Untersuchen: Ansicht „Ereignisanalyse“ – Bereich „Paketanalyse“

Document created by RSA Information Design and Development on May 14, 2018Last modified by RSA Information Design and Development on Oct 19, 2018
Version 3Show Document
  • View in full screen mode
 

Im Bereich Paketanalyse (Ereignisanalyse > Paketanalyse) können Sie ohne Sicherheitsrisiko die Pakete und die Nutzlast eines Ereignisses anzeigen und interaktiv analysieren.

Workflow

the Investigate Workflow with Analyze Raw Events and Metadata highlighted

Was möchten Sie tun?

                                                                              
BenutzerrolleZiel11.1 Dokumentation
Threat Hunter

Durchsuchen von Ereignismetadaten

Starten einer Ermittlung in der Ansicht „Navigation“ oder „Ereignisse“

Threat Hunter

Durchsuchen von Raw-Ereignissen

Starten einer Ermittlung in der Ansicht „Navigation“ oder „Ereignisse“

Threat Hunter Analyse von Raw-Ereignissen und Metadaten

Starten einer Ermittlung in der Ansicht „Ereignisanalyse“

Threat Hunter

Abfragen von Ereignissen in der Ansicht „Ereignisanalyse“ (Version 11.1)

Filtern von Ergebnissen in der Ansicht „Ereignisanalyse“

Threat HunterAnalysieren von Ereignissen in der Ansicht „Ereignisanalyse“*Herunterladen von Daten in der Ansicht „Ereignisanalyse“

Threat Hunter

Rekonstruktion von Ereignissen in der Ansicht „Ereignisanalyse“*

Untersuchen von Ereignissen in der Ansicht „Ereignisanalyse“

Threat HunterDurchführen externer Suchen von der Ansicht „Ereignisanalyse“ aus (Version 11.1)* Reagieren auf Daten in der Ansicht „Ereignisanalyse“
Threat Hunter Abfragen von Ereignissen in der Ansicht „Navigation“ Untersuchen von Metadaten in der Ansicht „Navigation“

Threat Hunter

Abfragen von Ereignissen in der Ansicht „Ereignisse“

Untersuchen von Raw-Ereignissen in der Ansicht „Ereignisse“

Threat HunterUntersuchen von Endpunkten (Version 11.1)Untersuchen von Hosts

Threat Hunter

Verdächtige Endpunktdateien finden (Version 11.1)

Untersuchen von Dateien

Threat HunterDateien und Ereignisse auf Schadsoftware scannenDurchführen von Schadsoftwareanalysen

Incident-Experte

Priorisieren eines Incident in „Untersuchen“

NetWitness Respond – Benutzerhandbuch

*Sie können diese Aufgabe in der aktuellen Ansicht durchführen.

Verwandte Themen

Überblick

Im Bereich Paketanalyse können ausschließlich Netzwerkereignisse analysiert werden. Im Bereich Paketanalyse werden alle Pakete in einem Ereignis aufgeführt. Die Paketliste ist scrollbar. Wenn Sie scrollen, bleiben die Informationen zur Identifizierung des Pakets oder des Texts ebenso sichtbar wie die Anforderungs- und Antwortbezeichnungen. Sie verschwinden beim Scrollen also nicht aus dem sichtbaren Bereich.

Ab Version 11.1 können Sie mithilfe von Seitenumbruchshilfen vor und zurück durch die Seiten wechseln, zu einer bestimmten Seite navigieren und die Anzahl der Pakete auswählen, die pro Seite angezeigt werden (100, 300 oder 500).

Jedes Paket wird mit Schattierungen und Hervorhebungen angezeigt, anhand derer Sie häufige Dateimuster erkennen können: wichtige Header- und Nutzlastbytes, hexadezimale Bytes und ASCII-Bytes sowie häufig vorkommende Dateisignaturen. Darüber hinaus können Sie anpassen, wie Anforderungen und Antworten angezeigt werden sollen, und die Paketzusammenfassung ein- oder ausblenden.

Es folgt ein Beispiel des Bereichs „Paketanalyse“ mit Bezeichnungen zur Erkennung von Funktionen. Weitere Informationen und Beispiele für jede Funktion finden Sie unter Analysieren von Raw-Ereignissen und Metadaten in der Ansicht „Ereignisanalyse“.

the Packet Analysis panel with labeled features

                                 
1Optionen zum Exportieren eines Netzwerkereignisses. Sie können zwecks eingehenderer Analyse oder Weiterleitung an Dritte wahlweise eine PCAP-Datei, alle Nutzlasten, Anforderungsnutzlasten oder Antwortnutzlasten exportieren.
2Die Option zur Identifizierung häufig vorkommender Dateisignaturen ist standardmäßig aktiviert. Häufig vorkommende Dateisignaturen sind orangefarben hervorgehoben. Wenn Sie den Mauszeiger auf einer Hervorhebung platzieren, wird der Dateityp angezeigt.
3Über die Option „Byte schattieren“ wird eine Schattierung hinzugefügt. Die unterschiedlichen Hexadezimalbytes (00 bis FF) werden dann verschieden stark hervorgehoben.
4Mit der Option „Nur Nutzdaten anzeigen“ können Sie die Paket-Header ausblenden. So ist auf dem Bildschirm mehr Platz für die Nutzlast.
5Ereignis-Header
6Wichtige Bytes werden blau hinterlegt. Wenn Sie den Mauszeiger auf einer Hervorhebung platzieren, werden die Metadaten in einem Pop-up-Feld angezeigt.
7

(Ab Version 11.1) Paket-Seitenumbruchshilfen ermöglichen mehr Flexibilität beim Blättern durch eine Liste von Paketen. Wenn ein Steuerelement nicht verfügbar ist, wird das Bild abgeblendet; wenn Sie z. B. die Seite 1 anzeigen, sind die Steuerelemente the pagination button to go to page 1 und the pagination button to go to the previous page abgeblendet.

the pagination button to go to page 1: Gehe zur ersten Seite

the pagination button to go to the previous page: Gehe zur vorherigen Seite

the field to select a specific page number: Gehe zu spezifischer Seite

the pagination button to go to the next page: Gehe zur nächsten Seite

the pagination button to go to the last page: Gehe zur letzten Seite

the number of packets per page selector: Wählen Sie die Anzahl der Pakete pro Seite aus

You are here
Table of Contents > Investigate-Referenzmaterialien > Ansicht „Ereignisanalyse“ – Bereich „Paketanalyse“

Attachments

    Outcomes