Untersuchen: Ansicht „Untersuchen“

Document created by RSA Information Design and Development on Oct 19, 2018•Last modified by RSA Information Design and Development on Apr 28, 2019

Version 2Show Document

Like • Show 0 Likes0
Comment • 0
View in full screen mode

Die Ansicht Investigate ( Ermittlung ) ist der primäre Einstiegspunkt in NetWitness Investigate. Die Ansicht „Untersuchen“ hat sechs Untermenüs, die unterschiedliche Ansichten öffnen, mit denen Sie Ereignisse aus verschiedenen Perspektiven analysieren können. Der Untermenüs sind: „Navigation“, „Ereignisse“, „Ereignisanalyse“, „Hosts“, „Dateien“, „Nutzer“ und „Malware Analysis“.

Hinweis: Der Untermenüs „Ereignisanalyse“, „Hosts“ und „Dateien“ sind ab Version 11.1 verfügbar. Das Menü „Nutzer“ ist in Version 11.2 und höher verfügbar. Konfigurierte Berechtigungen pro Nutzerrolle und Nutzer bestimmen, welche Untermenüs angezeigt werden.

Mithilfe der Untermenüoptionen können Sie zwischen den verschiedenen Ansichten wechseln.

Die Ansichten „Navigation“, „Ereignisse“ und „Ereignisanalyse“ bieten Verknüpfungen zueinander, um die aktuellen Ergebnisse aus einer anderen Perspektive betrachten zu können, was eine gewisse Kontinuität für die Untersuchung bietet, wenn Sie zwischen den Ansichten wechseln.
Die Ansichten „Hosts“ und „Dateien“ integrieren NetWitness Endpoint in Investigate und bieten eine Ansicht aller Hosts, bei denen ein NetWitness Endpoint-Agent installiert ist und eine Ansicht der spezifischen ausführbaren Dateien in der bereitgestellten Umgebung.
Mit der Ansicht „Nutzer“ von NetWitness UEBA wird die Transparenz von riskantem Nutzerverhalten in Ihrem Unternehmen gewährleistet. Sie können eine Liste der Nutzer mit hohem Risiko und eine Zusammenfassung der wichtigsten Warnmeldungen für riskantes Verhalten für Ihre Umgebung anzeigen. Dann können Sie einen Nutzer oder eine Benachrichtigung auswählen und Details über das riskante Verhalten und eine Zeitleiste anzeigen, in der die Verhaltensweisen aufgetreten sind.
Die Ansicht „Malware Analysis“ bietet die Möglichkeit, Dateien zu scannen, die in einem der anderen Ansichten gefunden oder durch kontinuierliches Durchsuchen des Netzwerkverkehrs erfasst wurden.

Workflow

Der Workflow unten zeigt die allgemeinen Aufgaben zur Untersuchung von Ereignissen.

Was möchten Sie tun?

Nutzerrolle	Ziel	Details anzeigen
Threat Hunter	Durchsuchen von Ereignismetadaten	Starten einer Ermittlung in der Ansicht „Navigation“ oder „Ereignisse“
Threat Hunter	Durchsuchen von Raw-Ereignissen*	Starten einer Ermittlung in der Ansicht „Navigation“ oder „Ereignisse“
Threat Hunter	Analyse von Raw-Ereignissen und Metadaten*	Starten einer Ermittlung in der Ansicht „Ereignisanalyse“
Threat Hunter	Untersuchen von Endpunkten (Version 11.1)*	Untersuchen von Hosts
Threat Hunter	Verdächtige Endpunktdateien finden (Version 11.1)*	Untersuchen von Dateien
Threat Hunter	Dateien und Ereignisse auf Schadsoftware scannen*	Durchführen von Schadsoftwareanalysen

*Sie können diese Aufgabe in der aktuellen Ansicht durchführen.

Überblick

Die Ansicht „Untersuchen“ besteht aus sechs Ansichten, die jeweils einen anderen Ansatz zur Analyse von Daten darstellen. Standardmäßig öffnet sich „Untersuchen“ auf die Ansicht „Navigation“. Sie können die Standardansicht auf eine der anderen Ansichten ändern. Eine Einführung in die Verwendungsmöglichkeiten jeder Ansicht finden Sie unter Wie funktioniert NetWitness Investigate? Die folgende Abbildung zeigt die Untermenüs unter „UNTERSUCHEN“.