Untersuchen: Ansicht „Ereignisanalyse“ – Bereich „Textanalyse“

Document created by RSA Information Design and Development on May 14, 2018Last modified by RSA Information Design and Development on Oct 19, 2018
Version 3Show Document
  • View in full screen mode
 

Im Bereich Textanalyse (Ereignisanalyse > Textanalyse) können Sie die Rohtextnutzdaten eines Ereignisses sicher anzeigen und analysieren. Der Bereich Textanalyse umfasst Funktionen, die dekomprimierten oder komprimierten Text anzeigen, abgeschnittene Einträge erweitern, URL- und Base64-Codierung und -Decodierung durchführen sowie Netzwerkereignisprotokolle und Endpunktereignisse herunterladen können. Der Bereich „Textanalyse“ ist für alle Arten von Ereignissen verfügbar: Netzwerk, Protokoll und Endpunkt.

Workflow

the Investigate Workflow with Analyze Raw Events and Metadata highlighted

Was möchten Sie tun?

                                                                              
BenutzerrolleZiel11.1 Dokumentation
Threat Hunter

Durchsuchen von Ereignismetadaten

Starten einer Ermittlung in der Ansicht „Navigation“ oder „Ereignisse“

Threat Hunter

Durchsuchen von Raw-Ereignissen

Starten einer Ermittlung in der Ansicht „Navigation“ oder „Ereignisse“

Threat Hunter

Analyse von Raw-Ereignissen und Metadaten

Starten einer Ermittlung in der Ansicht „Ereignisanalyse“

Threat Hunter

Abfragen von Ereignissen in der Ansicht „Ereignisanalyse“ (Version 11.1)

Filtern von Ergebnissen in der Ansicht „Ereignisanalyse“

Threat HunterAnalysieren von Ereignissen in der Ansicht „Ereignisanalyse“*Herunterladen von Daten in der Ansicht „Ereignisanalyse“

Threat Hunter

Rekonstruktion von Ereignissen in der Ansicht „Ereignisanalyse“*

Analysieren von Raw-Ereignissen und Metadaten in der Ansicht „Ereignisanalyse“

Threat HunterDurchführen externer Suchen von der Ansicht „Ereignisanalyse“ aus (Version 11.1)*Reagieren auf Daten in der Ansicht „Ereignisanalyse“
Threat Hunter Abfragen von Ereignissen in der Ansicht „Navigation“ Untersuchen von Metadaten in der Ansicht „Navigation“

Threat Hunter

Abfragen von Ereignissen in der Ansicht „Ereignisse“

Untersuchen von Raw-Ereignissen in der Ansicht „Ereignisse“

Threat HunterUntersuchen von Endpunkten (Version 11.1)Untersuchen von Hosts

Threat Hunter

Verdächtige Endpunktdateien finden (Version 11.1)

Untersuchen von Dateien

Threat HunterDateien und Ereignisse auf Schadsoftware scannenDurchführen von Schadsoftwareanalysen

Incident-Experte

Priorisieren eines Incident in „Untersuchen“

NetWitness Respond – Benutzerhandbuch

*Sie können diese Aufgabe in der aktuellen Ansicht durchführen.

Verwandte Themen

Überblick

Die Ansicht „Ereignisanalyse“ zeigt den Text eines einzelnen Ereignisses im Bereich Textanalyse an. Wenn Sie auf ein Ereignis im Bereich „Ereignisliste“ klicken, wird im angrenzenden Bereich die Textanalyse anzeigt. Nur das Rohdatenprotokoll für Protokollereignisse und Endpunktereignisse wird im Bereich Textanalyse angezeigt. Für Netzwerkereignisse werden die Richtung des Pakets (Anforderung oder Antwort) und die Inhalte jedes Pakets im Textformat bereitgestellt. Weitere Beispiele für Textanalyse finden Sie unter Analysieren von Raw-Ereignissen und Metadaten in der Ansicht „Ereignisanalyse“. Detaillierte Verfahren finden Sie unter Untersuchen von Ereignissen in der Ansicht „Ereignisanalyse“.

Text Analysis with important features labeled

                             
1Optionen zum Exportieren eines Protokolls, einer PCAP-Datei oder von Dateien zur genaueren Analyse und zum Teilen mit anderen Dieses Download-Menü ist für Netzwerkdaten vorgesehen.
2Die Ereignis-Header-Informationen.
3Klicken Sie, um die Netzwerk-Nutzlast in komprimierter oder dekomprimierter Form anzuzeigen.
4Die Nutzdaten für ein Netzwerkereignis umfassen Anforderungen und Antworten. Dies ist der Anforderungsseite des Pakets.
5Dies ist der Antwortseite des Pakets. Nur 1 % der Antwort wird angezeigt, da die Anzeige abgeschnitten wurde, damit mehr Pakete angezeigt werden können. Wenn Sie einen Bildlauf nach unten durchführen, können Sie auf eine Option klicken, um den Rest der Nutzdaten anzuzeigen.
6Diese Meldung wird angezeigt, wenn der Schwellenwert der 2.500 Pakete erreicht ist, eine Messgröße zur Optimierung der Performance. Zusätzliche Pakete werden nicht angezeigt. Sie können das Ereignis herunterladen, um alle Pakete anzuzeigen.
You are here
Table of Contents > Investigate-Referenzmaterialien > Ansicht „Ereignisanalyse“ – Bereich „Textanalyse“

Attachments

    Outcomes