Untersuchen: Starten einer Ermittlung in der Ansicht „Navigation“ oder „Ereignisse“

Document created by RSA Information Design and Development on Oct 19, 2018Last modified by RSA Information Design and Development on Apr 28, 2019
Version 2Show Document
  • View in full screen mode
 

Die Ansicht Navigieren ist die Standardansicht für Untersuchen, es sei denn, Sie haben eine andere Ansicht als Ihre Startansicht ausgewählt. Diese Benutzereinstellung wird auf Anwendungsebene festgelegt, wie beschrieben unter Konfigurieren von Ansichten und Voreinstellungen von NetWitness Investigate. In den Ansichten „Navigation“ und „Ereignisse“ suchen Sie basierend auf einer Abfrage nach Ereignissen von Interesse. In der Navigationsansicht können Sie auch Ergebnisse optimieren, indem Sie auf Metaschlüssel und Metawerte klicken. Wenn Sie interessante Ereignisse finden, können Sie sich das Ereignis in den anderen Untersuchen-Ansichten genauer ansehen.

Um eine Ermittlung in der Ansicht „Navigation“ oder „Ereignisse“ zu starten, muss ein Service angegeben werden.

  • NetWitness Platform öffnet die Ansicht „Navigation“ oder „Ereignisse“ mit dem ausgewählten benutzerdefinierten Standardservice.
  • Wenn derzeit kein Standardservice festgelegt ist und die Service-ID sich nicht in der URL befindet, öffnet NetWitness Platform ein Dialogfeld zur Auswahl des zu untersuchenden Services oder der Sammlung.
  • Wenn ein Service manuell oder standardmäßig in der Ansicht „Navigation“ oder „Ereignisse“ ausgewählt wurde, können Sie den zu untersuchenden Service ändern, indem Sie in der Symbolleiste den Servicenamen auswählen. NetWitness Platform öffnet das Dialogfeld zur Auswahl des zu untersuchenden Services.

Hinweis: Der Archiver-Service wird nicht in der Ansicht „Navigation“ angezeigt, damit Benutzer während einer Ermittlung keine Verlangsamung der Performance erfahren. Der Archiver ist in der Ansicht „Ereignisse“ zum Exportieren von Protokollen und erweiterten Suchfunktionen verfügbar. 

Sobald ein Service oder eine Sammlung ausgewählt wurde, ist NetWitness Platform bereit, Daten für den Service oder die Sammlung zu laden. Es wird empfohlen, auch einen Zeitbereich auszuwählen, damit Ergebnisse schneller geladen werden. Mehrere Einstellungen im Einstellungsdialog der Ansichten „Navigation“ und „Ereignisse“ oder auf der Registerkarte „Profile“ > Bereich „Einstellungen“ > „Ermittlungen“ wirken sich auf den Ladevorgang aus: „Schwellenwert“, „Max. Wertergebnisse“, „Debuginformationen anzeigen“, „Werte automatisch laden“ und „Optimieren des Ladens der Seite Investigation“ (siehe Konfigurieren von Ansichten und Voreinstellungen von NetWitness Investigate).

Hinweis: In der Ansicht „Ereignisse“ werden Daten automatisch geladen. Wenn Sie „Werte automatisch laden“ in den Einstellungen der Ansicht „Navigation“ angegeben haben, aktualisiert NetWitness Platform die Daten automatisch. Andernfalls müssen Sie auf die Schaltfläche „Werte laden“ klicken. NetWitness Platform aktualisiert die Metadaten im Bereich „Werte“ in der Ansicht „Navigation“ und die Ergebnisse werden sofort angezeigt.

Der restliche Teil dieses Themas bietet Anleitungen zum Starten einer Ermittlung von Daten für einen Service.

Hinweis: Nur Benutzer mit Administratorrolle können eine Sammlung erstellen und nur der Ersteller der Sammlung kann eine Ermittlung zu einer Sammlung durchführen.

 

Nach dem Laden von Daten in der Ansicht „Navigation“ oder „Ereignisse“:

  1. Optimieren Sie Ergebnisse, visualisieren Sie Daten und führen Sie Aktionen an einem Drill-down-Punkt durch (siehe Untersuchen von Metadaten in der Ansicht „Navigation“ und Untersuchen von Raw-Ereignissen in der Ansicht „Ereignisse“. Möglich ist beispielsweise das Suchen von weiteren Kontexten in den Ansichten „Navigation“ und „Ereignisse“, das Starten eines Malware Analysis-Scans in der Ansicht „Navigation“ oder das Hinzufügen von Ereignissen zu einem Incident zwecks Reaktion.
  2. Rekonstruieren Sie ein Ereignis (siehe Rekonstruieren eines Ereignisses) oder zeigen Sie die interaktive Ereignisanalyse eines Ereignisses an (siehe Starten einer Ermittlung in der Ansicht „Ereignisanalyse“).

Starten einer Ermittlung (ohne Standardservice)

  1. Navigieren Sie zu UNTERSUCHEN > Navigation oder Ereignisse.
    Das Dialogfeld „Untersuchen“ wird angezeigt.
    Investigate dialog
  2. Doppelklicken Sie auf einen Service oder wählen Sie einen Service, in der Regel einen Concentrator, aus und klicken Sie auf Navigieren.
    In der Ansicht „Ereignisse“ werden Daten automatisch geladen. Wenn Sie in der Ansicht „Navigation“ arbeiten, zeigt der daraufhin angezeigte Bereich die Aktivität für den ausgewählten Service an, aber die Daten werden nicht automatisch geladen.
  3. (Empfohlen) Wählen Sie einen bestimmten Zeitbereich aus, damit Ergebnisse schneller laden.
  4. Wenn Sie die Ermittlungsoptionen vor dem Laden ändern möchten, können Sie z. B. ein benutzerdefiniertes Profil erstellen oder ändern, einen anderen Zeitraum anwenden, eine Metagruppe erstellen oder anwenden und eine benutzerdefinierte Abfrage ausführen, wie in Abfragen von und Reagieren auf Daten in den Ansichten „Navigation“ und „Ereignisse“ beschrieben. Sie können auch jederzeit während der Untersuchung Optionen ändern.
  5. Klicken Sie zum Laden von Daten in der Ansicht „Navigation“ auf the Load Values button.
    Der Vorgang des Ladens der Daten des ausgewählten Services beginnt.
    the Navigate view with data loaded
    Wenn der Service ausgewählt ist und die Daten geladen sind, können Sie mit dem Analysieren der Daten beginnen.

Einrichten oder Löschen des Standardservices

Sie können den Standardservice im Dialogfeld „Service ermitteln“ festlegen oder löschen.

  1. Klicken Sie auf der Symbolleiste auf den Servicenamen.
    Das Dialogfeld „Untersuchen“ wird angezeigt.
    Investigate dialog
  2. Wählen Sie im Raster Services einen Service aus und klicken Sie auf Default Service button.
    Der Service wird als Standard eingestellt (angezeigt durch Standard in Klammern hinter dem Servicenamen).
  3. Löschen Sie den Standardservice, indem Sie ihn im Raster auswählen, auf Default Service button und anschließend auf Abbrechen klicken, um das Dialogfeld zu schließen.
    Es wurde kein Standardservice eingerichtet.

Hinweis: Durch die Schaltfläche Abbrechen wird der von Ihnen ausgewählte Standardservice nicht abgebrochen. Es wird lediglich das Dialogfeld geschlossen, ohne im Raster zum aktuell ausgewählten Service zu navigieren. Durch das Einrichten eines Standardservices, der sich vom aktuell einer Ermittlung unterzogenen Service unterscheidet, wird die Ansicht Navigation nicht automatisch aktualisiert. Sie müssen explizit einen anderen Service auswählen und zu diesem navigieren.

Starten einer Ermittlung (Standardservice angegeben)

  1. Navigieren Sie zu Ermittlung > Navigieren oder Ereignisse.
    Wenn „Werte automatisch laden“ deaktiviert ist, wird die Ansicht „Navigation“ mit dem ausgewählten Standardservice angezeigt und ist bereit zum Laden von Daten. Wenn Werte automatisch laden aktiviert ist, werden die Werte wie in Schritt 3 dargestellt geladen. In der Ansicht „Ereignisse“ werden Daten automatisch geladen.
  2. Wenn Sie die Ermittlungsoptionen in der Ansicht „Navigation“ vor dem Laden ändern möchten, können Sie z. B. ein benutzerdefiniertes Profil erstellen oder ändern, einen anderen Zeitraum anwenden, eine Metagruppe erstellen oder anwenden und eine benutzerdefinierte Abfrage ausführen.
  3. Wenn Sie dies abgeschlossen haben, klicken Sie auf Load Values button.
    Die Werte für den Service werden entsprechend der ausgewählten Optionen geladen.

    Wenn der Service ausgewählt ist und die Daten geladen sind, können Sie mit dem Analysieren der Daten beginnen.

Ändern des zu untersuchenden Services oder der Sammlung

  1. Klicken Sie in der Ansicht „Navigation“ oder „Ereignisse“ auf den Servicenamen ganz oben im Bereich „Optionen“.
    Das Dialogfeld „Untersuchen“ wird angezeigt.
    Investigate dialog
  2. Doppelklicken Sie auf einen Service oder wählen Sie einen Service aus und klicken Sie auf Navigation. Der daraufhin angezeigte Bereich enthält die Aktivität für den ausgewählten Service.
    Wenn Werte automatisch laden aktiviert ist, werden die Werte wie in Schritt 3 dargestellt geladen. Andernfalls wird die Ansicht „Navigation“ mit dem ausgewählten Standardservice angezeigt und die Daten können geladen werden. In der Ansicht „Ereignisse“ werden Daten automatisch geladen.
    Investigate Navigate view with Load Values button
  3. Wenn Sie fertig sind, klicken Sie auf Load Values button.
    Die Werte für den Service werden entsprechend den ausgewählten Optionen geladen.
    the Navigate view with data loaded

    Wenn der Service ausgewählt ist und die Daten geladen sind, können Sie mit dem Analysieren der Daten beginnen.

Untersuchen von Workbench-Wiederherstellungssammlungen

Mithilfe dieses Verfahrens können Administratoren Inhalte aus einer bestehenden Sammlung zur erneuten Verarbeitung für eine tiefergehende Ermittlung auswählen. Dies gilt für Decoder, die Workbench-Services nutzen.

Hinweis: Nur Benutzer mit Administratorrechten können eine Sammlung erstellen und Sie können nur die Sammlungen anzeigen, die Sie erstellt haben.

So verarbeiten Sie Daten für eine tiefergehende Untersuchung erneut:

  1. Navigieren Sie zu Ermittlung > Navigieren oder Ereignisse.
    Das Dialogfeld „Untersuchen“ wird angezeigt.
    Investigate dialog
  2. Wählen Sie einen zu untersuchenden Workbench-Service und Workbench-Namen aus.
  3. Klicken Sie auf Navigation, um eine Ermittlung zu dem von Ihnen ausgewählten Workbench-Service durchzuführen.
    Klicken Sie auf Abbrechen, um einen anderen Workbench-Service für die Ermittlung auszuwählen.
    Die Ansicht „Ermittlungen“ wird angezeigt.
    Wenn die Sammlung ausgewählt ist und die Daten geladen sind, können Sie mit dem Analysieren der Daten beginnen.
You are here
Table of Contents > Starten einer Ermittlung > Starten einer Ermittlung in der Ansicht „Navigation“ oder „Ereignisse“

Attachments

    Outcomes