Untersuchen: Konfigurieren der Ansicht „Malware Analysis-Ereigniszusammenfassung“

Document created by RSA Information Design and Development on May 14, 2018Last modified by RSA Information Design and Development on Oct 19, 2018
Version 3Show Document
  • View in full screen mode
 

Die Ereigniszusammenfassung bietet eine Zusammenfassung des untersuchten Scans und unter der Zusammenfassung befinden sich konfigurierbare Dashlets, z. B. Visualisierungsdiagramme und Listen. Standardmäßig öffnet sich die Ereigniszusammenfassung für einen Scan mit der Anzeige der Standard-Dashlets. Sie können die Ansicht durch das Hinzufügen, Ändern und Löschen von Standard-Dashlets anpassen. Die konfigurierte Anpassung der Dashlets bleibt für verschiedene Scanuntersuchungen erhalten und Sie können die Standard-Dashlets jederzeit wiederherstellen. Die Standard-Dashlets sind:

  • Ereigniszusammenfassung (korrigiert)
  • Ereigniszeitachse
  • Top-Liste höchst verdächtiger Schadsoftware
  • Meta-Treemap
  • Ergebnisrad
  • Meta-Strukturen

Die folgende Abbildung ist ein Beispiel für eine standardmäßige Ereigniszusammenfassung.

Summary of Events view

Der Rest dieses Themas enthält Anweisungen für Management und Konfiguration von Dashlets.

Dashlet hinzufügen

Sie können mehrere Kopien von Dashlets in der Schadsoftwareanalyse-Ereigniszusammenfassung hinzufügen. So fügen Sie ein Dashlet hinzu:

  1. Wählen Sie in der Symbolleiste Hinzufügen aus.
    Die Drop-down-Liste der Dashlets wird angezeigt. Es gibt vier Visualisierungsoptionen: Ergebnisrad, Meta-Treemap, Meta-Strukturen und Ereigniszeitachse. Die anderen drei Dashlets sind die gleichen Dashlets, die im Dashboard „NetWitness Suite“ verfügbar sind: Schadsoftware mit IOCs mit hoher Wahrscheinlichkeit und hohen Werten, Top-Liste höchst verdächtiger Schadsoftware, Top-Liste möglicher Zero-Day-Schadsoftware. Details zu diesen gemeinsamen Dashlets finden Sie unter „Dashlets“ in der RSA Content für die RSA NetWitness Suite.
  2. Wählen Sie ein Dashlet aus.
    Das neue Dashlet wird als letztes Dashlet unter den bestehenden Dashlets hinzugefügt.
  3. Wenn das Dashlet ein Duplikat eines bestehenden Dashlet ist, ändern Sie den Namen des neuen Dashlet, damit es eindeutig ist.

Ändern oder Löschen eines Dashlet mithilfe von Symbolleistenoptionen

Jedes Dashlet hat eine Symbolleiste, die Optionen zur Änderung des Dashlet bieten. Die Visualisierungsdiagramme verfügen über dieselben Konfigurationseinstellungen, während einige andere Dashlets zusätzliche Einstellungen bieten.

Event Timeline dashlet toolbar

So verwenden Sie die Symbolleistenoptionen:

  • Klicken Sie zum Schließen eines Dashlet, so dass nur die Titelleiste angezeigt wird, auf Close the dashlet.
  • Klicken Sie zum Öffnen eines Dashlet, das geschlossen ist, auf Open the dashlet.
  • Klicken Sie zum Anzeigen der konfigurierbaren Einstellungen für ein Dashlet auf View the dashlet settings.
    Das Dialogfeld „Einstellungen“ für das Dashlet wird angezeigt.
  • Klicken Sie zum Löschen eines Dashlet auf Delete the dashlet.

Anwenden des Schwellenwertfilters auf mehrere Dashlets

Sie können innerhalb von Dashlets einen Schwellenwert festlegen, damit nur Ereignisse mit oder unter einem bestimmten Ergebnis in den vier Kategorien (Statisch, Netzwerk, Community und Sandbox) angezeigt werden. Dieses Verfahren legt die Schwellenwerte für diese Dashlets nach Dashlet-Typ fest: Ereigniszeitachse, Ergebnisrad und Meta-Treemap. Außerdem können Sie den Schwellenwert für einzelne Dashlets festlegen.

  1. Wählen Sie in der Symbolleiste Action menu > Schwellenwertfilter anwenden aus.
    Das Dialogfeld „Schwellenwertfilter anwenden“ wird angezeigt.
    Apply Threshold Filter dialog
  2. Wählen Sie einen oder mehrere Dashlet-Typen aus: Ereigniszeitachse, Ergebnisrad und Meta-Treemap.
  3. Ziehen Sie den entsprechenden Schieberegler oder geben Sie einen numerischen Wert ein und wählen Sie dann in der Drop-down-Liste einen Operator aus: =, >= oder <=.
  4. Klicken Sie auf Anwenden.
    Die Schwellenwertfilter werden auf die ausgewählten Dashlet-Typen in der Ereigniszusammenfassung angewendet.

Einstellen des Titels und der Kategorieoptionen für ein Dashlet

  1. Klicken Sie zum Anzeigen der konfigurierbaren Einstellungen für ein Dashlet auf Dashlet settings.
    Das Dialogfeld „Optionen“ für das Dashlet wird angezeigt.
    Event Timeline Options dialog
  2. Geben Sie einen neuen Titel für das Dashlet in das Feld Titel ein.
  3. Wenn Sie nur Ereignisse sehen möchten, die von dem Tag Hohe Wahrscheinlichkeit beeinflusst sind, was bedeutet, dass eine hohe Wahrscheinlichkeit besteht, dass das Ereignis gefährlichen Code enthält, aktivieren Sie die Optionen Nur durch hohe Wahrscheinlichkeit beeinflusst.
  4. Wenn Sie nur Ereignisse sehen möchten, die ein Ergebnis über einem bestimmten Wert in den vier Kategorien (Statisch, Netzwerk, Community und Sandbox) erhalten haben, ziehen Sie den entsprechenden Schieberegler oder geben Sie einen numerischen Wert ein und wählen Sie dann einen Operator in der Drop-down-Liste aus: =, >= oder <=.
  5. Klicken Sie auf Anwenden.
    Der Titel und der Filter werden auf das Dashlet angewendet.

Dashlets anordnen

So ändern Sie die Reihenfolge der Dashlets, wie sie unter der Ereigniszusammenfassung angezeigt werden:

  1. Wählen Sie in der Symbolleiste Actions drop-down menu > Dashlets anordnen aus.
    Das Dialogfeld „Dashlets anordnen“ wird angezeigt.
    Order Dashlets dialog
  2. Wählen Sie ein Dashlet aus, das Sie nach oben oder unten bewegen möchten, und klicken Sie auf Move dashlet up oder Move dashlet down.
  3. Wenn Sie mit der Reihenfolge zufrieden sind, klicken Sie auf Anwenden.
    Das Dialogfeld wird geschlossen und die Reihenfolge der Dashlets unter der Ereigniszusammenfassung wird entsprechend Ihren Wünschen geändert.

Wiederherstellen von Standard-Dashlets

Nachdem Sie Dashlets hinzugefügt, geändert und angeordnet haben, können Sie zu den Standardeinstellungen für die Anzeige der Dashlets zurückkehren. So stellen Sie die Standard-Dashlets wieder her:

  1. Wählen Sie in der Symbolleiste Actions drop-down menu > Standardkonfiguration wiederherstellen aus.
    Ein Dialogfeld fordert Sie auf, zu bestätigen, dass Sie die Konfiguration wiederherstellen möchten.
  2. Führen Sie einen der folgenden Schritte aus:
    1. Wenn Sie sich entscheiden, die Anordnung der Dashlets so zu lassen, wie Sie sie konfiguriert haben, klicken Sie auf Nein.
    2. Wenn Sie sicher sind, dass Sie die Standardkonfiguration wiederherstellen möchten, klicken Sie auf Ja.
      Die Anzeige der Dashlets wird auf die Standardanzeige zurückgesetzt.
You are here
Table of Contents > Konfigurieren von Ansichten und Voreinstellungen von NetWitness Investigate > Konfigurieren der Ansicht „Malware Analysis-Ereigniszusammenfassung“

Attachments

    Outcomes