Untersuchen: Ansicht „Navigation“

Document created by RSA Information Design and Development on May 14, 2018Last modified by RSA Information Design and Development on Oct 19, 2018
Version 3Show Document
  • View in full screen mode
 

Die Ansicht „Navigation“ (Ermittlung > Navigieren) zeigt Ereignismetadaten an – die Metaschlüssel und Metawerte –, die in erfassten Daten für den ausgewählten Service gefunden wurden. Die Daten werden in Übereinstimmung mit den Optionen, die Sie für Profil, Zeitbereich, Metagruppe und Abfrage festgelegt haben, gefiltert und angezeigt. Sie können auch einen Drill-down in die Daten durchführen, indem Sie auf Metaschlüssel und Metawerte klicken. Die Ansicht „Navigation“ ist der Standardeinstiegspunkt in NetWitness Investigate. Sie können den Standardeinstiegspunkt in den Benutzerprofil-Voreinstellungen zu einer der anderen Ansichten ändern.

Workflow

Die Abbildung unten zeigt den allgemeinen Workflow für die Untersuchung von Ereignismetadaten.

high-level Investigate workflow with Browse Event Data and associated actions highlighted

Hierbei handelt es sich um die Aufgaben, die Sie in der Ansicht „Navigation“ durchführen können:

  • Auswählen eines Services zum Untersuchen und Laden von Daten.
  • Anzeigen der Abfrageergebnisse und Filtern nach „Zeitbereich“, „Profil“, „Metagruppe“.
  • Sortieren der Ergebnisse und Auswählen einer Quantifizierungsmethode.
  • Ereignisse speichern, Wechseln zu einem Ereignis anhand der Ereignis-ID, Anzeigen eines Ereignisses und Drucken des Ereignisses.
  • Anzeigen zusätzlicher Kontextdaten für bestimmte Metaschlüssel und Werte.
  • Navigieren Sie zu Ansicht „Ereignisse“ oder zur Ansicht „Ereignisanalyse“, wo Sie eine chronologische Liste der Ereignisse anzeigen, ein Ereignis rekonstruieren und eine interaktive Analyse eines Ereignisses durchführen können. Beim Anzeigen und Analysieren von Ereignissen können Sie Ereignisse, Dateien und Protokolle in Ihr lokales Dateisystem exportieren.

Was möchten Sie tun?

                                                                         
BenutzerrolleZiel11.1 Dokumentation
Threat Hunter

Durchsuchen von Ereignismetadaten*

Starten einer Ermittlung in der Ansicht „Navigation“ oder „Ereignisse“

Threat Hunter

Durchsuchen von Raw-Ereignissen*

Starten einer Ermittlung in der Ansicht „Navigation“ oder „Ereignisse“

Threat Hunter

Analyse von Raw-Ereignissen und Metadaten

Starten einer Ermittlung in der Ansicht „Ereignisanalyse“

Threat HunterUntersuchen von Endpunkten (Version 11.1)Untersuchen von Hosts

Threat Hunter

Verdächtige Endpunktdateien finden (Version 11.1)

Untersuchen von Dateien

Threat HunterDateien und Ereignisse auf Schadsoftware scannenDurchführen von Schadsoftwareanalysen

Incident-Experte

Priorisieren eines Incident in „Untersuchen“

NetWitness Respond – Benutzerhandbuch

Threat HunterBenutzereinstellungen für die Ansicht „Navigation“ festlegen*Konfigurieren der Ansichten „Navigation“ und „Ereignisse“
Threat Huntereine Abfrage senden oder eine nähere Analyse der Datenmenge vornehmen*Untersuchen von Metadaten in der Ansicht „Navigation“
Threat HunterAbfrage-Ergebnisse verfeinern*Abfragen von und Reagieren auf Daten in den Ansichten „Navigation“ und „Ereignisse“
Threat Hunter

Durchführen interner Suchen*

Anzeigen von zusätzlichem Kontext für einen Datenpunkt

Threat HunterDurchführen externer Suchen*Starten einer externen Suche eines Metaschlüssels

*Sie können diese Aufgabe in der aktuellen Ansicht durchführen.

Verwandte Themen

Überblick

the Navigate view with Context Panel and Visualization open

Die Ansicht „Navigation“ umfasst folgende Funktionen:

  • Symbolleiste
  • Schaltfläche zum Anhalten/Neuladen und Breadcrumb
  • Zeitbanner
  • (Optional) Debug-Informationen
  • Ausblendbarer Visualisierungsbereich
  • Bereich „Werte“
  • Bereich „Kontextabfrage“
  • Kontextmenüs

Symbolleiste

Über die Symbolleiste können Sie:

  • den zu untersuchenden Service ändern.
  • den angezeigten Datenbereich steuern: Sie können Nutzungsprofile auswählen, einen Zeitbereich festlegen, Metagruppen verwenden und auf die Daten anzuwendende Abfragen erstellen.
  • die Quantifizierungs- und Sortiermethode für Daten im Bereich „Werte“ festlegen
  • Aktionen für die Ergebnisse ausführen. Sie können Ergebnisse exportieren und drucken, ein Ereignis öffnen, dessen Ereignis-ID Sie in der Ansicht „Ereignisse“ oder „Ereignisanalyse“ haben, und eine Abfrage an Informer übergeben.
  • Ermittlungseinstellungen konfigurieren, ohne dazu die Investigate-Ansichten verlassen zu müssen

Bei einigen Symbolleistenoptionen wird der Standardwert oder der ausgewählte Wert und nicht der Name der Option angezeigt. Für die Zeitbereichsoption im Beispiel oben wird z. B. Letzte 5 Minuten angezeigt, was für den aktuell ausgewählten Wert steht. Dies sind die Optionen der Symbolleiste.

                                                           
OptionBeschreibung
Service icon Zeigt neben dem Symbol den Namen des ausgewählten Services an. Durch Klicken auf das Symbol wird das Dialogfeld „Service ermitteln“ geöffnet, in dem Sie einen zu untersuchenden Service auswählen und den zu untersuchenden Standardservice festlegen können (siehe Starten einer Ermittlung in der Ansicht „Navigation“ oder „Ereignisse“). Wenn Sie den Service ändern, werden die Daten nicht neu geladen.
Zeitbereich Zeigt die Zeitbereichsoptionen an. Die derzeit ausgewählte Option wird in der Symbolleiste angezeigt (siehe Filtern von Ergebnissen in der Ansicht „Navigation“). Sie haben folgende Auswahlmöglichkeiten:
  • Alle Daten
  • Letzte 5, 10, 15 oder 30 Minuten
  • Letzte Stunde, letzte 3, 6, 12 oder 24 Stunden
  • Letzte 2 oder 5 Tage
  • Morgen
  • Vormittag
  • Nachmittag
  • Abend
  • Den ganzen Tag
  • Gestern
  • Diese Woche
  • Letzte Woche
  • Benutzerdefiniert

Hinweis: Wenn Sie die benutzerdefinierte Start- oder Endzeit in Sekunden angeben, wird der Wert für die Startzeit in Sekunden standardmäßig immer auf „:00“ und der Wert für die Endzeit in Sekunden standardmäßig immer auf „:59“ festgelegt. Wenn Sie beispielsweise einen Drill-Down in ein Problem durchführen, wird die Drill-down-Zeit als HH:MM:00 - HH:MM:59 interpretiert. Sekunden werden in diesem Format in Untersuchungsfunktionen angezeigt.

Abfrage Zeigt das Dialogfeld „Abfrage“ an, in dem Sie eine benutzerdefinierte Abfrage direkt eingeben können, anstatt ein Drill-down in die Daten durchzuführen. Eine Beschreibung des Dialogfelds finden Sie unter Dialogfeld „Abfrage“.
Profil Zeigt das Menü Profil an; das aktuell ausgewählte Profil wird in der Symbolleiste angezeigt. Ein Profil erlaubt Ihnen, Profile zu verwalten und zu verwenden, die angepasste Metagruppen, eine Standard-Spaltengruppe und eine beginnende Abfrage enthalten können. Die Profile gelten für die Ansicht Navigieren (Metagruppen und Abfragen) und die Ansicht Ereignisse (Spaltengruppen und Abfragen). Weitere Informationen finden Sie unter Einkapseln von benutzerdefinierten Ansichten mithilfe von Profilen.
MetaZeigt das Menü Metagruppe an. Sie können Standardmetaschlüssel oder eine benutzerdefinierte Metagruppe verwenden. Sie haben außerdem die Möglichkeit, Änderungen an beiden Gruppentypen vorzunehmen (siehe Metagruppen managen).
SortierfeldZeigt das Menü Sortierfeld an. Die aktuell ausgewählte Option wird in der Symbolleiste angezeigt. Das Menü hat zwei Optionen: „Nach Gesamtsumme ordnen“ und „Nach Wert ordnen“. Das Sortierfeld ist eine Ergänzung der Option „Sortierreihenfolge“. Die Daten für die Metaschlüssel werden basierend auf der Gesamtsumme (grüne Zahl) oder dem Metawert (blauer Text) sortiert (siehe Filtern von Ergebnissen in der Ansicht „Navigation“).
Sortierreihenfolge Zeigt das Menü „Sortierreihenfolge“ an. Die aktuell ausgewählte Option wird in der Symbolleiste angezeigt. Das Menü hat zwei Optionen: „In aufsteigender Reihenfolge sortieren“ und „In absteigender Reihenfolge sortieren“. Die Sortierreihenfolge ist eine Ergänzung der Option „Sortierfeld“; das ausgewählte Feld für die einzelnen Metaschlüssel wird in aufsteigender oder absteigender Reihenfolge sortiert (siehe Filtern von Ergebnissen in der Ansicht „Navigation“).
Quantifizierungsmethode Zeigt das Menü „Quantifizierungsmethode“ an. Die aktuell ausgewählte Option wird in der Symbolleiste angezeigt. Die Quantifizierungsmethode gilt nur für die Metaschlüsselergebnisse im Bereich „Werte“. Sie gilt nicht für die Zeitachse.
Das Drop-down-Menü enthält drei Optionen zum Berechnen der angezeigten Anzahl (grüne Zahl in Klammern) für einen Metawert: „Nach Ereignisanzahl quantifizieren“, „Nach Ereignisgröße quantifizieren“ und „Nach Paketanzahl quantifizieren“ (siehe Filtern von Ergebnissen in der Ansicht „Navigation“).
Diese geben je nach angezeigtem Datentyp unterschiedliche Werte zurück.
Bei Paketdaten:
  • „Nach Ereignisanzahl quantifizieren“ zeigt die Anzahl der Sitzungen an.
  • „Nach Ereignisgröße quantifizieren“ zeigt die Größe in Byte an.
  • „Nach Paketanzahl quantifizieren“ zeigt die Anzahl der Pakete an.
Bei Protokolldaten:
  • „Nach Ereignisanzahl quantifizieren“ zeigt die Anzahl der Protokolle an.
  • „Nach Ereignisgröße quantifizieren“ zeigt die Größe in Byte an.
  • „Nach Paketanzahl quantifizieren“ zeigt die Anzahl der Protokolle an.
Ereignisse speichernZeigt das Menü „Ereignisse speichern“ an, in dem Optionen für folgende Aufgaben zur Verfügung stehen: Extrahieren von mit einem Ereignis zusammenhängenden Dateien, Exportieren des aktuellen Drill-down-Punkts als PCAP-Datei und Exportieren des aktuellen Drill-down-Punkts als Protokolldatei (siehe „Exportieren eines Drill-down-Punkts“).
Aktionen Das Menü "Aktionen" enthält Aktionen, die Sie in der Ansicht „Navigation“ ausführen können (siehe Untersuchen von Metadaten in der Ansicht „Navigation“). In Version 11.0.0.x sind folgende Optionen verfügbar: „Visualisieren“, „Zu Ereignis wechseln“ und „Drucken“. Ab Version 11.1 sind die Optionen „Visualisieren“, „In Ereignisrekonstruktion zu Ereignis wechseln“, „In Ereignisanalyse zu Ereignis wechseln“ und „Drucken“ verfügbar.
Ereignisse suchen Ermöglicht Ihnen, nach Textmustern im aktuellen Satz von Ereignissen zu suchen. Wenn Sie auf das Suchfeld klicken, wird ein Drop-down-Menü mit Suchoptionen angezeigt. Wenn Sie auf „Anwenden“ klicken, werden die ausgewählten Optionen gespeichert und die Suchoptionen in der Ansicht „Ereignisse“ und im Profil „Investigations“ aktualisiert (siehe Suchen nach Textmustern).
EinstellungenZeigt die Einstellungen für die Ansicht „Navigation“ an (die auch in der Ansicht „Profil“ bearbeitet werden können), sodass Sie die Einstellungen für Investigate ändern können, ohne die Ansicht „Navigation“ verlassen zu müssen. Wenn Sie eine Einstellung in der Ansicht „Navigation“ ändern, wird die Einstellung auch in der Ansicht „Profil“ geändert (siehe Konfigurieren der Ansichten „Navigation“ und „Ereignisse“).

Schaltfläche zum Anhalten/Neuladen und Breadcrumb

Im Breadcrumb werden die einzelnen Abfragen nachverfolgt, die während des Drill-down durch die Metadaten für einen Service durchgeführt wurden. Die Abfragen werden jeweils mit einem Drop-down-Menü angezeigt und sind durch ein Pipe-Zeichen voneinander getrennt. Der letzte Punkt ist der aktuelle Punkt, auch als Spitze bezeichnet. Über das Symbol vor dem Breadcrumb können Sie das Laden von Metawerten anhalten bzw. die Metawerte neu laden.

Der Breadcrumb zeigt den Servicenamen nicht an und wird nur angezeigt, wenn eine Abfrage aktiv ist. Wenn zu viele Drill-down-Punkte zum Anzeigen zur Verfügung stehen, wird ein Überlauf in Form von zwei spitzen Klammern (>>) am Ende des Breadcrumb angezeigt.

Die Drop-down-Menüs im Breadcrumb unterscheiden sich nur je nach Position des Crumb und sind ansonsten identisch.

In der folgenden Tabelle werden die Steuerelemente und Menüoptionen im Breadcrumb beschrieben.

                                           
FunktionBeschreibung
Pause icon
Schaltfläche „Anhalten und neu laden“ Steuert das Laden von Daten in der Ansicht. Drei Funktionen sind möglich: Laden anhalten, Laden fortführen und neu laden.
Hierhin navigierenÖffnet den ausgewählten Drill-down-Punkt im aktuellen Bereich „Werte“.
Hierhin navigieren (neue Registerkarte)Öffnet den ausgewählten Drill-down-Punkt in einer neuen Registerkarte.
Einfügen vorFügt vor dem aktuellen Drill-down-Punkt eine Abfrage ein. Das Dialogfeld „Filter erstellen“ wird angezeigt, in dem Sie eine benutzerdefinierte Abfrage definieren können, die in den Breadcrumb eingefügt werden soll (siehe Erstellen einer angepassten Abfrage).
Anfügen Fügt nach dem aktuellen Drill-down-Punkt eine Abfrage an. Das Dialogfeld „Filter erstellen“ wird angezeigt, in dem Sie eine benutzerdefinierte Abfrage definieren können, die an das Ende des Breadcrumb angefügt werden soll (siehe „Erstellen einer angepassten Abfrage“).
EntfernenEntfernt den ausgewählten Drill-down-Punkt aus dem Breadcrumb.
Bearbeiten Öffnet den ausgewählten Drill-down-Punkt im Dialogfeld „Filter erstellen“, sodass Sie die Abfrage bearbeiten können.
>> Durch Klicken auf die spitzen Klammern wird ein Drop-down-Menü mit dem Breadcrumb-Überlauf geöffnet.

(Optional) Debug-Informationen

Wenn Sie die Einstellung „Debuginformationen anzeigen“ aktiviert haben und der Service, durch den Sie navigieren, ein Broker der Version 10.4 oder höher ist, zeigt NetWitness Suite Debug-Informationen unter der Breadcrumb-Navigation an.

Die Debug-Informationen sind die where -Klausel der aktuellen Abfrage. Es ist nur dann keine where -Klausel vorhanden, wenn sich der Zeitbereich auf alle Daten bezieht und keine Drill-down-Punkte vorhanden sind. Wenn der Broker über mindestens einen Aggregatservice verfügt, der offline ist, werden in den Debug-Informationen auch die Offlineservices angezeigt.

Beispiel:

(attachment exists)&&(tcp.dstport = '80')&&(risk.info exists)$$time='2014-05-04 18:50:00"-"2014-05-09 18:59:59(attachment exists) && (tcp.dstport = '80') && (risk.info exists) && time="2014-05-04 18:50:00"-"2014-05-09 18:50:59"

Außerdem wird im Bereich „Werte“ am Ende jedes Metaschlüssels die Ladedauer angezeigt.

Zeitbanner

Genau unter dem Breadcrumb und den Debug-Informationen (sofern vorhanden) wird im Zeitbanner der Zeitbereich angezeigt, der für die Diagrammerstellung verwendet wurde.

Visualisierungen

Im oberen Bereich der Ansicht „Navigation“ wird eine Visualisierung des aktuellen Drill-down-Punkts angezeigt. Sie können über den Bereich „Visualisierung“ einen Drill-down in die Daten durchführen (siehe Filtern von Ergebnissen in der Ansicht „Navigation“). Sie können die Visualisierung ein- oder ausblenden und eine der folgenden Visualisierungsoptionen wählen: „Zeitachse“ oder „Koordinaten“. Als Visualisierung wird zunächst die zuletzt gespeicherte Visualisierung geöffnet.

Zeitachsendiagramm

Die Zeitachse ist die Anzahl der Ereignisse, die zu einer bestimmten Instanz auftreten. Die Zeitachse bietet Ereigniszählungen, sodass Sie sehen können, wenn sich die Anzahl der Ereignisse zu einem bestimmten Zeitpunkt drastisch erhöht. Die Zeitachse zeigt die Aktivitäten für den ausgewählten Service und Zeitbereich als Liniendiagramm oder Balkendiagramm an, je nachdem, was Sie im Menü „Optionen“ ausgewählt haben. In der zweiten Abbildung wird ein Liniendiagramm und in der dritten ein Balkendiagramm dargestellt.

Visualization Options dialog

example of a line chart

example of a bar chart

Die Zeitachse zeigt die Aktivitäten für den ausgewählten Service und Zeitbereich als Liniendiagramm oder Balkendiagramm an, je nachdem, was Sie im Menü „Optionen“ ausgewählt haben.

                                       
FunktionBeschreibung
Anzahl der Ereignisse (Zeitachse) Die Y-Achse des Diagramms mit der Anzahl der Ereignisse (in Tausend).
Zeitachse (Zeitachse) Die X-Achse des Diagramms, die den Zeitpunkt der Ereignisse angibt.
Ereignispunkt (Zeitachse) Wenn Sie sich einen bestimmten Abschnitt genauer anschauen möchten, wählen Sie diesen Bereich einfach im Diagramm aus. Der neue Zeitbereich wird nun im Diagramm dargestellt.
Ermitteln (Zeitachse) Zeigt die Metawerte für die ausgewählte Teilmenge an.
Zoom zurücksetzen (Zeitachse) Um zum ursprünglichen Zeitbereich zurückzukehren, klicken Sie auf „Zoom zurücksetzen“.
Optionen Zeigt das Dialogfeld „Visualisierungsoptionen“ an. Datenpunkte können als Liniendiagramm (Standard), Balkendiagramm oder Koordinatendiagramm angezeigt werden. Wenn ein Diagrammtyp ausgewählt ist, werden die relevanten Optionen angezeigt.
Ausblenden Blendet das Diagramm aus.

Parallelkoordinatendiagramm

Das Parallelkoordinatendiagramm ist eine der Auswahlmöglichkeiten im Menü „Optionen“ zum Visualisieren des aktuellen Drill-down-Punkts. Wenn im Dialogfeld „Visualisierungsoptionen“ die Option „Koordinaten“ ausgewählt ist, können Sie die anzuzeigenden Metadaten auswählen (siehe Visualisieren von Metadaten als Parallelkoordinaten).

example of a parallel coordinates visualization

                                   
FunktionBeschreibung
Achsen Jede Achse ist ein Metaschlüssel. Die Anzahl der Metaschlüssel wirkt sich auf die Ladezeit des Diagramms aus. Alle Metaschlüssel werden geladen, aber die Anzahl von Ereignissen pro Metaschlüssel ist begrenzt.
Linien Die Linien stellen Ereignisse dar und verbinden Werte auf den Achsen, um die Korrelation zwischen mehreren Metaschlüsseln zu zeigen.
Optionen Zeigt das Dialogfeld „Visualisierungsoptionen“ an. Datenpunkte können als Liniendiagramm (Standard), Balkendiagramm oder Koordinatendiagramm angezeigt werden. Wenn ein Diagrammtyp ausgewählt ist, werden die relevanten Optionen angezeigt.
Nur eine Teilmenge der Ereignisse wird angezeigt. Mit dieser Meldung werden Sie darüber benachrichtigt, dass nicht alle Ereignisse im Bereich „Werte“ in das Diagramm übernommen werden. Um alle Ereignisse anzuzeigen, kann es hilfreich sein, Achsen zu entfernen oder die Daten im Bereich „Werte“ zu filtern.
Gefundene Ereignisse | Eindeutige Pfade Zeigt die Gesamtanzahl von Ereignissen im Diagramm im Vergleich zur Anzahl der eindeutigen Pfade im Diagramm an. Durch Aktivieren der Option „Alle Metaschlüssel müssen in einem Ereignis vorhanden sein“ wird das Diagramm erneut gezeichnet und dadurch besser ausgerichtet und lesbarer.
DNEGibt an, dass für diesen Metaschlüssel in dem Ereignis keine Werte vorhanden sind.

Sie können im Dialogfeld Visualisierungsoptionen für Koordinaten die Metaschlüssel auswählen, die dargestellt werden sollen.

                                               
FunktionBeschreibung
Visualisierungsauswahl Zeigt eine Drop-down-Liste mit Visualisierungstypen an: Zeitachse und Koordinaten
Alle Metaschlüssel müssen in einem Ereignis vorhanden sein Begrenzt die in der Visualisierung dargestellten Daten auf ausschließlich solche Ereignisse, die alle ausgewählten Metaschlüssel enthalten. Dabei ist das Ziel, eine übersichtliche, besser ausgerichtete Visualisierung zu erhalten.
Add icon Zeigt das Dialogfeld „Schlüssel zur Parallelkoordinatenvisualisierung hinzufügen“ an, damit Sie der Visualisierung Achsen hinzufügen können. Diese Option ist nützlich, wenn Sie nach Beziehungen zwischen den Standardmetaschlüsseln und einigen zusätzlichen Metaschlüsseln suchen.
Delete icon Löscht die ausgewählten Schlüssel, sodass sie nicht als Achsen in der Visualisierung angezeigt werden. Die Visualisierung wird dadurch übersichtlicher und kann mehr Datenpunkte enthalten.
Reverse icon Stellt die Standardmetaschlüssel für die Visualisierung wieder her, d. h. alle Metaschlüssel in dem aktuellen Drill-down-Punkt.
Info icon Steuert die Anzeige von zusätzlichen Informationen zur Anzahl der ausgewählten Achsen im Vergleich zur empfohlenen Anzahl. Hiermit werden Ihnen mögliche Performanceverbesserungen durch Entfernen von Achsen aufgezeigt.
Achsen Listet die Metaschlüssel auf, die als Achsen in der Visualisierung ausgewählt wurden.
Abbrechen Verwirft alle an den Visualisierungsoptionen vorgenommenen Änderungen.
Anwenden Speichert die Änderungen an den Visualisierungsoptionen und wendet sie auf die aktuelle Visualisierung an.

Im Dialogfeld „Schlüssel zur Parallelkoordinatenvisualisierung hinzufügen“ können Sie die Metaschlüssel oder Metagruppen auswählen, die als Achsen in der Parallelkoordinatenvisualisierung verwendet werden sollen.

                           
FunktionBeschreibung
Visualisierungsauswahl Schlüssel auswählen: Die folgenden zwei Optionen dienen zur Auswahl von Metaschlüsseln:
  • Aus Standardmetaschlüsseln
  • Aus Metagruppen
Jede Option stellt eine Drop-down-Liste zur Auswahl bereit.
Mit den ausgewählten Metaschlüsseln ... Mit den Optionen für die Methode zum Hinzufügen von Metaschlüsseln können Sie Folgendes ausführen:
  • Aktuelle Schlüsselliste ersetzen
  • An aktuelle Schlüsselliste anhängen
  • Am Anfang der aktuellen Schlüsselliste einfügen
Abbrechen Schließt das Dialogfeld, ohne Schlüssel hinzuzufügen.
Hinzufügen Schließt das Dialogfeld und fügt die ausgewählten Schlüssel wie angegeben hinzu.

Bereich „Werte“

Die Hauptfunktion der Ansicht „Navigation“ ist der Bereich „Werte“, in dem Sie Daten analysieren können (siehe Filtern von Ergebnissen in der Ansicht „Navigation“).

Die Standardansicht bezieht sich auf die letzten 3 Stunden der Sammlung, wobei die standardmäßigen Metaschlüssel und die nicht indizierten geschlossenen Metaschlüssel verwendet werden. Die Metaschlüssel in den Metagruppen werden in der Reihenfolge angezeigt, in der NetWitness Suite die Schlüssel abfragt. Beim Laden der Daten in den Bereich „Werte“ wird NetWitness Suite optimiert, um Teilergebnisse, den Ladefortschritt und den Servicestatus anzuzeigen.

Das Ladeverhalten wird durch verschiedene Konfigurationseinstellungen bestimmt. Die Einstellungen auf höchster Ebene werden vom Administrator für jeden Benutzer festgelegt. und zwar:

  • Die maximal zulässige Dauer einer Abfrage dieses Benutzers (Timeout für Abfrage)
  • Der Schwellenwert, bis zu dem NetWitness Suite die Anzahl an Metawerten in einer Sitzung zählt (Sitzungsschwellenwert). Wenn ein Schwellenwert für eine Sitzung festgelegt ist, werden in der Ansicht „Navigation“ das Erreichen des Schwellenwerts sowie der Prozentsatz der geladenen Ergebnisse angezeigt. Jede Sitzung, für die kein Prozentsatz angezeigt wird, ist korrekt und wurde bis zum Abschluss verarbeitet. Wenn ein vorhandener Prozentsatz gibt an, wie viel der Verarbeitung abgeschlossen wurde. Der angezeigte Prozentsatz wird durch Extrapolieren aus dem Wert zum Zeitpunkt des Abschlusses der Verarbeitung unter Berücksichtigung der verbleibenden Arbeit geschätzt. Höhere Prozentwerte sind in der Regel genauer, da sie weniger Extrapolation erfordern.
  • Der Schwellenwert, bis zu dem NetWitness Suite die Anzahl an Metawerten in einer Sitzung zählt (Sitzungsschwellenwert). Wenn ein Schwellenwert für eine Sitzung festgelegt ist, werden in der Ansicht „Navigation“ das Erreichen des Schwellenwerts sowie der Prozentsatz der Abfragezeit, der zum Erreichen des Schwellenwertes verwendet wurde, angezeigt.

Hinweis: Der Ladevorgang für die Werte nicht indizierter Metaschlüssel im Bereich „Werte“ dauert länger. Zum Optimieren des Ladevorgangs öffnet NetWitness Suite nicht indizierte Metaschlüssel standardmäßig nicht. Detaillierte Informationen über nicht indizierte Metaschlüssel in Investigation erhalten Sie unter „Verwalten und Anwenden von Standardmetaschlüsseln in einer Ermittlung“.

Wenn Sie die Ermittlung für einen Service gestartet haben, zeigt NetWitness Suite die Ergebnisse im Bereich „Werte“ an.

  1. NetWitness Suite lädt Metaschlüssel und Metawerte im Bereich „Werte“. Für jeden Ladevorgang von Metaschlüsseln gibt es folgende Phasen:
    1. Warten auf Ladevorgang oder Geschlossen. Lautet die Phase Geschlossen, werden keine Daten für diesen Schlüssel geladen.
    2. Laden
      1. Ladefortschritt: NetWitness Suite empfängt und zeigt Fortschrittsmeldungen an.
      2. Teilergebnisse: NetWitness Suite empfängt Meldungen zu Werten und zeigt Teilergebnisse im Bereich „Werte“ an.
    3. Ladevorgang abgeschlossen: Alle Ergebnisse wurden geladen.
  2. Nach jedem Abschluss eines Metaschlüssel-Ladevorgangs und dem Anzeigen endgültiger Werte wird mit dem nächsten Metaschlüssel fortgefahren. Die Anzahl der Werte, die für jeden Metaschlüssel ausgegeben werden, wird durch den Wert Threads rendern in den Ermittlungseinstellungen festgelegt. Der Ladevorgang wird fortgesetzt, bis alle erforderlichen Schlüssel geladen wurden.
  3. Falls Debuginformationen anzeigen aktiv ist und der betreffende Service ein Broker der Version 10.4 oder höher ist, zeigt NetWitness Suite unter den Werten für jeden Metaschlüssel die Ladedauer und zusätzliche Ladeinformationen für die aggregierten Services an. NetWitness Suite blendet außerdem die Debug-Informationen unter der Brotkrümelnavigation ein.

Iterative Ergebnisse

Iterative Ergebnisse liefern Feedback zum Status von Abfragen in den Schnittstellen, um eine Einschätzung zur Ladedauer zu geben und fehlende Servicedaten zu melden. Wenn Sie z. B. einen Broker abfragen, der Daten von zwei Concentrators aggregiert, werden in NetWitness Suite die Ergebnisse vom ersten Concentrator angezeigt, sobald sie verfügbar sind, auch wenn der zweite Concentrator noch auf Ergebnisse wartet.

Iterative Ergebnisse umfassen auch Benachrichtigungen bei fehlenden Servicedaten, wenn der Service nicht erreichbar ist.

Teilergebnisse

Wenn vom Core-Service Teilergebnisse zurückgegeben werden, wird am Ende der Metaschlüsselliste eine Meldung mit dem aktuellen Fortschritt des Ladevorgangs der Werte angezeigt. Zum Beispiel: Zurzeit werden 38 ip.src-Werte geprüft, 71 % gibt an, dass das Laden der Werte für den Metaschlüssel zu 71 % abgeschlossen ist.

Debug-Informationen

Wenn die Einstellung „Debuginformationen anzeigen“ aktiviert ist, wird am Ende der Werte ein Feld mit dem Status für die verschiedenen Systeme angezeigt, für die Sie in NetWitness Suite Abfragen ausführen. Wenn Sie z. B. Abfragen für einen 10.4-Broker ausführen, der Daten von mehreren Concentrators abruft, zeigt NetWitness Suite den Status der Abfragen pro Concentrator an, sodass die relative Geschwindigkeit des Datenladevorgangs bei jedem Concentrator sichtbar ist. Für jeden Service, der Teil der Abfrage war, wird die verstrichene Gesamtzeit für die Abfrage aufgeführt.

Für jeden Service, der Teil der Abfrage war, wird die verstrichene Gesamtzeit für die Abfrage aufgeführt. Im Beispiel oben haben zwei Services die Ergebnisse innerhalb von 3,207 Sekunden zurückgegeben, localhost:50005 brauchte dagegen nur 2 Sekunden zum Zurückgeben der Ergebnisse. Außerdem wird die „Where“-Klausel der Abfrage unter dem Breadcrumb angezeigt. Sie können diese Syntax direkt in eine Anwendungsregel oder in eine „Where“-Klausel einer Regel für die Reporting kopieren.

Ladevorgang abgeschlossen

Für jeden Metaschlüssel wird eine Liste mit Werten (blauer Text) und der jeweiligen Anzahl (grüner Text) angezeigt, die aus dem aktuellen Drill-down-Punkt stammt. Wenn Sie auf einen Wert klicken, um einen Drill-down in eine Teilmenge der aktuell ausgewählten Daten durchzuführen, wird die Anzeige aktualisiert, und der neue Drill-down-Punkt wird im Breadcrumb wiedergegeben. Sie können die Sortierungs- und Quantifizierungsmethoden für die Werteliste über die Optionen der Symbolleiste festlegen.

Hinweis: Für den Titel, die Werte und die Zählangaben nicht indizierter Metaschlüssel kann kein Drill-down durchgeführt werden; entsprechende Werte und Zählangaben werden in Schwarz angezeigt.

                                           
FunktionBeschreibung
MetaschlüsselDer Name des aufgeführten Metaschlüssels; Servicetyp ist z. B. ein Metaschlüssel.
Anzahl der gerenderten Werte und Anzahl der zum Laden verfügbaren Werte Die Anzahl der gerenderten Werte wird durch den Wert „Threads rendern“ in den Ermittlungseinstellungen festgelegt. Im Beispiel oben lautet der Metaschlüssel Servicetyp und 20 von 20+ Werten werden zurzeit angezeigt. Sie können weitere Werte anzeigen, indem Sie auf ...Mehr anzeigen klicken.
the Search icon Durch Klicken auf The search icon für einen indizierten Metaschlüssel wird das Suchdialogfeld geöffnet, in das Sie einen Filter für den aktuellen Metaschlüssel eingeben können. Die Suchfunktion steht nicht für nicht indizierte Metaschlüssel zur Verfügung und basiert auf dem tatsächlichen Metawert und nicht auf dem Alias. Drill-downs mit dem Suchdialogfeld werden mit Aliasen nicht unterstützt.
HINWEIS: Fragen Sie Ihren Administrator nach einer Liste von Aliasen, die für einen Metaschlüssel in Investigation verwendet werden. Wenn ein Alias verwendet wird, liefert das Suchdialogfeld keine Ergebnisse. Stattdessen müssen Sie eine Abfrage für den Metaschlüssel per Rechtsklick oder über das Dialogfeld „Abfrage“ durchführen.
Offlineservices: xxx.xxx.xxx.xxx:50004 Führt die Offlineservices auf, die von einem 10.4-Broker abgefragt werden.
Metaanzahl, zum Beispiel
(3)
Die Anzahl an Instanzen, die für ein bestimmtes Metaelement in der Sitzung gefunden wurde.
Metawert, zum Beispiel:
other src
Der Name, der mit dem gefundenen Metaelement verknüpft ist.
...Mehr anzeigenWenn die Anzahl an Metawerten begrenzt wurde (z. B. auf 20), werden durch Klicken auf diesen Link zusätzliche Metawerte für den ausgewählten Metaschlüssel angezeigt.
In 0,418 Sek. geladen. Gesamtlaufzeit 0,434 Sek. (localhost:50005 in 1 Sek. geladen...Debug-Statistiken zeigen die Ladedauer basierend auf der Einstellung „Debuginformationen anzeigen“ an.

Drop-down-Menüs „Metaschlüssel“

Die Metaschlüssel im Bereich „Werte“ weisen Drop-down-Menüs auf. Neben jedem Metanamen wird ein Drop-down-Pfeil mit Optionen angezeigt, die auf dieses Element zutreffen. Sie können diese Optionen nutzen, um die Darstellung der Ergebnisse für den Metaschlüssel in der aktuellen Ansicht zu ändern. Änderungen an Metaschlüsseln bleiben in der aktuellen Ansicht angezeigt, bis Sie die Seite aktualisieren oder einen neuen Service in der Symbolleiste der Ansicht „Navigation“ auswählen. Siehe Drill-down zu Daten im Bereich „Werte“.

Durch eine Aktualisierung wird die Darstellung der Metaschlüssel wieder auf die Standardeinstellung zurückgesetzt, die im Dialogfeld „Standardmetaschlüssel managen“ definiert wurde (siehe „Verwalten und Anwenden von Standardmetaschlüsseln in einer Ermittlung“). Wenn Sie im Dialogfeld „Standardmetaschlüssel managen“ bisher keine Änderungen vorgenommen haben, stellt NetWitness Suite die standardmäßigen Metaschlüssel vom Core-Service wieder her.

  • Mehr Ergebnisse
  • Max. Ergebnisse
  • Ergebnisse ausblenden
  • Metaschlüsselinformationen
  • Als CSV-Datei anzeigen (Version 11.0.0.x) oder Werte exportieren (ab Version 11.1)

Bereich „Kontextabfrage“

In den Ansichten „Navigation“ und „Ereignisse“ befindet sich rechts der Bereich „Kontextabfrage“. Der Kontextabfragebereich wird nur angezeigt, wenn der Context-Hub-Service installiert und konfiguriert wurde. Weitere Informationen zum Konfigurieren des Context-Hub-Services finden Sie im Context Hub-Konfigurationsleitfaden.

Im Bereich „Kontextabfrage“ werden die relevanten Daten angezeigt, wenn ein Analyst Kontextdaten für einen Metawert im Bereich „Werte“ abfragt.

Navigate view with the Context Lookup panel open

Nachdem der Administrator den Context-Hub-Service konfiguriert hat, können Sie die Kontextinformationen für die Metawerte in der Ansicht „Navigation“ und der Ansicht „Ereignisse“ anzeigen. Weitere Informationen zum Konfigurieren des Context-Hub-Services finden Sie im Context Hub-Konfigurationsleitfaden. Informationen zur Durchführung von Kontextabfragen für Metawerte finden Sie unterAnzeigen von zusätzlichem Kontext für einen Datenpunkt.

Der Context-Hub-Service ist mit einer Standardzuordnung von Metadatentyp und Metaschlüssel vorkonfiguriert. Informationen über die Zuordnung des Context Hub-Metawerts zum Investigation-Metaschlüssel finden Sie unter „Managen der Metadatentyp- und Metaschlüsselzuordnung“ im Context Hub-Konfigurationsleitfaden.

Sie können den Typ der Kontextdaten anzeigen, die für einen hervorgehobenen Metawert verfügbar sind, indem Sie den Mauszeiger über einen hervorgehobenen Metawert bewegen. Eine Inline-Anzeige zeigt an, welcher Typ von Kontextdaten für den Metawert zur Verfügung steht: Endpunkt, Incidents, Warnmeldungen oder Listen.

Wenn Sie mit der rechten Maustaste auf einen Metawert klicken, wird ein Menü mit der Option „Kontextabfrage“ geöffnet. Die folgende Abbildung zeigt die Option „Kontextabfrage“, wenn Sie mit der rechten Maustaste auf einen Metawert klicken.

This menu is an example of the context menu.

Für Metaschlüssel, wie IP-, Host- und Mac-Adresse, werden die Details der mit einem Flag versehenen Werte aus Endpunkt, Incident, Warnmeldungen und Listen erfasst.

Für Metaschlüssel, wie Datei, Datei-Hash, Domain, Benutzer, werden die Details der mit einem Flag versehenen Werte aus Incident, Warnmeldungen und Listen erfasst.

Die Daten werden im Bereich „Kontext“ nur angezeigt, wenn Daten verfügbar sind.

Weitere Informationen über die Ergebnisse der Suche und Kontextinformationen für verschiedene Datenquellen finden Sie unterBereich „Kontextabfrage“.

You are here
Table of Contents > Investigate-Referenzmaterialien > Ansicht „Navigation“

Attachments

    Outcomes