Untersuchen: Anzeigen der detaillierten Schadsoftwareanalyse eines Ereignisses

Document created by RSA Information Design and Development on May 14, 2018Last modified by RSA Information Design and Development on Oct 19, 2018
Version 3Show Document
  • View in full screen mode
 

Wenn Sie die Liste individueller Ereignisse in einem Malware Analysis-Scan im Malware Analysis-Ereignisraster anzeigen, können Sie durch einen Doppelklick auf ein Ereignis die detaillierten Analyseergebnisse für dieses Ereignis anzeigen.

Anzeigen der Malware Analysis-Details für ein Ereignis

  1. Starten Sie eine Ermittlung in der Registerkarte Malware Analysis.
    Die Schadsoftware-Ereigniszusammenfassung wird angezeigt und weist vier Diagramme einschließlich der Ereigniszeitachse auf.
  2. Führen Sie einen der folgenden Schritte aus:
    1. Klicken Sie zum Anzeigen aller Ereignisse in der Ereigniszeitachse auf die Schaltfläche Ereignisse anzeigen.
    2. Doppelklicken Sie auf Daten in der Metaaufschlüsselung, im Meta-Treemap-Diagramm oder im Ergebnisrad..
      Die Ereignisliste wird angezeigt.
  3. Doppelklicken Sie auf ein Ereignis.
    Die Analyseergebnisse für das Ereignis werden angezeigt.
    Analysis Results
  4. (Optional) Wenn Sie ein Ereignis löschen möchten, wählen Sie Aktionen > Ereignis löschen.
  5. Wenn Sie eine Rekonstruktion der Netzwerksitzung anzeigen möchten, wählen Sie Aktionen > Netzwerksitzung anzeigen.
    Die Sitzung wird in der Ansicht „Navigation“ > „Ereignisrekonstruktion“ angezeigt.

Pivotieren der Netzwerkanalyse-Ergebnisse

Sie können die Netzwerkanalyse-Ergebnisse auf mehreren Wegen pivotieren.

  1. Blättern Sie nach unten zu den Netzwerkanalyse-Ergebnissen.
    Network Analysis Results
  2. Bewegen Sie die Maus über einen Metawert und klicken Sie mit der linken Maustaste.
    Das Kontextmenü wird angezeigt.
    Network Analysis Results context menu
  3. Um den ausgewählten Metawert in der Ansicht Navigieren anzuzeigen, wählen Sie Ermittlungen starten und eine Zeitoption aus.
  4. Um den ausgewählten Metawert in einem Browser anzuzeigen, wählen Sie In Webbrowser öffnen > In Google öffnen.

Verwenden der Option „Dateiaktionen“ in der Ansicht „Statische Analyseergebnisse“

  1. Blättern Sie nach unten zu den statischen Analyseergebnissen.
    Static Analysis Results
  2. Wenn Sie eine Datei herunterladen möchten, wählen Sie den Dateinamen und die Option Datei herunterladen (gezippt) oder Datei herunterladen (systemintern) aus. Es ist sicherer, eine Datei im zip-Format herunterzuladen.
    Static Analysis Results drop-down menu
  3. Wenn Sie die Datei in der Hash-Liste als sicher oder unsicher markieren möchten, wählen Sie Datei-Hash filtern und die Option Hash als gut markieren oder Hash als schlecht markieren.

Anzeigen der Details der Communityanalyseergebnisse

Die Communityanalyseergebnisse fassen Ergebnisse zusammen, die Indikatoren für eine Infizierung identifizieren, die als Risiko oder als harmlos markiert wurden.

Zudem listet die Ansicht die Ergebnisse von eingesetzten AV-Anbietern und nicht eingesetzten AV-Anbietern auf. Sie können die Ergebnisse der eingesetzten AV-Anbieter, die für den aktuellen Malware Analysis-Service konfiguriert sind, mit den Communityergebnissen vergleichen. Sie können zudem Ergebnisse einer Liste von AV-Anbietern anzeigen, die nicht für den aktuellen Malware Analysis-Service eingesetzt und konfiguriert sind.

Jede Zeile AV-Anbieterergebnisse beinhaltet das Schildsymbol, das anzeigt, ob der IOC von einem primären (Primary AV icon) oder sekundären (Secondary AV icon) AV-Anbieter in der Community entdeckt wurde, den Namen des eingesetzten oder nicht eingesetzten Anbieters und den Namen der Schadsoftware oder des Risikos, die von der Community und dem AV-Anbieter identifiziert wurden. Hat der AV-Anbieter kein Risiko entdeckt, wird die Meldung -- Nicht entdeckt -- anstelle des Namens des Risikos angezeigt.

Der Abschnitt „Nicht eingesetzte AV-Anbieter“ kann so vergrößert werden, dass alle Einträge angezeigt werden können, ist jedoch standardmäßig auf eine Größe begrenzt, die das Scrollen minimiert. Wenn Sie auf + klicken, wird die Liste vergrößert.

Wenn keine eingesetzten AV-Anbieter für den aktuellen Malware Analysis-Service konfiguriert wurden, wird folgende Meldung angezeigt: Es wurden keine AV-Anbieter als „Eingesetzt“ markiert. Rufen Sie die Seite „Malware Analysis-Servicekonfiguration“ auf, um die eingesetzten AV-Anbieter zu identifizieren.


Malware Analysis AV Vendors

Anzeige der Sandbox-Analyseergebnisse in der ThreatGrid-Benutzeroberfläche

Wenn Sie sich bei ThreatGrid registriert haben, können Sie die Sandbox-Ergebnisse direkt in ThreatGrid anzeigen.

  1. Blättern Sie nach unten zu den Sandbox-Analyseergebnissen.
    Sandbos Analysis Results
  2. Klicken Sie auf die Analyse-ID und wählen Sie In ThreatGrid öffnen.
    Der Analysereport wird in ThreatGrid angezeigt.
You are here
Table of Contents > Durchführen von Schadsoftwareanalysen > Anzeigen der detaillierten Schadsoftwareanalyse eines Ereignisses

Attachments

    Outcomes