Untersuchen: Ansicht „Malware Analysis“

Document created by RSA Information Design and Development on May 14, 2018Last modified by RSA Information Design and Development on Oct 19, 2018
Version 3Show Document
  • View in full screen mode
 

In NetWitness Investigation stellt die Ansicht „Malware Analysis“ die Benutzeroberfläche zur Durchführung einer Schadsoftwareanalyse bereit. Die Ansicht „Malware Analysis“ hat die Form eines anpassbaren Dashboards, in dem Standard-Dashlets in der anfänglichen Ansicht auf der Benutzerrolle (Administration oder Analyst) und Benutzeranpassungen basieren. Anfänglich wird das Dashlet Ereigniszusammenfassung in der Ansicht Malware Analysis angezeigt. Zusätzliche Dashlets präsentieren verschiedene Visualisierungen der angezeigten Ereignisse und jede Darstellung ist konfigurierbar, um Ihre Ansicht weiter zu verbessern, während Sie nach Indikatoren für eine Infizierung suchen. Die Malware-Analysis-Dashlets, die auf dem -Dashboard verfügbar sind, sind auch in der Ansicht „Malware Analysis“ verfügbar.

Um auf diese Ansicht zuzugreifen, wählen Sie Ermittlung > Malware Analysis aus. Wenn kein Standardservice ausgewählt wurde, wird das Dialogfeld „Malware Analysis Service auswählen“ angezeigt. Wählen Sie einen Service aus und klicken Sie anschließend auf Fortlaufenden Modus anzeigen.

Workflow

high-level Investigate workflow with Scan Files and Hosts for Malware and associated actions highlighted

Was möchten Sie tun?

                                                               
BenutzerrolleZiel11.1 Dokumentation
Threat Hunter

Durchsuchen von Ereignismetadaten

Starten einer Ermittlung in der Ansicht „Navigation“ oder „Ereignisse“

Threat Hunter

Durchsuchen von Raw-Ereignissen

Starten einer Ermittlung in der Ansicht „Navigation“ oder „Ereignisse“

Threat Hunter

Analyse von Raw-Ereignissen und Metadaten

Starten einer Ermittlung in der Ansicht „Ereignisanalyse“

Threat HunterUntersuchen von Endpunkten (Version 11.1)Untersuchen von Hosts

Threat Hunter

Verdächtige Endpunktdateien finden (Version 11.1)

Untersuchen von Dateien

Threat HunterDateien und Ereignisse auf Schadsoftware scannen*Durchführen von Schadsoftwareanalysen

Incident-Experte

Priorisieren eines Incident in „Untersuchen“

NetWitness Respond – Benutzerhandbuch

Threat HunterExportieren von Ereignissen und Dateien*Überprüfen von Scandateien und Ereignissen in Listenform
Threat HunterDurchführen externer Suchen*Anzeigen der detaillierten Schadsoftwareanalyse eines Ereignisses
   

*Sie können diese Aufgabe in der aktuellen Ansicht durchführen.

Verwandte Themen

Überblick

Es folgt ein Beispiel für die Ansicht Malware Analysis.

The default view in Malware Analysis is the Summary of Events

Die Ansicht „Malware Analysis“ enthält den Bereich „Ereigniszusammenfassung“ und vier für diese Ansicht spezifische Dashlets. Jedes dieser spezifischen Dashlets hat identische Dialogfelder „Optionen“. Die Malware Analysis-Dashlets in der Ansicht „ÜBERWACHEN“ sind ebenfalls verfügbar und werden im Thema „Dashlets“ unter RSA Content für die RSA NetWitness® Suite beschrieben.

Bereich „Ereigniszusammenfassung“

Im Bereich Ereigniszusammenfassung können Sie den Service, den Scanmodus und den Zeitbereich auswählen. Zudem können Sie einen Datenpunkt auswählen und die dem Ereignis zugeordneten Ereignisse anzeigen.

In der folgenden Tabelle werden alle Funktionen im Bereich „Ereigniszusammenfassung“ beschrieben.

                                         
FunktionBeschreibung
The service icon Wählt einen Service für die Anzeige aus.
ScanmodusZeigt eine Drop-down-Liste der verfügbaren Scanmodi an.
ZeitbereichZeigt eine Drop-down-Liste der Zeitbereiche für die Anzeige von Ereignissen an.
StartdatumWenn der Zeitbereich auf „benutzerdefiniert“ eingestellt ist, wird ein Kalender angeboten, in dem Sie das Startdatum des Zeitbereichs auswählen können.
EnddatumWenn der Zeitbereich auf „benutzerdefiniert“ eingestellt ist, wird ein Kalender angeboten, in dem Sie das Enddatum des Zeitbereichs auswählen können.
Add icon Zeigt eine Drop-down-Liste der Dashlets an, die Sie der Ansicht hinzufügen können.
Actions icon Zeigt eine Drop-down-Liste der Aktionen an, die Sie in dieser Ansicht ausführen können:
  • Standardkonfiguration wiederherstellen
  • Dashlets anordnen
  • Schwellenwertfilter anwenden
Refresh Icon Aktualisiert die Ansicht „Malware Analysis“.

Dialogfeld „Optionen“

Im Dialogfeld „Optionen“ können Sie die Ergebnisse anpassen, die im Dashlet angezeigt werden. Sie öffnen dieses Dialogfeld, indem Sie oben rechts in den einzelnen Dashlets auf das Symbol Properties klicken. In der folgenden Tabelle werden die Funktionen im Dialogfeld „Optionen“ beschrieben.

                                
FunktionBeschreibung
TitelGibt an, ob die angezeigten Daten auf Ereignisse beschränkt sind, die als hoch vertraulich markiert sind. Wenn die Daten nicht eingeschränkt sind, wird diese Zeile nicht angezeigt.
Nur durch hohe Wahrscheinlichkeit beeinflusstGibt an, ob die angezeigten Daten auf Ereignisse beschränkt sind, die als hoch vertraulich markiert sind.
Statisch, Netzwerk, Community, SandboxHier können Sie die Ergebnisse basierend auf den Bewertungen in den Bewertungsmodulen filtern.
AbbrechenSchließt das Dialogfeld, ohne die Änderungen zu speichern.
AnwendenWendet die Änderungen sofort auf das Dashlet an und schließt das Dialogfeld.

Meta-Strukturen

Meta-Strukturen präsentieren Ereignisse in der Form eines Tortendiagramms, in dem jedes Tortenstück einen Metawert für den angegebenen Metaschlüssel darstellt. Sie können den Metaschlüssel und die Anzahl der im Diagramm darzustellenden Metawerte für diesen Schlüssel auswählen, beginnend mit dem Metawert, der die meisten Ereignisse hat. Wenn Sie den Mauszeiger über das Ereignis bewegen, wird die Anzahl angezeigt.

Meta Breakdown dashlet

In der folgenden Tabelle sind die Optionen im Dashlet „Meta-Strukturen“ beschrieben.

                       
FunktionBeschreibung
Nur hohe WahrscheinlichkeitGibt an, ob die angezeigten Daten auf Ereignisse beschränkt sind, die als hoch vertraulich markiert sind. Wenn die Daten nicht eingeschränkt sind, wird diese Zeile nicht angezeigt.
MetaschlüsselDrop-down-Liste der verfügbaren Metaschlüssel
CountDrop-down-Liste mit der Anzahl der besten Ergebnisse, die angezeigt werden

Meta-Treemap

Eine Meta-Treemap stellt Ereignisse in Form einer Heatmap dar. Sie können den Metaschlüssel und die Anzahl der im Diagramm darzustellenden Metawerte für diesen Schlüssel auswählen, beginnend mit den Metawerten, die die meisten Ereignisse haben. Darüber hinaus können Sie das Modul auswählen, das den Metawert in den Ereignissen erkannt hat: Static, Netzwerk, Community oder Sandbox.

Meta Treemap dashlet

In der folgenden Tabelle sind die Optionen im Dashlet „Meta-Treemap“ beschrieben.

                               
FunktionBeschreibung
Nur hohe WahrscheinlichkeitGibt an, ob die Ergebnisse auf Ereignisse beschränkt sind, die als hoch vertraulich markiert sind. Wenn die Ergebnisse nicht eingeschränkt sind, wird diese Zeile nicht angezeigt.
MetaschlüsselDrop-down-Liste der verfügbaren Metaschlüssel, die als Filter ausgewählt werden können
CountDrop-down-Liste mit der Anzahl der besten Ergebnisse, die angezeigt werden
ModulDrop-down-Liste, in der angegeben wird, aus welchem Modul die Ergebnisse abgerufen werden
WertDrop-down-Liste mit den Informationen, die angezeigt werden, wenn die Maus über ein Ergebnis (z. B. Durchschnittliche Bewertung) bewegt wird

Ergebnisrad

Das Ergebnisrad bietet eine Ansicht der Ereignisse als konzentrische Ringe mit Farben, die Punktzahlen für Ereignisse darstellen, die auf Indikatoren für eine Infizierung und dem Bewertungsmodul basieren. Sie können die Position der Ringe mithilfe der Pfeile nach oben und nach unten anpassen, um eine Ansicht zu erhalten, die Ereignisse hervorhebt, die von einem Bewertungsmodul (rot) und nicht von anderen Bewertungsmodulen erkannt wurden.

Score Wheel dashlet

In der folgenden Tabelle werden die Funktionen im Dashlet „Ergebnisrad“ beschrieben.

                   
FunktionBeschreibung
Nur hohe WahrscheinlichkeitGibt an, ob die Ergebnisse auf Ereignisse beschränkt sind, die als hoch vertraulich markiert sind. Wenn die Ergebnisse nicht eingeschränkt sind, wird diese Zeile nicht angezeigt.
Raster ModulreihenfolgeZeigt die Reihenfolge der Ringe im Ergebnisrad an. Dabei ist Ring 1 der innerste Ring und Ring 4 der äußerste Ring. Sie können auf die Schaltflächen Nach oben und Nach unten klicken, um die Reihenfolge der Module zu ändern. Anschließend klicken Sie auf Aktualisieren, damit die Änderungen wirksam werden.

Ereigniszeitachse

In der Ereigniszeitachse wird eine Ansicht der Ereignisse angeboten, die nach dem Zeitpunkt ihres Auftretens in einem Balkendiagramm dargestellt sind. Wenn Sie klicken und ziehen, um einen Zeitbereich im Diagramm auszuwählen, wird die ausgewählte Zeit eingestellt.

Event Timeline dashlet

In der folgenden Tabelle sind die Funktionen im Dashlet „Ereigniszeitachse“ beschrieben.

                   
FunktionBeschreibung
Nur hohe WahrscheinlichkeitGibt an, ob die Ergebnisse auf Ereignisse beschränkt sind, die als hoch vertraulich markiert sind. Wenn die Ergebnisse nicht eingeschränkt sind, wird diese Zeile nicht angezeigt.
Ereignisse anzeigenZeigt die Ansicht „Investigation > Ereignisse“ an.
You are here
Table of Contents > Investigate-Referenzmaterialien > Ansicht „Malware Analysis“

Attachments

    Outcomes