Untersuchen: Konfigurieren der Ansicht „Ereignisanalyse“

Document created by RSA Information Design and Development on Oct 19, 2018Last modified by RSA Information Design and Development on Apr 28, 2019
Version 2Show Document
  • View in full screen mode
 

Hinweis: Die Informationen in diesem Thema gelten für RSA NetWitness® Platform Version 11.1 und höher.

Ab Version 11.1 können Analysten Einstellungen festlegen, die das Verhalten von NetWitness Platform beeinflussen, wenn Daten mit der Ansicht „Untersuchen > Ereignisanalyse“ analysiert werden. Die Hauptsymbolleiste in „Untersuchen“ wird anders dargestellt, wenn die Ansicht „Ereignisanalyse“ geöffnet ist. Diese zwei Schaltflächen ermöglichen den Zugriff auf die folgenden Einstellungsdialogfelder: User Profile icon und Open Preferences icon. Im Menü „Benutzer“ (User Profile icon) können hauptsächlich globale Einstellungen wie etwa die Einstellung der Zeitzone vorgenommen werden. Im Menü mit den Einstellungen für die Ereignisanalyse (Open Preferences icon) hingegen finden sich überwiegend Einstellungen für das Verhalten in der Ansicht „Ereignisanalyse“. Im weiteren Verlauf dieses Abschnitts werden die Einstellungen beider Menüs beschrieben.

Festlegen der Standardansicht von „Untersuchen“

Die Standardansicht von „Untersuchen“ wird im Dialogfeld „Benutzereinstellungen“ (oben rechts im NetWitness Platform-Browserfenster User Profile icon auswählen) festgelegt.
Im Dialogfeld „Benutzereinstellungen“ werden die aktuellen Einstellungen für die Ansicht Investigate angezeigt. Sie können die Standardansicht auswählen, wenn Sie „Untersuchen“ in einer der folgenden Ansichten öffnen: Ansicht „Ereignisanalyse“, Ansicht „Hosts“ oder Ansicht „Dateien“.

User Preferences in Version 11.2

Die globalen Nutzereinstellungen werden im Leitfaden für die ersten Schritte mit RSA NetWitness Platform ausführlich beschrieben.Navigieren Sie zu Masterinhaltsverzeichnis, worüber alle Dokumente für NetWitness Platform Logs & Network 11.x aufgerufen werden können.

Festlegen von Nutzereinstellungen für die Ansicht „Ereignisanalyse“

In Version 11.1 und höher können Sie Einstellungen für die Ansicht „Ereignisanalyse“ festlegen. Die hier ausgewählten Einstellungen gelten für einzelne Benutzer und sind verfügbar, wann immer sich der jeweilige Benutzer bei der Anwendung anmeldet.

So legen Sie Standardwerte für das Arbeiten in der Ansicht „Ereignisanalyse“ fest:

  1. Klicken Sie bei geöffneter Ansicht „Ereignisanalyse“ auf Open Preferences icon.
    the Event Preferences for Event Analysis
  2. Wählen Sie im Drop-down-Menü Standardmäßige Ansicht „Ereignisanalyse“ den standardmäßigen Rekonstruktionstyp aus, wenn Sie ein Ereignis im Bereich „Ereignisanalyse“ öffnen: Textanalyse, Paketanalyse und Dateianalyse.
    Wenn Sie für die Analyse keinen Standardtyp ausgewählt haben, wird als standardmäßiger Rekonstruktionstyp „Paketanalyse“ verwendet, wenn Sie ein Ereignis öffnen. Nur für Protokoll- und Endpunktereignisse wird der Rekonstruktionstyp „Textanalyse“ verwendet. Wenn Sie einen standardmäßigen Rekonstruktionstyp auswählen, wird automatisch dieser Rekonstruktionstyp verwendet. In beiden Fällen ist der ausgewählte Standardtyp der Ausgangspunkt. Wenn Sie den Typ während dem Arbeiten ändern, wird für die nächste Rekonstruktion der neu ausgewählte Typ verwendet.
  3. Wählen Sie im Drop-down-Menü Standardmäßiges Protokollformat das Download-Format für den Protokollexport aus: Protokoll herunterladen, XML-Datei herunterladen, CSV herunterladen oder JSON-Datei herunterladen. Wenn Sie hier kein Format auswählen, wird Download-Protokoll als Standardformat verwendet. Diese Optionen stehen auch beim Download in einem Drop-down-Menü zur Verfügung.
  4. Wählen Sie im Drop-down-Menü PCAP herunterladen das Standardformat für das Herunterladen von Paketen aus. Diese Optionen stehen auch beim Download in einem Drop-down-Menü zur Verfügung:
    • PCAP herunterladen zum Herunterladen des gesamten Ereignisses als eine Paketerfassungsdatei (*.pcap).
    • Alle Nutzdaten herunterladen zum Herunterladen der Nutzdaten als *.payload-Datei
    • Anforderungsnutzdaten herunterladen zum Herunterladen der Anforderungsnutzdaten als *.payload1-Datei.
    • Antwortnutzdaten herunterladen zum Herunterladen der Antwortnutzdaten als *.payload2-Datei
  5. Klicken Sie unter Zeitformat für Abfragen entweder auf Datenbankzeit oder Uhrzeit. Die Ansicht „Ereignisanalyse“ kann Ergebnisse basierend auf der Datenbankzeit oder der aktuellen Uhrzeit anzeigen. Wenn Sie das Zeitformat hier festlegen, wird Ihre individuelle Benutzereinstellung gespeichert, bis sie erneut geändert wird. Die Standardeinstellung für diese Einstellung ist Datenbankzeit. Dieses Zeitformat wird auch zur Anzeige von Abfrageergebnissen in den Ansichten „Navigation“ und „Ereignisse“ verwendet.
    • Wenn Datenbankzeit ausgewählt ist, basieren Start- und Endzeit für eine Abfrage auf der Zeit, zu der das Ereignis gespeichert wurde.
    • Wenn Uhrzeit ausgewählt ist, wird die Abfrage mit der aktuellen Zeit gemäß der in den Nutzereinstellungen festgelegten Zeitzone ausgeführt.
You are here
Table of Contents > Konfigurieren von Ansichten und Voreinstellungen von NetWitness Investigate > Konfigurieren der Ansicht „Ereignisanalyse“

Attachments

    Outcomes