Untersuchen: Überprüfen von Scandateien und Ereignissen in Listenform

Document created by RSA Information Design and Development on May 14, 2018Last modified by RSA Information Design and Development on Oct 19, 2018
Version 3Show Document
  • View in full screen mode
 

Wenn Sie die Ereigniszusammenfassung eines Scans in Malware Analysis anzeigen, können Sie auf die Anzahl der Dateien oder Ereignisse klicken, um die Datei- bzw. Ereignisliste für den Scan anzuzeigen (siehe Beginnen einer Schadsoftwareanalyse-Ermittlung). In der Datei- bzw. Ereignisliste können Sie über den Dateinamen oder MD5-Datei-Hash nach einer Datei suchen, die Liste anhand von zwei Kriterien auf- oder absteigend sortieren und Dateien herunterladen. Wenn Sie in der Ereignis- oder Dateiliste auf Ereignisse oder Dateien stoßen, über die Sie mehr erfahren möchten, können Sie zahlreiche Details zu diesem Ereignis in der Ansicht „Ereignisdetails“ anzeigen.

Die folgenden Informationen werden von NetWitness Suite für jedes Ereignis in der Ereignisliste angegeben:

  • Markiert als ein Ereignis mit hoher Wahrscheinlichkeit, das wahrscheinlich Indikatoren für eine Infizierung enthält.
  • Die numerische Punktzahl für jedes Bewertungsmodul: Statisch, Netzwerk, Community und Sandbox.
  • Auswertungen der Virenschutzanbieter.
  • Das Flag Von benutzerdefinierter Regel beeinflusst.
  • Das Datum, an dem das Ereignis archiviert wurde.
  • Die Sitzungszeit.
  • Der MD5-Hash-Filter.
  • Die Anzahl der Dateien im Ereignis.
  • Die Quell-IP-Adresse des Ereignisses.
  • Die Identität.
  • Die Ziel-IP-Adresse.
  • Das Zielland.
  • Der Name des Aliashosts.
  • Der Ereignistyp, zum Beispiel Netzwerk.
  • Der vom Ereignis verwendete Service.
  • Die Zielorganisation

Die folgenden Informationen werden von NetWitness Suite für jede Datei in der Dateiliste angegeben:

  • Markiert als ein Ereignis mit hoher Wahrscheinlichkeit, das wahrscheinlich Indikatoren für eine Infizierung enthält.
  • Die numerische Punktzahl für jedes Bewertungsmodul: Statisch, Netzwerk, Community und Sandbox.
  • Auswertungen der Virenschutzanbieter.
  • Der Dateiname.
  • Der Dateityp.
  • Der MD5-Hash-Filter.
  • Die Quell-IP-Adresse des Ereignisses, in dem die Datei enthalten war.
  • Die Ziel-IP-Adresse.
  • Das Datum, an dem das Ereignis, in dem die Datei enthalten war, archiviert wurde.
  • Die Dateigröße.

Sortieren der Datei- bzw. Ereignisliste

Sie können die Datei- bzw. Ereignisliste nach Spaltenname in auf- oder absteigender Reihenfolge sortieren. Sie können eine oder zwei Spalten auswählen.

So sortieren Sie die Liste:

  1. Wählen Sie in der ersten Drop-down-Liste Sortieren nach einen Spaltennamen und die Sortierreihenfolge aus: Sort Descending für die absteigende oder Sort Ascending für die aufsteigende Reihenfolge.
  2. (Optional) Wählen Sie in der zweiten Drop-down-Liste Sortieren nach einen Spaltennamen und die Sortierreihenfolge aus: Sort Descending für die absteigende oder Sort Ascending für die aufsteigende Reihenfolge.
    Im Spaltentitel wird die ausgewählte Sortierreihenfolge angezeigt.

Filtern der Liste nach Dateinamen oder MD5-Datei-Hash

Sie können die Datei- bzw. Ereignisliste nach Dateinamen oder Datei-Hash filtern. Mit dieser Funktion können Sie eine begrenzte Teilmenge der ursprünglichen Daten anhand der Suchkriterien festlegen.

Hinweis: Wenn Sie eine Suche durchführen, wird der aktuell angezeigte Scan durchsucht (nicht alle Scans).

  1. Klicken Sie auf Filter button.
    Das Dialogfeld „Filter“ wird angezeigt.
  2. Geben Sie unter Dateiname oder MD5-Hash einen Wert ein und klicken Sie auf Filter. Bei den Feldern Dateiname und Hash wird nicht zwischen Groß- und Kleinschreibung unterschieden. Platzhalter und reguläre Ausdrücke werden nicht unterstützt. Der Filter basiert auf genauen Übereinstimmungen. Sie können den Cursor über einen Dateinamen oder Hash ziehen, um das Element in der Datei- bzw. Ereignisliste auszuwählen. Dann können Sie den Namen kopieren und in das Dialogfeld einfügen.
  3. Klicken Sie auf Filter.
    Malware Analysis filtert die Liste, sodass nur Dateien oder Ereignisse mit dem ausgewählten Hash angezeigt werden.
  4. Um zur nicht gefilterten Liste zurückzukehren, klicken Sie auf Filter button. Wenn das Dialogfeld „Filter“ angezeigt wird, klicken Sie auf Zurücksetzen.

Herunterladen von Dateien aus der Dateiliste

In NetWitness Suite können Sie Dateien in der Datei- bzw. Ereignisliste auswählen und herunterladen.

Achtung: Seien Sie vorsichtig, wenn Sie Dateien aus Malware Analysis herunterladen. Manche Dateien können schädlichen Code enthalten. Der Dateidownload ist eine konkrete konfigurierbare Berechtigung. Ausführlichere Informationen erhalten Sie unter „Definieren von Rollen und Berechtigungen für Benutzer der Schadsoftwareanalyse“ im Konfigurationsleitfaden Malware Analysis.

So laden Sie Dateien aus der Datei- bzw. Ereignisliste herunter:

  1. Aktivieren Sie in der Datei- bzw. Ereignisliste das Kontrollkästchen neben einer oder mehreren Zeilen.
  2. Wählen Sie in der Symbolleiste die Option Download Files button aus.
    Das Dialogfeld „Schadsoftware-Dateidownload“ wird angezeigt.
  3. Führen Sie einen der folgenden Schritte aus:
    1. Wenn Sie die Datei doch nicht herunterladen möchten, klicken Sie auf Abbrechen.
    2. Wenn Sie die Datei herunterladen möchten, klicken Sie auf die Schaltfläche Herunterladen.
      Die ausgewählten Dateien werden in einem ZIP-Archiv mit dem Namen Malware_Files.zip heruntergeladen.

Löschen von Ereignissen aus dem Scan

Wählen Sie in der Ereignisliste ein oder mehrere Ereignisse aus und löschen Sie diese aus dem Scan. Auf diese Weise können Sie Ereignisse entfernen, die nicht von Interesse sind.

So entfernen Sie ein Ereignis aus dem angezeigten Scan:

  1. Wählen Sie in der Ereignisliste mindestens ein Ereignis aus.
  2. Klicken Sie in der Symbolleiste auf die Option Delete Events.
    NetWitness Suite fordert eine Bestätigung an, dass Sie die Ereignisse löschen möchten.
  3. Klicken Sie im Bestätigungsdialogfeld auf Ja.
    Die ausgewählten Ereignisse werden gelöscht.

Rückkehr zur Ereigniszusammenfassung

Um die Datei- oder Ereignisliste zu verlassen und zur Ereigniszusammenfassung zurückzukehren, klicken Sie auf Zurück zur Zusammenfassung.

Öffnen der detaillierten Analyse für ein Ereignis

Während Sie Ereignisse oder Dateien in der Datei- bzw. Ereignisliste untersuchen, können Sie auf ein Ereignis bzw. eine Datei doppelklicken, um eine detaillierte Analyse des Ereignisses in der Ereignisliste bzw. des Ereignisses aufzurufen, dem die Datei in der Dateiliste zugeordnet ist (siehe Anzeigen der detaillierten Schadsoftwareanalyse eines Ereignisses).

You are here
Table of Contents > Durchführen von Schadsoftwareanalysen > Überprüfen von Scandateien und Ereignissen in Listenform

Attachments

    Outcomes