Untersuchen: Rekonstruktionstypen in der Ansicht „Ereignisanalyse“

Document created by RSA Information Design and Development on Oct 19, 2018Last modified by RSA Information Design and Development on Apr 28, 2019
Version 2Show Document
  • View in full screen mode
 

Bei der Suche nach möglichen Bedrohungen in erfassten Netzwerkdaten können Sie Drill-downs an verschiedenen interessanten Punkten in den Daten durchführen. Wenn eine Sitzung verdächtige Ereignisse enthält, können Sie die Liste der Ereignisse für die Sitzung untersuchen und auch eine Rekonstruktion des Ereignisses mit Funktionen zur Mustererkennung sicher anzeigen. (Unter Starten einer Ermittlung finden Sie die verschiedenen Methoden zum Aufrufen der Ansicht „Ereignisanalyse“.)

Hinweis: Wenn Sie Ereignisse in einem Service der Version 10.6.x oder 11.0.0.x von einem NetWitness-Server der Version 11.1 oder 11.2 aus untersuchen, variiert das Downloadverhalten in der Ansicht „Ereignisanalyse“ für Dateien, PCAP-Dateien, Protokolle, Nutzdaten und Metawerte. Möglicherweise wird eine Ereignisnutzlast in einem 10.6.x- oder 11.0.0.x-Service angezeigt, für den Sie keine Berechtigung haben, aber Sie werden nicht in der Lage sein, Dateien oder Nutzlasten herunterzuladen.

In der Ansicht „Ereignisanalyse“ können Sie das Format für die Rekonstruktion auswählen: Paketanalyse, Dateianalyse oder Textanalyse, E-Mail (Version 11.1 oder höher) und Web (Version 11.1 oder höher). Wenn der Metaschlüssel medium ein Ereignis als Protokollereignis oder Endpunktereignis markiert, ist nur die Textanalyse verfügbar. Die Standardrekonstruktion für Netzwerkereignisse ist Textanalyse. Jedoch überschreibt bei einem Netzwerkereignis das zuletzt geöffnete Rekonstruktionsformat die Standardeinstellung. Mithilfe der E-Mail-und Webrekonstruktion wird das Ereignis in der Ansicht „Ereignisanalyse“ geöffnet und in „Auswählen des Typs der Ereignisanalyse“ in Untersuchen von Ereignissen in der Ansicht „Ereignisanalyse“ beschrieben.

Diese Abbildung ist ein Beispiel für den Bereich „Netzwerkereignisdetails: Textanalyse“ in einem Webbrowserfenster, das so breit ist, dass die Optionen für das Rekonstruktionsformat in einer Zeile angezeigt werden können.

example of Event Analysis view with format options in a row

Wenn das Browserfenster zu schmal ist, um alle Ansichtsoptionen horizontal anzuzeigen, werden die Optionen in einer Drop-down-Liste aufgeführt.

example of Event Analysis view with format options in a drop-down menu

Innerhalb jeder Analyseart sind Einstellungen für die Optimierung Ihrer Analyse verfügbar. Wenn Sie eine Einstellung ändern, wird die Einstellung zwischen Browseraktualisierungen und Anmeldungen im selben Browser beibehalten. Dies sind die beibehaltenen Einstellungen:

  • Die aktuell ausgewählte Rekonstruktion: Textanalyse, Paketanalyse oder Dateianalyse.
  • Ob der Bereich „Ereignis-Metadaten“ offen oder geschlossen ist.
  • Ob der Ereignis-Header offen oder geschlossen ist.
  • Ob die Anforderung oder die Antwort oder beide angezeigt werden.
  • Ob Paketnutzlasten im Bereich Paketanalyse angezeigt werden.
  • Ob schattierte Byte im Bereich Paketanalyse angezeigt werden.
  • Ob andere gängige Dateitypen im Bereich Paketanalyse hervorgehoben sind.
  • Die Anzahl der Pakete pro Seite im Paketanalyse-Bereich.
  • Ob komprimierter oder unkomprimierter Text im Bereich „Textanalyse“ angezeigt wird.
  • Die Textdekodierungseinstellung im Bereich „Textanalyse“ eines Netzwerkereignisses.

Der Bereich „Textanalyse“

Sie können alle Arten von Ereignissen (Netzwerkereignisse, Protokollereignisse und Endpunktereignisse) in ihrem ursprünglichen Textformat im Bereich Textanalyse anzeigen. Seitenumbruchhilfen erhöhen die Flexibilität bei der Paginierung des rekonstruierten Textes eines Ereignisses.

Hinweis: Endpunktereignisse sind für Ermittlungen in Version 11.1 und höher verfügbar. Die Seitenumbruchhilfen sind in der Version 11.2 und höher verfügbar.

Der Bereich Textanalyse für einige Netzwerkereignisse kann sehr groß sein. Zur optimalen Darstellung und bessern Passfähigkeit werden große Nutzdaten abgeschnitten. Wenn eine einzelne rekonstruierte Anfrage oder Antwort im rekonstruierten Ereignis die maximale Anzahl von Bytes überschreitet, zeigt der Header an, dass die Nachricht abgeschnitten wurde. In dieser Abbildung ist eine einzige gekürzte Antwort dargestellt, weil sie die maximale Anzahl von Bytes überschreitet (Version 11.2).

reconstruction of an event in which a message has been truncated

In Version 11.1 werden große Nutzdaten anders behandelt. Die Nutzdaten für ein einzelnes Ereignis sind auf 2500 Pakete begrenzt. Wenn das Paketlimit erreicht ist, weist eine Warnung in der Fußzeile darauf hin, dass das Limit erreicht ist, und zeigt die Gesamtzahl der Pakete im Ereignis an. In dieser Abbildung werden Kurzinformationen dargestellt, die angezeigt werden, wenn Sie den Mauszeiger über die Warnung bewegen.

Footer showing that the maximum number of packets has been reached

Hinweis: Die Option „Mehr anzeigen“ ist weiterhin für gekürzte Nachrichten verfügbar. Allerdings ist der gesamte Text der Nachricht ohne Herunterladen der Nutzdaten nicht sichtbar.

Im Bereich Textanalyse werden Netzwerkereignisse, Protokollereignisse und Endpunktereignisse unterschiedlich angezeigt.

  • Für Netzwerkereignisse stellt Investigate die Richtung des Pakets (Anforderung oder Antwort) und die Inhalte jedes Pakets im Textformat bereit. Wenn Sie ein Netzwerkereignis rekonstruieren, ist der BereichTextanalyse scrollbar. Wenn Sie einen Bildlauf durchführen, bleiben die Informationen zur Identifizierung des Texts sowie die Anforderungs- und Antwortbezeichnungen sichtbar, anstatt dass aus der Ansicht herausgescrollt wird.
  • Protokollereignisse und Endpunktereignisse haben keine Anforderung oder Antwort. Nur das Rohereignis wird im Bereich Textanalyse angezeigt.

Für jeden Ereignistyp (Netzwerk, Protokoll oder Endpunkt) gibt es einige Unterschiede:

  • Der Ereignis-Header enthält Informationen, die für jede Art von Ereignis relevant sind.
  • Es gibt verschiedene Optionen für den Export.

Unten finden Sie ein Beispiel für den Bereich „Textanalyse“ für jede Art von Ereignis, ein Netzwerkereignis, ein Protokollereignis und ein Endpunktereignis.

example of a network event in the Text Analysis panel

log event in the Text Analysis panel

an endpoint event in the Text Analysis view

Hinweis: Die berechnete Paketanzahl, berechnete Paketgröße und berechnete Nutzdatengröße im Ereignis-Header kann sich von derselben Statistik im Bereich „Ereignis-Metadaten“ unterscheiden, da die Metadaten gelegentlich bereits vor Abschluss der Ereignisanalyse geschrieben werden und daher duplizierte Pakete enthalten können.

Der Bereich „Paketanalyse“

Der Bereich Paketanalyse ist nur für Netzwerkereignisse bestimmt. Der Bereich Paketanalyse ist scrollbar und die Informationen zur Identifizierung des Pakets sowie die Anforderungs- und Antwortbezeichnungen bleiben sichtbar, anstatt dass aus der Ansicht herausgescrollt wird.

initial view of an event in the Packet Analysis panel

Im Bereich Paketanalyse geben die Überschriften die Richtung des Pakets (Anforderung oder Antwort), die Anzahl der Pakete, die Startzeit des Pakets, die Paket-ID und die Reihenfolge sowie die Nutzlastgröße an. Alle Pakete beginnen mit einer Kopfzeile und einige Pakete haben eine Fußzeile. Einige Pakete haben eine Nutzlast.

In Version 11.1 bieten Seitenumbruchshilfen zusätzliche Flexibilität beim Blättern durch Pakete.

Die Metadaten in den Hexadezimal- und ASCII-Daten sind blau hervorgehoben. Wenn Sie den Cursor über den hervorgehobenen Metadaten platzieren, werden die Metaschlüssel-/Metawertinformationen in einem Kasten mit Hover-Effekt angezeigt.

example of a information displayed in a hover box

Gebräuchliche Dateisignaturen sind mit einem orangefarbenen Hintergrund hervorgehoben. Wenn Sie den Cursor über den hervorgehobenen Text bewegen, wird die Beschreibung des Dateityps in einem Kasten mit Hover-Effekt angezeigt.

potential Windows executable highlighted

Der Bereich „Dateianalyse“

Der Bereich Dateianalyse zeigt eine Liste der Dateien, die mit dem ausgewählten Netzwerkereignis verknüpft sind. Dies ist ein Beispiel für den Bereich Dateianalyse.

initial view of the File Analysis panel

Sie können eine Datei, mehrere Dateien oder alle Dateien für den Export in Ihr lokales Dateisystem auswählen. Wenn Dateien ausgewählt sind, wird die Schaltfläche „Dateien exportieren“ aktiviert, auf der die Anzahl der ausgewählten Dateien angezeigt wird.

File Analysis panel with files selected

Achtung: Beim Entpacken und Öffnen von Dateien, die mit einer Standardanwendung verknüpft sind, ist Vorsicht geboten; beispielsweise könnte eine Excel-Tabelle automatisch in Excel geöffnet werden, bevor Sie überprüfen konnten, ob sie sicher ist.

Analysetools für jede Art von Ereignisanalyse

Die Analysetools in der Ansicht „Ereignisanalyse“ sollen Analysten dabei unterstützen, die relevanten Informationen für verschiedene Arten von Ereignissen (Netzwerkereignis, Protokollereignis und Endpunktereignis) zu finden. In dieser Tabelle werden die Aktionen aufgeführt, die Sie nach Ereignistyp ergreifen können. Der Rest dieses Abschnitts enthält Verfahren zur Durchführung der Aktionen.

                                                                                                                                       
AktionNetzwerkereignisEreignis protokollierenEndpunktereignis
Anzeigen des Bereichs „Textanalyse“
Anzeigen des Bereichs „Dateianalyse“   
Anzeigen des Bereichs „Paketanalyse“   
Öffnen, Schließen und Anpassen der Größe der Bereiche
Anpassen der Anzeige von Anforderungen und Antworten   
Anzeigen oder Ausblenden des Ereignis-Headers im Bereich „Textanalyse“
Erweitern abgeschnittener Texteinträge im Bereich „Textanalyse“   
Wechseln zwischen einer komprimierten und dekomprimierten Ansicht der Nutzlasten im Bereich „Textanalyse“   
Anzeigen hervorgehobener Bytes im Bereich „Paketanalyse“   
Hervorheben gängiger Dateitypen im Bereich „Paketanalyse“   
Anzeigen nur der Nutzlast im Bereich „Paketanalyse“   
Schattieren von Bytes im Bereich „Paketanalyse“ beim Anzeigen nur der Nutzlast   
Durchführen von URL- und Base64-Codierung und -Decodierung im Bereich „Textanalyse“   
Anzeigen von dekomprimiertem Text für eine HTTP-Netzwerksitzung im Bereich „Textanalyse“   
Anzeigen von Ereignismetadaten für ein Ereignis im Bereich „Textanalyse“
Herunterladen eines Netzwerkereignisses (als PCAP-Datei, nur Nutzlast, nur Anforderung oder nur Antwort) im Bereich „Paketanalyse“ oder im Bereich „Textanalyse“   
Exportieren von Dateien aus einem Netzwerkereignis im Bereich „Dateianalyse“   
Herunterladen der Datei für ein Protokollereignis im Bereich „Textanalyse“   
Herunterladen der Datei für ein Endpunktereignis im Bereich „Textanalyse“  
Öffnen des aktuellen Endpunktereignisses im Bereich „Textanalyse“  
You are here
Table of Contents > Analysieren von Raw-Ereignissen und Metadaten in der Ansicht „Ereignisanalyse“ > Rekonstruktionstypen in der Ansicht „Ereignisanalyse“

Attachments

    Outcomes