Untersuchen: Reagieren auf Daten in der Ansicht „Ereignisanalyse“

Document created by RSA Information Design and Development on Oct 19, 2018
Version 1Show Document
  • View in full screen mode
 

Wenn Sie in der Ansicht „Ereignisanalyse“ für Sie interessante Daten gefunden haben, können Sie in NetWitness Endpoint oder RSA Live interne Suchen ausführen sowie in Communityressourcen wie SANS-IP-Verlauf und ThreatExpert-Suche externe Suchen von Metawerten ausführen.

Öffnen eines Endpoint-Ereignisses im Thick-Client von NetWitness Endpoint

Beim Anzeigen eines Endpunktereignisses im Bereich „Textanalyse“ können Sie zur Analyse des gleichen Ereignisses in NetWitness Endpoint wechseln. Der Thick-Client von NWE bietet zusätzliche Funktionen, die über die in NetWitness Endpoint Insights integrierten Funktionen hinausgehen.

Hinweis: Version 4.4 des NetWitness Endpoint (NWE)-Thick-Client muss auf demselben Server installiert sein, die NWE-Metaschlüssel müssen in der table-map.xml-Datei auf dem Log Decoder und die NWE-Metaschlüssel müssen in der index-concentrator-custom.xml-Datei vorhanden sein. Der NWE-Thick-Client ist eine reine Windows-Anwendung. Umfassende Anweisungen zur Installation finden Sie im NetWitness Endpoint-Benutzerhandbuch für Version 4.4.

So öffnen Sie ein Ereignis in NetWitness Endpoint:

  1. Ausgehend von der Ansicht „Navigation“:
    1. Wählen Sie in der Drop-down-Liste Abfrage Erweitert aus und geben Sie eine der folgenden Abfragen ein: nwe.callback_id exists oder device.type='nwendpoint'
      Endpunktdaten werden im Bereich „Werte“ angezeigt.
    2. Klicken Sie mit der rechten Maustaste auf ein Ereignis und wählen Sie im Menü Ereignisanalyse aus.
  2. (Version 11.1 und höher) Navigieren Sie zu UNTERSUCHEN > Ereignisanalyse. Wählen Sie in der Drop-down-Liste Abfrage Erweitert aus und geben Sie eine der folgenden Abfragen ein: nwe.callback_id exists oder device.type='nwendpoint'
    Endpunktdaten werden im Bereich „Ereignisse“ angezeigt.
  3. Wählen Sie ein Ereignis aus.
    Die Ereignisanalyse wird unter Anzeige des ausgewählten Ereignisses in der Textanalyse geöffnet.
    an endpoint event open in Text Analysis
  4. Klicken Sie im Ereignis-Header auf Zu Endpoint wechseln.
    Eine neue Registerkarte mit der URL ecatui://<id> wird im Browser geöffnet und der NWE-Thick-Client wird gestartet. Wenn der NetWitness Endpoint-Thick-Client nicht installiert ist, werden keine Daten angezeigt und die folgende Meldung wird angezeigt: Applicable for hosts with 4.x Endpoint agents installed, please install the NetWitness Endpoint Thick Client.

Durchführen von Suchen von Metawerten in der Ereignisanalyse

In der Ansicht „Ereignisanalyse“ können Sie Metawerte in einem Ereignis weiter untersuchen. Klicken Sie dazu mit der rechten Maustaste auf bestimmte Metawerte und verwenden Sie die Optionen in einem Drop-down-Menü. Nicht alle Felder weisen Aktionen auf, die über die rechte Maustaste ausgeführt werden. So führen Sie interne und externe Suchen durch:

  1. Klicken Sie in der Ansicht „Ereignisanalyse“ mit der rechten Maustaste auf einen Metawert in der Ereignisliste, im Bereich „Ereignis-Metadaten“ oder im Ereignis-Header. Einige Metawerte weisen ein Drop-down-Menü auf.
    Right click on meta values for further actions
  2. Wählen Sie eine der folgenden internen Suchen aus:
    Kopieren: kopiert den Metawert in die Zwischenablage.
    Ermittlungen in neuer Registerkarte neu fokussieren: startet eine andere Untersuchung in einer neuen Registerkarte mit Fokus auf dem ausgewählten Metawert.
    Drill-down in neuer Registerkarte anwenden: wendet den Drill-down in einer neuen Registerkarte an und öffnet ihn hier, um auf die Daten in der Ansicht „Navigation“ einen Drill-down auszuführen.
    !=Drill-down in neuer Registerkarte anwenden: wendet (!EQUALS) auf die Metadaten an und öffnet eine neue Registerkarte, wobei der Metawert effektiv aus den Ergebnissen ausgeschlossen wird.
    Hosts ermitteln: Sucht den Wert in der Ansicht „Untersuchen > Hosts“.
    Endpunkt Thick-Clientsuche: Analysiert den Metawert im Endpoint-Thick-Client (für Clients mit Endpoint-Agent).
    Live-Suche: sucht einen Metawert auf Live zur weiteren Analyse.
  3. Bewegen Sie den Mauszeiger für eine externe Suche über einen Metawert, klicken Sie mit der rechten Maustaste und wählen Sie Externe Suche aus.
    External lookups from Event Analysis
  4. Wählen Sie im Untermenü eine der verfügbaren externen Suchen aus:
    Google: sucht nach einem Metawert auf Google.com
    SANS-IP-Verlauf: sucht nach einem Metawert in SANS-IP-Verlauf, Domain = http://isc.sans.org/ipinfo.html?ip=ipaddress
    CentralOps Whois für IP-Adressen und Hostnamen: Sucht nach einem Metawert auf CentralOps Whois für IP-Adressen und Hostnamen, Domain = http://centralops.net/co/DomainDossier.aspx?addr=domain&dom_whois=true&dom_dns=true&net_whois=true
    Robtex IP-Suche: Sucht nach einem Metawert auf Robtext IP-Suche, Domain = https://www.robtex.com/cidr/domain.ipaddress
    IPVoid: Sucht nach einem Metawert auf IPVoid, Domain = http://www.ipvoid.com/scan/domain/
    URLVoid: Sucht nach einem Metawert auf URLVoid, Domain = http://www.urlvoid.com/scan/ipaddress/
    ThreatExpert-Suche: Sucht nach einem IP-Metawert auf ThreatExpert-Suche, Domain = http://www.threatexpert.com/reports.aspx?find=IP-Adresse
You are here
Table of Contents > Analysieren von Raw-Ereignissen und Metadaten in der Ansicht „Ereignisanalyse“ > Reagieren auf Daten in der Ansicht „Ereignisanalyse“

Attachments

    Outcomes