Untersuchen: Dialogfelder „Einstellungen“ für Investigate-Ansichten

Document created by RSA Information Design and Development on May 14, 2018Last modified by RSA Information Design and Development on Oct 19, 2018
Version 3Show Document
  • View in full screen mode
 

In NetWitness SuiteVersion 11.0 gibt es zwei Dialogfelder „Einstellungen“, eines für die Ansicht „Navigation“ und eines für die Ansicht „Ereignisse“. Mit dem Hinzufügen des Dialogfelds „Einstellungen“ für die Ansicht „Ereignisanalyse“ in Version 11.1 Investigate drei Dialogfelder „Einstellungen“.

Die Einstellungen in den Dialogfelder „Einstellungen“ in den Ansichten „Navigation“ und „Ereignisse“ stellen eine Untermenge der Investigation-Einstellungen dar, die unter „Profile“ > Bereich „Einstellungen“ > Registerkarte „Investigation“ vorgenommen werden können. Durch die Bereitstellung der Einstellungen innerhalb der Ansicht „Investigation“ wird das Arbeiten in NetWitness Suite für Analysten beschleunigt. Wenn Sie eine Einstellung hier ändern, wird diese Einstellung auch in der Ansicht „Profile“ geändert und umgekehrt.

Um auf dieses Dialogfeld zuzugreifen, wechseln Sie zur Ansicht Navigieren oder Ereignisse und klicken in der Symbolleiste auf die Option Einstellungen.

Die Einstellungen in der Ansicht „Ereignisanalyse“ haben keine entsprechenden Einstellungen im Bereich „Profile“ > „Einstellungen“.

Was möchten Sie tun?

                                                     
BenutzerrolleZiel11.1 Dokumentation
Threat Hunter

Durchsuchen von Ereignismetadaten

Starten einer Ermittlung in der Ansicht „Navigation“ oder „Ereignisse“

Threat Hunter

Durchsuchen von Raw-Ereignissen

Starten einer Ermittlung in der Ansicht „Navigation“ oder „Ereignisse“

Threat Hunter

Analyse von Raw-Ereignissen und Metadaten

Starten einer Ermittlung in der Ansicht „Ereignisanalyse“

Threat HunterUntersuchen von Endpunkten (Version 11.1)Untersuchen von Hosts

Threat Hunter

Verdächtige Endpunktdateien finden (Version 11.1)

Untersuchen von Dateien

Threat HunterDateien und Ereignisse auf Schadsoftware scannenDurchführen von Schadsoftwareanalysen

Incident-Experte

Priorisieren eines Incident in „Untersuchen“

NetWitness Respond – Benutzerhandbuch

Threat Hunter

Einstellungen für Ermittlung konfigurieren*

Konfigurieren von Ansichten und Voreinstellungen von NetWitness Investigate

*Sie können diese Aufgabe in der aktuellen Ansicht durchführen.

Verwandte Themen

Überblick

Die Dialogfelder „Einstellungen“ in den Ansichten „Navigation“ und „Ereignisse“ enthalten viele gemeinsame Komponenten.

Verschiedene Investigation-Einstellungen in der Ansicht „Navigation“ beeinflussen beim Laden von Werten im Bereich „Werte“ die Performance. Die Standardwerte basieren auf der gängigen Verwendung und einzelne Analysten können diese Einstellungen für ihre eigenen Ermittlungen anpassen. Die nachstehende Abbildung zeigt ein Beispiel des Dialogfelds und in der folgenden Tabelle sind die Funktionen beschrieben.
This is the Navigate view Settings dialog.

                                                               
FunktionBeschreibung
SchwellenwertLegt den Schwellenwert für die maximale Anzahl der für einen Metaschlüsselwert geladenen Sitzungen im Bereich „Werte“ fest. Ein höherer Schwellenwert ermöglicht genauere Zählerangaben für einen Wert, verursacht aber auch längere Ladezeiten. Der Standardwert ist 100.000.
Max. WertergebnisseLegt die maximale Anzahl von Werten fest, die in der Ansicht Navigieren geladen werden, wenn im Metaschlüsselmenü die Option Max. Ergebnisse für einen offenen Metaschlüssel ausgewählt ist. Der Standardwert ist 1.000.
Max. SitzungsexportLegt die maximale Anzahl von Sitzungen fest, die exportiert werden können. Der Standardwert ist 100.000.
ExportprotokollformatLegt das Dateiformat der exportierten Protokolle fest. Vier Formate sind möglich:
  • Text
  • SML
  • CSV
  • JSON

Format exportierte Metadaten

Legt das Dateiformat der exportierten Metawerte fest. Vier Formate sind möglich:

  • Text
  • SML
  • CSV
  • JSON
Lokaler Cache pro GerätWenn diese Option deaktiviert ist, sendet Investigate eine neue Abfrage an die Datenbank anstatt im Cache gespeicherten Daten in den Investigation-Ansichten nach dem Laden anzuzeigen. Wenn diese Option aktiviert ist, verwendet Investigate die Daten aus dem lokalen Cache.
Debuginformationen anzeigenDiese Option steuert die Anzeige der where-Klausel unterhalb der Breadcrumb-Navigation in der Ansicht „Navigation“ sowie der verstrichenen Ladezeit für jeden aggregierten Service für einen Broker. Wenn diese Option aktiviert ist, werden die Debug-Informationen angezeigt. Der Standardwert ist Aus (deaktiviert).
Ereignisse in Ereignisbereich anhängenDiese Option wirkt sich auf das Paging im Bereich „Ereignisse“ aus. Wenn diese Option aktiviert ist, wird die nächste Gruppe von Ereignissen an die bereits angezeigten Ereignisse angehängt. Wenn diese Option deaktiviert ist, wird die vorherige Seite mit Ereignissen durch die nächste Seite ersetzt. Der Standardwert ist Aus (deaktiviert).
Werte automatisch ladenWenn diese Option aktiviert ist, werden die Werte für den ausgewählten Service automatisch in die Ansicht „Navigation“ geladen. Wenn diese Option aktiviert ist, werden bei der Auswahl eines zu untersuchenden Services Werte automatisch geladen. Wurde diese Option nicht aktiviert, zeigt Investigate die Schaltfläche Werte laden an, über die Sie Optionen ändern können. Der Standardwert ist Aus.
Abgeschlossene PCAPs herunterladenDiese Einstellung automatisiert das Herunterladen von extrahierten PCAPs im Modul Investigation, damit extrahierte PCAP-Dateien nicht manuell heruntergeladen und in einer Anwendung zum Anzeigen von PCAP-Daten, z. B. Wireshark, geöffnet werden müssen.
Live Connect: Riskante IPs markieren Wenn diese Option deaktiviert ist, werden alle Metawerte, die in Live Connect verfügbaren Kontext haben, im Bereich „Werte“ der Ansicht „Navigation“ hervorgehobenen. Wenn die Option aktiviert ist, werden unter allen Werten, die in Live Connect Kontext haben, nur die Werte, die von der Community als „Riskant/Verdächtig/Unsicher“ erachtet werden, hervorgehoben. Diese Option ist standardmäßig deaktiviert (Aus).
AnwendenSetzt die Einstellungen sofort in Kraft. Diese sind auch beim nächsten Laden von Werten sichtbar. Dieselben Änderungen werden auch in der Ansicht Profile angewendet.
AbbrechenBricht den Bearbeitungsvorgang ab und schließt das Dialogfeld mit unveränderten Einstellungen.

Dialogfeld „Einstellungen“ der Ansicht „Ereignisse“

Die nachstehende Abbildung zeigt ein Beispiel des Dialogfelds für die Ansicht „Ereignisse“ und in der folgenden Tabelle sind die Funktionen beschrieben.

This is the Events view Settings dialog

                                               
FunktionBeschreibung
ExportprotokollformatLegt das Dateiformat der exportierten Protokolle fest. Vier Formate sind möglich:
  • Text
  • SML
  • CSV
  • JSON

Format exportierte Metadaten

Legt das Dateiformat der exportierten Metawerte fest. Vier Formate sind möglich:

  • Text
  • SML
  • CSV
  • JSON
Abgeschlossene PCAPs herunterladenDiese Einstellung automatisiert das Herunterladen von extrahierten PCAPs im Modul Investigation, damit extrahierte PCAP-Dateien nicht manuell heruntergeladen und in einer Anwendung zum Anzeigen von PCAP-Daten, z. B. Wireshark, geöffnet werden müssen.
Live Connect: Riskante IPs markieren Wenn diese Option aktiviert ist, verwendet Investigate einen Filter, um nur die IP-Adressen abzurufen, die von der RSA-Community als riskant betrachtet werden. Wenn diese Option nicht aktiviert ist, zeigt NetWitness Suite alle IP-Adressen an. Diese Option ist standardmäßig deaktiviert (Aus).
Optimieren des Ladens der Seite „Investigation“Legt eine Auslagerungsoption fest. Wenn optimiert, werden die Ergebnisse so schnell wie möglich zurückgegeben. Dabei geht die ursprüngliche Möglichkeit verloren, zu einer bestimmten Seite der Ereignisliste zu wechseln. Durch die Deaktivierung dieses Kontrollkästchens wird die Paginierung der Ereignislisten geändert, damit Sie auf eine bestimmte Seite in der Liste (oder auf die letzte Seite) springen können. Der Standardwert ist aktiviert.
StandardsitzungsansichtWählt den Standardrekonstruktionstyp für die anfängliche Rekonstruktion in der Ansicht Ereignisse aus. Der Standardwert ist Beste Rekonstruktion, bei dem die Ereignisse mithilfe der am besten für das Ereignis geeigneten Rekonstruktionsmethode wiederhergestellt werden.
CSS-Rekonstruktion für Webansicht ermöglichenDiese Einstellung steuert, wie die Rekonstruktion von Webinhalten durchgeführt wird. Wenn die Einstellung aktiviert ist, werden bei der Webrekonstruktion auch Cascaded Style-Sheet-Stilvorlagen (CSS) und Bilder mit einbezogen, sodass die Darstellung der Originalansicht in einem Webbrowser entspricht. Dies schließt das Scannen und Rekonstruieren von verbundenen Ereignissen sowie das Suchen nach Stylesheets und Bildern ein, die im Zielereignis verwendet werden. Diese Option ist standardmäßig aktiviert. Deaktivieren Sie die Option, wenn Probleme beim Anzeigen bestimmter Websites auftreten.
AnwendenSetzt die Einstellungen sofort in Kraft. Diese sind auch beim nächsten Anzeigen von Ereignissen sichtbar. Dieselben Änderungen werden auch in der Ansicht Profile angewendet.
AbbrechenBricht den Bearbeitungsvorgang ab und schließt das Dialogfeld mit unveränderten Einstellungen.

Bereich „Einstellungen“ der Ansicht „Ereignisanalyse“

Ab Version 11.1 hat die Ansicht „Ereignisanalyse“ Benutzereinstellungen, die Sie in der Ansicht „Ereignisanalyse“ > Bereich „Ereigniseinstellungen“ konfigurieren können. Diese Einstellungen bleiben erhalten, sodass sie jedes Mal, wenn Sie sich anmelden und zur Ansicht „Ereignisanalyse“ wechseln, angewendet werden. In der folgenden Tabelle werden die Optionen beschrieben.

                               
FunktionBeschreibung
Standardmäßige Ansicht „Ereignisanalyse“

Wählt die Standardansicht „Ereignisanalyse“ aus, die jedes Mal angezeigt wird, jedes Mal, wenn Sie die Ansicht „Ereignisanalyse“ öffnen. Wenn Sie zum Beispiel „Dateianalyse“ auswählen, wird der Bereich „Dateianalyse“ hervorgehoben und jedes Mal angezeigt, wenn Sie ein Ereignis in der Ansicht „Ereignisanalyse“ untersuchen. Folgende Optionen stehen zur Verfügung:

  • Textanalyse: Anzeigen und Analysieren der Rohtextnutzlast eines Ereignisses.
  • Paketanalyse: Anzeigen und interaktive Analyse der Pakete und der Nutzlast eines Ereignisses.
  • Dateianalyse: Anzeigen einer Liste von Dateien und Herunterladen einer oder mehrerer Dateien in einem Ereignis.
Standardmäßiges Protokollformat

Wählt das Standardformat für das Herunterladen von Protokollen aus:

  • Protokoll herunterladen: Raw-Protokoll (Protokoll) mit dieser Option.
  • CSV-Datei herunterladen: Kommagetrennte Werte (CSV) mit dieser Option.
  • XML herunterladen: Die XML-Datei (Extensible Markup Language) mit dieser Option.
  • JSON herunterladen: Die JSON-Datei (JavaScript Object Notation) mit dieser Option.
Standardmäßiges Paketformat

Wählt das Standardpaketformat für das Herunterladen von Paketen aus:

  • PCAP herunterladen: Zum Herunterladen des gesamten Ereignisses als eine Paketerfassungsdatei (*.pcap).
  • Alle Nutzdaten herunterladen: Zum Herunterladen der Nutzdaten als eine *.payload-Datei.
  • Anforderungsnutzdaten herunterladen: Zum Herunterladen der Anforderungsnutzdaten als eine *.payload1-Datei.
  • Antwortnutzdaten herunterladen: Zum Herunterladen der Antwortnutzdaten als eine *.payload2-Datei.
Zeitformat für Abfrage

Die Ansicht „Ereignisanalyse“ kann Ergebnisse basierend auf der Datenbankzeit oder der aktuellen Uhrzeit anzeigen. Die Standardeinstellung für diese Einstellung ist „Datenbankzeit“. Dieses Zeitformat wird auch zur Anzeige von Abfrageergebnissen in den Ansichten „Navigation“ und „Ereignisse“ verwendet.
Wenn Datenbankzeit ausgewählt ist, basieren Start- und Endzeit für eine Abfrage auf der Zeit, zu der das Ereignis gespeichert wurde.

Wenn Uhrzeit ausgewählt ist, wird die Abfrage mit der Endzeit basierend auf der aktuellen Browserzeit ausgeführt; die Startzeit wird basierend auf dieser Endzeit und dem Zeitraum berechnet.

Extrahierte Dateien automatisch herunterladen

Ermöglicht das automatische Herunterladen von Dateien, wenn sie in dem Standardformat sind, das in den Feldern Standardmäßiges Protokollformat und Standardpaketformat im Bereich „Ereigniseinstellungen“ ausgewählt ist.

Wählen Sie das Kontrollkästchen aus, um das automatische Herunterladen des ausgewählten Formats in den lokalen Ordner zu aktivieren. Andernfalls geht der Auftrag zum Herunterladen in die Jobwarteschlange und Sie können ihn manuell herunterladen.

 

You are here
Table of Contents > Investigate-Referenzmaterialien > Einstellungsdialogfeld für Ermittlungsansichten

Attachments

    Outcomes