Untersuchen: Registerkarte „Investigation“ – Bereich „Benutzereinstellungen“

Document created by RSA Information Design and Development on May 14, 2018Last modified by RSA Information Design and Development on Oct 19, 2018
Version 3Show Document
  • View in full screen mode
 

In der Ansicht „Profil“ > Bereich „Einstellungen“ > Registerkarte „Investigation“ können Benutzer verschiedene Einstellungen festlegen, die die Performance und das Verhalten von NetWitness Suite bei der Datenanalyse sowie bei der Anzeige und Rekonstruktion von Ereignissen in NetWitness Investigation beeinflussen. Um auf diese Registerkarte zuzugreifen, wählen Sie the User Drop-down menu > the Profile option aus. Wenn die Ansicht „Profil“ angezeigt wird, wählen Sie die Registerkarte Einstellungen > Investigation aus. Sie können Benutzereinstellungen in NetWitness Suite zu jedem beliebigen Zeitpunkt ändern.

Was möchten Sie tun?

                  
BenutzerrolleZielDokumentation

Threat Hunter

Benutzereinstellungen für Investigate anzeigen und ändern* Konfigurieren der Ansichten „Navigation“ und „Ereignisse“

*Sie können diese Aufgabe in der aktuellen Ansicht durchführen.

Verwandte Themen

Überblick

Diese Abbildung ist ein Beispiel der Registerkarte „Investigation“ und in der folgenden Tabelle sind die Investigation-Einstellungen beschrieben.

                                                                             
FunktionBeschreibung
SchwellenwertDiese Einstellung steuert den Zähler, der während des Ladens für den Wert Metaschlüssel in der Ansicht „Navigation“ angezeigt wird. Ein höherer Schwellenwert ermöglicht genauere Zählerangaben für einen Wert. Allerdings verursacht ein höherer Schwellenwert längere Ladezeiten. Wenn der Schwellenwert erreicht ist, wird in NetWitness Suite die Summe und der Prozentsatz der Zeit angezeigt, die zum Erreichen des Zählerstandes im Vergleich zu der für das Laden aller Sitzungen mit diesem Wert erforderlichen Zeit verwendet wurde.
Beispiel: (>100.000 – 18 %) zeigt an, dass der Schwellenwert auf 100.000 festgelegt wurde und dass für diese Last nur 18 % der Zeit aufgewandt wurde, die es ohne festgelegten Schwellenwert gedauert hätte. Der Standardwert ist 100.000.
Max. WertergebnisseDiese Einstellung steuert die maximale Anzahl an Werten, die in der Ansicht „Navigation“ geladen werden, wenn die Option „Max. Ergebnisse“ im Menü „Metaschlüssel“ für einen offenen Metaschlüssel ausgewählt ist. Der Standardwert ist 1000.
Max. SitzungsexportMit dieser Einstellung wird die maximale Anzahl von exportierbaren Sitzungen festgelegt. Der Standardwert ist 100.000.
Max. Zeichenzahl für Protokollansicht Diese Einstellung legt die Anzahl der Zeichen fest, die maximal in Investigation > Ereignisse > Protokolltext angezeigt werden sollen. Der Standardwert ist 1.000.
ExportprotokollformatMit dieser Einstellung wird das Standardformat für das Exportieren von Protokollen aus Investigation festgelegt. Die verfügbaren Optionen sind Text, XML, CSV und JSON. Es gibt keinen integrierten Standardwert für das Protokollexportformat. Wenn Sie hier kein Format auswählen, zeigt NetWitness Suite ein Auswahldialogfenster an, wenn Sie einen Protokollexport aufrufen. Wenn Sie eine der Optionen im Drop-down-Menü „Exportprotokollformat“ auswählen und auf „Anwenden“ klicken, werden die Einstellungen sofort wirksam.
Format exportierte MetadatenMit dieser Einstellung wird das Standardformat für das Exportieren von Protokollen aus „Investigation“ festgelegt. Die verfügbaren Optionen sind Text, XML, CSV und JSON. Es gibt keinen integrierten Standardwert für das Metaexportformat. Wenn Sie hier kein Format auswählen, zeigt NetWitness Suite ein Auswahldialogfeld an, wenn Sie einen Export von Metadaten aufrufen. Wenn Sie eine der Optionen im Drop-down-Menü „Format exportierte Metadaten“ auswählen und auf „Anwenden“ klicken, werden die Einstellungen sofort wirksam.

Lokaler Cache pro Gerät

 

Debuginformationen anzeigenWenn diese Option aktiviert ist, zeigt NetWitness Suite die where-Klausel unter der Breadcrumb-Navigation in der Ansicht „Navigation“ an. Für jeden Ladevorgang von Metawerten wird die Ladezeit angezeigt. Wenn der Service ein Broker ist, wird die verstrichene Zeit für jeden aggregierten Service gemeldet. Der Standardwert ist Aus.
Ereignisse in Ereignisbereich anhängen Wenn diese Option ausgewählt ist, werden die im Bereich „Ereignisse“ angezeigten Ereignisse inkrementell hinzugefügt und die aktuell angezeigten Ereignisse werden nicht überschrieben. Bei jedem Klicken auf das Symbol „Nächste Seite“ werden die weiteren Ereignisse an die vorherigen Ereignisse angehängt; 1 – 25, dann 1 – 50 und dann 1 – 75 usw.

Hinweis: Diese Option ist nur verfügbar, wenn die Option „Optimieren des Ladens der Seite ‚Investigation‘“ aktiviert ist.

Werte automatisch ladenWenn diese Option aktiviert ist, werden die Servicewerte automatisch in der Navigationsansicht geladen. Wenn sie nicht aktiviert ist, zeigt NetWitness Suite eine Schaltfläche Werte laden an, über die der Benutzer die Optionen ändern kann. Der Standardwert ist Aus.
Abgeschlossene PCAPs herunterladenDiese Einstellung automatisiert den Download von extrahierten PCAPs in Investigation, damit Sie extrahierte PCAP-Dateien nicht manuell in einer Anwendung wie Wireshark, mit der Daten im PCAP-Format angezeigt werden können, herunterladen und öffnen müssen.
Live Connect: Riskante Werte markieren 
Optimieren des Ladens der Seite „Investigation“Diese Option ist standardmäßig aktiviert und legt fest, wie in der Ereignisansicht Ereignisse abgerufen werden. Im Optimalfall werden Ergebnisse so schnell wie möglich zurückgegeben. Dadurch entfällt die ursprüngliche Möglichkeit, auf einer spezifischen Seite in der Ereignisliste zu springen. Durch die Deaktivierung dieses Kontrollkästchens wird die Paginierung der Ereignislisten geändert, damit Sie auf eine bestimmte Seite in der Liste (oder auf die letzte Seite) springen können. Die Möglichkeit, auf alle Seiten in der Liste springen zu können, hat negative Folgen auf die Geschwindigkeit beim Zurückgeben der Ergebnisse aufgrund von zusätzlichem Overhead beim Festlegen der Ereignisse im Voraus.
StandardsitzungsansichtDiese Einstellung wählt den Typ Standardrekonstruktion für die erstmalige Rekonstruktionsansicht aus. Ereignisse werden standardmäßig mithilfe der Rekonstruktionsmethode, die sich für das Ereignis am besten eignet, neu erstellt.
CSS-Rekonstruktion für Webansicht ermöglichenDiese Einstellung steuert, wie die Rekonstruktion von Webinhalten durchgeführt wird. Wenn die Einstellung aktiviert ist, werden bei der Webrekonstruktion auch Cascaded Style-Sheet-Stilvorlagen (CSS) und Bilder mit einbezogen, sodass die Darstellung der Originalansicht in einem Webbrowser entspricht. Dies umfasst das Scannen und Rekonstruieren von verwandten Ereignissen sowie die Suche nach den im Zielereignis verwendeten Formatvorlagen und Bildern. Diese Option ist standardmäßig aktiviert. Deaktivieren Sie die Option, wenn Probleme beim Anzeigen bestimmter Websites auftreten.

Hinweis: Die Darstellung der rekonstruierten Inhalte entspricht möglicherweise nicht einwandfrei der ursprünglichen Webseite, wenn verwandte Bilder und Formatvorlagen nicht gefunden oder aus dem Cache des Webbrowsers geladen wurden. Zudem werden Layouts oder Formate, die dynamisch über das clientseitige JavaScript erstellt werden, in der Rekonstruktion nicht dargestellt, weil alle clientseitigen JavaScripts aus Sicherheitsgründen entfernt werden.

SuchoptionenMit dieser Einstellung werden die Standardsuchoptionen, die auf eine Suche angewendet werden sollen, in den Ansichten „Navigation“ und „Ereignisse“ festgelegt. Unter Suchen nach Textmustern finden Sie detaillierte Informationen.
AnwendenSpeichert Ihre Einstellungen und macht sie sofort wirksam.

 

You are here
Table of Contents > Investigate-Referenzmaterialien > Registerkarte „Investigation“ – Bereich „Benutzereinstellungen“

Attachments

    Outcomes