Untersuchen: Ansicht „Hosts“ – Registerkarte „Prozess“

Document created by RSA Information Design and Development on Oct 19, 2018
Version 1Show Document
  • View in full screen mode
 

Hinweis: Die Informationen in diesem Thema gelten für RSA NetWitness® Suite Version 11.1 und höher.

Der Bereich „Prozess“ enthält eine Liste der auf dem Host ausgeführten Prozesse. Um auf diese Registerkarte zuzugreifen, wählen Sie einen Host aus der Ansicht Hosts aus und klicken Sie auf die Registerkarte Prozesse.

Workflow

high-level Investigate workflow with Investigate Endpoints and associated actions highlighted

Was möchten Sie tun?

                                                     
BenutzerrolleZiel11.1 Dokumentation
Threat Hunter

Durchsuchen von Ereignismetadaten

Starten einer Ermittlung in der Ansicht „Navigation“ oder „Ereignisse“

Threat Hunter

Durchsuchen von Raw-Ereignissen

Starten einer Ermittlung in der Ansicht „Navigation“ oder „Ereignisse“

Threat Hunter

Analyse von Raw-Ereignissen und Metadaten

Starten einer Ermittlung in der Ansicht „Ereignisanalyse“

Threat HunterUntersuchen von Endpunkten (Version 11.1)*Untersuchen von Hosts

Threat Hunter

Verdächtige Endpunktdateien finden (Version 11.1)

Untersuchen von Dateien

Threat HunterDateien und Ereignisse auf Schadsoftware scannenDurchführen von Schadsoftwareanalysen

Incident-Experte

Priorisieren eines Incident in „Untersuchen“

NetWitness Respond – Benutzerhandbuch

Threat HunterAnzeigen der Prozesse, die auf dem Host ausgeführt werden* Untersuchen von Hosts

*Sie können diese Aufgabe in der aktuellen Ansicht durchführen.

Verwandte Themen

Überblick

Es folgt ein Beispiel der Registerkarte „Prozess“:

Process tab

Im Bereich „Prozess“ werden die folgenden Informationen angezeigt:

Prozessdetails

                                           
FeldBeschreibung
ProzessnameName des Prozesses. Beispiel: server.exe.
PIDID des Prozesses. Beispiel: 492.
Übergeordneter Prozess (PPID)Name und Prozess-ID des übergeordneten Prozesses. Beispiel: 4.
EigentümerEigentümer des Prozesses. Beispiel: SYSTEM.

Signatur

Gibt an, ob die Datei signiert oder unsigniert bzw. gültig oder ungültig ist. Ebenfalls angegeben sind Informationen zum Unterzeichner.

Pfad

Pfad der Datei, die dem Prozess auf der Festplatte zugeordnet ist. Beispiel: C:\Windows\System32.

Startargumente

Befehlszeilenargumente, die dem Prozess beim Start übergeben werden. Beispiel: -k LocalServiceNoNetwork.

Erstellungszeit

Zeitpunkt der Erstellung des Prozesses. Beispiel: 01/19/2018 11:32:29.908 am.

  • Liste der geladenen Bibliotheken für den ausgewählten Prozess wie etwa DLLs (für Windows), Dylibs (für Mac) oder .SO (für Linux).
  • Liste der automatischen Ausführungen (sofern konfiguriert).

Bereich „Prozesseigenschaften“

In diesem Bereich werden alle Eigenschaften des ausgewählten Prozesses angezeigt. Er ist wie folgt gruppiert:

                                       
KategorieBeschreibung
Allgemein
  • Allgemeine Informationen über die Datei, z. B. Dateiname, Entropie, Größe und Format.
  • SignaturGibt Informationen zum Unterzeichner an.
    HashHash-Typ der Datei (MD5, SHA1 und SHA256).
    ZeitZeitpunkt, zum dem die Datei erstellt, geändert oder auf sie zugegriffen wurde.
    SpeicherortSpeicherort der Datei.
    ProzessDetails des Prozesses, z. B. Imagegröße und PID.

    Image

    Vom Prozess geladene Details des Image.

    You are here
    Table of Contents > Investigate-Referenzmaterialien > Ansicht „Hosts“ – Registerkarte „Prozess“

    Attachments

      Outcomes