Untersuchen: Starten einer externen Suche eines Metaschlüssels

Document created by RSA Information Design and Development on May 14, 2018Last modified by RSA Information Design and Development on Oct 19, 2018
Version 3Show Document
  • View in full screen mode
 

Dieses Thema enthält Anweisungen für die Verwendung sofort einsatzfähiger Investigate-Plug-ins, um mithilfe von NetWitness Suite-externen Tools eine externe Suche bestimmter Metaschlüssel zu starten, während Daten in der Ansicht „Navigation“ oder „Ereignisse“ ermittelt werden.

Analysten können sofort einsatzfähige externe Suchen mit NetWitness Suite Investigation verwenden, um bei den Ermittlungen Zeit zu sparen. Die sofort einsatzfähigen Lookups sind verfügbar durch Klicken mit der rechten Maustaste auf einen dieser Metaschlüssel:  IP-Adresse (ip-src, ip-dst, ipv6-src, ipv6-dst, orig_ip)host (alias-host, domain.dst)client, und file-hash.

Für alle IP- und host-Metaschlüssel sind die folgenden Suchen in NetWitness Suite integriert:

  • Google Malware: Öffnet eine Google Malware-Suche in einer neuen Registerkarte.
  • McAfee SiteAdvisor: Öffnet eine McAfee SiteAdvisor-Suche in einer neuen Registerkarte.
  • BFK-passive DNS-Erfassung:  Öffnet eine BFK-passive DNS-Erfassung-Suche in einer neuen Registerkarte.
  • CentralOps WHOIS für IP-Adressen und Hostnamen: Öffnet eine CentralOps Whois-Suche nach IP-Adressen und Hostnamen
  • Suche auf Malwaredomainlist.com: Öffnet eine Suche auf Malwaredomainlist.com in einer neuen Registerkarte.
  • Suche auf Malwaredomains.com: Öffnet eine Suche auf Malwaredomains.com in einer neuen Registerkarte.
  • Robtex IP-Suche: Öffnet eine Robtex IP-Suche in einer neuen Registerkarte.
  • SamSpade-Suche: Öffnet eine SamSpade-Suche in einer neuen Registerkarte.
  • ThreatExpert-Suche: Öffnet eine ThreatExpert-Suche in einer neuen Registerkarte.
  • UrlVoid-Suche: Öffnet eine UrlVoid-Suche in einer neuen Registerkarte.

Für die Metaschlüssel file-hash und alias-host öffnet Google-Lookup eine Google-Suche in einer neuen Registerkarte.

Für den Metaschlüssel client öffnet die ECAT-Lookup-Option einen ECAT-Client in einer neuen Registerkarte, sofern der ECAT-Client auf dem gleichen System installiert ist, auf dem der Browser verwendet wird.

Administratoren können zusätzliche externe Lookups hinzufügen und andere angepasste Aktionen durchführen, wie unter „Hinzufügen benutzerdefinierter Kontextmenüaktionen“ im Systemkonfigurationsleitfaden beschrieben.

Eine ECAT IOC-Suche starten

So starten Sie eine ECAT-Suche von Daten in der Ansicht „Navigation“:

  1. Klicken Sie mit der rechten Maustaste auf einen Metawert für einen der folgenden Metaschlüssel: ip-src, ip-dst, ipv6-src, ipv6-dst, orig_ip, alias-host, domain.dst, client.
  2. Wählen Sie Externe Suche im Kontextmenü.
    Ein Untermenü mit externen Suchoptionen wird angezeigt.
    External Lookup submenu
  3. Wählen Sie ECAT IOC-Suche aus.
    Ein Dialogfeld fordert Sie auf, eine Anwendung auszuwählen.
  4. Wählen Sie ECAT aus und klicken Sie auf OK.
    Das Dialogfeld „RSA ECAT-Konfiguration“ wird angezeigt.
    RSA ECAT Configuration dialog
  5. Geben Sie die den Benutzernamen und das Passwort ein, die für die Anmeldung am ECAT-Client erforderlich sind, und klicken Sie auf Verbinden
    . Der Drill-down-Punkt wird in RSA ECAT geöffnet.
    a drill point from Investigate opened in RSA ECAT

Starten weiterer externer Suchen

So starten Sie eine externe Suche (eine andere als ECAT IOC) von Daten in der Ansicht „Navigation“: 

  1. Klicken Sie mit der rechten Maustaste auf einen Metawert für einen der folgenden Metaschlüssel: ip-src, ip-dst, ipv6-src, ipv6-dst, orig_ip, alias-host, domain.dst, client.
  2. Wählen Sie Externe Suche im Kontextmenü.
    Ein Untermenü mit externen Suchoptionen wird angezeigt.
    External Lookup submenu
  3. Wählen Sie eine der Suchoptionen aus.
    Der ausgewählte Metawert öffnet sich in der ausgewählten Suche. Wenn Sie zum Beispiel SANS-IP-Verlauf ausgewählt haben, wird die Information über den Drill-down-Punkt im SANS Internet Storm Center angezeigt.
    SANS IP Lookup
You are here
Table of Contents > Untersuchen von Metadaten in der Ansicht „Navigation“ > Starten einer externen Suche eines Metaschlüssels

Attachments

    Outcomes