Untersuchen: Malware Analysis-Ereignisliste und -Dateiliste

Document created by RSA Information Design and Development on May 14, 2018Last modified by RSA Information Design and Development on Oct 19, 2018
Version 3Show Document
  • View in full screen mode
 

Die Malware Analysis-Ereignisliste und -Dateiliste bietet eine detaillierte Ansicht von Ereignissen oder Dateien. Sie können auf ein Ereignis oder eine Datei in jeder der Listen doppelklicken, um die Ansicht „Analyseergebnisse“ in einer neuen Registerkarte im Browser anzuzeigen.

Um auf diese Ansicht zuzugreifen, navigieren Sie zu Ermittlung > Malware Analysis > Dialogfeld „Malware Analysis Service auswählen“. Wählen Sie aus dem linken Bereich einen Service aus, wählen Sie dann im rechten Bereich einen Job aus und klicken Sie auf Scan anzeigen. Führen Sie in der Ansicht „Ereigniszusammenfassung“ einen der folgenden Schritte aus:

  • Klicken Sie entweder im Bereich Gesamt oder im Bereich Hohe Wahrscheinlichkeit auf die Anzahl im Abschnitt Erstellte Ereignisse.
  • Wenn Sie die Dateiliste anzeigen möchten, klicken Sie auf die Anzahl im Abschnitt Verarbeitete Dateien.

Workflow

high-level Investigate workflow with Scan Files and Hosts for Malware and associated actions highlighted

Was möchten Sie tun?

                                                          
BenutzerrolleZiel11.1 Dokumentation
Threat Hunter

Durchsuchen von Ereignismetadaten

Starten einer Ermittlung in der Ansicht „Navigation“ oder „Ereignisse“

Threat Hunter

Durchsuchen von Raw-Ereignissen

Starten einer Ermittlung in der Ansicht „Navigation“ oder „Ereignisse“

Threat Hunter

Analyse von Raw-Ereignissen und Metadaten

Starten einer Ermittlung in der Ansicht „Ereignisanalyse“

Threat HunterUntersuchen von Endpunkten (Version 11.1)Untersuchen von Hosts

Threat Hunter

Verdächtige Endpunktdateien finden (Version 11.1)

Untersuchen von Dateien

Threat HunterDateien und Ereignisse auf Schadsoftware scannen*Durchführen von Schadsoftwareanalysen

Incident-Experte

Priorisieren eines Incident in „Untersuchen“

NetWitness Respond – Benutzerhandbuch

Threat HunterExportieren von Ereignissen und Dateien*Überprüfen von Scandateien und Ereignissen in Listenform
Threat HunterDurchführen externer Suchen*Anzeigen der detaillierten Schadsoftwareanalyse eines Ereignisses

*Sie können diese Aufgabe in der aktuellen Ansicht durchführen.

Verwandte Themen

Überblick

Dies ist ein Beispiel für die Ereignislistenansicht.

This is the Events List

Dies ist ein Beispiel für die Ansicht „Dateiliste“.
This is the Files List.

Dies sind die Funktionen in der Symbolleiste „Ereignisliste“. Die Symbolleiste „Dateiliste“ ist mit dieser Symbolleiste identisch, außer dass sie keine Option zum Löschen von Ereignissen enthält.

This is the Events List toolbar

                                   
FunktionBeschreibung
Zurück zur ZusammenfassungKehrt zur Ansicht Ereigniszusammenfassung zurück.
Ereignisse löschenEntfernt die ausgewählten Ereignisse aus der aktuellen Ereignisliste.
Dateien herunterladenZeigt das Dialogfeld „Schadsoftware-Dateidownload“ an, mit dem Sie verfügbare Dateien herunterladen können.
Sort Menu Zeigt ein Drop-down-Menü an, aus dem Sie die Sortierreihenfolge der Liste auswählen können. Dies sind die Optionen für die Sortierung:
  • Hohe Wahrscheinlichkeit
  • Static
  • Netzwerk
  • Community
  • Sandbox
  • AV
  • Dateiname
  • Dateityp
  • Hash
  • Archivierungsdatum
  • Größe
Die Schaltfläche direkt rechts neben dieser Drop-down-Liste zeigt an, ob die Liste aufsteigend oder absteigend sortiert wird.
Sort Menu Zeigt ein Drop-down-Menü an, aus dem Sie eine zweite Sortierreihenfolge auswählen können. Dieses Menü enthält auch die OptionNetWitness SuiteKeine, sodass die Auswahl einer zweiten Sortierreihenfolge nicht notwendig ist.
Filter button Zeigt ein Drop-down-Fenster an, in dem Sie die Liste nach Dateinamen oder MD5-Hash filtern können.

Die Ereignisliste verfügt über folgende Funktionen.

                                                                           
FunktionBeschreibung
The High Confidence icon Zeigt an, ob das Ereignis durch die Kennzeichnung „Hohe Wahrscheinlichkeit“ beeinflusst ist.
Statisch, Netzwerk, Community, SandboxZeigt die Bewertungen für jedes Bewertungsmodul an.
AVZeigt an, ob das Virenschutzprogramm dieses Ereignis als verdächtig gekennzeichnet hat.
The customized rule icon Zeigt an, ob das Ereignis durch eine angepasste Regel beeinflusst ist.
ArchivierungsdatumZeigt Datum und Uhrzeit der Archivierung des Ereignisses an.
SitzungszeitZeigt die Uhrzeit der Sitzung des Ereignisses an.
Trusted icon Zeigt an, ob der Hash-Wert als vertrauenswürdig gekennzeichnet ist.
Anzahl DateienZeigt die Anzahl der im Ereignis enthaltenen Dateien an.
QuelladresseZeigt die Adresse der Ereignisquelle an.
IdentitätZeigt die Identität der Ereignisquelle an.
ZieladresseZeigt die Adresse des Ereignisziels an.
ZiellandZeigt das Land des Ereignisziels an.
AliashostZeigt den Hostnamen des Alias an.
EreignistypGibt den Ereignistyp an. Zum Beispiel Manuell hochladen.
ServiceZeigt den Service an, auf dem das Ereignis geschah.
ZielorganisationZeigt die Organisation des Ziels an.

Das Dateilistenraster verfügt über folgende Funktionen.

                                                    
FunktionBeschreibung
The high confidence icon Zeigt an, ob das Ereignis durch die Kennzeichnung „Hohe Wahrscheinlichkeit“ beeinflusst ist.
Statisch, Netzwerk, Community, SandboxZeigt die Bewertungen für jedes Bewertungsmodul an.
AVZeigt an, ob das Virenschutzprogramm dieses Ereignis als verdächtig gekennzeichnet hat.
DateinameZeigt den Namen der Datei an.
DateitypZeigt den Typ der Datei an (z. B., PDF oder x86 PE)
MD5-HashZeigt den MD5-Hash an.
QuelladresseZeigt die Adresse der Dateiquelle an.
ZieladresseZeigt die Adresse des Dateiziels an.
ArchivierungsdatumZeigt Datum und Uhrzeit der Archivierung der Datei an.
GrößeZeigt die Größe der Datei an.
You are here
Table of Contents > Investigate-Referenzmaterialien > Malware Analysis-Ereignisliste und -Dateiliste

Attachments

    Outcomes