Untersuchen: Untersuchen von Ereignissen in der Ansicht „Ereignisanalyse“

Document created by RSA Information Design and Development on Oct 19, 2018
Version 1Show Document
  • View in full screen mode
 

Bei der Untersuchung von Raw-Ereignissen und Metadaten in der Ansicht „Ereignisanalyse“ können Sie bei der Transparenz und der Größe der Bereiche einfache Anpassungen vornehmen. Im Bereich „Paketanalyse“ und im Bereich „Textanalyse“ verwenden Sie zusätzliche Funktionen, um die Art und Weise anzupassen, wie die Rekonstruktion angezeigt wird, und interessante Daten in den Fokus zu rücken.

Auswählen des Typs der Ereignisanalyse

Um den Typ der Ereignisanalyse für ein Ereignis auszuwählen, führen Sie einen der folgenden Schritte aus:

  1. Klicken Sie in der Symbolleiste der Ansicht „Ereignisanalyse“ auf den Analysetyp in der Symbolleiste.
  2. Wählen Sie im Drop-down-Menü den Typ der Analyse aus: Dateianalyse, Textanalyse, Paketanalyse, E-Mail (Version 11.1 und höher) oder Web (Version 11.1 und höher).
    Wenn Sie Dateianalyse, Textanalyse oder Paketanalyse auswählen, wird die Ansicht mit geöffnetem Bereich „Paketanalyse“, „Dateianalyse“ oder „Textanalyse“ aktualisiert.
    Wenn Sie E-Mail oder Web ausgewählt haben, wird die E-Mail- oder Web-Rekonstruktion der Ansicht „Ereignisse“ des einzelnen Ereignisses in einer neuen Registerkarte geöffnet. Dies ist die gleiche Rekonstruktion einer E-Mail- oder Web-Sitzung, die in der Ansicht „Ereignisse“ verwendet wird. Die Ansicht „Ereignisse“ bietet mehr Funktionen, wenn Sie eine E-Mail- oder Webrekonstruktion anzeigen: Sie können die Ereignisse dann in dieser Ansicht durchblättern, anstatt nur ein Ereignis anzuzeigen (siehe Rekonstruieren eines Ereignisses).

Hinweis: Der Bereich „Paketanalyse“ ist nur für Netzwerkereignisse verfügbar.

Öffnen, Schließen und Anpassen der Größe der Bereiche in der Ansicht „Ereignisanalyse“

Die Ansicht „Ereignisanalyse“ wird mit der Ereignisliste geöffnet und ohne dass ein Ereignis ausgewählt oder rekonstruiert wird. Wenn Sie ein Ereignis auswählen, wird auf der rechten Seite der Bereich „Netzwerkereignisdetails“, „Protokollereignisdetails“ oder „Endpunktereignisdetails“ geöffnet. Zunächst belegt der Bereich „Netzwerkereignisdetails“, „Protokollereignisdetails“ oder „Endpunktereignisdetails“ standardmäßig 75 % der Fensterbreite.

Initial view showing wide reconstruction panel

Sie können das Größenverhältnis der beiden Bereiche anpassen, um die Lesbarkeit zu verbessern, indem Sie einen der Bereiche erweitern, einen der Bereiche verkleinern und einen der Bereiche schließen. Nach dem Schließen eines Bereichs können Sie diesen erneut öffnen. Das Verhältnis, das Sie auswählen, bleibt bestehen, bis Sie es ändern oder den Browser aktualisieren.

  • Um den Bereich „Ereignisse“ erneut zu öffnen, klicken Sie oben rechts auf the open events panel icon.

Um die Ansicht zu optimieren:

  1. Um das Größenverhältnis der beiden Bereiche anzupassen, führen Sie einen der folgenden Schritte aus:
    1. Klicken Sie in der Symbolleiste des Bereichs, den Sie erweitern möchten, auf expand panel icon.
    2. Klicken Sie in der Symbolleiste des Bereichs, den Sie verkleinern möchten, auf the reduce panel icon.
  2. Um einen der Bereiche zu schließen und die volle Breite des offenen Bereichs wiederherzustellen, klicken Sie auf the close icon.
    Dies ist ein Beispiel für die Rekonstruktion, die über die gesamte Breite des Browserfensters angezeigt wird.
    Packet Analysis displayed in the full width of the browser window
  3. Um den Bereich „Ereignisse“ nach dem Schließen erneut zu öffnen, klicken Sie in der oberen rechten Ecke der Ansicht „Navigation“ auf the open events panel icon.
    Der Bereich „Ereignisse“ wird mit dem letzten Zustand geöffnet (25 %:75 % bzw. 50 %:50 %).
  4. Um den Bereich „Ereignisdetails“ erneut zu öffnen, klicken Sie auf ein Ereignis im Bereich „Ereignisse“.

 

Auswählen einer Spaltengruppe und von Spalten in der Ereignisanalyse

 

In Version 11.1 oder höher können Sie im Bereich „Ereignisse“ integrierte oder benutzerdefinierte Spaltengruppen verwenden. Die Spaltengruppen werden in der Ansicht „Ereignisse“ erstellt und verwaltet (siehe Managen von Spaltengruppen in der Ansicht „Ereignisse“); diese Gruppen werden in der Ansicht „Ereignisanalyse“ angezeigt. Wenn Sie die Spaltengruppe ändern, beziehen sich die Änderungen, die Sie an einer Spaltengruppe vornehmen, nur auf die aktuelle Ansicht. Wenn Sie die Seite verlassen und zur Ansicht „Ereignisanalyse“ zurückkehren, werden die Spaltenänderungen nicht im Bereich „Ereignisse“ beibehalten.

Hierbei handelt es sich um die integrierten Spaltengruppen.

  • E-Mail-Analyse: umfasst Metaschlüssel, die nützlich sind, wenn Sie E-Mail-bezogene Metadaten untersuchen.
  • Endpunktanalyse: umfasst Metaschlüssel, die nützlich sind, wenn Sie endpunktbezogene Metadaten untersuchen.
  • Malware Analysis: umfasst Metaschlüssel, die nützlich sind, wenn Sie Malware-bezogene Metadaten untersuchen.
  • Ausgehender HTTP: umfasst Metaschlüssel, die nützlich sind, wenn Sie Metadaten im Zusammenhang mit ausgehendem HTTP untersuchen.
  • Ausgehendes SSL/TLS: umfasst Metaschlüssel, die nützlich sind, wenn Sie Metadaten im Zusammenhang mit ausgehender SSL-/TTS-Analyse untersuchen.
  • Listenübersicht: umfasst Metaschlüssel, die in einer allgemeinen Ermittlung hilfreich sind. Dies ist die Standardspaltengruppe.
  • Bedrohungsanalyse: umfasst Metaschlüssel, die potenzielle Bedrohungen im Dataset markieren.
  • Webanalyse: umfasst Metaschlüssel, die Anomalien im Webdatenverkehr markieren.

Eine Spaltengruppe enthält möglicherweise mehr Spalten, als ohne Bildlauf nach rechts sichtbar sind. In Version 11.1 können Sie die Spalten auswählen, die in der Ansicht „Ereignisanalyse“ angezeigt werden. Die Reihenfolge der Spalten entspricht der Reihenfolge in der Ansicht „Ereignisse“ der Standardspaltengruppe. Standardmäßig werden die ersten 15 Spalten angezeigt, wenn Sie eine Spaltengruppe auswählen. Für eine optimale Anzeige wird empfohlen, nur 15 Spalten gleichzeitig anzuzeigen; Sie können allerdings zusätzliche Spalten auswählen, die angezeigt werden sollen, und angezeigte Spalten entfernen.

So wählen Sie eine Spaltengruppe aus:

  1. Wählen Sie im Drop-down-Menü neben „Ereignisse“ eine Spaltengruppe aus (z. B. Übersichtsliste). Außerdem können Sie den Anfang des Namens der Spaltengruppe eingeben und eine Gruppe auswählen, wenn die Gruppen im Drop-down-Menü angezeigt werden.
    Default Column Groups drop-down menu
    Der Bereich „Ereignisse“ zeigt Daten in den Spalten an, die der ausgewählten Spaltengruppe angehören.

So wählen Sie Spalten zur Anzeige aus:

  1. Klicken Sie bei der Arbeit in der Ansicht „Ereignisanalyse“ mit einer ausgewählten Spaltengruppe auf the settings icon, um die Spaltenauswahl anzuzeigen.
    Column selector filtering list
  2. Wählen Sie die Metaschlüssel aus oder geben Sie den Namen eines Metaschlüssels ein, der in zusätzlichen Spalten angezeigt werden soll. 
  3. Wenn in einer Spalte kein Metaschlüssel angezeigt werden soll, heben Sie die Auswahl des Metaschlüssels auf.
    Die Daten werden unter Verwendung der ausgewählten Spalten erneut angezeigt.

Anpassen der Anzeige von Anforderungen und Antworten

Für Ereignistypen, die Anforderungen und Antworten enthalten, können Sie mehrere Anpassungen vornehmen.

Hinweis: Wenn der Analysetyp keine Anforderungen und Antworten enthält, kann die Option nicht ausgewählt werden. Der Bereich Dateianalyse ist ein Beispiel für einen Rekonstruktionstyp ohne Anforderungen und Antworten. Ein rekonstruiertes Protokollereignis in der Ansicht „Text“ ist ein weiteres Beispiel.

Um auszuwählen, welche Seite des Gesprächs angezeigt werden soll – Anforderung, Antwort oder beide –, klicken Sie auf eines der Richtungssymbole oder auf beide. Request and Response icons. Die Rekonstruktion wird anhand der ausgewählten Informationen aktualisiert.

Hinweis: Wenn keine Daten angezeigt werden, haben Sie möglicherweise Anforderung und Antwort deaktiviert. Sie müssen eine der beiden Optionen auswählen, damit Daten angezeigt werden.

Anzeigen von Ereignismetadaten für ein Ereignis

Bei der Untersuchung von Ereignissen im Bereich Textanalyse, Paketanalyse oder Dateianalyse können Sie auf the show Event Meta panel icon klicken, um die zugehörigen Metadaten in einem benachbarten Bereich, dem Bereich „Ereignis-Metadaten“, anzuzeigen.

Wenn Sie bei der Anzeige der Bereiche „Textanalyse“ und „Ereignis-Metadaten“ den Mauszeiger über die Metaschlüssel-/Metwawert-Paare bewegen, wird ein Fernglas angezeigt, wenn der Metawert im unformatierten Text durchsucht werden kann. Dies ist ein Beispiel für das Fernglas-Symbol, wenn der Mauszeiger über das Verzeichnis und das / Metaschlüssel-/Metawert-Paar bewegt wird.

binoculars icon in the Event Meta panel

Durch Klicken auf das Symbol wird eine Suche nach dem Metaschlüssel-/Metawert-Paar (ohne Beachtung der Groß- und Kleinschreibung) im Bereich Textanalyse ausgelöst und jede Instanz wird hervorgehoben. Im Bereich „Ereignis-Metadaten“ werden in der hervorgehobenen Zeile die Anzahl der Ergebnisse und ein Scroller angezeigt, den Sie verwenden können, um die einzelnen Ergebnisse schnell im Bereich Textanalyse zu finden. Sie können jeden hervorgehobenen Speicherort der Daten anzeigen, die die Erzeugung des Metaschlüssels ausgelöst haben, und die nächsten und vorherigen anzeigen.

Nur Metaschlüssel mit relevanten Werten im Rohtext können durchsucht werden. Sie können jeweils nur einen Metaschlüssel durchsuchen. Wenn der Wert aktuell aufgrund der Kürzungen eines Texteintrags mit mehr als 3.000 Zeichen ausgeblendet ist, wird der Texteintrag vollständig eingeblendet, um den gefundenen Metawert anzuzeigen.

Wenn Sie auf das gleiche Metaschlüssel-/Metawert-Paar oder ein anderes Metaschlüssel-/Metawert-Paar im Bereich „Ereignis-Metadaten“ klicken, wird die Hervorhebung des unformatierten Texts entfernt. Die Hervorhebung wird ebenfalls entfernt, wenn Sie den Bereich „Ereignis-Metadaten“ schließen.

So durchsuchen Sie den unformatierten Text nach Metawerten, die einen Metaschlüssel ausgelöst haben:

  1. Öffnen Sie ein Netzwerkereignis im Bereich Textanalyse.
    a network event open in the Text Analysis panel
  2. Klicken Sie in der Symbolleiste auf the Open Meta Panel icon, um das den Bereich „Ereignis-Metadaten“ zu öffnen. Wenn Sie den Mauszeiger über die Metaschlüssel-/Wert-Paare in der Liste bewegen, identifiziert ein Fernglas-Symbol Werte, die im Bereich Textanalyse durchsucht werden können.
  3. Um den Wert im unformatierten Text zu suchen, klicken Sie auf eine Zeile mit dem Fernglas-Symbol, welches angibt, dass sie durchsucht werden kann.
    Wenn es kein relevantes Vorkommen des Werts im Text gibt, wird der gesuchte Wert im Bereich „Ereignis-Metadaten“ hervorgehoben und im Bereich Textanalyse wird nichts hervorgehoben.
    Wenn eine oder mehrere relevante Instanzen des Werts im Bereich Textanalyse gefunden werden, wird jedes Vorkommen hervorgehoben. Der gesuchte Wert wird im Bereich „Ereignis-Metadaten“ hervorgehoben und der Scroller wird angezeigt.

  4. Um die Hervorhebung zu entfernen, schließen Sie den Bereich „Ereignis-Metadaten“, klicken Sie auf das gleiche Metaschlüssel-/Metawert-Paar im Bereich „Ereignis-Metadaten“ oder klicken Sie auf ein anderes Metaschlüssel-/Metawert-Paar im Bereich „Ereignis-Metadaten“.
    Die Hervorhebung wird aus dem unformatierten Text entfernt.

Anzeigen oder Ausblenden des Ereignis-Headers

Zum Verbergen des Ereignis-Headers im Bereich Paketanalyse, Textanalyse oder Dateianalyse und Schaffen von mehr vertikalem Platz für die Daten klicken Sie auf the Display Header icon.

Blättern durch Ereignisse im Bereich „Paketanalyse“

In Version 11.1 und höher ermöglichen Paket-Seitenumbruchshilfen mehr Flexibilität beim Blättern durch eine Liste von Paketen. Sie können die Anzahl der Pakete auswählen, die pro Seite angezeigt werden, und Ihre Auswahl wird über Anmeldungen hinweg in der NetWitness-Anwendung gespeichert. Wenn ein Steuerelement nicht verfügbar ist, ist es abgeblendet; wenn Sie z. B. die Seite 1 anzeigen, sind die Steuerelemente previous page icon und first page icon abgeblendet.

So verwenden Sie Seitenumbruchshilfen:

  1. Öffnen Sie ein Ereignis in der Ansicht „Ereignisanalyse“, klicken Sie auf die aktuelle Anzahl der Pakete pro Seite (100, 300 oder 500) und wählen Sie im Drop-down-Menü die neue Anzahl an Paketen pro Seite aus.
    packets per page selector
  2. Verwenden Sie zum Vor- oder Zurückblättern die Seitensteuerelemente:
    Klicken Sie auf go to the next page icon, um die nächste Seite anzuzeigen.
    Klicken Sie auf last page icon, um die letzte Seite anzuzeigen.
    Klicken Sie auf previous page icon, um die vorherige Seite anzuzeigen.
    Klicken Sie auf first page icon, um die erste Seite anzuzeigen.
  3. Um eine bestimmte Seite aufzurufen, geben Sie in das Seitenzahlfeld page number field eine Seitenzahl ein.

Erweitern abgeschnittener Texteinträge im Bereich „Textanalyse“

Eine Rekonstruktion eines Netzwerkereignisses im Bereich Textanalyse kann Anforderungen und Antworten mit vielen Hunderttausenden von Zeichen enthalten und das Blättern durch einen langen Eintrag von mehr als 6000 Zeichen, die nicht von Interesse sind, kann Zeit verschwenden. Um die Erfahrung für Analysten zu verbessern, werden alle Texteinträge mit mehr als 6000 Zeichen gekürzt, sodass nur die ersten 2.000 Zeichen angezeigt werden. Dieses Beispiel zeigt einen Eintrag mit mehr als 2000 Zeichen. Eine Meldung in der Kopfzeile gibt den Prozentsatz der insgesamt angezeigten Zeichen an.

example of a packet with a percentage of the data displayed

Sie können sehen, dass 60 % der Zeichen (die ersten 2000) angezeigt werden. Klicken Sie auf Verbleibende 40 % anzeigen, um den Rest des Eintrags anzuzeigen.

Text Analysis with truncate entries expanded

Wenn Sie im Bereich „Ereignis-Metadaten“ nach Metadaten suchen, während Text im Bereich Textanalyse gekürzt wird, wird der abgeschnittene Text durchsucht. Wenn die Metadaten in ausgeblendetem Text vorhanden sind, wird der Texteintrag erweitert, um den Text mit den gefundenen Metadaten anzuzeigen.

Durchführen von URL- und Base64-Codierung und -Decodierung im Bereich „Textanalyse“

Wenn eine Netzwerksitzung, die im Bereich Textanalyse rekonstruiert wird, Base64- oder URL-kodierte Zeichenfolgen enthält, können Sie eine Zeichenfolge zum besseren Verständnis der Sitzung dekodieren. Wenn die Sitzung dekodierte Zeichenfolgen für Base64 oder URL enthält, können Sie eine Zeichenfolge in der verschlüsselten Form anzeigen, um zusätzliche Instanzen des codierten Texts in anderen Sitzungen zu suchen.

Wenn Sie eine Netzwerksitzung anzeigen, die codierten Text im Bereich Textanalyse enthält, können Sie einen Teil des Texts in einer einzigen Anforderung oder Antwort zur Anzeige in codierter oder decodierter Form auswählen. Je nach dem auf dem Decoder geladenen Inhalt gibt es möglicherweise zusätzliche Metadaten, die angeben, dass Base64- oder URL-codierte Daten in der Sitzung enthalten sind.

Im Folgenden finden Sie Beispiele für ein Feld mit Hover-Effekt, in dem URL-Codierung und codierter Base-64-Text angezeigt wird.

Text Analysis displaying encoded text

Text Analysis displaying decoded text

Durchführen von Codierung bzw. Decodierung im Bereich Textanalyse:

  1. Navigieren Sie in der Ansicht „Ereignisanalyse“ in den Bereich Textanalyse einer Sitzung, der codierten oder decodierten Content enthält.
  2. Um decodierten Text in codierter Form anzuzeigen, ziehen Sie den Mauszeiger, um den Text innerhalb einer einzigen Anforderung oder Antwort auszuwählen.
    Ein Menü bietet Optionen zur Codierung und Decodierung.
    the popup menu for decoding and encoding text
  3. Klicken Sie auf Ausgewählten Text codieren.
    Der codierte Text wird in einem Feld mit Hover-Effekt angezeigt, das beibehalten wird, bis Sie auf das the close icon klicken, anderen Text im Bereich Textanalyse wählen, den Bereich Bereich „Ereignisse“ schließen, ein anderes Ereignis für die Rekonstruktion auswählen oder zu einer anderen Rekonstruktionsansicht wechseln.
    an encoded URL
    Bei Auswahl eines längeren Textes ist das Feld mit Hover-Effekt scrollbar und so groß, dass der gesamte ausgewählte Text und der dekodierte Text hinein passen.
  4. Wenn die Sitzung codierten Text enthält, den Sie in decodierter Form anzeigen möchten, ziehen Sie den Mauszeiger, um den Text innerhalb einer einzigen Anforderung oder Antwort auszuwählen.
    Ein Menü bietet Optionen zur Codierung und Decodierung.
  5. Klicken Sie auf Ausgewählten Text codieren.
    Der decodierte Text wird in einem Feld mit Hover-Effekt angezeigt, das beibehalten wird, bis Sie auf the close icon klicken, anderen Text im Bereich Textanalyse wählen, den Bereich Bereich „Ereignisse“ schließen, ein anderes Ereignis für die Rekonstruktion auswählen oder zu einer anderen Rekonstruktionsansicht wechseln.
  6. Wenn Sie Text aus der Textrekonstruktion kopieren möchten, führen Sie einen der folgenden Schritte aus:
    1. Ziehen Sie die Maustaste, um Text auszuwählen, klicken Sie mit der rechten Maustaste und wählen Sie Ausgewählten Text kopieren im Pop-up-Menü.
      selected data with the copy, decode, and encode menus
    2. Ziehen Sie die Maustaste, um Text auswählen, und wählen Sie dann entweder Ausgewählten Text decodieren oder Ausgewählten Text codieren. Wählen Sie im Pop-up den gewünschten Text und geben Sie Steuerung-C ein.
      Der ausgewählte Text wird in die Zwischenablage kopiert und kann in eine Abfrage eingefügt werden.
  7. Klicken Sie abschließend auf the Close icon, um das Feld mit Hover-Effekt zu schließen.

Anzeigen von dekomprimiertem Text in einer HTTP-Netzwerksitzung im Bereich „Textanalyse“

Wenn der Inhalt einer HTTP-Netzwerksitzung komprimiert wird und Sie den Bereich Textanalyse anzeigen, zeigt NetWitness Suite standardmäßig dekomprimierten Inhalt. Dies hilft Ihnen, zu bestimmen, ob Muster vorhanden sind, und Sie können die besten lesbaren Zeichen anzeigen. Sie können zwischen einer komprimierten und einer dekomprimierten Ansicht des komprimierten Texts wechseln.

Hinweis: Dekomprimierter Text ist nicht für den Bereich Paketanalyse, Dateianalyse, nicht-HTTP-Netzwerksitzungen und Protokolldaten verfügbar.

Das Umschalten zwischen komprimiertem und dekomprimiertem Text wird nur im Bereich Textanalyse angezeigt und ist nur verfügbar, wenn es komprimierten Textinhalt gibt.

  1. Öffnen Sie den Bereich Textanalyse einer HTTP-Sitzung, der komprimierten Content enthält.
    Standardmäßig wird die Sitzung mit dem dekomprimierten Text rekonstruiert und über der Rekonstruktion befindet sich der Umschalter Komprimierte Nutzdaten anzeigen.
    a decompressed payload
  2. Um den gleichen Text in komprimierter Form anzuzeigen, klicken Sie auf den Umschalter.
    Die Ansicht ändert sich, sodass der komprimierte Text nicht mehr lesbar ist, und der Umschalter gibt an, dass „Komprimierte Pakete anzeigen“ aktiviert ist.
    a compressed payload
  3. Um zur Ansicht mit dekomprimiertem Text zurückzukehren, klicken Sie erneut auf den Umschalter.

Verwenden der Option „Nur Nutzlast“ im Bereich „Paketanalyse“ einer Netzwerksitzung

Bei der Anzeige der Rekonstruktion einer Netzwerksitzung im Bereich „Paketanalyse“ können Sie auswählen, nur die Hauptnutzlast für jedes Paket anzuzeigen. Standardmäßig werden Kopf- und Fußzeilen-Bytes für jedes Paket angezeigt. Sie können diese durch Klicken auf den Umschalter „Nur Nutzdaten anzeigen“ ausblenden. Wenn Sie nur die Nutzlast-Bytes anzeigen, können Sie die Standardeinstellung wiederherstellen, indem Sie den Umschalter „Nur Nutzdaten anzeigen“ auf „Ein“ stellen. Diese Einstellung wird beibehalten, bis Sie sie ändern oder den Browser aktualisieren.

  • Bei deaktivierter Option „Nur Nutzdaten anzeigen“ werden die Anzahl der Pakete, Paket-Kopfzeile, Packet-Fußzeile und Nutzdaten angezeigt.
  • Bei aktivierter Option „Nur Nutzdaten anzeigen“ werden keine Kopf- und Fußzeilen-Bytes angezeigt. Nur die Paketinhalte von 16 hexadezimalen Bytes pro Zeile und das entsprechende ASCII pro Zeile werden angezeigt.
  1. Navigieren Sie in der Ansicht Ereignisanalyse zum Bereich Paketanalyse einer Netzwerksitzung.
    Standardmäßig wird die Sitzung mit Anzeige von Kopfzeile, Fußzeile und Nutzlast des Pakets rekonstruiert.
    Packet headers hightlighted in blued
  2. Um die Ansicht zu ändern und nur die Nutzlast für jedes Paket anzuzeigen, klicken Sie auf den Umschalter Nur Nutzdaten anzeigen.
    Die Ansicht ändert sich, sodass nur die Nutzlast sichtbar ist und zusammenhängende Pakete auf der gleichen Seite verkettet werden, um die Nutzlast besser lesbar und verständlich zu machen.
    Display Payloads Only in effect

Anzeigen hervorgehobener Bytes im Bereich „Paketanalyse“

Beim ersten Öffnen einer Rekonstruktion im Bereich Paketanalyse werden die wichtigen Kopfzeilen-Bytes in den einzelnen Paketen blau hervorgehoben und die Nutzlast-Bytes werden anhand von Schattierung unterschieden, um Ihnen die Inhalte des Pakets verständlich zu machen. Diese Abbildung zeigt die standardmäßige Paketanalyse mit Hervorhebung und Byte-Schattierung.

Packet Analysis with highlighting and byte shading

Über die Option „Byte schattieren“ wird eine Schattierung hinzugefügt. Die unterschiedlichen Hexadezimalbytes (00 bis FF) werden dann verschieden stark hervorgehoben. Bytes nahe dem unteren Bereich sind transparenter und Bytes, die sich 255 annähern, sind undurchsichtiger. Hexadezimal- und ASCII-Bytes werden schattiert. Dies ist ein Beispiel für die Schattierung jedes hexadezimalen Byte.

example of shading applied to hexadecimal bytes

Der Umschalter „Byte schattieren“ steuert die Schattierung der Bytes. Wenn Sie „Byte schattieren“ ein- oder ausschalten, wird die Einstellung beibehalten, bis Sie sie ändern oder den Browser aktualisieren.

Hervorheben gängiger Dateitypen im Bereich „Paketanalyse“

Im Bereich „Paketanalyse“ können Analysten die Hervorhebung bestimmter gängiger Dateitypen basierend auf der Signatur der Datei anzeigen oder ausblenden. Bei Aktivierung der Funktion „Gebräuchliche Dateimuster“ werden die Bytes der magischen Zahl in der Dateisignatur in der Nutzlast hervorgehoben und Sie können den Mauszeiger über die Hervorhebung bewegen, um den potenzielle Dateityp anzuzeigen. In diesem Beispiel ist 89 50 4e 47 in der hexadezimalen Nutzlast hervorgehoben und PNG ist in der ASCII-Nutzlast hervorgehoben. Wenn Sie den Mauszeiger über die hervorgehobenen Bytes bewegen, wird der potenzielle Dateityp für die magische Zahl in einem Kasten mit Hover-Effekt angezeigt.

Possible file type highlighted

Dies sind die Dateitypen und die entsprechenden magischen Zahlen, die ggf. in der Nutzlast hervorgehoben werden:

                                                                                                  
DateitypHexadezimale SignaturASCII-Codierung
Ausführbare DOS-Datei/Windows PE4D 5AMZ
Portable Network Graphics (PNG) 89 50 4E 47 0D 0A 1A 0APNG
JPEG FF D8 FFJPEG
JPEG/JFIF4A 46 49 46JFIF
JPEG/EXIF45 78 69 66EXIF
GIF47 49 46 38 37 61GIF87a
GIF47 49 46 38 39 61GIF89a

Nicht portable ausführbare Datei

5A 4D

ZM

BMP42 4DBM
PDF25 50 44 46%PDF
Altes Office-Dokument (DOC, XLS, PPT, MSG und andere)D0 CF 11 E0 A1 B1 1A E1ÐÏ.ࡱ.á
ZIP-Dateiformate und darauf basierende Formate, z. B. JAR, ODF, OOXML50 4BPK..
7-Zip-Dateiformat (7z)37 7A BC AF 27 1C7z¼¯'
Java-Klassendatei, Mach-O Fat-BinärdateiCA FE BA BEÊþº¾
PostScript 25 21 50 53%!PS
UNIX/Linux-Shell-Skript23 21#!
Ausführbare Dateien und ausführbare Dateien im Executable and Linking Format (ELF)7F 45 4C 46 .ELF

So zeigen Sie gängige Dateisignaturen im Bereich „Paketanalyse“ an:

  1. Navigieren Sie zum Bereich „Paketanalyse“ und aktivieren Sie die Option Gebräuchliche Dateimuster.
    Wenn es mehr als eine Hervorhebung in der Ansicht gibt, werden alle angezeigt.
  2. Um das Feld mit Hover-Effekt anzuzeigen, platzieren Sie den Mauszeiger über der Hervorhebung.
You are here
Table of Contents > Analysieren von Raw-Ereignissen und Metadaten in der Ansicht „Ereignisanalyse“ > Untersuchen von Ereignissen in der Ansicht „Ereignisanalyse“

Attachments

    Outcomes