Untersuchen: Ansicht „Untersuchen“

Document created by RSA Information Design and Development on Oct 19, 2018

Version 1Show Document

Like • Show 0 Likes0
Comment • 0
View in full screen mode

Die Ansicht Ermittlung ( Ermittlung ) ist der primäre Einstiegspunkt in NetWitness Investigate. Die Ansicht „Untersuchen“ hat fünf Untermenüs, die unterschiedliche Ansichten öffnen, mit denen Sie Ereignisse aus verschiedenen Perspektiven analysieren können. Der Untermenüs sind: „Navigation“, „Ereignisse“, „Ereignisanalyse“, „Hosts“, „Dateien“ und „Malware Analysis“.

Hinweis: Der Untermenüs „Ereignisanalyse“, „Hosts“ und „Dateien“ sind ab Version 11.1 verfügbar. Konfigurierte Berechtigungen pro Benutzerrolle und Benutzer bestimmen, welche Untermenüs angezeigt werden.

Mithilfe der Untermenüoptionen können Sie zwischen den verschiedenen Ansichten wechseln.

Die Ansichten „Navigation“, „Ereignisse“ und „Ereignisanalyse“ bieten Verknüpfungen zueinander, um die aktuellen Ergebnisse aus einer anderen Perspektive betrachten zu können, was eine gewisse Kontinuität für die Untersuchung bietet, wenn Sie zwischen den Ansichten wechseln.
Die Ansichten „Hosts“ und „Dateien“ integrieren NetWitness Endpoint in Investigate und bieten eine Ansicht aller Hosts, bei denen ein NetWitness Endpoint-Agent installiert ist und eine Ansicht der spezifischen ausführbaren Dateien in der bereitgestellten Umgebung.
Die Ansicht „Malware Analysis“ bietet die Möglichkeit, Dateien zu scannen, die in einem der anderen Ansichten gefunden oder durch kontinuierliches Durchsuchen des Netzwerkverkehrs erfasst wurden.

Workflow

Der Workflow unten zeigt die allgemeinen Aufgaben zur Untersuchung von Ereignissen.

Was möchten Sie tun?

Threat Hunter	Durchsuchen von Ereignismetadaten	Starten einer Ermittlung in der Ansicht „Navigation“ oder „Ereignisse“
Threat Hunter	Durchsuchen von Raw-Ereignissen*	Starten einer Ermittlung in der Ansicht „Navigation“ oder „Ereignisse“
Threat Hunter	Analyse von Raw-Ereignissen und Metadaten*	Starten einer Ermittlung in der Ansicht „Ereignisanalyse“
Threat Hunter	Untersuchen von Endpunkten (Version 11.1)*	Untersuchen von Hosts
Threat Hunter	Finden von verdächtigen Endpunktdateien (Version 11.1)*	Untersuchen von Dateien
Threat Hunter	Dateien und Ereignisse auf Schadsoftware scannen*	Durchführen von Schadsoftwareanalysen

*Sie können diese Aufgabe in der aktuellen Ansicht durchführen.

Verwandte Themen

Überblick

Die Ansicht „Untersuchen“ besteht aus fünf Ansichten, die jeweils einen anderen Ansatz zur Analyse von Daten darstellen. Standardmäßig öffnet sich „Untersuchen“ auf die Ansicht „Navigation“. Sie können die Standardansicht auf eine der anderen Ansichten ändern. Eine Einführung in die Verwendungsmöglichkeiten jeder Ansicht finden Sie unter Wie funktioniert NetWitness Investigate? Die folgende Abbildung zeigt die Untermenüs unter „UNTERSUCHEN“.