Untersuchen: Starten einer externen Suche eines Metaschlüssels

Document created by RSA Information Design and Development on May 14, 2018Last modified by RSA Information Design and Development on Apr 28, 2019
Version 4Show Document
  • View in full screen mode
 

Dieses Thema enthält Anweisungen für die Verwendung sofort einsatzfähiger Investigate-Plug-ins, um mithilfe von NetWitness Platform-externen Tools eine externe Suche bestimmter Metaschlüssel zu starten, während Daten in der Ansicht „Navigation“ oder „Ereignisse“ ermittelt werden.

Analysten können sofort einsatzfähige externe Suchen mit NetWitness Platform Investigate verwenden, um bei den Ermittlungen Zeit zu sparen. Die sofort einsatzfähigen Lookups sind verfügbar durch Klicken mit der rechten Maustaste auf einen dieser Metaschlüssel:  IP-Adresse (ip-src, ip-dst, ipv6-src, ipv6-dst, orig_ip)host (alias-host, domain.dst)client, und file-hash.

Für alle IP- und host-Metaschlüssel sind die folgenden Suchen in NetWitness Platform integriert:

  • Google Malware: Öffnet eine Google Malware-Suche in einer neuen Registerkarte.
  • SANS-IP-Verlauf: Öffnet eine SANS IP-Verlaufssuche in einer neuen Registerkarte.
  • McAfee SiteAdvisor: Öffnet eine McAfee SiteAdvisor-Suche in einer neuen Registerkarte.
  • Endpunkt Thick-Clientsuche: Öffnet eine Suche im NetWitness Endpoint-Thick-Client in einer neuen Registerkarte.
  • BFK-passive DNS-Erfassung:  Öffnet eine BFK-passive DNS-Erfassungsuche in einer neuen Registerkarte.
  • CentralOps WHOIS für IP-Adressen und Hostnamen: Öffnet eine CentralOps Whois-Suche nach IP-Adressen und Hostnamen in einer neuen Registerkarte.
  • Suche auf Malwaredomainlist.com: Öffnet eine Suche auf Malwaredomainlist.com in einer neuen Registerkarte.
  • Robtex IP-Suche: Öffnet eine Robtex IP-Suche in einer neuen Registerkarte.
  • ThreatExpert-Suche: Öffnet eine ThreatExpert-Suche in einer neuen Registerkarte.
  • IPVoid-Suche: Öffnet eine UrlVoid-Suche in einer neuen Registerkarte.

Für die Metaschlüssel file-hash und alias-host öffnet Google-Lookup eine Google-Suche in einer neuen Registerkarte.

Für den Metaschlüssel client öffnet die Suchoption von NetWitness Endpoint einen Endpoint-Thick-Client in einer neuen Registerkarte, sofern der Client auf dem gleichen System installiert ist, auf dem der Browser verwendet wird.

Administratoren können zusätzliche externe Lookups hinzufügen und andere angepasste Aktionen durchführen, wie unter „Hinzufügen benutzerdefinierter Kontextmenüaktionen“ im Systemkonfigurationsleitfaden beschrieben.

Starten einer Endpunkt Thick-Clientsuche:

So starten Sie eine Endpunkt Thick-Clientsuche von Daten in der Ansicht „Navigation“:

  1. Klicken Sie mit der rechten Maustaste auf einen Metawert für einen der folgenden Metaschlüssel: ip-src, ip-dst, ipv6-src, ipv6-dst, orig_ip, alias-host, domain.dst, client.
  2. Wählen Sie Externe Suche im Kontextmenü.
    Ein Untermenü mit externen Suchoptionen wird angezeigt.
    External Lookup Menu
  3. Wählen Sie Endpunkt Thick-Clientsuche aus.
    Das Dialogfeld „Verbindung mit Server“ wird angezeigt.
    RSA ECAT Configuration dialog
  4. Geben Sie den Benutzernamen und das Passwort ein, die für die Anmeldung am Endpoint-Thick-Client erforderlich sind, und klicken Sie auf Verbinden.
    Der Drill-down-Punkt wird in NetWitness Endpoint geöffnet.
    a drill point from Investigate opened in RSA ECAT

Starten weiterer externer Suchen

So starten Sie eine externe Suche (außer NetWitness Endpoint-Thick-Client-Suche) nach Daten aus der Ansicht „Navigation“: 

  1. Klicken Sie mit der rechten Maustaste auf einen Metawert für einen der folgenden Metaschlüssel: ip-src, ip-dst, ipv6-src, ipv6-dst, orig_ip, alias-host, domain.dst, client.
  2. Wählen Sie Externe Suche im Kontextmenü.
    Ein Untermenü mit externen Suchoptionen wird angezeigt.
    the External Lookup Menu
  3. Wählen Sie eine der Suchoptionen aus.
    Der ausgewählte Metawert öffnet sich in der ausgewählten Suche. Wenn Sie zum Beispiel SANS-IP-Verlauf ausgewählt haben, wird die Information über den Drill-down-Punkt im SANS Internet Storm Center angezeigt.
    SANS IP Lookup
You are here
Table of Contents > Untersuchen von Metadaten in der Ansicht „Navigation“ > Starten einer externen Suche eines Metaschlüssels

Attachments

    Outcomes