Untersuchen: Rekonstruieren eines Ereignisses

Document created by RSA Information Design and Development on May 14, 2018Last modified by RSA Information Design and Development on Oct 19, 2018
Version 3Show Document
  • View in full screen mode
 

Beim Anzeigen einer Ereignisliste in der Ansicht „Ereignisse“ können Sie eine Rekonstruktion des Ereignisses in einem lesbaren Format sicher erstellen, das dem Original entspricht. Standardmäßig ist die ursprüngliche Ansicht eines rekonstruierten Ereignisses das geeignetste Format (beste Rekonstruktion). Zum Beispiel wird der Webinhalt als Webseite rekonstruiert und eine Chatunterhaltung wird mit beiden Teilen der Unterhaltung angezeigt. Jeder Benutzer kann in der Ansicht „Profil“ > „Einstellungen“ eine andere Standardrekonstruktion auswählen.

Sie können eine Rekonstruktion auch über die Ansicht „Navigation“ öffnen, wenn Sie die Ereignis-ID des Ereignisses kennen.

In der Rekonstruktion können Sie:

  • die anzuzeigenden Ereignisinformationen auswählen Mögliche Werte: Anforderungsdaten, Antwortdaten sowie Anforderungs-und Antwortdaten
  • den Rekonstruktionstyp auswählen: Details, Text, Hexadezimalwert, Pakete, Web, E-Mail oder Chat
  • Rohdatenprotokolle exportieren
  • das Ereignis als PCAP-Datei exportieren
  • alle im Ereignis verfügbaren Dateien extrahieren
  • Extrahieren Sie alle Metadaten, die dem Ereignis zugeordnet sind.

Achtung: Lassen Sie Vorsicht walten, wenn Sie in der Rekonstruktion auf einen Link zu einer Datei klicken möchten. Falls in Ihrem System eine Anwendung mit der Datei verknüpft ist oder der Browser die Datei öffnen kann, kann dies negative Auswirkungen auf Ihr System haben, wenn der Anhang schädlichen Code enthält.

  • das Ereignis in einem separaten Fenster oder auf einer separaten Registerkarte anzeigen (je nach Browserkonfiguration)
  • Wenn Sie die Rekonstruktion als Vorschau in der aktuellen Ansicht anzeigen, können Sie mithilfe der Navigationsschaltflächen unten links zum nächsten Ereignis vor- bzw. zum vorherigen Ereignis zurücknavigieren.

Hinweis: Die Rekonstruktionseinstellungen und die Rekonstruktionscacheeinstellungen ermöglichen es einem Administrator, die Anwendungsperformance für das Modul „Investigation“ zu managen. Da Analysten Sitzungen, über die sie ermitteln, rekonstruieren, können sich zwei Situationen auf Performance und Ergebnisse auswirken.
- Einige Ereignisse können sehr groß sein und Tausende von Quellenpaketen enthalten. Die Rekonstruktion dieser Typen von Sitzungen kann die Anwendungsperformance beeinträchtigen.
-In einigen Fällen kann der Rekonstruktionscache falsche Inhalte darstellen. Aus diesem Grund leert NetWitness Suite alle 24 Stunden den Cache, dessen Daten älter als einen Tag sind. Zwischen den täglichen Cache-Bereinigungen können gewisse Aktionen dazu führen, dass ein nicht mehr gültiger Cache für die Rekonstruktion verwendet wird, und wenn es erforderlich wird, können Administratoren den Cache für einen oder mehrere Services, die mit dem aktuellen NetWitness-Server verbunden sind, manuell löschen.

Rekonstruieren eines Ereignisses über die Ansicht „Navigation“

Sie können ein Ereignis direkt über die Ansicht „Navigation“ rekonstruieren, wenn Sie die Ereignis-ID kennen. Sie können diese Option verwenden, ohne eine Abfrage auszuführen, wie Sie das in der Regel bei Beginn einer Ermittlung tun. Sie müssen einen Service und einen Zeitbereich auswählen, um mithilfe der entsprechenden eventid direkt zu einem Ereignis zu springen.

So zeigen Sie eine Rekonstruktion oder Ereignisanalyse direkt über die Ansicht „Navigation“ an:

  1. Navigieren Sie zu Ermittlung > Navigieren und wählen Sie Aktionen > In Ereignisanalyse zu Ereignis wechseln oder In Ereignisrekonstruktion zu Ereignis wechseln aus.
    the Actions menu for Version 11.1
    Das Dialogfeld „Zu Ereignis wechseln“ wird angezeigt. Es gibt zwei Dialogfelder: eines für die Ereignisanalyse und eines für die Ereignisrekonstruktion. In beiden werden Sie nach der Ereignis-ID gefragt.
    Go to event in Event Reconstruction dialog
  2. Geben Sie im Feld Ereignis-ID die ID ein und klicken Sie auf Los.
    Das angegebene Ereignis wird in der Ansicht „Ereignisrekonstruktion“ oder in der Ansicht „Ereignisanalyse“ rekonstruiert.

Rekonstruieren eines Ereignisses

  1. Öffnen Sie einen Drill-down-Punkt in der Ansicht Ereignisse.
  2. Klicken Sie auf Show Additional Meta button, um alle Metadaten anzuzeigen.
  3. Öffnen Sie eine Ereignisrekonstruktion in der aktuellen Ansicht, indem Sie ein zu rekonstruierendes Ereignis und dann Aktionen > Ereignis anzeigen > Inline-Vorschau auswählen.
    Das Dialogfeld „Ereignisrekonstruktion“ wird in der gleichen Ansicht in einem Pop-up-Fenster geöffnet. Standardmäßig wird in NetWitness Suiteentweder die beste Rekonstruktion für das Ereignis in Bezug auf den Ereignisinhalt angezeigt oder die Rekonstruktion, die Sie in der Einstellung „Standardsitzungsansicht“ für das Modul „Investigation“ ausgewählt haben. Über die Optionen in der Symbolleiste „Ereignisrekonstruktion“ können Sie die Rekonstruktionsmethode ändern, Ergebnisse nebeneinander anzeigen, ein Ereignis exportieren, einen E-Mail-Anhang öffnen, Dateien extrahieren und das Ereignis in einer neuen Registerkarte öffnen. Die Optionen der Symbolleiste variieren je nach Typ des zu rekonstruierenden Ereignisses (Netzwerkereignis, Protokollereignis oder Endpunktereignis). Dies ist ein Beispiel für die Rekonstruktion eines Netzwerkereignisses.
    Event Reconstruction panel
  4. Um eine Rekonstruktion des nächsten Ereignisses in einer Vorschau anzuzeigen, klicken Sie auf Right arrow. Um eine Rekonstruktion des vorherigen Ereignisses anzuzeigen, klicken Sie auf Left arrow.
  5. Führen Sie einen der folgenden Schritte aus, um eine Ereignisrekonstruktion in einer neuen Registerkarte zu öffnen:
    1. Wählen Sie in der Ansicht Ereignisse ein zu rekonstruierendes Ereignis und dann Aktionen > Ereignis anzeigen < In neuer Registerkarte öffnen aus.
    2. Klicken Sie auf der Symbolleiste Ereignisrekonstruktion der in einer Vorschau angezeigten Rekonstruktion auf Ereignis in neuer Registerkarte öffnen.
      Das Dialogfeld „Ereignisrekonstruktion“ wird in einer neuen Registerkarte geöffnet.
      Event Reconstruction in a new tab

Anzeige nebeneinander oder von oben nach unten

So wählen Sie die Methode aus, wie Anforderungen und Antworten für ein Ereignis angezeigt werden:

  1. Klicken Sie in der Symbolleiste Ereignisrekonstruktion auf Von oben nach unten oder Nebeneinander.
  2. Wählen Sie im Drop-down-Menü die Informationen aus, die Sie im Ereignis sehen möchten: Nebeneinander oder Von oben nach unten
    . Die Rekonstruktion wird anhand der ausgewählten Informationen aktualisiert.

Auswählen der anzuzeigenden Ereignisinformationen

So wählen Sie aus, welche Ereignisinformationen angezeigt werden sollen:

  1. Klicken Sie in der Symbolleiste Ereignisrekonstruktion auf Anforderung und Antwort.
  2. Wählen Sie im Drop-down-Menü die Informationen aus, die Sie im Ereignis sehen möchten: Anforderung und Antwort, Anforderung oder Antwort.
    Die Rekonstruktion wird anhand der ausgewählten Informationen aktualisiert.

Auswählen des Ereignisrekonstruktionstyps

So wählen Sie den Rekonstruktionstyp für ein Ereignis aus:

  1. Klicken Sie in der Symbolleiste Ereignisrekonstruktion auf Beste Rekonstruktion.
  2. Wählen Sie in dem Drop-down-Menü den anzuzeigenden Rekonstruktionstyp aus: Meta, Text, Hex, Pakete, Web, E-Mail oder Dateien.
    Die Rekonstruktion wird anhand des ausgewählten Rekonstruktionstyps aktualisiert.

Öffnen oder Herunterladen eines E-Mail-Anhangs

Wenn Sie eine Rekonstruktion einer E-Mail mit Anhängen anzeigen, können Sie unterstützte Dateitypen öffnen oder die Dateien in das lokale System herunterladen.

Achtung: Lassen Sie beim Auswählen von Dateianhängen Vorsicht walten. Falls in Ihrem System eine Anwendung mit dem Dateianhang verknüpft ist oder der Browser die Datei öffnen kann, kann dies negative Auswirkungen auf Ihr System haben, wenn der Anhang schädlichen Code enthält.

So öffnen oder downloaden Sie E-Mail-Anhänge:

  1. Klicken Sie auf der Symbolleiste Ereignisrekonstruktion auf das Drop-down-Menü Ansicht und wählen Sie E-Mail anzeigen aus.
    Die Ereignisrekonstruktion wird angezeigt.
  2. Klicken Sie im Bereich Ereignisrekonstruktion der E-Mail auf den Anhang.
    Sofern der Browser den Dateityp unterstützt, wird der Anhang in einer neuen Registerkarte geöffnet.
    Falls der Dateityp nicht unterstützt wird, öffnet sich das Downloaddialogfenster, über das Sie den Anhang herunterladen können.

Exportieren eines Ereignisses als PCAP-Datei

Mit der PCAP-Exportoption werden die Sitzungen für den aktuellen Zeitraum und Drill-down-Punkt in eine PCAP-Datei heruntergeladen. So exportieren Sie ein Ereignis als PCAP-Datei:

  1. Klicken Sie in der Symbolleiste Ereignisrekonstruktion auf Aktionen.
  2. Klicken Sie auf PCAP exportieren.
  3. Ein Bestätigungsdialogfeld wird angezeigt.
  4. Klicken Sie auf OK.
    Der Job wird geplant und nach Abschluss wird die PCAP-Datei in das lokale Dateisystem heruntergeladen. Die PCAP-Datei können auf der Registerkarte „Profil > Jobs“ heruntergeladen werden.

Extrahieren von Dateien aus einem rekonstruierten Ereignis

Mit der Option „Dateien extrahieren“ werden die mit dem Ereignis verknüpften Dateien extrahiert und heruntergeladen. So extrahieren Sie Dateien:

  1. Klicken Sie in der Symbolleiste Ereignisrekonstruktion auf Aktionen.
  2. Klicken Sie auf Dateien extrahieren.
    Das Dialogfeld „Dateiextraktion“ wird geöffnet.
  3. Wählen Sie die Typen der zu extrahierenden Dateien aus und klicken Sie auf OK.
  4. Der Job wird geplant und nach Abschluss werden die ausgewählten Dateitypen in das lokale Dateisystem heruntergeladen. Die Dateien können auf der Registerkarte „Profil > Jobs“ heruntergeladen werden.
You are here
Table of Contents > Abfragen von und Reagieren auf Daten in den Ansichten „Navigation“ und „Ereignisse“ > Rekonstruieren eines Ereignisses

Attachments

    Outcomes