調査:[ホスト]ビュー:[Autorun]タブ

Document created by RSA Information Design and Development on Oct 19, 2018
Version 1Show Document
  • View in full screen mode
 

注:このトピックに記載されている情報はRSA NetWitness® Suite バージョン11.1以降に適用されます。

[Autorun]パネルでは、ホストで実行されているAutorun、サービス、タスク、cronジョブが一覧表示されます。このタブにアクセスするには、[ホスト]ビューからホストを選択して、[Autorun]タブをクリックします。

ワークフロー

high-level Investigate workflow with Investigate Endpoints and associated actions highlighted

実行したいことは何ですか?

                                                     
ユーザのロール実行したいこと11.1ドキュメント
脅威ハンター

イベント メタデータを参照する

[ナビゲート]または[イベント]ビューで調査を開始する

脅威ハンター

RAWイベントを参照する

[ナビゲート]または[イベント]ビューで調査を開始する

脅威ハンター

RAWイベントとメタデータを分析する

[イベント分析]ビューで調査を開始する

脅威ハンターエンドポイントを調査する(バージョン11.1)*ホストの調査

脅威ハンター

不審なエンドポイント ファイルを探す(バージョン11.1)

ファイルの調査

脅威ハンターファイルとイベントをスキャンしてマルウェアを探すMalware Analysisの実施

インシデント対応者

調査でインシデントを優先順位付けする

NetWitness Respondユーザ ガイド

脅威ハンターホストで実行されているAutorun、サービス、タスク、cronジョブを表示する*[65]Autorunの分析

*このタスクは現在のビューで実行できます。

関連トピック

簡単な説明

以下は、[Autorun]タブの例です。

Autoruns tab

                       
カテゴリ説明
Autorun

起動時に実行されるファイル。次の列が表示されます。

  • ファイル名:cmd.exe
  • レジストリ パス:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet
    \Control\SafeBoot @AlternateShell
サービス

選択したホストでサービスとして実行されているファイル。次の列が表示されます。

  • サービス名:acsock
  • 実行ステータス:stopped
  • ファイル作成日時:07/11/2017 11:47:00 am
  • 署名:Microsoft, signed, valid
  • ファイル パス:C:\Windows\System32\drivers
タスク/Cronジョブ

スケジュール タスクとして実行するように構成されたファイルとそのトリガー。次の列が表示されます。

  • 名前:shell32.dll
  • ハッシュ:cafa6e7b6a9220e7c805ea476a89a78800f48
    bb48c66fe5f935057940df3909c
  • 前回の実行時間:01/19/2018 05:34:50 pm
  • 次回の実行日時:12/30/1899 05:30:00 am
  • トリガー:No Trigger

[Autorunプロパティ]パネル

このパネルには、選択したファイルのすべてのプロパティが表示されます。これは、次のようにグループ化されます。

                                   
カテゴリ説明
全般
  • ファイル名、エントロピー、サイズ、形式など、ファイルに関する全般情報。
  • 署名署名についての情報。
    ハッシュファイルのハッシュ タイプ(MD5、SHA256、SHA1)。
    時間ファイルが作成、変更、またはアクセスされた日時。
    場所ファイルの場所。

    イメージ

    ロードされたイメージ。

    You are here
    Table of Contents > Investigateの参考情報 > [ホスト]ビュー:[Autorun]タブ

    Attachments

      Outcomes