Untersuchen: Ansicht „Hosts“ – Registerkarte „Automatische Ausführungen“

Document created by RSA Information Design and Development on Oct 19, 2018
Version 1Show Document
  • View in full screen mode
 

Hinweis: Die Informationen in diesem Thema gelten für RSA NetWitness® Suite Version 11.1 und höher.

Der Bereich „Automatische Ausführungen“ enthält eine Liste der automatischen Ausführungen, Services, Aufgaben und Cronjobs, die auf dem Host ausgeführt werden. Um auf diese Registerkarte zuzugreifen, wählen Sie einen Host aus der Ansicht Hosts aus und klicken Sie auf die Registerkarte Automatische Ausführungen.

Workflow

high-level Investigate workflow with Investigate Endpoints and associated actions highlighted

Was möchten Sie tun?

                                                     
BenutzerrolleZiel11.1 Dokumentation
Threat Hunter

Durchsuchen von Ereignismetadaten

Starten einer Ermittlung in der Ansicht „Navigation“ oder „Ereignisse“

Threat Hunter

Durchsuchen von Raw-Ereignissen

Starten einer Ermittlung in der Ansicht „Navigation“ oder „Ereignisse“

Threat Hunter

Analyse von Raw-Ereignissen und Metadaten

Starten einer Ermittlung in der Ansicht „Ereignisanalyse“

Threat HunterUntersuchen von Endpunkten (Version 11.1)*Untersuchen von Hosts

Threat Hunter

Verdächtige Endpunktdateien finden (Version 11.1)

Untersuchen von Dateien

Threat HunterDateien und Ereignisse auf Schadsoftware scannenDurchführen von Schadsoftwareanalysen

Incident-Experte

Priorisieren eines Incident in „Untersuchen“

NetWitness Respond – Benutzerhandbuch

Threat HunterAnzeigen der automatischen Ausführungen, Services, Aufgaben und Cronjobs, die auf dem Host ausgeführt werden* Automatische Ausführungen analysieren

*Sie können diese Aufgabe in der aktuellen Ansicht durchführen.

Verwandte Themen

Überblick

Es folgt ein Beispiel für die Registerkarte „Automatische Ausführungen“:

Autoruns tab

                       
KategorieBeschreibung
Automatische Ausführungen

Dateien, die beim Start ausgeführt werden. Zeigt die folgenden Spalten an:

  • Dateiname: cmd.exe
  • Registrierungspfad: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot @AlternateShell
Services

Dateien, die als Service für den ausgewählten Host ausgeführt werden. Zeigt die folgenden Spalten an:

  • Servicename: acsock
  • Betriebsstatus: stopped
  • Zeitpunkt der Dateierstellung: 07/11/2017 11:47:00 am
  • Signatur: Microsoft, signed, valid
  • Dateipfad: C:\Windows\System32\drivers
Aufgaben/Cronjobs

Dateien, die zur Ausführung als geplante Aufgaben zusammen mit dem Auslöser konfiguriert sind. Zeigt die folgenden Spalten an:

  • Name: shell32.dll
  • Hash: cafa6e7b6a9220e7c805ea476a89a78800f48bb48c66fe5f935057940df3909c
  • Letzte Ausführungszeit: 01/19/2018 05:34:50 pm
  • Nächste Ausführungszeit: 12/30/1899 05:30:00 am
  • Auslöser: No Trigger

Bereich „Eigenschaften von automatischen Ausführungen“

In diesem Bereich werden alle Eigenschaften der ausgewählten Datei angezeigt. Er ist wie folgt gruppiert:

                                   
KategorieBeschreibung
Allgemein
  • Allgemeine Informationen über die Datei, z. B. Dateiname, Entropie, Größe und Format.
  • SignaturGibt Informationen zum Unterzeichner an.
    HashHash-Typ der Datei (MD5, SHA256 und SHA1).
    ZeitZeitpunkt, zum dem die Datei erstellt, geändert oder auf sie zugegriffen wurde.
    SpeicherortSpeicherort der Datei.

    Image

    Geladenes Image.

    Previous Topic:Ansicht „Hosts“
    You are here
    Table of Contents > Investigate-Referenzmaterialien > Ansicht „Hosts“ – Registerkarte „Automatische Ausführungen“

    Attachments

      Outcomes