Untersuchen: Filtern der Dashlet-Daten in der Ansicht Ereigniszusammenfassung

Document created by RSA Information Design and Development on May 14, 2018Last modified by RSA Information Design and Development on Oct 19, 2018
Version 3Show Document
  • View in full screen mode
 

Ereigniszusammenfassung enthält eine Zusammenfassung des untersuchten Scans mit auswählbaren Dashlets. Die Ereigniszusammenfassung ist fest definiert, jedoch können Analysten jedes Dashlet so konfigurieren, dass Informationen gefiltert werden und ein Drill-down in die Daten erfolgen kann.

Der Rest dieses Themas enthält Anweisungen für Management und Konfiguration von Dashlets.

Konfiguration des Dashlet „Ergebnisrad“

Das Ergebnisrad ist eine allgemeine Visualisierung von analysierten Sitzungen, die eine hohe, mittlere oder niedrige Punktezahl in den jeweiligen Bewertungskategorien erzielt haben: Statisch, Netzwerk, Community und Sandbox. Das Ergebnisrad bietet eine schnelle Möglichkeit, einen Drill-down zur Überprüfung von Sitzungen auszuführen. Jeder Ring steht für eine andere Bewertungskategorie, sodass Sie die Ergebnisse nach Kategorien visuell vergleichen können.

Score Wheel dashlet

Sie können die Reihenfolge der Ringe ändern, um Indikatoren für eine Infizierung hervorzuheben, die nur in einer der Kategorien gekennzeichnet wurden. Das Vergleichen derselben Ergebnisse in unterschiedlichen Reihenfolgen der Ringe liefert Einblicke in zusätzliche Anfälligkeiten während einer Sitzung und Sie können bei der entsprechenden Sitzung einen Drill-down durchführen. Es folgen zwei Anwendungsbeispiele.

Beispiel: Zero-Day-Kandidaten

Dieses Beispiel zeigt, wie man einen Drill-down bei einer Sitzung durchführt, die von der Kategorie Community zwar nicht als schädlich gekennzeichnet wurde, dafür aber von allen anderen Bewertungskategorien. Die daraus resultierende Liste der Sitzungen hebt Zero-Day-Kandidaten hervor.

  1. Konfigurieren Sie die Bereiche des Ergebnisrads in der folgenden Reihenfolge:
    Community (ganz innen) > Statisch > Netzwerk > Sandbox (ganz außen)
  2. Klicken Sie auf das rote Segment im äußersten Ring (Sandbox), das auf ein grünes Segment im innersten Ring (Community) ausgerichtet ist: grün (innerster) -> Statisch: rot -> Netzwerk: rot -> Sandbox: rot (äußerster). 
    Events List

Beispiel: Schädliche Sitzungen

In diesem Beispiel wird gezeigt, wie man einen Drill-down bei Sitzungen durchführt, bei denen alle Bewertungskategorien die resultierende Sitzungsliste als schädlich identifizieren, indem angegeben wird, dass Malware Analysis dafür die höchste Wahrscheinlichkeit aufweist.

  1. Konfigurieren Sie die Bereiche des Ergebnisrads in der folgenden Reihenfolge:
    Community (ganz innen) > Statisch > Netzwerk > Sandbox (ganz außen)
  2. Klicken Sie auf das rote Segment des äußersten Bereichs (Sandbox), der auf ein rotes Segment im innersten Bereich (Community) ausgerichtet ist: rot (innerster) -> Statisch: rot -> Netzwerk: rot -> Sandbox: rot (äußerster). 

Ordnen der Reihenfolge der Bereiche nach dem Bewertungsmodul

Im Ergebnisrad können Sie die Reihenfolge der Bereiche nach dem Bewertungsmodul ordnen. Zunächst ist die Reihenfolge der Bereiche von innen nach außen wie folgt: Statisch, Netzwerk, Community, und Sandbox.

So verändern Sie die Reihenfolge der Bereiche:

  1. Führen Sie einen der folgenden Schritte aus:
    1. Klicken Sie die einzelnen Bewertungsmodule an und verschieben Sie diese nach oben oder unten.
    2. Wählen Sie die einzelnen Bewertungsmodule aus und verwenden Sie die Schaltflächen „Nach oben“ und „Nach unten“, um sie zu verschieben.
  2. Wenn die Bereiche die gewünschte Reihenfolge haben, klicken Sie auf die Schaltfläche Aktualisieren.
    Das Ergebnisrad wird mit der neuen Reihenfolge aktualisiert.

Konfiguration des Dashlet „Meta-Treemap“

Im Diagramm Meta-Treemap können Sie Meta-Strukturen nach Metadatentyp, Zähler und Analysetyp filtern und anzeigen. Verwenden Sie die drei Auswahllisten, um den Filter einzustellen. Das Diagramm „Meta-Treemap“ wird sofort aktualisiert.

Meta Treemap dashlet

Konfiguration des Dashlet „Meta-Strukturen“

Das Dashlet Meta-Strukturen ist eine Darstellung der Werte für einen bestimmten Metaschlüssel in Form eines Kreisdiagramms. Im Diagramm „Meta-Strukturen“ können Sie Meta-Strukturen nach Metadatentyp und Zähler filtern. Verwenden Sie die zwei Auswahllisten, um den Filter einzustellen. Das Diagramm „Meta-Strukturen“ wird sofort aktualisiert.

Meta Breakdowns dashlet

Konfiguration des Dashlet „Ereigniszeitachse“

Das Dashlet Ereigniszeitachse ist eine Darstellung von Ereignissen innerhalb eines bestimmten Zeitraums. Für die Ereigniszeitachse sind keine zusätzlichen Filter verfügbar.

Events Timeline dashlet

Öffnen aller Ereignisse in der Ereignisliste

Von der Ereigniszeitachse aus können Sie in der Ereignisliste die gesamte Liste der Ereignisse öffnen. Klicken Sie dazu auf View Events button. Bei dieser Option handelt es sich nicht um dieselbe wie beim Anklicken des Zählers neben den Ereignissen, welcher für alle Visualisierungsdiagramme derselbe ist und den aktuellen Drill-down-Punkt in der Ereignisliste öffnet.

Konfiguration des Dashlet „Top-Liste höchst verdächtiger Schadsoftware“

Das Dashlet „Top-Liste höchst verdächtiger Schadsoftware“ zeigt die Top 10 der höchst verdächtigen Ereignisse aus der Ereignisliste oder der Dateiliste an. Dieses Dashlet ist auch im Dashboard „Überwachung“ verfügbar und die Konfigurationsoptionen werden als Teil des RSA NetWitness-Inhalts unter Dashlets beschrieben.


Top Listing of Highly Suspicious Malware dashlet

Konfiguration des Dashlet „Schadsoftware mit IOCs mit hoher Wahrscheinlichkeit und hohen Werten“

Das Dashlet „Schadsoftware mit IOCs mit hoher Wahrscheinlichkeit und hohen Werten“ stellt Indikatoren für eine Infizierung (IOCs) dar, die sowohl eine hohe Bewertung als auch eine hohe Wahrscheinlichkeit aufweisen, dass die Ereignisse wahrscheinlich Schadsoftware enthalten. Dieses Dashlet ist auch im Dashboard „Unified“ verfügbar und die Konfigurationsoptionen werden als Teil des RSA NetWitness-Inhalts unter Dashlets beschrieben.
Malware with High Confidence IOCs and High Scores

Konfiguration des Dashlet „Top-Liste möglicher Zero-Day-Schadsoftware“

Das Dashlet „Top-Liste möglicher Zero-Day-Schadsoftware“ stellt potenzielle Zero-Day-Ereignisse in der Ereignisliste oder Dateiliste dar. Dieses Dashlet ist auch im Dashboard „Unified“ verfügbar und die Konfigurationsoptionen werden als Teil des RSA NetWitness-Inhalts unter Dashlets beschrieben.

Top Listing of Possible Zero Day Malware dashlet

You are here
Table of Contents > Durchführen von Schadsoftwareanalysen > Filtern der Dashlet-Daten in der Ansicht Ereigniszusammenfassung

Attachments

    Outcomes