Untersuchen: Untersuchen von Hosts

Document created by RSA Information Design and Development on Oct 19, 2018
Version 1Show Document
  • View in full screen mode
 

Hinweis: Die Informationen in diesem Thema gelten für RSA NetWitness® Suite Version 11.1 und höher.

So führen Sie eine Untersuchung von Hosts durch:

  1. Navigieren Sie zu UNTERSUCHEN > Hosts.
    Eine Liste der Hosts wird angezeigt.
  2. Wählen Sie die Hosts, die Sie scannen möchten, und klicken Sie auf Scan starten. Weitere Informationen finden Sie unter Untersuchen von Hosts.
  1. Klicken Sie nach Abschluss des Scannens der Hosts auf den Hostnamen, um die Ergebnisse des Scans zu untersuchen. Weitere Informationen finden Sie unter Untersuchen von Hosts.

Hinweis: Um NetWitness Endpoint 4.4-Hosts zu untersuchen, siehe Untersuchen von NetWitness Endpoint 4.4.0.2 oder später Hosts.

Hosts filtern

Sie können Hosts im Betriebssystem filtern oder die Felder im Drop-down-Menü „Filter hinzufügen“ auswählen.

Hinweis: Verwenden Sie beim Filtern einer großen Datenmenge mindestens ein indiziertes Feld mit dem Operator Equals für eine bessere Performance. Die folgenden Felder werden in der Datenbank indexiert Hostname, IPV4, Operating System und Last Scan Time.

Filter

Um mehrere Werte in einem Feld zu suchen, legen Sie die Filteroption auf Equals fest und verwenden Sie || als Trennzeichen.

Beispiel:

  • Verwenden des Operators Equals für mehrere IPV4-Werte mit einem Trennzeichen ||.
    Example with equals operator
  • Verwenden des Operators IN für „Zeit des letzten Scans“, um Agents zu filtern, die in den letzten 6 Stunden gescannt wurden.
    Example using IN operator

Klicken Sie auf Speichern, um die Suche zu speichern, und geben Sie einen Namen an (bis zu 250 alphanumerische Zeichen). Der Filter wird dem Bereich „Gespeicherte Filter“ auf der linken Seite hinzugefügt. Bewegen Sie zum Löschen eines Filters den Mauszeiger über den Namen und klicken Sie auf Delete.

Hinweis: Sonderzeichen außer Unterstrich (_) und Bindestrich (-) sind beim Speichern des Filters nicht erlaubt.

Scannen von Hosts

Sie können entweder einen Scan nach Bedarf durchführen oder einen Scan täglich oder wöchentlich planen. Informationen zur Planung eines Scans finden Sie unter RSA NetWitness Endpoint Insights – Konfigurationsleitfaden.

Hinweis: Sie können von der Benutzeroberfläche der NetWitness Suite aus keinen Scan für die NetWitness Endpoint 4.4-Agents durchführen.

Scan nach Bedarf

Einen Scan nach Bedarf durchzuführen, kann sinnvoll sein, wenn:

  • Eine Datei im Bereich „Globale Dateien“ sich als schädlich herausstellt.
  • Eine schädliche Datei auf verschiedenen Hosts im Netzwerk vorhanden ist.
  • Sie einen Host untersuchen möchten, der infiziert ist.
  • Sie den aktuellen Snapshot des Hosts erhalten möchten.

Wenn die Hosts gescannt werden, ruft der Endpoint-Agent die folgenden Daten ab, die zur Untersuchung verwendet werden können:

  • Treiber, Prozesse, DLLs, (ausführbare) Dateien, Services und automatische Ausführungen, die auf dem Host ausgeführt werden.
  • Hostdateieinträge und geplante Aufgaben.
  • Systeminformationen wie Netzwerk-Share, installierte Windows-Patches, Windows-Aufgaben, angemeldete Benutzer, Bash-Verlauf und installierte Sicherheitsprodukte.

So starten Sie einen Scan:

  1. Navigieren Sie zu UNTERSUCHEN > Hosts.
  2. Wählen Sie jeweils einen oder mehrere Hosts (bis zu 100) für Scans nach Bedarf aus und klicken Sie auf Scan starten.
  3. Klicken Sie auf Scan starten im Dialogfeld.
    Dies führt einen schnellen Scan aller ausführbaren Module durch, die im Speicher geladen sind. Dieser Scan dauert etwa 10 Minuten.

Im Folgenden sind die Scanstatus aufgeführt.

                           
StatusBeschreibung
LeerlaufKein Scan wird gerade ausgeführt.
Wird gescannt
  • Scan wird gerade ausgeführt.
  • Scan wird gestartet
  • Scananforderung wird an den Server gesendet, aber der Agent erhält die Anforderung erst, wenn er das nächste Mal mit dem Server kommuniziert.
  • Scan wird beendetAnforderung zum Beenden wird an den Server gesendet, aber der Agent erhält die Anforderung erst, wenn er das nächste Mal mit dem Server kommuniziert.

    Wechseln zu den Ansichten „Navigation“ und „Ereignisanalyse“

    Wenn Sie einen bestimmten Host, eine IP-Adresse (IPV4) oder einen Benutzernamen untersuchen müssen, um nach zugehörigen Aktivitäten über einen Zeitraum hinweg zu suchen, können Sie in die Ansicht „Navigation“ oder „Ereignisanalyse“ wechseln, um den gesamten Kontext der Aktivität zu erhalten. Standardmäßig ist der Zeitbereich auf einen Tag festgelegt. Sie können den Zeitbereich entsprechend ändern.

    Hinweis: Das Wechseln zu den Ansichten „Navigation“ und „Ereignisanalyse“ wird für IPV6 nicht unterstützt.

    So wechseln Sie zu der Ansicht „Navigation“ oder „Ereignisanalyse“:

    1. Navigieren Sie zu UNTERSUCHEN > Hosts oder UNTERSUCHEN > Dateien.
    2. Klicken Sie auf Pivot to Investigate neben dem Hostnamen.
      Pivot to Navigate or Event Analysis view
      Alternativ können Sie auf der Registerkarte „Übersicht“ mit der rechten Maustaste auf den Hostnamen, die IP-Adresse (IPV4) oder angemeldete Benutzer klicken, um zu wechseln.
      Pivot to Investigate
    1. Wählen Sie im Dialogfeld „Service auswählen“ einen der für die Ermittlung erforderlichen Services aus.
    2. Klicken Sie auf Navigieren oder Ereignisanalyse, um die Daten zu analysieren.

    Untersuchen von Details zum Host

    Um nach verdächtigen Dateien auf einem Host zu suchen, klicken Sie auf den Hostnamen und zeigen Sie die Details des Hosts an oder starten Sie einen Scan nach Bedarf, um aktuelle Informationen zu erhalten.

    Host Details view

    Suchen in Snapshots

    Um einen Host zu untersuchen oder um zu prüfen, ob er mit einer bekannten Schadsoftware infiziert ist, können Sie nach Vorkommen des Dateinamens, des Dateipfads oder der SHA-256-Prüfsumme suchen.

    Hinweis: Um nach einer SHA-256-Prüfsumme zu suchen, geben Sie die ganze Hash-Zeichenfolge in das Suchfeld ein.

    Als Ergebnis werden Details angezeigt, z. B. Dateiname, Informationen zur Signatur und zur Interaktion mit dem System (ob sie als Prozess, Bibliothek, automatische Ausführung, Service, Aufgabe oder Treiber ausgeführt wurde). Um weitere Details für diese Ergebnisse anzuzeigen, klicken Sie auf die Kategorie.

    Beispielsweise hat ein Benutzer auf einen schädlichen Anhang in einer Phishing-E-Mail geklickt und ihn ausgeführt und nach C:\Users heruntergeladen. So untersuchen Sie diese Datei:

    1. Navigieren Sie zu UNTERSUCHEN > Hosts.
    2. Wählen Sie den Host aus, den Sie untersuchen möchten.
    3. Geben Sie auf der Registerkarte Übersicht den Dateipfad C:\Users in das Suchfeld ein.
      Die Suche zeigt alle ausführbaren Dateien in diesem Ordner an. In diesem Beispiel ist die Datei NWEMalware.exe eine nicht signierte-Datei, die möglicherweise schädlich ist.
      Search on snapshots
  •         Diese Datei wurde als Prozess ausgeführt.
    1. Um Details zu dieser Datei anzuzeigen, klicken Sie auf Process im Ergebnis.
      Daraufhin wird die Registerkarte „Prozess“ geöffnet, auf der Sie die Prozessdetails anzeigen können.
      Search Result

    Analyse der Prozesse

    Wählen Sie in der Ansicht „Hosts“ die Registerkarte Prozess aus. Sie können die Prozesse anzeigen, die zum Zeitpunkt des Scans für den ausgewählten Host ausgeführt wurden. Die Spalten „Prozessname“ und „Prozess-ID (PID)“ werden auf eine der beiden Weisen angezeigt:

    • Strukturansicht: Sie können ein Drill-down für jeden Prozess durchführen und die mit ihm verknüpften unter- und übergeordneten Prozesse anzeigen.
    • Listenansicht: Sie können die Spalten „Prozessname“ und „PID“ sortieren.

    Klicken Sie auf Tree view, um die Ansichten zu wechseln.

    Nachfolgend finden Sie ein Beispiel für die Strukturansicht:

    Tree View

    Bei der Prüfung von Prozessen ist es wichtig, die Startargumente zu sehen. Auch legitime Dateien können für schädliche Zwecke missbraucht werden, daher ist es wichtig, alle von ihnen zu sehen, um herauszufinden, ob eine schädliche Aktivität vorliegt.

    Beispiel:

    • rundll32.exe ist eine legitime ausführbare Windows-Datei, die als saubere Datei kategorisiert wird. Aber ein Angreifer kann diese ausführbare Datei verwenden, um eine schädliche DLL zu laden. Aus diesem Grund müssen Sie, wenn Sie Prozesse überprüfen, die Argumente der rundll32.exe-Datei anzeigen.
    • LSASS.EXE ist ein untergeordnetes Element von WININIT.EXE. Es darf keine untergeordneten Prozesse haben. Oft nutzt Malware diese ausführbare Datei für Passwort-Dumps oder um sich auf einem System zu verstecken (lass.exe, lssass.exe, lsasss.exe usw.).

    • Die meisten seriösen Benutzeranwendungen wie Adobe, Webbrowser etc. erzeugen keine untergeordneten Prozesse wie cmd.exe. Wenn Sie darauf stoßen, untersuchen Sie die Prozesse.

    Automatische Ausführungen analysieren

    Wählen Sie in der Ansicht „Hosts“ die Registerkarte Automatische Ausführungen aus. Sie können die automatischen Ausführungen, Services, Aufgaben und Cronjobs anzeigen, die für den ausgewählten Host ausgeführt werden.

    Auf der Registerkarte „Services“ können Sie z. B. nach dem Erstellungszeitpunkt der Datei suchen. Die Kompilierzeit finden Sie in jeder portablen ausführbaren (PE) Datei in der PE-Kopfzeile. Der Zeitstempel wird nur selten manipuliert, obwohl ein Angreifer ihn einfach vor der Bereitstellung am Endpunkt eines Opfers ändern kann. Dieser Zeitstempel kann anzeigen, ob eine neue Datei eingeführt wurde. Sie können den Zeitstempel der Datei mit dem Erstellungszeitpunkt des Systems vergleichen, um den Unterschied zu finden. Wenn eine Datei vor ein paar Tagen kompiliert wurde, aber der Zeitstempel dieser Datei auf dem System zeigt an, dass sie vor einigen Jahren erstellt wurde, so deutet dies darauf hin, dass die Datei manipuliert wurde.

    Analysieren von Dateien

    Wählen Sie in der Ansicht „Hosts“ die Registerkarte Dateien aus. Sie können die Liste der auf dem Host gescannten Dateien zum Zeitpunkt des Scans anzeigen. Standardmäßig werden in der Tabelle 100 Dateien angezeigt. Um weitere Dateien anzuzeigen, klicken Sie auf Weitere laden am unteren Rand der Seite.

    Beispielsweise schreiben viele Trojaner zufällige Dateinamen, wenn sie ihre Nutzlasten ablegen, um eine einfache Suche über die Endpunkte im Netzwerk anhand des Dateinamens zu vermeiden. Wenn eine Datei svch0st.exe, scvhost.exe oder svchosts.exe heißt, bedeutet dies, dass die legitime Windows-Datei namens svchost.exe imitiert wird.

    Analyse von Bibliotheken

    Wählen Sie in der Ansicht „Hosts“ die Registerkarte Bibliotheken aus. Sie können die Liste der Bibliotheken anzeigen, die zum Zeitpunkt des Scans geladen sind.

    Beispielsweise wird eine Datei mit hoher Entropie als gepackt markiert. Eine gepackte Datei bedeutet, dass sie komprimiert ist, um ihre Größe zu reduzieren (oder schädliche Zeichenfolgen und Konfigurationsinformationen zu verschleiern).

    Analysieren von Treibern

    Wählen Sie in der Ansicht „Hosts“ die Registerkarte Treiber aus. Sie können die Liste der auf dem Host ausgeführten Treiber zum Zeitpunkt des Scans anzeigen.

    So können Sie mit diesem Bereich z. B. prüfen ob die Datei signiert oder unsigniert ist. Wenn eine Datei von einem vertrauenswürdigen Anbieter wie Microsoft und Apple mit dem Ausdruck valid signiert ist, bedeutet dies, dass es eine saubere Datei ist.

    Analysieren der Systeminformationen

    Wählen Sie in der Ansicht „Hosts“ die Registerkarte Systeminformationen aus. Dieser Bereich listet die Systeminformationen zum Agent auf. Für das Windows-Betriebssystem zeigt der Bereich die Einträge der Hostdatei und Netzwerkfreigaben dieses Hosts an.

    Beispielsweise verwendet Malware möglicherweise Einträge der Hostdatei, um Virenschutzaktualisierungen zu blockieren.

    Löschen eines Hosts

    So löschen Sie Hosts manuell aus der Benutzeroberfläche:

    1. Navigieren Sie zu UNTERSUCHEN > Hosts.
    2. Wählen Sie die Hosts aus, die aus der Ansicht „Hosts“ gelöscht werden sollen und klicken Sie Löschen.
      Hierdurch werden alle gesammelten Endpunktdaten für die ausgewählten Hosts gelöscht.

    Hinweis: Wenn Sie versehentlich einen Host aus der Ansicht „Hosts“ löschen, verbietet der Endpoint-Server alle Anforderungen von diesem Agent. Der Agent muss manuell vom Host deinstalliert und neu installiert werden, damit er in der Ansicht „Hosts“ angezeigt wird.

    Festlegen von Hosteinstellungen

    Standardmäßig zeigt die Ansicht „Hosts“ einige Spalten an und die Hosts werden nach „Zeit des letzten Scans“ sortiert. Wenn Sie bestimmte Spalten anzeigen und Daten nach einem bestimmten Feld sortieren möchten:

    1. Navigieren Sie zur Ansicht UNTERSUCHEN > Hosts.
    2. Wählen Sie die Spalten aus, indem sie auf Settings in der rechten Ecke klicken. Das folgende Beispiel zeigt den Bildschirm, der angezeigt wird, während Spalten hinzugefügt werden:
      Select Columns for Hosts
    3. Sortieren Sie die Daten in der erforderlichen Spalte.

    Hinweis: Dies wird als Standardansicht festgelegt, die jedes Mal angezeigt wird, wenn Sie sich in der Ansicht „Hosts“ anmelden.

    Exportieren von Hostattributen

    Sie können jeweils bis zu 100.000 Hostattribute exportieren. So extrahieren Sie die Hostattribute in eine kommagetrennte Datei (CSV-Datei).

    1. Navigieren Sie zu UNTERSUCHEN > Hosts.
    2. Filtern Sie die Hosts, indem Sie die erforderlichen Filteroptionen auswählen.
    3. Fügen Sie Spalten hinzu, indem sie auf Settings in der rechten Ecke klicken.
    4. Klicken Sie auf In CSV-Datei exportieren.

    Sie können die CSV-Datei entweder speichern oder öffnen.

    You are here
    Table of Contents > Untersuchen von Hosts und Dateien > Untersuchen von Hosts

    Attachments

      Outcomes