Untersuchen: Ansicht „Hosts“ – Registerkarte „Dateien“

Document created by RSA Information Design and Development on Oct 19, 2018
Version 1Show Document
  • View in full screen mode
 

Hinweis: Die Informationen in diesem Thema gelten für RSA NetWitness® Suite Version 11.1 und höher.

Die Registerkarte „Dateien“ zeigt alle auf dem Host gescannten Dateien an. Um auf diese Registerkarte zuzugreifen, wählen Sie einen Host aus der Ansicht Hosts aus und klicken Sie auf die Registerkarte Dateien. Standardmäßig werden 100 Dateien angezeigt. Um weitere Dateien anzuzeigen, klicken Sie auf Weitere laden am unteren Rand der Seite.

Workflow

high-level Investigate workflow with Investigate Endpoints and associated actions highlighted

Was möchten Sie tun?

                                                     
BenutzerrolleZiel11.1 Dokumentation
Threat Hunter

Durchsuchen von Ereignismetadaten

Starten einer Ermittlung in der Ansicht „Navigation“ oder „Ereignisse“

Threat Hunter

Durchsuchen von Raw-Ereignissen

Starten einer Ermittlung in der Ansicht „Navigation“ oder „Ereignisse“

Threat Hunter

Analyse von Raw-Ereignissen und Metadaten

Starten einer Ermittlung in der Ansicht „Ereignisanalyse“

Threat HunterUntersuchen von Endpunkten (Version 11.1)*Untersuchen von Hosts

Threat Hunter

Verdächtige Endpunktdateien finden (Version 11.1)

Untersuchen von Dateien

Threat HunterDateien und Ereignisse auf Schadsoftware scannenDurchführen von Schadsoftwareanalysen

Incident-Experte

Priorisieren eines Incident in „Untersuchen“

NetWitness Respond – Benutzerhandbuch

Threat HunterAnzeigen der auf dem Host gescannten Dateien* Analysieren von Dateien

*Sie können diese Aufgabe in der aktuellen Ansicht durchführen.

Verwandte Themen

Überblick

Es folgt ein Beispiel für die Registerkarte „Dateien“.

Files tab

                                           
FeldBeschreibung
DateinameName der Datei. Beispiel: 7-zip.dll.

Entropie

Entropie der Imagedaten, mit Ausnahme der PE-Kopfzeilen. Sie bestimmt, ob die Inhalte gepackt werden (komprimiert oder verschlüsselt).

Größe

Größe der Datei. Das kann ein Indikator bei der Bewertung einer Datei sein.

Pfad

Pfad der Datei. Manchmal platzieren Malware-Autoren die Datei in Verzeichnisse, in denen in der Regel keine solche Dateien vorhanden sind. Schädliche Dateien sind in der Regel eigenständige Dateien (z. B. eine Datei im Stammverzeichnis C:\ProgramData) im Gegensatz zu einer Gruppe von Dateien in einem legitimen Ordner (z. B. Dateien in C:\Program Files\<folder name>\).

Signatur

Gibt an, ob die Datei signiert oder unsigniert bzw. gültig oder ungültig ist. Ebenfalls angegeben sind Informationen zum Unterzeichner.

Erstellt

Zeitstempel der Datei.

Benutzername

Benutzer der Datei (für Linux). Beispiel: root.

GruppennameDie Gruppe, zu der der Benutzer gehört (für Linux). Beispiel: root (0).

Bereich „Dateieigenschaften“

In diesem Bereich werden alle Eigenschaften der ausgewählten Datei angezeigt. Er ist wie folgt gruppiert:

                               
KategorieBeschreibung
Allgemein
  • Allgemeine Informationen über die Datei, z. B. Dateiname, Entropie, Größe und Format.
  • SignaturGibt Informationen zum Unterzeichner an.
    HashHash-Typ der Datei (MD5, SHA256 und SHA1).
    ZeitZeitpunkt, zum dem die Datei erstellt, geändert oder auf sie zugegriffen wurde.
    SpeicherortSpeicherort der Datei.
    You are here
    Table of Contents > Investigate-Referenzmaterialien > Ansicht „Hosts“ – Registerkarte „Dateien“

    Attachments

      Outcomes