Untersuchen: Starten einer Ermittlung in der Ansicht „Ereignisanalyse“

Document created by RSA Information Design and Development on Oct 19, 2018
Version 1Show Document
  • View in full screen mode
 

Hinweis: Die Informationen in diesem Thema gelten für RSA NetWitness® Suite Version 11.1 und höher.

Die Ansicht „Ereignisanalyse“ bietet die meisten Funktionen, die in den Ansichten „Navigation“ und „Ereignisse“ verfügbar sind. Ähnlich wie in der Ansicht „Navigation“ gibt es eine Ansicht von Metaschlüsseln und Metawerten für Protokolle, Endpunkte und Pakete. Wie in der Ansicht „Ereignisse“ zeigt eine Ereignisliste Ereignisse nach Uhrzeit geordnet an und Sie können das Raw-Ereignis, zugehörige Metadaten und eine Rekonstruktion eines Ereignisses anzeigen. Die Rekonstruktion der Ereignisanalyse gibt einige nützliche Hinweise zur Identifizierung interessanter Punkte in einer Rekonstruktion. Siehe Analysieren von Raw-Ereignissen und Metadaten in der Ansicht „Ereignisanalyse“

Hinweis: In Version 11.0 können Sie in der Ansicht „Ereignisanalyse“ keine Ermittlung beginnen. Stattdessen beginnen Sie die Ermittlung in der Ansicht „Navigation“ oder „Ereignisse“ und öffnen ein Ereignis in der Ansicht „Ereignisanalyse“. In Version 11.1 erhalten Sie über ein Untermenü „UNTERSUCHEN“ direkten Zugriff auf die Ansicht „Ereignisanalyse“ sowie die Möglichkeit, einen anderen Service und Zeitraum auszuwählen und eine Abfrage zu erstellen.

Öffnen Sie die Ansicht „Ereignisanalyse“ (ab Version 11.1)

Sie können die Ansicht „Ereignisanalyse“ in Version 11.1 auf verschiedene Weisen öffnen.

  • Wenn Sie die Option Aktionen > In Ereignisanalyse zu Ereignis wechseln in der Ansicht „Navigation“ verwenden und eine Ereignis-ID eingeben, öffnet die Ansicht „Ereignisanalyse“ das Einzelereignis als eine Rekonstruktion. Zur Vereinfachung der Ansicht enthält die Symbolleiste nicht die unnötigen Optionen zum Erweitern, Verkleinern und Schließen von Fenstern. Sie können mit der Arbeit beginnen, wie unter Analysieren von Raw-Ereignissen und Metadaten in der Ansicht „Ereignisanalyse“ beschrieben.
  • Wenn Sie den Mauszeiger über einen Zähler (grüne Zahl nach einem Metawert steht) in der Navigationsansicht bewegen und auf Ereignisanalyse in neuer Registerkarte öffnen klicken, öffnet sich die Ansicht „Ereignisanalyse“ mit der Liste der Ereignisse für den ausgewählten Drill-down-Punkt und Sie können mit der Arbeit beginnen, wie unter Analysieren von Raw-Ereignissen und Metadaten in der Ansicht „Ereignisanalyse“ beschrieben. Die Liste der Ereignisse kann sehr lang sein und es besteht die Möglichkeit, dass das Ereignis, das Sie ausgewählt haben, auf der aktuellen Seite der Ereignisse nicht angezeigt wird. In diesem Fall empfiehlt eine Meldung, dass Sie nach unten blättern, um das Ereignis anzuzeigen.
    Message to scroll down to see an event
  • Sie können auf die Ansicht „Ereignisanalyse“ auch direkt zugreifen, indem Sie zu UNTERSUCHEN > Ereignisanalyse oder zu UNTERSUCHEN wechseln, wenn Sie festgelegt haben, dass sich die Ansicht „Ereignisanalyse“ als erste Ermittlungsansicht öffnet. Wenn Sie sich erstmals auf der Ansicht „Ereignisanalyse“ befinden, müssen Sie einen Service auswählen, um die Analyse zu beginnen. Wenn Sie die Ansicht „Ereignisanalyse“ nicht zum ersten Mal öffnen, wird der zuletzt verwendete Service ausgewählt, bis der lokale Speicher gelöscht wird.
    Wenn Sie die Ansicht „Ereignisanalyse“ von einem der anderen Ermittlungsansichten aus öffnen, werden Service und Abfrage aus dieser Ansicht übernommen. Sie können den Service ändern, einen Zeitraum wählen und eine Abfrage eingeben, wenn Sie die Ergebnisse verfeinern möchten, bevor Sie die Ansicht „Ereignisanalyse“ öffnen, wie unter Filtern von Ergebnissen in der Ansicht „Ereignisanalyse“ beschrieben.

So greifen Sie direkt auf die Ansicht „Ereignisanalyse“ zu:

  1. Navigieren Sie zu UNTERSUCHEN > Ereignisanalyse.
    Die Ansicht „Ereignisanalyse“ öffnet sich, wobei der erste Service in der Liste der Services ausgewählt ist und keine Daten angezeigt werden. Das Feld Service auswählen wird zunächst mit dem ersten Service in der Liste oder mit dem letzten ausgewählten Service ausgefüllt. Ein Drop-down-Menü bietet eine Liste der verfügbaren Services in alphabetischer Reihenfolge zur Auswahl. Standardmäßig wird die Liste der verfügbaren Services alle zwölf Stunden aktualisiert und auf dem NetWitness-Server zwischengespeichert. Wenn ein Service vom NetWitness-Server entfernt oder diesem hinzugefügt wird, wird der Cache mit der aktuellen Liste der Services aktualisiert. Am Anfang des Felds zeigt ein Symbol den Status der Abfrage an.
    the database icon und kein Servicename = kein Service ist ausgewählt.

    the database icon und Name des ausgewählten Services = der Service ist ausgewählt.
    spinner icon = Untersuchen versucht, eine Verbindung zu dem ausgewählten Service herzustellen.
    the icon for a service that has not data = Untersuchen kann keine Verbindung zu dem ausgewählten Service herstellen oder es sind keine Daten vorhanden. In diesem Zustand wird das Steuerelement zur Auswahl von Services rot und eine Kurzinformation erklärt, warum der Verbindungsversuch fehlgeschlagen ist, und rät Ihnen, einen anderen Service auszuwählen.
    example of the view when Investigate cannot connect to the service
  2. (Optional) Wählen Sie einen Service, in der Regel einen Concentrator, aus der Drop-down-Liste aus.
    the Select a Service drop-down list
    Die Zeitbereichsauswahl zeigt entweder den Standardzeitbereich von 24 Stunden oder den Zeitbereich an, den Sie für diesen Service zuletzt ausgewählt haben. Die Schaltfläche „Ereignisse abfragen“ wird aktiviert und Sie können Filter eingeben. Wenn Sie jetzt eine Abfrage starten, wird die ausgewählte Zeit verwendet.
  3. (Optional) Klicken Sie, um einen Zeitbereich in der Zeitbereichsauswahl auszuwählen, in die Auswahl Zeitbereich und wählen Sie einen Zeitbereich aus der Drop-down-Liste aus. Sie können aus den letzten 5, 10, 15 oder 30 Minuten, den letzten 1, 3, 6, 12 oder 24 Stunden oder den letzten 2, 5, 7, 14 oder 30 Tagen oder alle Daten wählen. (Der Zeitbereich basiert auf Einstellungen, die für die Ansicht „Ereignisanalyse“ vorgenommen wurden. Die Standardbasis für den Zeitbereich ist die Datenbankzeit; Sie können stattdessen die Uhrzeit auswählen.)
    Der ausgewählte Zeitbereich wird in Ihrem Browser für diesen Service; gespeichert. Sie können verschiedene Zeitbereiche für verschiedene Services festlegen.
    the Select a Time Range drop-down list
  4. Geben Sie eine Abfrage ein, indem Sie einen oder mehrere Filter erstellen, die mindestens einen Metaschlüssel oder eine Metaentität, einen Operator und einen optionalen Wert enthalten. Details zur Eingabe von Abfragen finden Sie unter Filtern von Ergebnissen in der Ansicht „Ereignisanalyse“.
  5. Klicken Sie auf Ereignisse abfragen.
    Die Ansicht „Ereignisanalyse“ zeigt die Aktivität für den ausgewählten Service und Zeitbereich an, in Übereinstimmung mit den Berechtigungen, die Ihrer Rolle vom Administrator zugewiesen wurden. Wenn der Service ausgewählt ist und die Daten geladen sind, können Sie mit dem Analysieren der Daten beginnen. Informationen dazu, wie Sie in der Ansicht „Ereignisanalyse“ arbeiten können, finden Sie unter Analysieren von Raw-Ereignissen und Metadaten in der Ansicht „Ereignisanalyse“.

Öffnen Sie die Ansicht „Ereignisanalyse“ (Version 11.0)

So öffnen Sie ein Ereignis in der Ansicht „Ereignisanalyse“:

  1. Navigieren Sie zu Navigieren > Ereignisse.
  2. Klicken Sie mit der rechten Maustaste auf die aufgelisteten Ereignisse und wählen Sie Ereignisanalyse im Menü aus.
    Context Menu in Evenst view to go to Event Analysis

Informationen dazu, wie Sie in der Ansicht „Ereignisanalyse“ arbeiten können, finden Sie unter Analysieren von Raw-Ereignissen und Metadaten in der Ansicht „Ereignisanalyse“.

 

 

You are here
Table of Contents > Starten einer Ermittlung > Starten einer Ermittlung in der Ansicht „Ereignisanalyse“

Attachments

    Outcomes