Untersuchen: Ansicht „Dateien“

Document created by RSA Information Design and Development on Oct 19, 2018
Version 1Show Document
  • View in full screen mode
 

Hinweis: Die Informationen in diesem Thema gelten für RSA NetWitness® Suite Version 11.1 und höher.

In der Ansicht Dateien ist eine Liste von eindeutigen ausführbaren Dateien verfügbar, die sich in der Bereitstellung befinden. Um auf diese Ansicht zuzugreifen, gehen Sie zu UNTERSUCHEN > Dateien. Standardmäßig zeigt die Ansicht „Dateien“ 100 Dateien. Um weitere Dateien anzuzeigen, klicken Sie auf Weitere laden am unteren Rand der Seite.

Workflow

high-level Investigate workflow wiht Find Suspicious Endpoint Files and the associated action highlighted

Was möchten Sie tun?

                                                     
BenutzerrolleZiel11.1 Dokumentation
Threat Hunter

Durchsuchen von Ereignismetadaten

Starten einer Ermittlung in der Ansicht „Navigation“ oder „Ereignisse“

Threat Hunter

Durchsuchen von Raw-Ereignissen

Starten einer Ermittlung in der Ansicht „Navigation“ oder „Ereignisse“

Threat Hunter

Analyse von Raw-Ereignissen und Metadaten

Starten einer Ermittlung in der Ansicht „Ereignisanalyse“

Threat HunterUntersuchen von Endpunkten (Version 11.1) Untersuchen von Hosts

Threat Hunter

finden von verdächtigen Endpunktdateien (Version 11.1)*

Untersuchen von Dateien

Threat HunterDateien und Ereignisse auf Schadsoftware scannenDurchführen von Schadsoftwareanalysen

Incident-Experte

Priorisieren eines Incident in „Untersuchen“

NetWitness Respond – Benutzerhandbuch

Threat HunterExportieren von Hostattributen und globalen Dateien* Untersuchen von Dateien

*Sie können diese Aufgabe in der aktuellen Ansicht durchführen.

Verwandte Themen

Überblick

Es folgt ein Beispiel für die Ansicht „Dateien“:

Files View

                             
1Drop-down-Menü „Filter“ hinzufügen. Sie können die Dateien filtern, indem Sie ein Betriebssystem (Windows, Linux oder Mac), gespeicherte Filter oder Optionen im Drop-Down-Menü „Filter hinzufügen“ auswählen. Weitere Informationen finden Sie unter Filtern von Dateien.
2Gespeicherte Filter. Der Bereich „Gespeicherte Filter“ enthält eine Liste der gespeicherten Filter. Weitere Informationen finden Sie unter Filtern von Dateien.
3

Spalten sortieren. Sie können die Liste sortieren nach:

Dateiname: Name der Datei.

Zeit des ersten Auftretens: Erstmaliges Auftreten des Hash im Host.

Signatur: Gibt an, ob die Datei signiert oder unsigniert bzw. gültig oder ungültig ist. Ebenfalls angegeben sind Informationen zum Unterzeichner.

Größe: Größe der Datei.

Entropie: Bestimmt, ob die Inhalte komprimiert oder verschlüsselt werden.

Format: Format der Datei; Windows (PE), Linux (ELF und Skripte) und Mac (Macho).

PE.Resources.Company: Name des Unternehmens.

4Menü „Einstellungen“. Sie können die Einstellungen der Ansicht „Dateien“ festlegen, indem Sie Spalten aus dem Menü „Einstellungen“ auswählen. Weitere Informationen finden Sie unter Festlegen von Dateieinstellungen.
5In CSV-Datei exportieren: Extrahiert globale Dateien in eine CSV-Datei. Weitere Informationen finden Sie unter Untersuchen von Dateien.

6

Zu den Ansichten „Navigation“ und „Ereignisanalyse“ wechseln. Um einen bestimmten Dateinamen oder Hash (SHA256 und MD5) zu untersuchen, können Sie zu den Ansichten „Navigation“ und „Ereignisanalyse“ wechseln. Weitere Informationen finden Sie unter Wechseln zu den Ansichten „Navigation“ und „Ereignisanalyse“.

You are here
Table of Contents > Investigate-Referenzmaterialien > Ansicht „Dateien“

Attachments

    Outcomes