Untersuchen: Ansicht Ereignisse

Document created by RSA Information Design and Development on May 14, 2018Last modified by RSA Information Design and Development on Oct 19, 2018
Version 3Show Document
  • View in full screen mode
 

Im Ansicht „Ereignisse“ ist eine Liste der Ereignisse, die einer Sitzung zugeordnet ist verfügbar. Diese Ansicht ist optimiert, um Raw-Ereignisse zeitlich geordnet anzuzeigen. Sie können die Ereignisliste in verschiedenen Formen anzeigen, Ereignisse filtern, Ereignisse suchen und eine Rekonstruktion eines Ereignisses öffnen.

 

Es gibt zwei Möglichkeiten, die Ansicht Ereignisse anzuzeigen:

  • Klicken Sie auf UNTERSUCHEN > Ereignisse. NetWitness Suite führt dann für den Standardservice (sofern festgelegt) eine Standardabfrage über die letzten drei Stunden aus oder öffnet ein Dialogfeld, in dem Sie einen Service auswählen können. Anschließend wird für diesen Service die Standardabfrage ausgeführt. Die Standardabfrage wählt alle Ereignisse aus und in der Ansicht „Ereignisse“ werden alle Ereignisse für den ausgewählten Service aufgeführt, beginnend mit den ältesten Ereignissen.
  • Doppelklicken Sie in der Ansicht Navigieren auf ein Ereignis. In der Ansicht „Ereignisse“ werden nun die Ereignisse für den ausgewählten Service angezeigt, basierend auf dem Drill-down-Punkt in der Ansicht „Navigation“.

Workflow

high-level Investigate workflow with Browse Raw Events and associated actions highlighted

Was möchten Sie tun?

                                                                                   
BenutzerrolleZiel11.1 Dokumentation
Threat Hunter

Durchsuchen von Ereignismetadaten

Starten einer Ermittlung in der Ansicht „Navigation“ oder „Ereignisse“

Threat Hunter

Durchsuchen von Raw-Ereignissen*

Starten einer Ermittlung in der Ansicht „Navigation“ oder „Ereignisse“

Threat Hunter

Analyse von Raw-Ereignissen und Metadaten

Starten einer Ermittlung in der Ansicht „Ereignisanalyse“

Threat HunterUntersuchen von Endpunkten (Version 11.1)Untersuchen von Hosts

Threat Hunter

Verdächtige Endpunktdateien finden (Version 11.1)

Untersuchen von Dateien

Threat HunterDateien und Ereignisse auf Schadsoftware scannenDurchführen von Schadsoftwareanalysen

Incident-Experte

Priorisieren eines Incident in „Untersuchen“

NetWitness Respond – Benutzerhandbuch

Threat HunterBenutzereinstellungen für die Ansicht „Ereignisse“ festlegen*Konfigurieren der Ansichten „Navigation“ und „Ereignisse“
Threat Hunterein Ereignis rekonstruieren*Rekonstruieren eines Ereignisses
Threat HunterExportieren von Ereignissen und Dateien*Exportieren von Ereignissen in der Ansicht „Ereignisse“
Threat Hunter

Durchführen interner Suchen

Anzeigen von zusätzlichem Kontext für einen Datenpunkt

Threat HunterDurchführen externer SuchenStarten einer externen Suche eines Metaschlüssels
Threat Hunter oder Incident ResponderEin oder mehrere Ereignisse zu einem vorhandenen Incident oder einem neuen Incident hinzufügen*Hinzufügen von Ereignissen zu einem Incident zwecks Reaktion
   

*Sie können diese Aufgabe in der aktuellen Ansicht durchführen.

Verwandte Themen

Überblick

Die Ansicht „Ereignisse“ bietet drei integrierte Darstellungsarten für Ereignisdaten: die Detailansicht, die Listenansicht und die Protokollansicht. Die Listenansicht und die Detailansicht dienen zur Anzeige von Ereignissen in Paketdaten und enthalten weitere Informationen für jedes Ereignis, darunter Zeitstempel, Ereignistyp, Ereignisthema und Größe.

  • In der Listenansicht werden die einander entsprechenden Quellen- und Zieladressen sowie Portinformationen zu Ereignissen in zusammengefasster Form in einem Raster dargestellt.
  • Die Detailansicht enthält alle zum Ereignis gesammelten Metadaten in Seitenform.
  • Die Protokollansicht ist für die Anzeige von Protokollinformationen optimiert und enthält weitere Informationen zu jedem Protokoll, darunter Zeitstempel, Ereignistyp, Servicetyp, Serviceklasse und die Protokolle.

Sie können Abfragen, die Zeitbereicheinstellung und Profile verwenden, um die Ereignisse zu filtern, die in der Ereignisansicht aufgeführt sind. In jeder der in der Ansicht „Ereignisse“ verfügbaren Ansichtsvarianten können Sie Dateien extrahieren, Ereignisse, Protokolle sowie Metawerte exportieren und den Bereich „Ereignisrekonstruktion“ sowie den Bereich „Ereignisanalyse“ öffnen.

Die folgende Abbildung ist ein Beispiel für Ereignisse in der Detailansicht. Der Bereich „Kontextabfrage“ ist nur sichtbar, wenn der Context-Hub-Service konfiguriert ist.

example of the Detail View with the Context Lookup panel open

Die folgende Abbildung zeigt ein Beispiel für Ereignisse in der Listenansicht.

example of the List View

Die folgende Abbildung ist ein Beispiel für die Protokollansicht:

example of the Log View

Detaillierte Beschreibung

Die Ereignisansicht verfügt im oberen Bereich über eine Symbolleiste mit den folgenden Optionen:

                                               
FunktionBeschreibung
Service auswählenZeigt neben dem Symbol den Namen des ausgewählten Services an. Öffnet das Dialogfeld Service auswählen, in dem Sie einen Service auswählen können, für den die Ereignisliste angezeigt wird.
ZeitbereichZeigt ein Drop-down-Menü zur Auswahl des Zeitbereichs an, der für die Ereignisliste gelten soll. Sie können eine der Standardoptionen auswählen oder einen eigenen Zeitbereich angeben.
AbfrageZeigt das Dialogfeld „Filter erstellen“ an, in das Sie eine benutzerdefinierte Abfrage direkt eingeben können, anstatt ein Drill-down in die Daten durchzuführen (siehe Erstellen einer angepassten Abfrage).
ProfilZeigt das Menü Profil verwenden an; das aktuell ausgewählte Profil wird in der Symbolleiste angezeigt. Ein Profil erlaubt Ihnen, Profile zu verwalten und zu verwenden, die angepasste Metagruppen, eine Standard-Spaltengruppe und eine beginnende Abfrage enthalten können. Die Profile gelten für die Ansicht Navigieren (Metagruppen und Abfragen) und die Ansicht Ereignisse (Spaltengruppen und Abfragen).
Drop-down AnsichtstypZeigt ein Drop-down-Menü für die Auswahl des Typs der Ereignisansicht an.
  • Die Detailansicht zeigt Ereignisse im Seitenformat an, der sich detaillierte Informationen zu jedem Ereignis entnehmen lassen.
  • In der Listenansicht erfolgt die Darstellung von Ereignissen im Rasterformat, in dem jedes Ereignis in einer einzelnen Zeile aufgeführt wird.
  • In der Protokollansicht wird ein protokollbezogenes Ereignisraster angezeigt, das die Zusammenfassung des jeweiligen Protokolls in einer einzelnen Zeile enthält.
  • Im Ansichtstyp Benutzerdefinierte Spaltengruppen wird die Ereignisliste unter Verwendung einer Spaltengruppe angezeigt, die in einer Drop-down-Liste mit benutzerdefinierten Spaltengruppen ausgewählt wird.
  • In der Ansicht Spaltengruppen managen erscheint ein Dialogfeld zur Erstellung und Bearbeitung benutzerdefinierter Spaltengruppen.
AktionenZeigt ein Drop-down-Menü mit Aktionen in der Ereignisansicht an:
  • Extrahieren von Dateien, Exportieren von Ereignissen als PCAP-Datei, Exportieren von Protokollen oder Exportieren von Metawerten
  • Anzeigen von wiederhergestellten Ereignissen in einem Pop-up-Fenster oder in einer neuen Registerkarte
  • Anzeigen der Ansicht „Ereignisanalyse“
  • Zurücksetzen aller Filter in der Ereignisansicht

Incidents

Hier können Sie einen neuen Incident in Respond erstellen und ihm die jeweils ausgewählten Ereignisse hinzufügen. Alternativ können Sie die ausgewählten Ereignisse auch einem bereits in „Reagieren“ vorhandenen Incident hinzufügen.

SucheZeigt die Optionen unter „Ereignisse suchen“ an. Mit ihrer Hilfe können Sie das Format für den Protokollexport und den Export von Metawerten festlegen. Weitere Optionen sind unter Suchen nach Textmustern erläutert.
EinstellungenZeigt die Investigation-Einstellungen für die Ereignisansicht an (die auch in der Profilansicht verfügbar sind), sodass Sie die Investigation-Einstellungen ändern können, ohne die Ereignisansicht verlassen zu müssen. Wenn Sie eine Einstellung in der Ereignisansicht ändern, wird diese auch in der Profilansicht geändert (siehe Konfigurieren der Ansichten „Navigation“ und „Ereignisse“).
You are here
Table of Contents > Investigate-Referenzmaterialien > Ansicht „Ereignisse“

Attachments

    Outcomes