調査:[ファイル]ビュー

Document created by RSA Information Design and Development on Oct 19, 2018
Version 1Show Document
  • View in full screen mode
 

注:このトピックに記載されている情報はRSA NetWitness® Suite バージョン11.1以降に適用されます。

[ファイル]ビューでは、導入環境に固有の実行可能ファイルのリストを表示できます。このビューにアクセスするには、[調査]>[ファイル]に移動します。デフォルトで、[ファイル]ビューには100個のファイルが表示されます。それ以上のファイルを表示するには、ページの下部にある[さらに読み込み]をクリックします。

ワークフロー

high-level Investigate workflow wiht Find Suspicious Endpoint Files and the associated action highlighted

実行したいことは何ですか?

                                                     
ユーザのロール実行したいこと11.1ドキュメント
脅威ハンター

イベント メタデータを参照する

[ナビゲート]または[イベント]ビューで調査を開始する

脅威ハンター

RAWイベントを参照する

[ナビゲート]または[イベント]ビューで調査を開始する

脅威ハンター

RAWイベントとメタデータを分析する

[イベント分析]ビューで調査を開始する

脅威ハンターエンドポイントを調査する(バージョン11.1) ホストの調査

脅威ハンター

不審なエンドポイント ファイルを探す(バージョン11.1)*

ファイルの調査

脅威ハンターファイルとイベントをスキャンしてマルウェアを探すMalware Analysisの実施

インシデント対応者

調査でインシデントを優先順位付けする

NetWitness Respondユーザ ガイド

脅威ハンターホストの属性とグローバル ファイルをエクスポートする* ファイルの調査

*このタスクは現在のビューで実行できます

関連トピック

簡単な説明

以下は、[ファイル]ビューの例です。

Files View

                             
1[フィルタの追加]ドロップダウン メニュー。オペレーティング システム(Windows、Linux、またはMac)または保存されたフィルタを選択するか、[フィルタの追加]ドロップダウン メニューでオプションを選択して、ファイルをフィルタできます。詳細については、「ファイルのフィルタ」を参照してください。
2[保存されたフィルタ]。 [保存されたフィルタ]パネルには、保存済みのフィルタが一覧表示されます。詳細については、「ファイルのフィルタ」を参照してください。
3

ソート列 リストを以下でソートできます。

ファイル名:ファイルの名前。

初回確認時刻:ハッシュがホストで初めて確認された時刻。

署名:ファイルが署名されているかどうかと、有効か無効かを示し、署名情報を提供します。

サイズ:ファイルのサイズ。

エントロピー:コンテンツが圧縮または暗号化されているかどうかを判断します。

形式:ファイルの形式。Windows(PE)、Linux(ELFとスクリプト)、Mac(Macho)。

PE.Resources.Company:会社名。

4[設定]メニュー。 [設定]メニューから列を選択して[ファイル]ビューの環境設定を設定できます。詳細については、「ファイル環境設定の設定」を参照してください。
5CSVにエクスポート]:グローバル ファイルをCSVファイルに抽出します。詳細については、「ファイルの調査」を参照してください。

6

[ナビゲート]ビューと[イベント分析]ビューへの移動。 特定のファイル名またはハッシュ(SHA256とMD5)を調査するには、[ナビゲート]ビューまたは[イベント分析]ビューに移動します。詳細については、「[ナビゲート]ビューと[イベント分析]ビューへの移行」を参照してください。

You are here
Table of Contents > Investigateの参考情報 > [ファイル]ビュー

Attachments

    Outcomes