Untersuchen: Rekonstruktionstypen in der Ansicht „Ereignisanalyse“

Document created by RSA Information Design and Development on Oct 19, 2018
Version 1Show Document
  • View in full screen mode
 

Bei der Suche nach möglichen Bedrohungen in erfassten Netzwerkdaten können Sie Drill-downs an verschiedenen interessanten Punkte in den Daten durchführen. Wenn eine bestimmte Sitzung verdächtige Ereignisse enthält, können Sie die Liste der Ereignisse für die Sitzung untersuchen und Sie können auch eine Rekonstruktion des Ereignisses mit Funktionen, mit denen Sie Muster identifizieren können, sicher anzeigen. (Unter Starten einer Ermittlung finden Sie die verschiedenen Methoden zum Aufrufen der Ansicht „Ereignisanalyse“.)

Hinweis: Wenn Sie Ereignisse in einem Service der Version 10.6.x oder 11.0.0.x von einem NetWitness-Server der Version 11.1 aus untersuchen, variiert das Downloadverhalten in der Ansicht „Ereignisanalyse“ für Dateien, PCAP-Dateien, Protokolle, Nutzlasten und Metawerte. Möglicherweise wird eine Ereignisnutzlast in einem 10.6.x- oder 11.0.0.x-Service angezeigt, für den Sie keine Berechtigung haben, aber Sie werden nicht in der Lage sein, Dateien oder Nutzlasten herunterzuladen.

In der Ansicht „Ereignisanalyse“ können Sie das Format für die Rekonstruktion auswählen: Paketanalyse, Dateianalyse oder Textanalyse, E-Mail (Version 11.1 oder höher) und Web (Version 11.1 oder höher). Wenn der Metaschlüssel medium ein Ereignis als Protokollereignis oder Endpunktereignis markiert, ist nur die Textanalyse verfügbar. Die Standardrekonstruktion für Netzwerkereignisse ist Textanalyse. Jedoch überschreibt bei einem Netzwerkereignis das zuletzt geöffnete Rekonstruktionsformat die Standardeinstellung. Die E-Mail- und Web-Rekonstruktionen öffnen das Ereignis in der Ansicht „Ereignisse“.

Diese Abbildung ist ein Beispiel für den Bereich „Netzwerkereignisdetails: Textanalyse“ in einem Webbrowserfenster, das so breit ist, dass die Optionen für das Rekonstruktionsformat in einer Zeile angezeigt werden können.

example of Event Analysis view with format options in a row

Wenn das Browserfenster zu schmal ist, um alle Ansichtsoptionen horizontal anzuzeigen, werden die Optionen in einer Drop-down-Liste aufgeführt.

example of Event Analysis view with format options in a drop-down menu

Innerhalb jeder Analyseart sind Einstellungen für die Optimierung Ihrer Analyse verfügbar. Wenn Sie eine Einstellung ändern, wird die Einstellung zwischen Browseraktualisierungen und Anmeldungen im selben Browser beibehalten. Dies sind die beibehaltenen Einstellungen:

  • Die aktuell ausgewählte Rekonstruktion: Textanalyse, Paketanalyse oder Dateianalyse.
  • Ob der Bereich „Ereignis-Metadaten“ offen oder geschlossen ist.
  • Ob der Ereignis-Header offen oder geschlossen ist.
  • Ob die Anforderung oder die Antwort oder beide angezeigt werden.
  • Ob Paketnutzlasten im Bereich Paketanalyse angezeigt werden.
  • Ob schattierte Byte im Bereich Paketanalyse angezeigt werden.
  • Ob andere gängige Dateitypen im Bereich Paketanalyse hervorgehoben sind.
  • Die Anzahl der Pakete pro Seite im Paketanalyse-Bereich.
  • Ob komprimierter oder unkomprimierter Text im Bereich „Textanalyse“ angezeigt wird.
  • Die Textdekodierungseinstellung im Bereich „Textanalyse“ eines Netzwerkereignisses.

Der Bereich „Textanalyse“

Sie können alle Arten von Ereignissen (Netzwerkereignisse, Protokollereignisse und Endpunktereignisse) in ihrem ursprünglichen Textformat im Bereich Textanalyse anzeigen.

Hinweis: Endpunktereignisse sind für Ermittlungen in Version 11.1 und höher verfügbar.

Der Bereich Textanalyse für einige Netzwerkereignisse kann sehr groß sein. Um die beste Wiedergabe sicherzustellen, ist die Anzahl der Pakete, die in einem einzigen Ereignis dargestellt werden können, auf 2500 beschränkt. Wenn im Bereich Textanalyse nicht alle Pakete angezeigt werden, ist in der Fußzeile angegeben, dass das Limit der 2500 Pakete erreicht wurde. Für dieses Ereignis werden keine zusätzlichen Pakete dargestellt. Diese Abbildung zeigt eine Rekonstruktion, die 2727 Pakete besitzt, wobei nur 2500 Pakete dargestellt werden. Für diese Rekonstruktion werden keine weiteren Pakete dargestellt.

reconstruction of an event that has more than 2500 packets

Footer showing that the maximum number of packets has been reached

Hinweis: Einige Netzwerkereignisse weisen eine große Anzahl von Paketen auf, aber eine sehr kleine Nutzlast. Wenn die gesamte Nutzlast in den ersten 2500 Paketen enthalten ist, wird in diesem Fall die Definition der Anzeige aller Pakete erfüllt. Es wird keine Meldung angezeigt, dass nicht alle Pakete angezeigt werden.

Im Bereich Textanalyse werden Netzwerkereignisse, Protokollereignisse und Endpunktereignisse unterschiedlich angezeigt.

  • Für Netzwerkereignisse stellt Investigate die Richtung des Pakets (Anforderung oder Antwort) und die Inhalte jedes Pakets im Textformat bereit. Wenn Sie ein Netzwerkereignis rekonstruieren, ist der BereichTextanalyse scrollbar. Wenn Sie einen Bildlauf durchführen, bleiben die Informationen zur Identifizierung des Texts sowie die Anforderungs- und Antwortbezeichnungen sichtbar, anstatt dass aus der Ansicht herausgescrollt wird.
  • Protokollereignisse und Endpunktereignisse haben keine Anforderung oder Antwort. Nur das Rohereignis wird im Bereich Textanalyse angezeigt.

Für jeden Ereignistyp (Netzwerk, Protokoll oder Endpunkt) gibt es einige Unterschiede:

  • Der Ereignis-Header enthält Informationen, die für jede Art von Ereignis relevant sind.
  • Es gibt verschiedene Optionen für den Export.

Unten finden Sie ein Beispiel für den Bereich „Textanalyse“ für jede Art von Ereignis, ein Netzwerkereignis, ein Protokollereignis und ein Endpunktereignis.

example of a network event in the Text Analysis panel

log event in the Text Analysis panel

an endpoint event in the Text Analysis view

Hinweis: Die berechnete Paketanzahl, berechnete Paketgröße und berechnete Nutzdatengröße im Ereignis-Header kann sich von derselben Statistik im Bereich „Ereignis-Metadaten“ unterscheiden, da die Metadaten gelegentlich bereits vor Abschluss der Ereignisanalyse geschrieben werden und daher duplizierte Pakete enthalten können.

Der Bereich „Paketanalyse“

Der Bereich Paketanalyse ist nur für Netzwerkereignisse bestimmt. Der Bereich Paketanalyse ist scrollbar und die Informationen zur Identifizierung des Pakets sowie die Anforderungs- und Antwortbezeichnungen bleiben sichtbar, anstatt dass aus der Ansicht herausgescrollt wird.

initial view of an event in the Packet Analysis panel

Im Bereich Paketanalyse geben die Überschriften die Richtung des Pakets (Anforderung oder Antwort), die Anzahl der Pakete, die Startzeit des Pakets, die Paket-ID und die Reihenfolge sowie die Nutzlastgröße an. Alle Pakete beginnen mit einer Kopfzeile und einige Pakete haben eine Fußzeile. Einige Pakete haben eine Nutzlast.

In Version 11.1 bieten Seitenumbruchshilfen zusätzliche Flexibilität beim Blättern durch Pakete.

Die Metadaten in den Hexadezimal- und ASCII-Daten sind blau hervorgehoben. Wenn Sie den Cursor über den hervorgehobenen Metadaten platzieren, werden die Metaschlüssel-/Metawertinformationen in einem Kasten mit Hover-Effekt angezeigt.

example of a information displayed in a hover box

Gebräuchliche Dateisignaturen sind mit einem orangefarbenen Hintergrund hervorgehoben. Wenn Sie den Cursor über den hervorgehobenen Text bewegen, wird die Beschreibung des Dateityps in einem Kasten mit Hover-Effekt angezeigt.

potential Windows executable highlighted

Der Bereich „Dateianalyse“

Der Bereich Dateianalyse zeigt eine Liste der Dateien, die mit dem ausgewählten Netzwerkereignis verknüpft sind. Dies ist ein Beispiel für den Bereich Dateianalyse.

initial view of the File Analysis panel

Sie können eine Datei, mehrere Dateien oder alle Dateien für den Export in Ihr lokales Dateisystem auswählen. Wenn Dateien ausgewählt sind, wird die Schaltfläche „Dateien exportieren“ aktiviert, auf der die Anzahl der ausgewählten Dateien angezeigt wird.

File Analysis panel with files selected

Achtung: Beim Entpacken und Öffnen von Dateien, die mit einer Standardanwendung verknüpft sind, ist Vorsicht geboten; beispielsweise könnte eine Excel-Tabelle automatisch in Excel geöffnet werden, bevor Sie überprüfen konnten, ob sie sicher ist.

Analysetools für jede Art von Ereignisanalyse

Die Analysetools in der Ansicht „Ereignisanalyse“ sollen Analysten dabei unterstützen, die relevanten Informationen für verschiedene Arten von Ereignissen (Netzwerkereignis, Protokollereignis und Endpunktereignis) zu finden. In dieser Tabelle werden die Aktionen aufgeführt, die Sie nach Ereignistyp ergreifen können. Der Rest dieses Abschnitts enthält Verfahren zur Durchführung der Aktionen.

                                                                                                                                       
AktionNetzwerkereignisEreignis protokollierenEndpunktereignis
Anzeigen des Bereichs „Textanalyse“
Anzeigen des Bereichs „Dateianalyse“   
Anzeigen des Bereichs „Paketanalyse“   
Öffnen, Schließen und Anpassen der Größe der Bereiche
Anpassen der Anzeige von Anforderungen und Antworten   
Anzeigen oder Ausblenden des Ereignis-Headers im Bereich „Textanalyse“
Erweitern abgeschnittener Texteinträge im Bereich „Textanalyse“   
Wechseln zwischen einer komprimierten und dekomprimierten Ansicht der Nutzlasten im Bereich „Textanalyse“   
Anzeigen hervorgehobener Bytes im Bereich „Paketanalyse“   
Markieren gängiger Dateitypen im Bereich „Paketanalyse“   
Anzeigen nur der Nutzlast im Bereich „Paketanalyse“   
Schattieren von Bytes im Bereich „Paketanalyse“ beim Anzeigen nur der Nutzlast   
Durchführen von URL- und Base64-Codierung und -Decodierung im Bereich „Textanalyse“   
Anzeigen von dekomprimiertem Text für eine HTTP-Netzwerksitzung im Bereich „Textanalyse“   
Anzeigen von Ereignismetadaten für ein Ereignis im Bereich „Textanalyse“
Herunterladen eines Netzwerkereignisses (als PCAP-Datei, nur Nutzlast, nur Anforderung oder nur Antwort) im Bereich „Paketanalyse“ oder im Bereich „Textanalyse“   
Exportieren von Dateien aus einem Netzwerkereignis im Bereich „Dateianalyse“   
Herunterladen der Datei für ein Protokollereignis im Bereich „Textanalyse“   
Herunterladen der Datei für ein Endpunktereignis im Bereich „Textanalyse“  
Öffnen des aktuellen Endpunktereignisses im Bereich „Textanalyse“  
You are here
Table of Contents > Analysieren von Raw-Ereignissen und Metadaten in der Ansicht „Ereignisanalyse“ > Rekonstruktionstypen in der Ansicht „Ereignisanalyse“

Attachments

    Outcomes