Untersuchen: Ansicht „Ereignisrekonstruktion“

Document created by RSA Information Design and Development on May 14, 2018Last modified by RSA Information Design and Development on Oct 19, 2018
Version 3Show Document
  • View in full screen mode
 

In der Ansicht „Ereignisrekonstruktion“ finden Sie eine Rekonstruktion eines ausgewählten Ereignisses aus der Ansicht „Ereignisse“. Standardmäßig wird inNetWitness Suite entweder die beste Rekonstruktion des Ereignisses auf Basis des Ereignisinhalts angezeigt oder die Standardrekonstruktion, die Sie in der Einstellung „Standardsitzungsansicht“ für das Modul „Investigation“ ausgewählt haben. Über die Optionen in der Symbolleiste der Ansicht „Ereignisrekonstruktion“ können Sie die Rekonstruktionsmethode ändern, Ergebnisse von oben nach unten oder nebeneinander anzeigen, die Anzeigeoptionen für Anforderungen und Antworten festlegen, Ereignisse exportieren, Metawerte exportieren, Dateien extrahieren, E-Mail-Anhänge öffnen und Ereignisse auf einer neuen Registerkarte öffnen.

Um auf diese Ansicht zuzugreifen, führen Sie einen der folgenden Schritte aus:

  • Doppelklicken Sie in einer beliebigen Ereignisansicht auf ein Ereignis.
  • Klicken Sie in der Ansicht „Ereignisse“ bei geöffneter Detailansicht mit der rechten Maustaste auf Ereignisanalyse am Ende des Ereignisses und wählen Sie Ereignisrekonstruktion aus.
  • Klicken Sie in der Vorschau einer Rekonstruktion auf der „Ereignisrekonstruktion“-Symbolleiste auf Ereignis in neuer Registerkarte öffnen.
  • Wählen Sie in der Ansicht „Navigation“ Aktionen > In Ereignisrekonstruktion zu Ereignis wechseln aus und geben Sie eine Ereignis-ID ein.

Workflow

high-level Investigate workflow with Reconstruct an Event highlighted

Was möchten Sie tun?

                                                          
BenutzerrolleZiel11.1 Dokumentation
Threat Hunter

Durchsuchen von Ereignismetadaten

Starten einer Ermittlung in der Ansicht „Navigation“ oder „Ereignisse“

Threat Hunter

Durchsuchen von Raw-Ereignissen

Starten einer Ermittlung in der Ansicht „Navigation“ oder „Ereignisse“

Threat Hunter

Analyse von Raw-Ereignissen und Metadaten

Starten einer Ermittlung in der Ansicht „Ereignisanalyse“

Threat HunterUntersuchen von Endpunkten (Version 11.1)Untersuchen von Hosts

Threat Hunter

Verdächtige Endpunktdateien finden (Version 11.1)

Untersuchen von Dateien

Threat HunterDateien und Ereignisse auf Schadsoftware scannenDurchführen von Schadsoftwareanalysen

Incident-Experte

Priorisieren eines Incident in „Untersuchen“

NetWitness Respond – Benutzerhandbuch

Threat HunterRekonstruieren eines EreignissesRekonstruieren eines Ereignisses

Threat Hunter

Extrahieren von Dateien aus einem rekonstruierten Ereignis

Rekonstruieren eines Ereignisses

*Sie können diese Aufgabe in der aktuellen Ansicht durchführen.

Verwandte Themen

Überblick

Diese Abbildung zeigt ein Beispiel für die Ansicht „Ereignisrekonstruktion“. In der nachfolgenden Tabelle sind die Optionen auf der Symbolleiste beschrieben.

The Event Reconstruction window

             >                 
FunktionBeschreibung
Anforderung und AntwortZeigt ein Drop-down-Menü an, in dem Sie auswählen können, was in der Ansicht angezeigt werden soll:
  • Anforderung und Antwort
  • Anforderung
  • Antwort
OrganisationZeigt ein Drop-down-Menü an, um auszuwählen, ob die Informationen von oben nach unten oder nebeneinander angezeigt werden.
ViewZeigt ein Drop-down-Menü an, um auszuwählen, welche Informationen angezeigt werden. Standardmäßig ist Beste Rekonstruktion ausgewählt. Andere Optionen sind:
  • Metadaten anzeigen
  • Text anzeigen
  • Hex anzeigen
  • Pakete anzeigen
  • Web anzeigen
  • E-Mail anzeigen
  • Dateien anzeigen
AktionenZeigt ein Drop-down-Menü mit den in der Ansicht „Ereignisrekonstruktion“ verfügbaren Aktionen an.
Ereignis in neuer Registerkarte öffnenÖffnet das Ereignis in einer neuen Browserregisterkarte.

Unterhalb der Symbolleiste befindet sich eine Liste mit Metaschlüsseln und Werten. Einige Schlüssel stellen ein Drop-down-Menü mit verfügbaren Aktionen bereit.

Die Leiste unten in der Ansicht bietet mehrere Optionen.

                       
FunktionBeschreibung
Left arrow Zeigt das vorherige Ereignis an.
Right arrow Zeigt das nächste Ereignis an.
Rekonstruktionsprotokoll anzeigenZeigt das Rekonstruktionsprotokoll unten in der Ansicht an. Sobald Sie auf diese Schaltfläche klicken, wird sie in „Rekonstruktionsprotokoll ausblenden“ geändert.
You are here
Table of Contents > Investigate-Referenzmaterialien > Ansicht „Ereignisrekonstruktion“

Attachments

    Outcomes