Untersuchen: Ansicht „Hosts“ – Registerkarte „Bibliotheken“

Document created by RSA Information Design and Development on Oct 19, 2018
Version 1Show Document
  • View in full screen mode
 

Hinweis: Die Informationen in diesem Thema gelten für RSA NetWitness® Suite Version 11.1 und höher.

Die Registerkarte „Bibliotheken“ listet die zum Zeitpunkt des Scans geladenen Bibliotheken auf. Um auf diese Registerkarte zuzugreifen, wählen Sie einen Host aus der Ansicht Hosts aus und klicken Sie auf die Registerkarte Bibliotheken.

Workflow

high-level Investigate workflow with Investigate Endpoints and associated actions highlighted

Was möchten Sie tun?

                                                     
BenutzerrolleZiel11.1 Dokumentation
Threat Hunter

Durchsuchen von Ereignismetadaten

Starten einer Ermittlung in der Ansicht „Navigation“ oder „Ereignisse“

Threat Hunter

Durchsuchen von Raw-Ereignissen

Starten einer Ermittlung in der Ansicht „Navigation“ oder „Ereignisse“

Threat Hunter

Analyse von Raw-Ereignissen und Metadaten

Starten einer Ermittlung in der Ansicht „Ereignisanalyse“

Threat HunterUntersuchen von Endpunkten (Version 11.1)*Untersuchen von Hosts

Threat Hunter

Verdächtige Endpunktdateien finden (Version 11.1)

Untersuchen von Dateien

Threat HunterDateien und Ereignisse auf Schadsoftware scannenDurchführen von Schadsoftwareanalysen

Incident-Experte

Priorisieren eines Incident in „Untersuchen“

NetWitness Respond – Benutzerhandbuch

Threat HunterAnzeigen der geladenen Bibliotheken* Analyse von Bibliotheken

*Sie können diese Aufgabe in der aktuellen Ansicht durchführen.

Verwandte Themen

Überblick

Es folgt ein Beispiel für die Registerkarte „Bibliotheken“:

Libraries tab

                                       
FeldBeschreibung
Kontext verarbeitenName und PID des Prozesses, der die Bibliothek in den Arbeitsspeicher geladen hat. Beispiel: explorer.exe: 1916.
Dateiname

Name der Datei. Beispiel: 7-zip.dll.

Signatur

Gibt an, ob die Datei signiert oder unsigniert bzw. gültig oder ungültig ist. Ebenfalls angegeben sind Informationen zum Unterzeichner. Beispiel: signed, valid.

Dateipfad

Pfad der Datei. Beispiel: C:\Program Files\7-Zip.

Hash

SHA256 der Datei. Beispiel: c3bb3b42dcdf80446c622219513070757e618c06afd9ee0ac37cbce5befcb897.

Zeitpunkt der Dateierstellung

Zeitpunkt der Erstellung der Datei.

Zeitpunkt der letzten Änderung

Zeitpunkt der Änderung der Datei.

Bereich „Bibliothekseigenschaften“

In diesem Bereich werden alle Eigenschaften der ausgewählten Datei angezeigt. Er ist wie folgt gruppiert:

                                   
KategorieBeschreibung
Allgemein
  • Allgemeine Informationen über die Datei, z. B. Dateiname, Entropie, Größe und Format.
  • SignaturGibt Informationen zum Unterzeichner an.
    HashHash-Typ der Datei (MD5, SHA256 und SHA1).
    ZeitZeitpunkt, zum dem die Datei erstellt, geändert oder auf sie zugegriffen wurde.
    SpeicherortSpeicherort der Datei.
    ProzessDetails des Prozesses, z. B. Imagegröße und PID.
    You are here
    Table of Contents > Investigate-Referenzmaterialien > Ansicht „Hosts“ – Registerkarte „Bibliotheken“

    Attachments

      Outcomes