Untersuchen: Starten einer Ermittlung in der Ansicht „Navigation“ oder „Ereignisse“

Document created by RSA Information Design and Development on Oct 19, 2018
Version 1Show Document
  • View in full screen mode
 

Die Ansicht Navigieren ist die Standardansicht für Untersuchen, es sei denn, Sie haben eine andere Ansicht als Ihre Startansicht ausgewählt. Diese Benutzereinstellung wird auf Anwendungsebene festgelegt, wie beschrieben unter Konfigurieren von Ansichten und Voreinstellungen von NetWitness Investigate. In diesen Ansichten suchen Sie nach Ereignissen von Interesse, basierend auf einer Abfrage. In der Navigationsansicht können Sie auch Ergebnisse optimieren, indem Sie auf Metaschlüssel und Metawerte klicken. Wenn Sie interessante Ereignisse finden, können Sie sich das Ereignis in den anderen Untersuchen-Ansichten genauer ansehen.

Um eine Ermittlung in der Ansicht „Navigation“ oder „Ereignisse“ zu starten, muss ein Service angegeben werden.

  • NetWitness Suite öffnet die Ansicht „Navigation“ oder „Ereignisse“ mit dem ausgewählten benutzerdefinierten Standardservice.
  • Wenn derzeit kein Standardservice festgelegt ist und die Service-ID sich nicht in der URL befindet, öffnet NetWitness Suite ein Dialogfeld zur Auswahl des zu untersuchenden Services oder der Sammlung.
  • Wenn ein Service manuell oder standardmäßig in der Ansicht „Navigation“ oder „Ereignisse“ ausgewählt wurde, können Sie den zu untersuchenden Service ändern, indem Sie in der Symbolleiste den Servicenamen auswählen. NetWitness Suite öffnet das Dialogfeld zur Auswahl des zu untersuchenden Services.

Hinweis: Der Archiver-Service wird nicht in der Ansicht „Navigation“ angezeigt, damit Benutzer während einer Ermittlung keine Verlangsamung der Performance erfahren. Der Archiver ist in der Ansicht „Ereignisse“ zum Exportieren von Protokollen und erweiterten Suchfunktionen verfügbar. 

Sobald ein Service oder eine Sammlung ausgewählt wurde, ist NetWitness Suite bereit, Daten für den Service oder die Sammlung zu laden. Es wird empfohlen, auch einen Zeitbereich auszuwählen, damit Ergebnisse schneller geladen werden. Mehrere Einstellungen im Einstellungsdialog der Ansichten „Navigation“ und „Ereignisse“ oder auf der Registerkarte „Profile“ > Bereich „Einstellungen“ > „Ermittlungen“ wirken sich auf den Ladevorgang aus: „Schwellenwert“, „Max. Wertergebnisse“, „Debuginformationen anzeigen“, „Werte automatisch laden“ und „Optimieren des Ladens der Seite Investigation“ (siehe Konfigurieren von Ansichten und Voreinstellungen von NetWitness Investigate).

Hinweis: In der Ansicht „Ereignisse“ werden Daten automatisch geladen. Wenn Sie „Werte automatisch laden“ in den Einstellungen der Ansicht „Navigation“ angegeben haben, aktualisiert NetWitness Suite die Daten automatisch. Andernfalls müssen Sie auf die Schaltfläche „Werte laden“ klicken. NetWitness Suite aktualisiert die Metadaten im Bereich „Werte“ in der Ansicht „Navigation“ und die Ergebnisse werden sofort angezeigt.

Der restliche Teil dieses Themas bietet Anleitungen zum Starten einer Ermittlung von Daten für einen Service.

Hinweis: Nur Benutzer mit Administratorrolle können eine Sammlung erstellen und nur der Ersteller der Sammlung kann eine Ermittlung zu einer Sammlung durchführen.

 

Nach dem Laden von Daten in der Ansicht „Navigation“ oder „Ereignisse“:

  1. Optimieren Sie Ergebnisse, Visualisierung Sie Daten und führen Sie Aktionen an einem Drill-down-Punkt durch (siehe Untersuchen von Metadaten in der Ansicht „Navigation“ und Untersuchen von Raw-Ereignissen in der Ansicht „Ereignisse“. Möglich ist beispielsweise das Anzeigen von zusätzlichem Kontext für einen Datenpunkt, Starten eines Malware Analysis-Scans in der Ansicht „Navigation“ oder Hinzufügen von Ereignissen zu einem Incident zwecks Reaktion.
  2. Rekonstruieren Sie ein Ereignis (siehe Rekonstruieren eines Ereignisses) oder zeigen Sie die interaktive Ereignisanalyse eines Ereignisses an (siehe Starten einer Ermittlung in der Ansicht „Ereignisanalyse“).

Starten einer Ermittlung (ohne Standardservice)

  1. Wechseln Sie zu UNTERSUCHEN > Navigation oder Ereignisse.
    Das Dialogfeld „Untersuchen“ wird angezeigt.
    Investigate dialog
  2. Doppelklicken Sie auf einen Service oder wählen Sie einen Service, in der Regel einen Concentrator, aus und klicken Sie auf Navigieren.
    In der Ansicht „Ereignisse“ werden Daten automatisch geladen. Wenn Sie in der Ansicht „Navigation“ arbeiten, zeigt der daraufhin angezeigte Bereich die Aktivität für den ausgewählten Service an, aber die Daten werden nicht automatisch geladen.
  3. (Empfohlen) Wählen Sie einen bestimmten Zeitbereich aus, damit Ergebnisse schneller laden.
  4. Wenn Sie die Ermittlungsoptionen vor dem Laden ändern möchten, können Sie z. B. ein benutzerdefiniertes Profil erstellen oder ändern, einen anderen Zeitraum anwenden, eine Metagruppe erstellen oder anwenden und eine benutzerdefinierte Abfrage ausführen, wie in Abfragen von und Reagieren auf Daten in den Ansichten „Navigation“ und „Ereignisse“ beschrieben. Sie können auch jederzeit während der Untersuchung Optionen ändern.
  5. Klicken Sie zum Laden von Daten in der Ansicht „Navigation“ auf the Load Values button.
    Der Vorgang des Ladens der Daten des ausgewählten Services beginnt.
    Navigate view with data loading
    Wenn der Service ausgewählt ist und die Daten geladen sind, können Sie mit dem Analysieren der Daten beginnen.

Einrichten oder Löschen des Standardservices

Sie können den Standardservice im Dialogfeld „Service ermitteln“ festlegen oder löschen.

  1. Klicken Sie auf der Symbolleiste auf den Servicenamen.
    Das Dialogfeld „Untersuchen“ wird angezeigt.
    Investigate dialog
  2. Wählen Sie im Raster Services einen Service aus und klicken Sie auf Default Service button.
    Der Service wird als Standard eingestellt (angezeigt durch Standard in Klammern hinter dem Servicenamen).
  3. Löschen Sie den Standardservice, indem Sie ihn im Raster auswählen, auf Default Service button und anschließend auf Abbrechen klicken, um das Dialogfeld zu schließen.
    Es wurde kein Standardservice eingerichtet.

Hinweis: Durch die Schaltfläche Abbrechen wird der von Ihnen ausgewählte Standardservice nicht abgebrochen. Es wird lediglich das Dialogfeld geschlossen, ohne im Raster zum aktuell ausgewählten Service zu navigieren. Durch das Einrichten eines Standardservices, der sich vom aktuell einer Ermittlung unterzogenen Service unterscheidet, wird die Ansicht Navigation nicht automatisch aktualisiert. Sie müssen explizit einen anderen Service auswählen und zu diesem navigieren.

Starten einer Ermittlung (Standardservice angegeben)

  1. Navigieren Sie zu Ermittlung > Navigieren oder Ereignisse.
    Wenn „Werte automatisch laden“ deaktiviert ist, wird die Ansicht „Navigation“ mit dem ausgewählten Standardservice angezeigt und ist bereit zum Laden von Daten. Wenn Werte automatisch laden aktiviert ist, werden die Werte wie in Schritt 3 dargestellt geladen. In der Ansicht „Ereignisse“ werden Daten automatisch geladen.
  2. Wenn Sie die Ermittlungsoptionen in der Ansicht „Navigation“ vor dem Laden ändern möchten, können Sie z. B. ein benutzerdefiniertes Profil erstellen oder ändern, einen anderen Zeitraum anwenden, eine Metagruppe erstellen oder anwenden und eine benutzerdefinierte Abfrage ausführen.
  3. Wenn Sie dies abgeschlossen haben, klicken Sie auf Load Values button.
    Die Werte für den Service werden entsprechend der ausgewählten Optionen geladen.
    Navigate view with data loading
    Wenn der Service ausgewählt ist und die Daten geladen sind, können Sie mit dem Analysieren der Daten beginnen.

Ändern des zu untersuchenden Services oder der Sammlung

  1. Klicken Sie in der Ansicht „Navigation“ oder „Ereignisse“ auf den Servicenamen ganz oben im Bereich „Optionen“.
    Das Dialogfeld „Untersuchen“ wird angezeigt.
    Investigate dialog
  2. Doppelklicken Sie auf einen Service oder wählen Sie einen Service aus und klicken Sie auf Navigation. Der daraufhin angezeigte Bereich enthält die Aktivität für den ausgewählten Service.
    Wenn Werte automatisch laden aktiviert ist, werden die Werte wie in Schritt 3 dargestellt geladen. Andernfalls wird die Ansicht „Navigation“ mit dem ausgewählten Standardservice angezeigt und die Daten können geladen werden. In der Ansicht „Ereignisse“ werden Daten automatisch geladen.
    Investigate Navigate view with Load Values button
  3. Wenn Sie fertig sind, klicken Sie auf Load Values button.
    Die Werte für den Service werden entsprechend den ausgewählten Optionen geladen.
    Investigate Navigate view
    Wenn der Service ausgewählt ist und die Daten geladen sind, können Sie mit dem Analysieren der Daten beginnen.

Untersuchen von Workbench-Wiederherstellungssammlungen

Dieses Verfahren ermöglicht Administratoren das Auswählen von Inhalten aus einer bestehenden Sammlung zur erneuten Verarbeitung für eine tiefergehende Untersuchung. Dies gilt für Decoder, die Workbench-Services nutzen.

Hinweis: Nur Benutzer mit Administratorrechten können eine Sammlung erstellen und Sie können nur die Sammlungen anzeigen, die Sie erstellt haben.

So verarbeiten Sie Daten für eine tiefergehende Untersuchung erneut:

  1. Navigieren Sie zu Ermittlung > Navigieren oder Ereignisse.
    Das Dialogfeld „Untersuchen“ wird angezeigt.
    Investigate dialog
  2. Wählen Sie einen zu untersuchenden Workbench-Service und Workbench-Namen aus.
  3. Klicken Sie auf Navigieren, um eine Ermittlung zu dem von Ihnen ausgewählten Workbench-Service durchzuführen.
    Klicken Sie auf Abbrechen, um einen anderen Workbench-Service für die Ermittlung auszuwählen.
    Die Ansicht „Investigation“ wird angezeigt.
    Wenn die Sammlung ausgewählt ist und die Daten geladen sind, können Sie mit dem Analysieren der Daten beginnen.
You are here
Table of Contents > Starten einer Ermittlung > Starten einer Ermittlung in der Ansicht „Navigation“ oder „Ereignisse“

Attachments

    Outcomes