Untersuchen: Ansicht „Untersuchen“

Document created by RSA Information Design and Development on Oct 19, 2018Last modified by RSA Information Design and Development on Apr 28, 2019
Version 2Show Document
  • View in full screen mode
 

Die Ansicht Investigate ( Ermittlung ) ist der primäre Einstiegspunkt in NetWitness Investigate. Die Ansicht „Untersuchen“ hat sechs Untermenüs, die unterschiedliche Ansichten öffnen, mit denen Sie Ereignisse aus verschiedenen Perspektiven analysieren können. Der Untermenüs sind: „Navigation“, „Ereignisse“, „Ereignisanalyse“, „Hosts“, „Dateien“, „Nutzer“ und „Malware Analysis“.

Hinweis: Der Untermenüs „Ereignisanalyse“, „Hosts“ und „Dateien“ sind ab Version 11.1 verfügbar. Das Menü „Nutzer“ ist in Version 11.2 und höher verfügbar. Konfigurierte Berechtigungen pro Nutzerrolle und Nutzer bestimmen, welche Untermenüs angezeigt werden.

Mithilfe der Untermenüoptionen können Sie zwischen den verschiedenen Ansichten wechseln.

  • Die Ansichten „Navigation“, „Ereignisse“ und „Ereignisanalyse“ bieten Verknüpfungen zueinander, um die aktuellen Ergebnisse aus einer anderen Perspektive betrachten zu können, was eine gewisse Kontinuität für die Untersuchung bietet, wenn Sie zwischen den Ansichten wechseln.
  • Die Ansichten „Hosts“ und „Dateien“ integrieren NetWitness Endpoint in Investigate und bieten eine Ansicht aller Hosts, bei denen ein NetWitness Endpoint-Agent installiert ist und eine Ansicht der spezifischen ausführbaren Dateien in der bereitgestellten Umgebung.
  • Mit der Ansicht „Nutzer“ von NetWitness UEBA wird die Transparenz von riskantem Nutzerverhalten in Ihrem Unternehmen gewährleistet. Sie können eine Liste der Nutzer mit hohem Risiko und eine Zusammenfassung der wichtigsten Warnmeldungen für riskantes Verhalten für Ihre Umgebung anzeigen. Dann können Sie einen Nutzer oder eine Benachrichtigung auswählen und Details über das riskante Verhalten und eine Zeitleiste anzeigen, in der die Verhaltensweisen aufgetreten sind.
  • Die Ansicht „Malware Analysis“ bietet die Möglichkeit, Dateien zu scannen, die in einem der anderen Ansichten gefunden oder durch kontinuierliches Durchsuchen des Netzwerkverkehrs erfasst wurden.

Workflow

Der Workflow unten zeigt die allgemeinen Aufgaben zur Untersuchung von Ereignissen.

the high-level Investigate workflow

Was möchten Sie tun?

                                           
NutzerrolleZielDetails anzeigen
Threat Hunter

Durchsuchen von Ereignismetadaten

Starten einer Ermittlung in der Ansicht „Navigation“ oder „Ereignisse“

Threat Hunter

Durchsuchen von Raw-Ereignissen*

Starten einer Ermittlung in der Ansicht „Navigation“ oder „Ereignisse“

Threat Hunter

Analyse von Raw-Ereignissen und Metadaten*

Starten einer Ermittlung in der Ansicht „Ereignisanalyse“

Threat HunterUntersuchen von Endpunkten (Version 11.1)*Untersuchen von Hosts

Threat Hunter

Verdächtige Endpunktdateien finden (Version 11.1)*

Untersuchen von Dateien

Threat HunterDateien und Ereignisse auf Schadsoftware scannen*Durchführen von Schadsoftwareanalysen

*Sie können diese Aufgabe in der aktuellen Ansicht durchführen.

Verwandte Themen

Überblick

Die Ansicht „Untersuchen“ besteht aus sechs Ansichten, die jeweils einen anderen Ansatz zur Analyse von Daten darstellen. Standardmäßig öffnet sich „Untersuchen“ auf die Ansicht „Navigation“. Sie können die Standardansicht auf eine der anderen Ansichten ändern. Eine Einführung in die Verwendungsmöglichkeiten jeder Ansicht finden Sie unter Wie funktioniert NetWitness Investigate? Die folgende Abbildung zeigt die Untermenüs unter „UNTERSUCHEN“.

the Investigate view submenus

You are here
Table of Contents > Investigate-Referenzmaterialien > Ansicht „Untersuchen“

Attachments

    Outcomes