Untersuchen: Konfigurieren der Ansicht „Ereignisanalyse“

Document created by RSA Information Design and Development on Oct 19, 2018
Version 1Show Document
  • View in full screen mode
 

Hinweis: Die Informationen in diesem Thema gelten für RSA NetWitness® Suite Version 11.1 und höher.

Ab Version 11.1 können Analysten Einstellungen festlegen, die das Verhalten von NetWitness Suite beeinflussen, wenn Daten mit der Ansicht „Untersuchen > Ereignisanalyse“ analysiert werden. Die Hauptsymbolleiste in „Untersuchen“ wird anders dargestellt, wenn die Ansicht „Ereignisanalyse“ geöffnet ist. Diese zwei Schaltflächen ermöglichen den Zugriff auf die folgenden Einstellungsdialogfelder: User Profile icon und Open Preferences icon. Im Menü „Benutzer“ (User Profile icon) können hauptsächlich globale Einstellungen wie etwa die Einstellung der Zeitzone vorgenommen werden. Im Menü mit den Einstellungen für die Ereignisanalyse (Open Preferences icon) hingegen finden sich überwiegend Einstellungen für das Verhalten in der Ansicht „Ereignisanalyse“. Im weiteren Verlauf dieses Abschnitts werden die Einstellungen beider Menüs beschrieben.

Festlegen der Standardansicht von „Untersuchen“

Die Standardansicht von „Untersuchen“ wird im Dialogfeld „Benutzereinstellungen“ (oben rechts im NetWitness Suite-Browserfenster User Profile icon auswählen) festgelegt.
Im Dialogfeld „Benutzereinstellungen“ werden die aktuellen Einstellungen für die Ansicht Ermittlung angezeigt. Sie können die Standardansicht auswählen, wenn Sie „Untersuchen“ in einer der folgenden Ansichten öffnen: „Navigation“, „Ereignisse“, „Ereignisanalyse“, „Hosts“, „Dateien“ oder „Malware Analysis“.
User Preferences in the Respond and Investigate views

Die globalen Benutzereinstellungen werden im Leitfaden für erste Schritte mit der NetWitness Suite ausführlich beschrieben.Navigieren Sie zu Masterinhaltsverzeichnis für RSA NetWitness Logs & Packets 11.x, um alle Dokumente zu NetWitness Suite 11.x zu suchen.

Konfigurieren der Ansicht „Ereignisanalyse“

In Version 11.1 können Sie Einstellungen für die Ansicht „Ereignisanalyse“ festlegen. Die hier ausgewählten Einstellungen gelten für einzelne Benutzer und sind verfügbar, wann immer sich der jeweilige Benutzer bei der Anwendung anmeldet.

So legen Sie Standardwerte für das Arbeiten in der Ansicht „Ereignisanalyse“ fest:

  1. Klicken Sie bei geöffneter Ansicht „Ereignisanalyse“ auf Open Preferences icon.
  2. Wählen Sie im Drop-down-Menü Standardmäßige Ansicht „Ereignisanalyse“ den standardmäßigen Rekonstruktionstyp aus, wenn Sie ein Ereignis im Bereich „Ereignisanalyse“ öffnen: Textanalyse, Paketanalyse und Dateianalyse.
    Wenn Sie für die Analyse keinen Standardtyp ausgewählt haben, wird als standardmäßiger Rekonstruktionstyp „Paketanalyse“ verwendet, wenn Sie ein Ereignis öffnen. Nur für Protokoll- und Endpunktereignisse wird der Rekonstruktionstyp „Textanalyse“ verwendet. Wenn Sie einen standardmäßigen Rekonstruktionstyp auswählen, wird automatisch dieser Rekonstruktionstyp verwendet. In beiden Fällen ist der ausgewählte Standardtyp der Ausgangspunkt. Wenn Sie den Typ während dem Arbeiten ändern, wird für die nächste Rekonstruktion der neu ausgewählte Typ verwendet.
  3. Wählen Sie im Drop-down-Menü Standardmäßiges Protokollformat das Download-Format für den Protokollexport aus: Protokoll herunterladen, XML-Datei herunterladen, CSV-Datei herunterladen oder JSON-Datei herunterladen. Wenn Sie hier kein Format auswählen, wird Download-Protokoll als Standardformat verwendet. Diese Optionen stehen auch beim Download in einem Drop-down-Menü zur Verfügung.
  4. Wählen Sie im Drop-down-Menü PCAP herunterladen das Standardformat für das Herunterladen von Paketen aus. Diese Optionen stehen auch beim Download in einem Drop-down-Menü zur Verfügung:
    PCAP herunterladen zum Herunterladen des gesamten Ereignisses als eine Paketerfassungsdatei (*.pcap)
    Alle Nutzdaten herunterladen zum Herunterladen der Nutzdaten als *.payload-Datei
    Anforderungsnutzdaten herunterladen zum Herunterladen der Anforderungsnutzdaten als *.payload1-Datei
    Antwortnutzdaten herunterladen zum Herunterladen der Antwortnutzdaten als *.payload2-Datei
  5. Klicken Sie unter Zeitformat für Abfragen konfigurieren entweder auf Datenbankzeit oder Uhrzeit. Die Ansicht „Ereignisanalyse“ kann Ergebnisse basierend auf der Datenbankzeit oder der aktuellen Uhrzeit anzeigen. Wenn Sie das Zeitformat hier festlegen, wird Ihre individuelle Benutzereinstellung gespeichert, bis sie erneut geändert wird. Die Standardeinstellung für diese Einstellung ist Datenbankzeit. Dieses Zeitformat wird auch zur Anzeige von Abfrageergebnissen in den Ansichten „Navigation“ und „Ereignisse“ verwendet.
    Wenn Datenbankzeit ausgewählt ist, basieren Start- und Endzeit für eine Abfrage auf der Zeit, zu der das Ereignis gespeichert wurde.
    Wenn Uhrzeit ausgewählt ist, wird die Abfrage mit der aktuellen Zeit gemäß der in den Benutzereinstellungen festgelegten Zeitzone ausgeführt.
You are here
Table of Contents > Konfigurieren von Ansichten und Voreinstellungen von NetWitness Investigate > Konfigurieren der Ansicht „Ereignisanalyse“

Attachments

    Outcomes