Untersuchen: Wie funktioniert NetWitness Investigate?

Document created by RSA Information Design and Development on May 14, 2018Last modified by RSA Information Design and Development on Oct 19, 2018
Version 3Show Document
  • View in full screen mode
 

NetWitness Investigate bietet die Datenanalysefunktionen, die in RSA NetWitness® Suite verfügbar sind, mit denen Analysten Paket-, Protokoll- und Endpunktdaten analysieren und mögliche interne oder externe Bedrohungen für die Sicherheit und die IP-Infrastruktur erkennen können.

Hinweis: In Version 11.1 sind die Host- und Dateiansichten Bestandteil der NetWitness Suite, damit Analysten die Endpunktdaten ermitteln können.

Metadaten, Metaschlüssel, Metawerte und Metaentitäten

RSA NetWitness Suite prüft und überwacht den gesamten Datenverkehr in einem Netzwerk. Ein Servicetyp, ein Decoder, kümmert sich um die Aufnahme, Analyse und Speicherung der Pakete, Protokolle und Endpunktdaten, die über das Netzwerk übertragen werden.

Mit den konfigurierten Parsern und Feeds auf dem Decoder werden Metadaten erstellt, die Analysten zum Untersuchen der aufgenommenen Protokolle und Pakete verwenden können. Ein anderer Servicetyp, der als Concentrator bezeichnet wird, indiziert und speichert die Metadaten.

Die Metadaten liegen als Metaschlüssel und Metawerte für den Schlüssel vor. Beispielsweise ist ip.src ein Metaschlüssel und eine IP-Adresse, die die Quelle des Datenverkehrs ist, ist als ip.src markiert. Wenn Sie Daten in Investigate anzeigen, sehen Sie den Metaschlüssel ip.src und alle IP-Adressen (Werte), die mit diesem Schlüssel markiert werden. Einige Metaschlüssel sind integriert, andere sind möglicherweise benutzerdefinierte Schlüssel, die vom Administrator definiert werden.

Metaentitäten sind ab Version 11.1 verfügbar. Eine Metaentität ist ein Alias, der die Ergebnisse aus anderen Metaschlüsseln zusammenfasst. Metaentitäten organisieren ähnliche Metaschlüssel in einem einzigen, einfacher zu verwendenden Metatyp. Einige Metaentitäten sind bereits standardmäßig enthalten und der Administrator kann benutzerdefinierte Metaentitäten erstellen. In Investigate können Analysten eine Metaentität in einer Abfrage, einer Metagruppe, einer Spaltengruppe und einem Profil verwenden. Visualisierungen zu Parallelkoordinaten bieten keine Unterstützung für Metaentitäten. Administratoren können Metaentitäten verwenden, um ein Abfragepräfix zu definieren, das auf eine Benutzerrolle und einen Benutzer angewendet werden soll. Der Konfigurationsleitfaden für Decoder enthält zusätzliche Informationen zum Erstellen von Metaentitäten und zu ihrer Verwendung in Regeln.

Die Standardsprache der Core-Datenbank enthält beispielsweise eindeutige Metaschlüssel für IP-Quelle und IP-Ziel. Eine der integrierten Metaentitäten mit dem Namen ip.all stellt den kombinierten Satz aller IP-Quellen und IP-Ziele dar.

Analysten fragen in der Regel den Concentrator ab, um Bedrohungen zu erkennen. Der Concentrator verarbeitet Abfragen und wechselt erst dann zum Decoder, wenn eine vollständige Rekonstruktion von Sitzungen oder unverarbeiteten Protokollen erforderlich ist. ESA, Malware Analysis und Reporting Engine fragen auch den Concentrator ab, wo sie schnell alle relevanten Metadaten erhalten, die mit einem Ereignis verknüpft sind, und Informationen über das Ereignis erzeugen können, ohne zu jedem Decoder gehen zu müssen. In einigen besonderen Fällen können Analysten einen Decoder abfragen.

 

Hinweis: Während eine hybride Appliance die Concentrator-Funktion ausführen kann, benötigt eine einzelne Concentrator-Appliance eine größere Umgebung, für die wiederum mehr Bandbreite oder Ereignisse pro Sekunde (EPS) erforderlich sind. Die Concentrator-Appliance hat ein Speicherlayout mit Solid State Drives für den Index, das die Leseperformance steigert.

Auslöser für eine Ermittlung

Es folgen einige Beispiele für Auslöser einer Ermittlung:

  • Sie erhalten Informationen von einem Drittanbieter zu einem neuen Active Directory-Hack. Öffnen Sie die Ansicht „Ereignisse“ und verwenden Sie dort diese Informationen, um eine Suche in all Ihren unverarbeiteten Active Directory-Protokolldaten der letzten 24 Stunden durchzuführen.
  • Sie werden vom SOC-Manager gebeten, aufgrund der derzeitigen Beliebtheit von Pokemon Go diesbezügliche Malware zu finden. Öffnen Sie die Ansicht „Navigation“ und erstellen Sie dort eine Abfrage zur Suche einer HTTP-Sitzung unter Verwendung eines bestimmten Benutzer-Agent, der in Bezug zu der Schadsoftware steht, die er in einem Sicherheitsblog gefunden hat.
  • Ein Incident-Experte eskaliert ein Ticket, das einige seltsame Indikatoren in Bezug auf einen Host zeigt. Öffnen Sie die Ansicht „Hosts“ und überprüfen Sie dort diesen Host, um spezifische Details zu finden.
  • Sie suchen den nächsten Zero-Day-Angriff und navigieren in der Ansicht „Navigation“ durch Netzwerkmetadaten, um ungewöhnliche automatisierte Sitzungen zu finden, die aus dem Unternehmen heraus gelangen.
  • Sie werden von Ihrem SOC-Manager gebeten, Informationen im Zusammenhang mit Benutzer jarvis zu finden, einem Mitarbeiter, der gerade entlassen wurde. Öffnen Sie die Ansicht „Hosts“ und führen Sie dort eine Abfrage für die letzte Woche nach diesem Benutzernamen durch.

Workflow einer Ermittlung

Analysten können von NetWitness Suite erfasste Daten untersuchen und umfassende Einblicke anhand von Informationen zu einem NetWitness Suite-Dashboard, einem NetWitness Respond-Incident bzw. einer Warnmeldung, einem von der NetWitness Suite Reporting Engine erstellten Bericht oder zu einer Drittanbieteranwendung gewinnen. Während einer Ermittlung können Analysten nahtlos zwischen den Ansichten im Modul „Investigation“ navigieren: Ansicht „Navigation“, Ansicht „Ereignisse“, Ansicht „Ereignisanalyse“, Ansicht „Hosts“ (Version 11.1 oder höher), Ansicht „Dateien“ (Version 11.1 oder höher) und Ansicht „Malware Analysis“.

Diese Abbildung zeigt die Untermenüs in NetWitness Investigate.

NetWitness Investigate Submenus

Hinweis: Spezifische Benutzerrollen und -berechtigungen werden von einem Benutzer benötigt, damit dieser Ermittlungen und Schadsoftwareanalysen in NetWitness Suite durchführen kann. Wenn Sie eine Analyseaufgabe nicht durchführen oder eine Ansicht nicht sehen können, muss der Administrator unter Umständen die für Sie konfigurierten Rollen und Berechtigungen anpassen.

Sie können aus dem Untermenü im Modul „Investigate“ und aus anderen Ansichten von „Investigate“ auf jede Ansicht zugreifen. Sie können auch direkt von NetWitness Respond aus in eine Investigate-Ansicht navigieren sowie direkt von NetWitness Investigate zu NetWitness Respond und in die eigenständige NetWitness Endpoint-Anwendung wechseln. Ihr Anwendungsbeispiel bestimmt den Ausgangspunkt für Ihre Ermittlung. Diese Tabelle enthält allgemeine Richtlinien zur Startansicht für verschiedene Anwendungsbeispiele.

                                   
Navigieren Sie zu ...Schwerpunkt
Ansicht „Navigation“Alle Metaschlüssel und Metawerte für Protokolle, Endpunkte und Pakete, die nach Metaschlüsseln gruppiert werden. Sie können durch die Daten navigieren, um Ergebnisse zu verfeinern, und dann zur Ansicht „Ereignisse“ oder zur Ansicht „Ereignisanalyse“ wechseln. Sie können auch Malware Analysis oder Live durchsuchen. Dies ist die Standardansicht in NetWitness Investigate. (Siehe Untersuchen von Metadaten in der Ansicht „Navigation“.)
Ansicht „Ereignisse“Ereignisse werden geordnet nach Uhrzeit aufgelistet. Sie können das unverarbeitete Ereignis und die zugehörigen Metadaten sowie eine Rekonstruktion anzeigen und Ereignisse und Dateien herunterladen. Sie können zur Ansicht „Ereignisanalyse“ wechseln. (Siehe Analysieren von Raw-Ereignissen und Metadaten in der Ansicht „Ereignisanalyse“.)
Ansicht „Ereignisanalyse“Ereignisse werden geordnet nach Uhrzeit aufgelistet. Sie können alle Metaschlüssel und Metawerte für Protokolle, Endpunkte und Pakete anzeigen. Sie können das unverarbeitete Ereignis und die zugehörigen Metadaten sowie eine Rekonstruktion anzeigen, die nützliche Hinweise zur Identifizierung interessanter Punkte in einer Rekonstruktion bietet. Sie können zur Ansicht „Hosts“ navigieren, zur eigenständigen Endpoint-Anwendung wechseln, in Live nachschlagen und externe Suchen durchführen. Mit externen Suchen können Sie das Internet nach Metawerten durchsuchen, mit denen Sie interagiert haben, passive DNS-Informationen im Zusammenhang mit einer IP-Adresse bestimmen, feststellen, ob eine URL auf die schwarze Liste gesetzt wurde, sowie nach anderen Drittanbieter-Kontextintegrationen suchen. (Siehe Analysieren von Raw-Ereignissen und Metadaten in der Ansicht „Ereignisanalyse“.)
(Version 11.1 und höher) Ansicht „Hosts“Hosts, auf denen die NetWitness Endpoint Insights-Agents ausgeführt werden, werden aufgelistet. Für jeden Host können Sie Prozesse, Treiber, DLLs, (ausführbare) Dateien, Services und automatische Ausführungen sehen, die gerade aktiv sind, sowie Informationen in Bezug auf angemeldete Benutzer. Von der Ansicht „Hosts“ können Sie zu den Ansichten „Navigation“ und „Ereignisanalyse“ wechseln. (Siehe Untersuchen von Hosts.)
(Version 11.1 und höher) Ansicht „Dateien“Eindeutige Dateien wie PE, Macho und ELF in Ihrer Bereitstellung werden aufgeführt. Für jede Datei können Sie Details wie Dateigröße, Entropie, Format, Firmenname, Signatur und Prüfsumme anzeigen. Von der Ansicht Dateien können Sie zu den Ansichten „Navigation“ und „Ereignisanalyse“ wechseln. (Siehe Untersuchen von Dateien.)
Ansicht „Malware Analysis“Wenn Sie eine Malware Analysis-Appliance ausführen, können Sie Dateien automatisch oder manuell scannen und die Ergebnisse der vier Analysetypen anzeigen: Netzwerk, statisch, Community und Sandbox. Wenn eine Datei Schadsoftware ist, können Sie die Ansicht „Hosts“ öffnen und dort feststellen, welche Hosts die Datei heruntergeladen haben. (Siehe Durchführen von Schadsoftwareanalysen.)

Jede Situation ist einzigartig in Bezug auf die Art der Informationen, die der Analyst sucht. Viele Untersuchungen beginnen in einer Ansicht und enden in einer anderen Ansicht, weil der Analyst etwas lernt und dann dieses Ergebnis mit einer anderen Fragestellung nachverfolgen muss. Diese Abbildung zeigt den allgemeinen Workflow einer Ermittlung.

High-Level Investigate Workflow

Legen des Schwerpunkts auf Metadaten, Abfrage und Uhrzeit

Analysten verwenden NetWitness Investigate, um Ereignisse zu suchen, die den Workflow für die Reaktion auf Incidents voranbringen, und um strategische Analysen durchzuführen, nachdem ein anderes Tool ein Ereignis erzeugt hat. Beginnend in der Ansicht „Navigation“, „Ereignisse“ oder „Ereignisanalyse“:

  • Sie beginnen mit der Ausführung einer Abfrage an einem Service für einen bestimmten Zeitbereich, filtern dann mithilfe von Metadaten eine Teilmenge der Ereignisse heraus, rekonstruieren oder analysieren ein Ereignis und wiederholen anschließend das Verfahren zum Rekonstruieren oder Analysieren eines anderes Ereignisses.
  • Wenn Sie ein Ereignis finden, das eines genaueren Blicks bedarf, zeigen Sie den Kontext des Ereignisses an und entscheiden, ob Sie einen Incident erstellen oder das Ereignis zu einem Incident hinzufügen. Wenn Sie sich entscheiden, das Ereignis nicht zu einem Incident hinzuzufügen, führen Sie eine weitere Abfrage aus, um weitere Einblicke zu erhalten, womit Sie erneut am Anfang des Workflows beginnen.
  • Wenn Sie verdächtige Aktivitäten oder Dateien auf einem bestimmten Host im Netzwerk erkennen, können Sie zusätzliche Informationen über den Host und den auf dem Host gefundenen Dateien in der Ansicht „Hosts“ und „Dateien“ oder auf einem eigenständigen NetWitness Endpoint-Server erfassen.
  • Wenn Sie eine Datei oder ein Ereignis finden, das potenziell Malware enthält, können Sie einen Malware Analysis-Scan der Datei durchführen oder Malware Analysis öffnen und einen Scan des Service starten, in dem das Ereignis erkannt wurde.

Wenn zum Beispiel Befürchtungen in Bezug auf verdächtigen Datenverkehr mit dem Ausland bestehen, gibt der Metaschlüssel „Zielland“ Aufschluss über alle Ziele und Häufigkeit des Kontakts. Ein Drill-down in diese Werte ergibt die Einzelheiten des Datenverkehrs, wie etwa die IP-Adresse des Absenders und des Empfängers. Eine Überprüfung weiterer Metadaten kann Informationen über die Natur von zwischen den beiden IP-Adressen ausgetauschten Anhängen aufdecken.

Legen des Schwerpunkts auf die Endpunktanalyse

Analysten verwenden die Ansichten „Hosts“ und „Dateien“ zum Untersuchen oder Durchführen einer Analyse auf Hosts oder Dateien mithilfe verschiedener Attribute wie IP-Adresse, Hostname, MAC-Adresse usw.

  • Während einer Incident-Sichtung in der Ansicht „Reagieren“ überprüfen Sie die Schlüsselinformationen (z. B. Hostname, Dateiname) und zeigen Sie die Kontextmarkierungen an.
  • Wechseln Sie zu „Untersuchen“, um die Ansicht „Navigation“ zu öffnen. Wählen Sie die Metagruppe „Endpunktanalyse“ und überprüfen Sie die erstellten Metadaten.
  • Zeigen Sie die Metadaten in der Ansicht „Ereignisanalyse“ an, um die Ereignisse zu analysieren. Wählen Sie die Option „Host ermitteln“ über den Bereich „Ereignis-Metadaten“ aus.
  • Klicken Sie in der Ansicht „Hosts“ auf den Hostnamen, um die Übersicht der Endpunktdaten, Snapshots, Sicherheitskonfigurationen usw. anzuzeigen.
  • Führen Sie einen Scan nach Bedarf aus, um die neuesten Informationen zu erhalten (sofern erforderlich).
  • Suchen Sie in allen Snapshots nach einem bestimmtem Dateinamen, Pfad oder Hash, um die Suche einzuschränken.
  • Überprüfen Sie die Prozesse, automatischen Ausführungen, Dateien, Bibliotheken, Treiber und Systeminformationen für eine weitergehende Untersuchung.
  • Filtern Sie in der Ansicht „Dateien“ mithilfe einiger Indikatoren (z. B. Dateiname, Dateigröße, Entropie, Format, Firmenname, Signatur, Prüfsumme) nach Dateien und navigieren Sie zur Ansicht „Navigation“, um festzustellen, ob diese auf anderen Hosts im Netzwerk vorhanden sind.

Legen des Schwerpunkts auf Incidents und Warnmeldungen in NetWitness Respond

Ein Analyst, der in NetWitness Respond an einem Incident oder einer Warnmeldung arbeitet, kann diese bzw. diesen in NetWitness Investigate öffnen (Ansicht „Navigation“), um eine tiefer gehende Analyse des Ereignisses oder der Warnmeldung durchzuführen.

  • Der Workflow für die Reaktion auf einen Incident beginnt normalerweise in der Ansicht „Reagieren“, in der der Analyst, der einen Incident untersucht, Informationen zum Incident in NetWitness Investigate erfassen muss. Nachdem Sie eine Ermittlung von NetWitness Respond gestartet haben, werden definierte Metaschlüssel abgefragt und die Inhalte der erfassten Pakete, Protokolle und Endpunktereignisse in der Ansicht „Navigation“ angezeigt.
  • Wenn Sie Ereignisse finden, die für den Incident relevant sind, können Sie diese zum Incident in Respond hinzufügen. Sie können auch einen neuen Incident in Respond basierend auf ein oder mehrere in Investigate gefundene Ereignisse erstellen.

Ansichten in NetWitness Investigate

Dieser Abschnitt enthält eine kurze Beschreibung und ein Beispiel für jede Hauptansicht („Navigation“, „Ereignisse“, „Ereignisanalyse“, „Hosts“, „Dateien“ und „Malware Analysis“). Hier werden auch Ansichten erläutert, die zwei tief greifende Funktionen bieten: zusätzlicher Kontext für gefundene Daten und Ereignisrekonstruktion.

Ansicht „Navigation“

Die Ansicht „Navigation“ bietet die Möglichkeit, einen Drill-down vorzunehmen und die Inhalte von erfassten Paketen, Protokollen und Endpunktereignissen auf einem Broker, Concentrator oder Decoder abzufragen (obwohl die Untersuchung eines Decoder nicht üblich ist).

  • Bei Auswahl eines Services werden die definierten Metaschlüssel für diesen Service abgefragt und die Werte werden zusammen mit der Anzahl der Ereignisse zurückgegeben. Wenn Sie auf einem beliebigen Level auf einen Wert klicken, werden die Ergebnisse detailliert angezeigt.
  • Sie können mit dem Context Hub für bestimmte konfigurierte Metaschlüssel wie IP-Adresse oder Hostname nach zusätzlichen Kontextinformationen rund um einen Wert suchen. Der zusätzliche Kontext kann Incidents, Warnmeldungen und andere Quellen umfassen, in denen der Wert erwähnt wurde.
  • Die Ansicht „Navigation“ bietet auch eine sequenzielle Visualisierung der Daten auf einer Zeitachse. Hier können Sie einen ausgewählten Zeitraum vergrößern.

Diese Abbildung zeigt die Ansicht „Navigieren“.

the Navigate view with Context Lookup panel open

Ansicht „Ereignisse“

Die Ansicht „Ereignisse“ bietet eine Ansicht der Paket-, Protokoll- und Endpunktereignisse in Listenform, sodass Sie Ereignisse sequenziell anzeigen und sicher rekonstruieren können.

  • Sie können die Ansicht „Ereignisse“ für einen Metawert öffnen, der in der Ansicht „Navigation“ angezeigt wird.
  • Für Analysten ohne ausreichende Berechtigungen für die Navigation in einem Service ist die Ansicht „Ereignisse“ eine eigenständige Ermittlungsansicht, in der Analysten auf eine Liste von Netzwerk-, Protokoll- und Endpunktereignissen von einem NetWitness Suite Core-Service zugreifen können, ohne zuerst ein Drill-down durch Metadaten durchführen zu müssen.
  • Die Ansicht „Ereignisse“ präsentiert Ereignisinformationen in drei Standardformen: eine einfache Auflistung von Ereignissen in Rasterform, eine detaillierte Auflistung von Ereignissen und eine Protokollansicht.
  • Sie können Ereignisse und zugehörige Dateien exportieren sowie einen Incident aus einem Ereignis erstellen.

Diese Abbildung zeigt die Ansicht „Ereignisse“.

the Events view

Ansicht „Ereignisanalyse“

Die Ansicht „Ereignisanalyse“ ist ein interaktives Tool, das Analysten hilft, Pakete, Text, oder Dateien in einem Ereignis mit visuellen Hinweisen für bestimmte Arten von Informationen anzuzeigen. Je nach Typ der Rekonstruktion, z. B. Pakete, Text oder Dateien, sind unterschiedliche Informationen relevant.

  • Beim Anzeigen von Dateien können Sie diese in einem Zip-Archiv in Ihr lokales Dateisystem exportieren.
  • Sie können Protokolle aus der Ansicht „Text“ herunterladen und Pakete aus der Ansicht „Paket“ exportieren.

Diese Abbildung zeigt ein Beispiel der Ansicht „Ereignisanalyse“.

example of the Event Analysis view

Ansicht „Hosts“

In der Ansicht „Untersuchen > Hosts“ werden alle Hosts mit einem Agent aufgelistet. Standardmäßig werden die Hosts basierend auf der Zeit des letzten Scans aufgelistet, wobei die zuletzt gescannten Hosts in der Liste an oberster Position aufgeführt werden. In dieser Ansicht kann auch ein Drill-down in die Hostdetails zwecks Untersuchung durchgeführt werden.

Dies ist ein Beispiel für die Ansicht „Hosts“.

Hosts View

In dieser Ansicht können Sie:

  • Hosts filtern und sortieren, um die Untersuchung von Hosts einzugrenzen.
  • Die Hostattribute in eine CSV-Datei exportieren.
  • Einen Scan für die ausgewählten Hosts starten oder stoppen.
  • Einen Drill-down für Details zum Host durchführen.
  • Zur Ansicht „Navigation“ oder „Ereignisanalyse“ wechseln, um den Host zu untersuchen.
  • Hosts löschen.

Hinweis: Wenn in Ihrer Bereitstellung NetWitness Endpoint 4.4.0.2 oder höher installiert ist, werden die Hosts aufgeführt, auf denen der 4.4.0.2-Agent installiert ist. Sie können anhand der Agent-Version identifiziert werden. Weitere Informationen zum Untersuchen dieser Hosts finden Sie unter Untersuchen von NetWitness Endpoint 4.4.0.2 oder später Hosts.

Um Details eines Hosts anzuzeigen, klicken Sie auf den Hostnamen. Der folgende Bildschirm wird angezeigt:

Host Details View

Sie können Folgendes tun:

  • In allen Snapshots suchen (die unterstützten Suchfelder sind „Dateiname“, „Dateipfad“ und „SHA-256-Prüfsumme“).
  • Mehrere Snapshots anzeigen. Standardmäßig werden die Daten für den neuesten Snapshot angezeigt.
  • Zusätzliche Hostinformationen auf den folgenden Registerkarten anzeigen: Übersicht, Prozesse, Automatische Ausführungen, Dateien, Treiber, Bibliotheken und Systeminformationen.
  • Alle Kategorien von Endpunktdaten für den ausgewählten Host für einen bestimmten Snapshot im JSON-Format exportieren.

Ansicht „Dateien“

Die Ansicht „Dateien“ enthält eine Liste eindeutiger Dateien, die in Ihrer Bereitstellung gefunden wurden, sowie die zugehörigen Eigenschaften. Standardmäßig werden die Dateien basierend auf der Zeit des ersten Auftretens aufgelistet. Die folgenden Dateitypen, die in den Arbeitsspeicher geladen wurden, werden während des Scanvorgangs erfasst.

  • Portable Executable (PE) (Windows): Hierbei handelt es sich um EXE-, DLL- und SYS-Dateien. Sie können die folgenden Eigenschaften für jede Datei anzeigen: Prüfsumme, kompilierte Details, verschiedene Abschnitte in der Datei, importierte Bibliotheken und Details des Zertifikats (Signaturgeber, Fingerabdruck, Name des Unternehmens).

  • Macho (Mac): Hierbei handelt es sich um App-Bundles, Dylibs und Kernel-Erweiterungen. Sie können die folgenden Eigenschaften für jede Datei anzeigen: Prüfsumme, verschiedene Abschnitte in der Datei, importierte Bibliotheken und Details des Zertifikats (Signaturgeber, Fingerabdruck, Name des Unternehmens).
  • Executable and Linking Format (ELF) (Linux): Jede Datei enthält Informationen über die Prüfsumme, verschiedene Abschnitte in der Datei und importierte Bibliotheken. Sie können die folgenden Eigenschaften für jede Datei anzeigen: Prüfsumme, verschiedene Abschnitte in der Datei und importierte Bibliotheken.

Diese Abbildung zeigt ein Beispiel für die Ansicht „Dateien“.

Files View

In der Ansicht „Dateien“ können Sie folgende Aufgaben ausführen:

  • Dateien filtern und sortieren, um die Untersuchung einzugrenzen.
  • Zur Ansicht „Navigation“ oder „Ereignisanalyse“ wechseln, um die Datei zu untersuchen.
  • Die Dateien in eine CSV-Datei exportieren.

Ansicht „Malware Analysis“

Die Malware Analysis-Ansicht bietet ein Mittel, bestimmte Typen von Dateiobjekten (zum Beispiel Windows PE, PDF und MS Office) zu analysieren, um die potenzielle Schädlichkeit einer Datei zu bewerten.

  • Sie können die Ansicht „Malware Analysis“ direkt öffnen oder eine Kontextmenüaktion verwenden, um von einem Metawert in einem aktuellen Drill-down-Punkt in der Navigationsansicht auf Schadsoftware zu scannen.
  • Der Schadsoftwareanalyst kann die Multi-Level-Auswertungsmodule nutzen, um die enorme Anzahl an erfassten Dateien zu priorisieren, von denen potenziell die größte Gefahr ausgeht.

Diese Abbildung zeigt die Ansicht „Malware Analysis“.

example of the Malware Analysis Summary of Events

Kontextbezogene Informationen für ein Ereignis

In den Ansichten „Navigation“ und „Ereignis“ werden im Bereich „Kontextabfrage“ Details zu Elementen angezeigt, die mit einem Ereignis (IP-Adresse, Benutzer, Host, Domain, MAC-Adresse, Dateiname, Datei-Hash) im Context Hub zusammenhängen.

  • Sie können mit den Elementen eines Ereignisses interagieren, um weitere Einblicke zu erhalten, einschließlich verwandter Incidents, Warnmeldungen, benutzerdefinierter Listen, Archer-Ressourcen, Active Directory-Details und NetWitness Endpoint-IIOCs.
  • Sie können auf einen Datenpunkt klicken, um zur Ansicht „Navigation“ zurückzukehren.

In der folgenden Abbildung ist der Bereich „Kontextabfrage“ in der Ansicht „Navigation“ dargestellt.

the Context Lookup panel in the Navigate view

Hinweis: Für NetWitness Endpoint ist die Kontextabfrage nur für NetWitness Endpoint 4.4.0.2-Hosts oder höher verfügbar, jedoch nicht für NetWitness Endpoint 11.1-Hosts.

Ereignisrekonstruktion

Drei Ansichten in NetWitness Investigate bieten die Möglichkeit, ein Ereignis zu rekonstruieren: Ansicht „Navigation“, Ansicht „Ereignisse“ und Ansicht „Ereignisanalyse“. Wenn Sie ein Ereignis ermitteln, das zusätzliche Untersuchungen erfordert, können Sie dieses sicher in einer Form ähnlich seiner nativen Form rekonstruieren. Die Wiedergabe von Ereignissen schränkt die Verwendung von dynamischem oder aktivem Code ein, der in dem Ereignis enthalten sein könnte, um negative Auswirkungen auf das System oder den Browser zu begrenzen. Ein Cache wird verwendet, um die Performance zu verbessern, wenn Sie zuvor angezeigte Ereignisse anzeigen. Jeder Analyst hat einen separaten Cache von Rekonstruktionsdaten und Sie können nur auf rekonstruierte Ereignisse in Ihrem eigenen Cache zugreifen.

Das Dialogfeld „Ereignisrekonstruktion“ in der Ansicht „Ereignisse“ oder „Navigation“ enthält die Rohdaten, die Metaschlüssel und die Metawerte für ein Ereignis in Listenform.

  • Sie können durch die Rekonstruktion blättern, um das nächste Ereignis in dieser Liste anzuzeigen.
  • Ereignisse können je nach der Art der Daten (Metadaten, Text, hexadezimal, Pakete, Web, E-Mail, Dateien oder automatische Auswahl der besten Rekonstruktion) anhand von verschiedenen Methoden wiederhergestellt werden.
  • Sie können Paketerfassungsdateien exportieren, Dateien extrahieren und die Metawerte für das Ereignis exportieren. Diese Abbildung ist ein Beispiel für die Ereignisrekonstruktion.

the Event Reconstruction view

Die Ansicht „Ereignisanalyse“ stellt eine interaktive Ereignisrekonstruktion dar, die Rohdaten, Metaschlüssel und Metawerte enthält. Interaktive Optionen:

  • Markieren und Dekodieren von Informationen in Kopfzeilen und Nutzdaten
  • Identifizieren von gängigen Dateisignaturen
  • Suchen nach Speicherorten von bestimmten Metaschlüsseln oder Metawerten in der Rekonstruktion
  • Exportieren von Ereignissen und Dateien

Diese Abbildung zeigt ein Beispiel für eine Rekonstruktion in der Ansicht „Ereignisanalyse“.

example of a reconstruction in the Event Analysis view

You are here
Table of Contents > Wie funktioniert NetWitness Investigate?

Attachments

    Outcomes