Untersuchen: Dialogfeld „Zu Liste hinzufügen/Aus Liste entfernen“

Document created by RSA Information Design and Development on May 14, 2018Last modified by RSA Information Design and Development on Apr 28, 2019
Version 4Show Document
  • View in full screen mode
 

Im Dialogfeld „Zu Liste hinzufügen/Aus Liste entfernen“ können Sie eine Entität oder einen Metawert zu einer vorhandenen Context-Hub-Liste hinzufügen, eine Entität oder einen Metawert aus einer vorhandenen Context-Hub-Liste entfernen oder eine neue Context-Hub-Liste mit der Entität oder dem Metawert erstellen. Wenn Sie eine IP-Adresse oder eine andere Entität abfragen und sie als verdächtig oder interessant bewerten, können Sie sie zu einer Liste hinzufügen, die als Datenquelle hinzugefügt wurde. Beispiele für häufig verwendete Listen sind Whitelists oder Blacklists. Das verbessert die Sichtbarkeit verdächtiger IP-Adressen und verringert falsch positive Ergebnisse, die keiner weiteren Untersuchung bedürfen.

Sie können Entitäten oder Metawerte zu mehr als einer Liste hinzufügen. Beispielsweise können Sie sie einerseits zu einer Liste mit verdächtigen Domains im Zusammenhang mit Command-and-Control-Verbindungen hinzufügen und andererseits zu einer weiteren Liste mit für Remotezugriff verwendeten IP-Adressen mit Trojanerverbindung. Ist keine Liste verfügbar, können Sie eine erstellen.

Das Dialogfeld ist in NetWitness Investigate und in NetWitness Respond verfügbar. Beim Arbeiten in Investigate können Sie in den Ansichten „Navigation“, „Ereignisse“ oder „Ereignisanalyse“ (Version 11.2) Metawerte für die Metaschlüssel Source IP, Destination IP oder Username zu einer vorhandenen Context-Hub-Liste hinzufügen oder Sie können eine neue Liste mit diesen Metawerten erstellen. Wenn Sie einer Liste Metawerte hinzufügen, können Sie nach zusätzlichem Kontext für diese Metawerte suchen.

  • Rufen Sie das Dialogfeld in der Ansicht „Navigieren“ oder der Ansicht „Ereignisse“ auf, indem Sie unter Source IP, Destination IP oder Username mit der rechten Maustaste auf einen Metawert klicken und im Kontextmenü Zu Liste hinzufügen/Aus Liste entfernen auswählen.
  • Um das Dialogfeld in der Ansicht „Ereignisanalyse“ anzuzeigen, bewegen Sie den Mauszeiger über einen Wert und wählen Sie im Bereich „Aktionen“ der Kontext-Kurzinformation Zu Liste hinzufügen/Aus Liste entfernen aus.

Workflow

Das folgende Workflowdiagramm zeigt den allgemeinen Workflow für „Untersuchen“. Die Position der Aufgabe „Zur Liste hinzufügen“ ist hervorgehoben.

high-level Investigate workflow with the location of the Add to List tas highlighted

Was möchten Sie tun?

                                                     
NutzerrolleZielDetails anzeigen
Threat Hunter

Durchsuchen von Ereignismetadaten

Starten einer Ermittlung in der Ansicht „Navigation“ oder „Ereignisse“

Threat Hunter

Durchsuchen von Raw-Ereignissen

Starten einer Ermittlung in der Ansicht „Navigation“ oder „Ereignisse“

Threat Hunter

Analyse von Raw-Ereignissen und Metadaten

Starten einer Ermittlung in der Ansicht „Ereignisanalyse“

Threat HunterUntersuchen von Endpunkten (Version 11.1)Untersuchen von Hosts

Threat Hunter

Verdächtige Endpunktdateien finden (Version 11.1)

Untersuchen von Dateien

Threat HunterDateien und Ereignisse auf Schadsoftware scannenDurchführen von Schadsoftwareanalysen

Incident-Experte

Priorisieren eines Incident in „Untersuchen“

NetWitness Respond – Benutzerhandbuch

Threat HunterErstellen oder Hinzufügen von Metawerten zu einer Context-Hub-Liste*

Verwalten von Context-Hub-Listen und Listenwerten in den Ansichten „Navigation“ und „Ereignisse“ oder Suchen von zusätzlichem Kontext in der Ansicht „Ereignisanalyse“

Verwandte Themen

Überblick über die Ansichten „Navigation“ und „Ereignisse“

Die folgende Abbildung zeigt ein Beispiel des Dialogfelds „Zu Liste hinzufügen/Aus Liste entfernen“ beim ersten Öffnen.
This is the Add/Remove from List dialog.

Die folgende Abbildung zeigt das Dialogfeld, wenn Sie „Neue Liste erstellen“ auswählen.

This is how the dialog appears after clicking "Create new list"

Die folgende Tabelle beschreibt die Funktionen der Dialogfelder „Zu Liste hinzufügen/Aus Liste entfernen“ und „Neue Liste erstellen“.

                                                
FunktionBeschreibung
MetawertDer ausgewählte Metawert, der zu der vorhandenen oder neuen Liste hinzugefügt werden soll.
ListeDie Liste, zu der der ausgewählte Metawert hinzugefügt werden muss. Ein Drop-down-Menü bietet eine Liste der verfügbaren Listen an, denen Sie den Metawert hinzufügen können.
Neue Liste erstellenÖffnet ein neues Dialogfeld, in dem Sie eine neue Liste für den ausgewählten Metawert erstellen können.
ListennameDer Name der neuen Liste
BeschreibungDie Beschreibung der neuen Liste
ErstellenErstellt eine neue Liste, nachdem Sie die erforderlichen Felder eingegeben haben.
ZurückBricht im Neue-Listen-Modus die Erstellung einer neuen Liste ab und kehrt wieder zum ursprünglichen Dialogfeld zurück.
AbbrechenBricht das Hinzufügen des Metawerts zu einer Liste ab und schließt das Dialogfeld.
SpeichernSpeichert die Änderungen an den Listen und schließt das Dialogfeld.

Überblick über die Ansicht „Ereignisanalyse“ (ab Version 11.2)

Unten sehen Sie ein Beispiel für das Dialogfeld Zu Liste hinzufügen/Aus Liste entfernen in der Ansicht „Ereignisanalyse“.

Quick Look - Add/Remove From List Dialog

                             

 

1Hinzuzufügende oder zu entfernende Entities oder Metawerte
2Erstellen einer neuen Liste mit den ausgewählten Metawerten
3Auswählbare Registerkarten: „Alle“, „Ausgewählt“ und „Nicht ausgewählt“
4Suche nach Listenname oder Listenbeschreibung
5Abbrechen der Aktion
6Speichern zur Aktualisierung einer Liste oder zur Erstellung einer neuen Liste

In der folgenden Tabelle sind die Optionen im Dialogfeld „Zu Liste hinzufügen/Aus Liste entfernen“ aufgeführt.

                                                   
OptionBeschreibung
METAWERTZeigt die Entity oder den Metawert an, die/der zum Hinzufügen zu oder Entfernen aus einer oder mehreren Listen ausgewählte wurde. Sie können auch eine neue Liste mit dem ausgewählten Wert erstellen.
Neue Liste erstellenZeigt ein Dialogfeld zur Erstellung einer neuen Liste mit dem ausgewählten Metawert an.
ALLEZeigt alle verfügbaren Context-Hub-Listen an. Listen, die die ausgewählte Entity bzw. den ausgewählten Wert enthalten, sind bereits ausgewählt. Aktivieren Sie das entsprechende Kontrollkästchen, um eine Entity oder einen Metawert zu einer Liste hinzuzufügen. Deaktivieren Sie das entsprechende Kontrollkästchen, um einen Wert oder eine Entity aus der Liste zu entfernen.
AUSGEWÄHLTZeigt nur die Listen an, in denen die ausgewählte Entity oder der ausgewählte Metawert enthalten ist. (Alle Listen sind ausgewählt.)

NICHT AUSGEWÄHLT

Zeigt nur die Listen an, in denen die ausgewählte Entity oder der ausgewählte Metawert nicht enthalten ist. (Keine Liste ist ausgewählt.)
Filtern von ErgebnissenGeben Sie hier den Namen oder die Beschreibung einer bestimmten Liste ein, um sie unter mehreren Listen zu finden.

LISTE

Zeigt den Namen aller Listen an.

DESCRIPTIONZeigt Informationen zur ausgewählten Liste an. In diesem Dialogfeld wird die Beschreibung angezeigt, die Sie bei der Erstellung einer Liste angeben. Beispiel: Diese Liste enthält alle IP-Adressen in der Blacklist.

Abbrechen

Bricht den Vorgang ab.

SpeichernSpeichert die Änderungen.
You are here
Table of Contents > Investigate-Referenzmaterialien > Dialogfeld „Zu Liste hinzufügen/Aus Liste entfernen“

Attachments

    Outcomes