Untersuchen: Konfigurieren der Ansichten „Navigation“ und „Ereignisse“

Document created by RSA Information Design and Development on May 14, 2018Last modified by RSA Information Design and Development on Apr 28, 2019
Version 4Show Document
  • View in full screen mode
 

Analysten können Einstellungen festlegen, die die Performance und das Verhalten von NetWitness Platform beim Analysieren von Daten in den Ansichten „Navigation“ und „Ereignisse“ beeinflussen. Einige dieser Einstellungen sind an zwei Stellen in NetWitness Platform verfügbar. Änderungen, die an der einen Stelle vorgenommen werden, werden auch in der anderen Ansicht angewendet:

  • Ansicht „Untersuchen“ > Dialogfeld „Einstellungen“ für die Ansichten „Navigation“ und „Ereignisse“.
  • „Profile“ > Bereich „Einstellungen“ > Registerkarte „Untersuchen“ 
  • Ansichten „Navigation“ „Ereignisse“, Drop-down-Liste „Suchoptionen“.

Zugreifen auf die Einstellungen der Ansichten „Navigation“ und „Ereignisse“

Wählen Sie eine der folgenden Möglichkeiten, um die auf die Einstellungen zuzugreifen:

  • Klicken Sie in der Symbolleiste der Ansicht Navigation auf die Option Einstellungen.
    Das Dialogfeld „Einstellungen“ der Ansicht „Navigation“ wird angezeigt.

    Navigate view Settings dialog

    Hinweis: Version 11.0 enthielt eine Einstellung für das Anhängen von Ereignissen im Bereich „Ereignisse“. Diese Funktion wurde in der Version 11.1 in den Bereich „Einstellungen“ der Ansicht „Ereignisse“ verschoben.

  • Wählen Sie in der Symbolleiste der Ansicht Ereignisse die Option Einstellungen aus.
    Das Dialogfeld „Einstellungen“ der Ansicht „Ereignisse“ wird angezeigt.
    Event view settings for Version 11.1

    Hinweis: Version 11.1 und höher enthalten die Einstellung „Ereignisse in Ereignisbereich anhängen“.

  • Navigieren Sie oben rechts in NetWitness Platform zu Profile drop-down menu > Profile option und klicken Sie im Bereich Einstellungen auf die Registerkarte Ermittlungen.
    Der Bereich „Untersuchen“ wird angezeigt. Die erste Abbildung unten veranschaulicht den Bereich „Ermittlungen“ in Version 11.1, die zweite Abbildung den Bereich in 11.2 mit verbessertem Layout der Suchoptionen.
    User Profile Preferences > Investigation tab (Version 11.1)

    User Profile Preferences > Investigation tab (Version 11.2)

Kalibrieren der Werte der Ladeparameter in der Ansicht „Navigation“

Verschiedene Einstellungen beeinflussen die Performance von NetWitness Platform beim Laden von Werten im Bereich „Werte“. Die Standardwerte basieren auf der gängigen Verwendung und einzelne Analysten können diese Einstellungen für ihre eigenen Ermittlungen anpassen. So passen Sie diese Einstellungen an:

  1. Navigieren Sie zur Registerkarte Untersuchen oder zum Dialogfeld Einstellungen der Ansicht „Navigation“.
  2. Passen Sie die folgenden Parameter an:
    • Schwellenwert: Legen Sie den Schwellenwert für die maximale Anzahl der für einen Metaschlüsselwert geladenen Sitzungen im Bereich Werte fest. Ein höherer Schwellenwert ermöglicht genauere Zählerangaben für einen Wert, verursacht aber auch längere Ladezeiten. Der Standardwert ist 100.000.
    • Max. Wertergebnisse: Legen Sie die maximale Anzahl von Werten fest, die in der Navigationsansicht geladen werden, wenn die Option Max. Ergebnisse im Metaschlüsselmenü für einen offenen Metaschlüssel ausgewählt ist. Der Standardwert ist 1.000.
    • Max. Sitzungsexport: Geben Sie die Anzahl der Ereignisse an, die in eine einzelne PCAP- oder Protokolldatei exportiert werden können.
    • Max. Zeichenzahl für Protokollansicht: Legen Sie die Anzahl der Zeichen fest, die maximal in Untersuchen > Ereignisse > Protokolltext angezeigt werden sollen. Der Standardwert ist 1000.
    • Max. Zeichenzahl für Metawert: Legen Sie die maximale Anzahl der Zeichen in einem Metawertenamen fest, der im Bereich „Werte“ der Ansicht „Navigation“ angezeigt wird. Der Standardwert ist 60.
    • Debuginformationen anzeigen: Wenn Sie möchten, dass NetWitness Platform die where-Klausel unterhalb der Brotkrümelnavigation in der Ansicht „Navigation“ sowie die verstrichene Ladezeit für jeden aggregierten Service für einen Broker anzeigt, aktivieren Sie diese Option. Der Standardwert ist Aus.
    • Ereignisse in Ereignisbereich anhängen: Diese Option wirkt sich auf die Paginierung in der Ansicht „Ereignisse“ aus und wird nachfolgend unter „Kalibrieren des Abrufs und der Standardrekonstruktion in der Ansicht „Ereignisse““ beschrieben.
    • Werte automatisch laden: Wenn Sie möchten, dass NetWitness Platform automatisch Werte für den ausgewählten Service in der Navigationsansicht lädt, aktivieren Sie diese Option. Wurde diese Option nicht ausgewählt, zeigt NetWitness Platform die Schaltfläche Werte laden an, über die Sie die Optionen ändern können. Der Standardwert ist Aus.
  1. Klicken Sie auf Anwenden.

Die Einstellungen werden sofort wirksam und sind sichtbar, wenn Sie das nächste Mal Werte laden.

Konfigurieren der Parameter der Ansichten „Navigation“ und „Ereignisse“

Verschiedene Einstellungen beeinflussen die Performance von NetWitness Platform beim Laden von Werten in den Ansichten „Navigation“ und „Ereignisse“. Die Standardwerte basieren auf der gängigen Verwendung und einzelne Analysten können diese Einstellungen für ihre eigenen Ermittlungen anpassen. Sie können diese Parameter in den Ansichten „Navigation“ und „Ereignisse“ jeweils separat festlegen. Bei der Konfiguration in einer Ansicht wird die Einstellung nicht automatisch auf die andere Ansicht angewendet. So passen Sie diese Einstellungen an:

  1. Navigieren Sie zur Registerkarte Untersuchen oder zum Dialogfeld Einstellungen der Ansicht „Navigation“ oder der Ansicht „Ereignisse“.
  2. Passen Sie die folgenden Parameter an:
    • Live Connect: Riskante Werte markieren: Wenn Sie möchten, dass NetWitness Platform nur IP-Adressen hervorhebt und anzeigt, die von der RSA-Community als riskant betrachtet werden, aktivieren Sie diese Option. Wenn diese Option nicht aktiviert ist, zeigt NetWitness Platform alle IP-Adressen an. Diese Option ist standardmäßig deaktiviert (Aus).
    • - Lokaler Cache pro Gerät: Sie können festlegen, wie im lokalen Cache gespeicherte Daten vom ausgewählten Service verwendet werden. Diese Option ist standardmäßig deaktiviert (Aus). Wenn diese Option deaktiviert ist, sendet Investigate eine neue Abfrage an die Datenbank anstatt im Cache gespeicherten Daten in den Investigation-Ansichten nach dem Laden anzuzeigen. Wenn diese Option aktiviert ist, verwendet Investigate die Daten aus dem lokalen Cache.
    • - Abgeschlossene PCAPs herunterladen: Sie können den Download extrahierter PCAPs in den Ansichten „Navigation“ und „Ereignisse“ automatisieren, damit der Browser die extrahierten PCAPs herunterlädt und in der Standardanwendung zum Öffnen von PCAP-Dateien öffnet (z. B. Wireshark). Diese Option ist standardmäßig deaktiviert (Aus). Wenn Sie diese Option aktivieren möchten, muss eine Anwendung zum Öffnen von PCAP-Dateien auf Ihrem lokalen Dateisystem installiert und als Standardanwendung für PCAP-Dateiformate konfiguriert sein.
    • Live Connect: Riskante Werte markieren: Wenn diese Option deaktiviert ist, werden alle Metawerte, die in Live Connect verfügbaren Kontext haben, im Bereich „Werte“ der Ansicht „Navigation“ hervorgehobenen. Wenn die Option aktiviert ist, werden unter allen Werten, die in Live Connect Kontext haben, nur die Werte, die von der Community als „Riskant/Verdächtig/Unsicher“ erachtet werden, hervorgehoben. Diese Option ist standardmäßig deaktiviert (Aus).
  1. Klicken Sie auf Anwenden.
    Die Einstellungen werden sofort wirksam.

Konfigurieren des Standard-Exportprotokollformats

Sie können Protokolle aus den Ansichten „Navigation“ und „Ereignisse“ in unterschiedlichen Formaten exportieren. Verfügbare Optionen sind Text, XML, CSV (Comma-Separated Values) und JSON. Es gibt keinen integrierten Standardwert für das Protokollexportformat. Wenn Sie hier kein Format auswählen, zeigt NetWitness Platform ein Auswahldialogfenster an, wenn Sie einen Protokollexport aufrufen. So wählen Sie das Format der exportierten Protokolle aus:

  1. Navigieren Sie zur Registerkarte Untersuchen oder zum Dialogfeld Einstellungen der Ansicht „Navigation“ oder der Ansicht „Ereignisse“.
  2. Wählen Sie im Drop-down-Menü Exportprotokollformat eine der Optionen aus.
  3. Klicken Sie auf Anwenden.
    Die Einstellung wird sofort wirksam.

Konfigurieren des Standard-Metaexportformats

Sie können Metawerte aus den Ansichten „Navigation“ und „Ereignisanalyse“ in unterschiedlichen Formaten exportieren. Verfügbare Optionen sind Text, CSV, TSV (Tab-Separated Values) und JSON. Es gibt keinen integrierten Standardwert für das Metaexportformat. Wenn Sie hier kein Format auswählen, zeigt NetWitness Platform ein Auswahldialogfeld an, wenn Sie einen Export von Metawerten aufrufen. So wählen Sie das Format der exportierten Metawerte aus:

  1. Navigieren Sie zur Registerkarte Untersuchen oder zum Dialogfeld Einstellungen der Ansicht „Navigation“ oder der Ansicht „Ereignisse“.
  2. Wählen Sie im Drop-down-Menü Format exportierte Metadaten eine der Optionen aus.
  3. Klicken Sie auf Anwenden.
    Die Einstellung wird sofort wirksam.

Kalibrieren des Abrufs und der Standardrekonstruktion in der Ansicht „Ereignisse“

Sie können mehrere Parameter konfigurieren, mit denen Sie steuern, wie NetWitness Platform Ereignisse abruft und in der Ansicht „Ereignisse“ rekonstruiert. So passen Sie diese Parameter an:

  1. Navigieren Sie zur Registerkarte Untersuchen oder zum Dialogfeld Einstellungen der Ansicht „Ereignisse“.
  2. Konfigurieren Sie die folgenden Parameter.
    • Optimieren des Ladens der Seite „Investigation“: Legen Sie eine Auslagerungsoption fest. Wenn optimiert, werden die Ergebnisse so schnell wie möglich zurückgegeben. Dabei geht die ursprüngliche Möglichkeit verloren, zu einer bestimmten Seite der Ereignisliste zu wechseln. Durch die Deaktivierung dieses Kontrollkästchens wird die Paginierung der Ereignislisten geändert, damit Sie auf eine bestimmte Seite in der Liste (oder auf die letzte Seite) springen können. Der Standardwert ist aktiviert.
    • Standardsitzungsansicht: Wählt den Standardrekonstruktionstyp für die anfängliche Rekonstruktion in der Ansicht „Ereignisse“ aus. Der Standardwert ist Beste Rekonstruktion, bei dem die Ereignisse mithilfe der am besten für das Ereignis geeigneten Rekonstruktionsmethode wiederhergestellt werden.
  3. Navigieren Sie zur Registerkarte Ermittlungen oder zum Dialogfeld Einstellungen der Ansicht „Navigation“ (11.1) oder in der Ansicht „Ereignisse“ (11.2) und legen Sie die Option Ereignisse in Ereignisbereich anhängen fest. Wenn diese Option ausgewählt ist, werden die im Bereich Ereignisse angezeigten Ereignisse inkrementell hinzugefügt. Zum Beispiel wird jedes Mal, wenn Sie auf das Nächste-Seite-Symbol klicken, das nächste Inkrement der Ereignisse hinzugefügt. Zuerst sehen Sie 1 bis 25, dann 1 bis 50, dann 1 bis 75 usw. Diese Option ist nur verfügbar, wenn die Option Optimieren des Ladens der Seite „Untersuchen“ aktiviert ist.
  4. Klicken Sie auf Anwenden, um die Änderungen sofort zu übernehmen.

Aktivieren oder Deaktivieren der Cascading Style Sheet-Darstellung in Rekonstruktionen von Webinhalt

Analysten können CSS (Cascading Style Sheets) für die Rekonstruktion von Webinhalt aktivieren. Wenn die Einstellung aktiviert ist, werden bei der Webrekonstruktion auch CSS-Stilvorlagen und Bilder mit einbezogen, sodass die Darstellung der Originalansicht in einem Webbrowser entspricht. Dies schließt das Scannen und Rekonstruieren von verbundenen Ereignissen sowie das Suchen nach Stylesheets und Bildern ein, die im Zielereignis verwendet werden. Diese Option ist standardmäßig aktiviert. Deaktivieren Sie diese Option, wenn Probleme bei der Anzeige bestimmter Websites auftreten. 

Hinweis: Die Darstellung des rekonstruierten Inhalts stimmt eventuell nicht genau mit der ursprünglichen Webseite überein, wenn die entsprechenden Bilder und Formatvorlagen nicht gefunden werden oder aus dem Cache des Webbrowsers geladen wurden. Zudem werden Layouts oder Formate, die dynamisch über das clientseitige JavaScript erstellt werden, in der Rekonstruktion nicht dargestellt, weil alle clientseitigen JavaScripts aus Sicherheitsgründen entfernt werden.

So aktivieren oder deaktivieren Sie diese Option:

  1. Klicken Sie auf die Registerkarte Untersuchen.
  2. Aktivieren Sie das Kontrollkästchen CSS-Rekonstruktion für Webansicht ermöglichen.
  3. Klicken Sie auf Anwenden.
    Die Einstellung wird sofort wirksam und wird bei der nächsten Rekonstruktion von Webinhalt angezeigt.

Konfigurieren von Suchoptionen

Sie können Suchoptionen konfigurieren, die bei der Eingabe einer Suchzeichenfolge in das Feld „Suche“ angewendet werden. Bearbeiten Sie die Suchoptionen auf der Registerkarte „Profil“ > Bereich „Einstellungen“ > Registerkarte „Ermittlungen“ oder im Drop-down-Menü „Suchoptionen“ in den Ansichten „Navigation und „Ereignisse“. So konfigurieren Sie Suchoptionen:

  1. Navigieren Sie zu den Suchoptionen.
    In der folgenden Abbildung wird das Drop-Down-Menü „Suchoptionen“ für Version 11.2 dargestellt.
    the search options
  2. Wählen Sie eine oder mehrere Suchoptionen aus, die auf die Suche angewendet werden sollen. Suchen nach Textmustern bietet detaillierte Informationen zu jeder Option.
  3. Zum Speichern der Sucheinstellungen klicken Sie auf Anwenden.
    Die Einstellungen werden gespeichert und sind sofort wirksam. 
You are here
Table of Contents > Konfigurieren von Ansichten und Voreinstellungen von NetWitness Investigate > Konfigurieren der Ansichten „Navigation“ und „Ereignisse“

Attachments

    Outcomes