Protokolle und Endpunkte) werden in den Bereich „Ereignisse“ geladen. Die Spalten im Bereich „Ereignisse“ sind Ereigniszeit, Ereignistyp (Netzwerk, Protokoll oder Endpunkt), Ereignisgröße und Übersicht. Sie können Folgendes tun:

  • Blättern Sie durch die Liste und klicken Sie auf Weitere laden, um die nächsten 100 Ereignisse anzuzeigen.
  • Wählen Sie eine Spaltengruppe aus (Version 11.1 und später).
  • Wählen Sie die Spalten aus, die enthalten sein sollen (Version 11.1 und später).
  • Ziehen Sie die Spalten, um die Reihenfolge zu ändern.
  • die Spaltenbreite anpassen.
  • die Ereignisanalyse eines Ereignisses anzeigen.

In der folgenden Abbildung sind die wichtigsten Funktionen der Ansicht „Ereignisanalyse“ für Version 11.1 und später hervorgehoben.

a quick look at the Event Analysis view for Version 11.1

                                                                 
1Interaktive Brotkrümelnavigation: Wenn ein Service ausgewählt wird, werden die Serviceauswahl, Zeitbereichsauswahl und die eingegebenen Abfragen angezeigt. In Version 11.1 und später können Sie einen Service auswählen, wie in Starten einer Ermittlung in der Ansicht „Ereignisanalyse“ beschrieben, und die Filter in der Abfrage verfeinern, wie in Filtern von Ergebnissen in der Ansicht „Ereignisanalyse“ beschrieben. Durch Klicken auf die Schaltfläche Abfrage senden wird die Abfrage gesendet und es wird eine Anforderung an den ausgewählten Service gesendet, die Daten zu laden.
2An der Überschrift können Sie erkennen, welcher Typ Ereignis analysiert wird: Netzwerkereignisdetails, Protokollereignisdetails oder Endpunktereignisdetails. Jede Ansicht wird unter Analysieren von Raw-Ereignissen und Metadaten in der Ansicht „Ereignisanalyse“ ausführlich erläutert.
3Verfügbare Analysetypen für den betreffenden Ereignistyp. Für Netzwerkereignisse können alle Analysetypen durchgeführt werden: „Textanalyse“, „Paketanalyse“ und „Dateianalyse“. Für Protokoll- und Endpunktereignisse wird nur der Typ „Textanalyse“ unterstützt.
4Die Typen E-Mail- und Webanalyse öffnen das aktuelle Ereignis als eine E-Mail- oder Webrekonstruktion in der Ansicht „Ereignisse“.
5Diese Optionen variieren je nach Analysetyp. Sie werden unter Analysieren von Raw-Ereignissen und Metadaten in der Ansicht „Ereignisanalyse“ ausführlich erläutert.
6

Steuerelemente zum Ein- und Ausblenden des Ereignis-Headers, zum Ein- und Ausblenden von Anforderungen und Antworten sowie zum Öffnen des Bereichs „Ereignis-Metadaten“ (16). Diese Steuerelemente werden in Analysieren von Raw-Ereignissen und Metadaten in der Ansicht „Ereignisanalyse“ beschrieben.

7, 11Steuerelemente zum Anpassen der Bereichsgröße sowie zum Schließen des Bereichs
8Öffnet den Bereich „Ereignisse“ oder den Bereich „Ereignis-Metadaten“ erneut, falls sie geschlossen wurden.
9 Legt Einstellungen für die Ansicht „Ereignisanalyse“ fest (siehe Konfigurieren der Ansicht „Ereignisanalyse“).
10

Der Bereich „Ereignisse“ für Version 11.1 ist interaktiv und zeigt Abfrageergebnisse an, während Sie aktualisierte Abfragen senden. Der Bereich „Ereignisse“ enthält die Gesamtanzahl der Ereignisse. Reihenfolge und Breite der Spalten lassen sich anpassen. Sie können bis zum Ende der Liste scrollen und dort weitere Ereignisse laden (siehe Analysieren von Raw-Ereignissen und Metadaten in der Ansicht „Ereignisanalyse“).

12Die Drop-down-Liste „Spaltengruppe“ listet integrierte und benutzerdefinierte Spaltengruppen auf, die Sie auf den Bereich „Ereignisse“ anwenden können. Die integrierten Spaltengruppen sind E-Mail-Analyse, Endpunktanalyse, Malware Analysis, Ausgehendes HTTP, Ausgehendes SSL/TLS und Übersichtsliste. Übersichtsliste ist die Standardspaltengruppe.
13Einstellungen zur Auswahl der Spalten, die im Bereich „Ereignisse“ enthalten sind.
14Der Ereignis-Header bietet Übersichtsinformationen zu dem Ereignis. Welche Informationen angezeigt werden, variiert je nach Ereignistyp (Paket, Protokoll oder Endpunkt).
15Die Ereignisdaten (bei Paketen gelegentlich als Paylod/Nutzlast bezeichnet). Bei den Ereignisdaten eines Protokollereignisses oder eines Endpunktereignisses handelt es sich in der Regel um eine Textzeile aus dem Rohprotokoll. Für Paketereignissen werden die Anforderung und die zugehörige Antwort angezeigt.
16Im Bereich Bereich „Ereignis-Metadaten“ werden die Metaschlüssel und Metawerte aufgelistet, die in den Daten gefunden wurden. Einige Metadaten können durchsucht werden; sie sind mit einem Fernglas-Symbol gekennzeichnet. Wenn Sie auf dieses Symbol klicken, werden die zugehörigen Daten in den Ereignisdaten hervorgehoben (siehe Analysieren von Raw-Ereignissen und Metadaten in der Ansicht „Ereignisanalyse“).

 

In der folgenden Abbildung sind die wichtigsten Funktionen der Ansicht „Ereignisanalyse“ für Version 11.0.0.x hervorgehoben.

 

                                                 
1 Die schreibgeschützte Brotkrümelnavigation zeigt den ausgewählten Service, den Zeitbereich und die Abfrage an, die in den Ansichten „Navigation“ und „Ereignisse“ eingegeben wurden.
2Eine schreibgeschützte Liste aller Ereignisse, zusammengestellt auf Basis der Abfrage aus der Ansicht „Navigation“ oder der Ansicht „Ereignisse“. Der Bereich „Ereignisse“ enthält die Gesamtanzahl der Ereignisse. Reihenfolge und Breite der Spalten lassen sich anpassen. Sie können bis zum Ende der Liste scrollen und dort weitere Ereignisse laden (siehe Analysieren von Raw-Ereignissen und Metadaten in der Ansicht „Ereignisanalyse“).
3, 8Steuerelemente zum Anpassen der Bereichsgröße sowie zum Schließen des Bereichs
4An der Überschrift können Sie erkennen, welcher Typ Ereignis analysiert wird: „Netzwerkereignisdetails“, „Protokollereignisdetails“ oder „Endpunktereignisdetails“. Jede Ansicht wird unter Analysieren von Raw-Ereignissen und Metadaten in der Ansicht „Ereignisanalyse“ ausführlich erläutert.
5Verfügbare Analysetypen für den betreffenden Ereignistyp. Für Netzwerkereignisse können alle drei Analysetypen durchgeführt werden: „Textanalyse“, „Paketanalyse“ und „Dateianalyse“. Für Protokoll- und Endpunktereignisse wird nur der Typ „Textanalyse“ unterstützt.
6Diese Optionen variieren je nach Analysetyp. Sie werden unter Analysieren von Raw-Ereignissen und Metadaten in der Ansicht „Ereignisanalyse“ ausführlich erläutert.
7

Steuerelemente zum Ein- und Ausblenden des Ereignis-Headers, zum Ein- und Ausblenden von Anforderungen und Antworten sowie zum Öffnen des Bereichs „Ereignis-Metadaten“ (12). Diese Steuerelemente werden in Analysieren von Raw-Ereignissen und Metadaten in der Ansicht „Ereignisanalyse“ beschrieben.

9Öffnet den Bereich „Ereignisse“ oder den Bereich „Ereignis-Metadaten“ erneut, falls sie geschlossen wurden.
10Der Ereignis-Header bietet Übersichtsinformationen zu dem Ereignis. Welche Informationen angezeigt werden, variiert je nach Ereignistyp (Paket, Protokoll oder Endpunkt).
11Die Ereignisdaten (bei Paketen gelegentlich als Paylod/Nutzlast bezeichnet). Bei den Ereignisdaten eines Protokollereignisses oder eines Endpunktereignisses handelt es sich in der Regel um eine Textzeile aus dem Rohprotokoll. Für Paketereignissen werden die Anforderung und die zugehörige Antwort angezeigt.
12Im Bereich Bereich „Ereignis-Metadaten“ werden die Metaschlüssel und Metawerte aufgelistet, die in den Daten gefunden wurden. Einige Metadaten können durchsucht werden; sie sind mit einem Fernglas-Symbol gekennzeichnet. Wenn Sie auf dieses Symbol klicken, werden die zugehörigen Daten in den Ereignisdaten hervorgehoben (siehe Analysieren von Raw-Ereignissen und Metadaten in der Ansicht „Ereignisanalyse“).
You are here
Table of Contents > Investigate-Referenzmaterialien > Ansicht „Ereignisanalyse“

Attachments

    Outcomes