Untersuchen: Untersuchen von Dateien

Document created by RSA Information Design and Development on Oct 19, 2018
Version 1Show Document
  • View in full screen mode
 

Hinweis: Die Informationen in diesem Thema gelten für RSA NetWitness® Suite Version 11.1 und höher.

Analysten können in der Ansicht „Dateien“ (UNTERSUCHEN > Dateien) verdächtige Dateien identifizieren, indem sie Dateinamen, Dateigröße, Entropie, Format, Firmennamen, Signatur und Prüfsumme untersuchen.

Beispielsweise kann im Falle einer Infektion einer Umgebung durch die Ransomware WannaCry ein Analyst anhand des Dateinamens die Liste filtern. Sie können nach dieser Ransomware auch mithilfe der Prüfsumme suchen.

Die Dateigröße kann ein Indikator bei der Bewertung einer Datei sein. Trojaner sind in der Regel kleiner als 1 MB und die meisten sind kleiner als 500 KB.

Filtern von Dateien

Sie können entweder die Dateien im Betriebssystem filtern oder die Felder im Drop-down-Menü „Filter hinzufügen“ auswählen.

Hinweis: Verwenden Sie beim Filtern einer großen Datenmenge mindestens ein indiziertes Feld mit dem Operator Equals für eine bessere Performance. Die folgenden Felder sind in der Datenbank indexiert: Dateiname, MD5, Betriebssystem, Zeit des ersten Auftretens und Format.

Filter Files

Klicken Sie auf Speichern, um die Suche zu speichern, und geben Sie einen Namen an (bis zu 250 alphanumerische Zeichen). Der Filter wird dem Bereich „Gespeicherte Filter“ auf der linken Seite hinzugefügt. Bewegen Sie zum Löschen eines Filters den Mauszeiger über den Namen und klicken Sie auf Delete.

Hinweis: Sonderzeichen außer Unterstrich (_) und Bindestrich (-) sind beim Speichern des Filters nicht erlaubt.

Beispielsweise Filtern von Dateien mit dem Dateinamen malware mithilfe des Operators Equals.

Filter files using the Equals operator

Hinweis: Für die Dateigröße wird 1 KB als 1024 Byte berechnet. Wenn also die tatsächliche Größe der Datei 8.421 Byte ist, wird sie in der Benutzeroberfläche als 8,2 KB statt 8,22 KB angezeigt. Es wird empfohlen, im Byte-Format zu suchen, wenn der Operator Equals verwendet wird.

Wechseln zu den Ansichten „Navigation“ und „Ereignisanalyse“

Wenn Sie einen bestimmten Dateinamen oder Hash (SHA256 und MD5) in den globalen Dateien untersuchen müssen, um nach zugehörigen Aktivitäten über einen Zeitraum hinweg zu suchen, können Sie in die Ansicht „Navigation“ oder „Ereignisanalyse“ wechseln, um den gesamten Kontext der Datei zu erhalten. Standardmäßig ist der Zeitbereich auf einen Tag festgelegt. Sie können den Zeitbereich entsprechend ändern.

So wechseln Sie zu den Ansichten „Navigation“ oder „Ereignisanalyse“:

  1. Navigieren Sie zu UNTERSUCHEN > Dateien.
  2. Klicken Sie auf Pivot to Investigate neben dem Dateinamen oder Hash.

Pivot to Navigate and Event Analysis views

  1. Wählen Sie im Dialogfeld „Service auswählen“ einen der für die Ermittlung erforderlichen Services aus.
  2. Klicken Sie auf Navigieren oder Ereignisanalyse, um die Daten zu analysieren.

Hinweis: Wenn beim Wechsel zu der Ansicht „Navigation“ oder „Ereignisanalyse“ die Werte nicht indexiert sind, dauert das Laden der Ergebnisse länger. Weitere Informationen finden Sie unter Troubleshooting von NetWitness Investigate.

Festlegen von Dateieinstellungen

Standardmäßig zeigt die Ansicht „Dateien“ einige Spalten an und die Dateien werden nach „Zeit des ersten Auftretens“ sortiert. Wenn Sie bestimmte Spalten anzeigen und Daten nach einem bestimmten Feld sortieren möchten:

  1. Navigieren Sie zu UNTERSUCHEN > Dateien.
  2. Wählen Sie die Spalten aus, indem sie auf Settings in der rechten Ecke klicken. Das folgende Beispiel zeigt den Bildschirm, der angezeigt wird, während Spalten hinzugefügt werden:
    Select Columns for Files
  3. Sortieren Sie die Daten in der erforderlichen Spalte.

Hinweis: Dies wird als Standardansicht festgelegt, die jedes Mal angezeigt wird, wenn Sie sich in der Ansicht „Dateien“ anmelden.

Exportieren globaler Dateien

So extrahieren Sie die Liste der globalen Dateien in eine CSV-Datei.

Hinweis: Verwenden Sie beim Filtern einer großen Datenmenge mindestens ein indiziertes Feld mit dem Operator Equals für eine bessere Performance. Sie können jeweils bis zu 100.000 Dateien exportieren.

  1. Navigieren Sie zu UNTERSUCHEN > Dateien.
  2. Filtern Sie die Dateien, indem Sie die erforderliche Filteroption auswählen.
  3. Fügen Sie Spalten hinzu, indem sie auf Settings in der rechten Ecke klicken.
  4. Klicken Sie auf In CSV-Datei exportieren.

Sie können die CSV-Datei entweder speichern oder öffnen.

You are here
Table of Contents > Untersuchen von Hosts und Dateien > Untersuchen von Dateien

Attachments

    Outcomes