調査:[ホスト]ビュー:[プロセス]タブ

Document created by RSA Information Design and Development on Oct 19, 2018
Version 1Show Document
  • View in full screen mode
 

注:このトピックに記載されている情報はRSA NetWitness® Suite バージョン11.1以降に適用されます。

[プロセス]パネルには、ホストで実行されているプロセスの一覧が表示されます。このタブにアクセスするには、[ホスト]ビューからホストを選択して[プロセス]タブをクリックします。

ワークフロー

high-level Investigate workflow with Investigate Endpoints and associated actions highlighted

実行したいことは何ですか?

                                                     
ユーザのロール実行したいこと11.1ドキュメント
脅威ハンター

イベント メタデータを参照する

[ナビゲート]または[イベント]ビューで調査を開始する

脅威ハンター

RAWイベントを参照する

[ナビゲート]または[イベント]ビューで調査を開始する

脅威ハンター

RAWイベントとメタデータを分析する

[イベント分析]ビューで調査を開始する

脅威ハンターエンドポイントを調査する(バージョン11.1)*ホストの調査

脅威ハンター

不審なエンドポイント ファイルを探す(バージョン11.1)

ファイルの調査

脅威ハンターファイルとイベントをスキャンしてマルウェアを探すMalware Analysisの実施

インシデント対応者

調査でインシデントを優先順位付けする

NetWitness Respondユーザ ガイド

脅威ハンターホストで実行されているプロセスを表示する* ホストの調査

*このタスクは現在のビューで実行できます。

関連トピック

簡単な説明

以下は、[プロセス]タブの例です。

Process tab

[プロセス]パネルには次の情報が表示されます。

・プロセスの詳細

                                           
フィールド説明
プロセス名プロセスの名前。例:server.exe
PIDプロセスID。例:492
親プロセス(PPID)親の名前とプロセスID。例:4
オーナープロセスのオーナー。例:SYSTEM

署名

ファイルが署名されているかどうかと、有効か無効かを示し、署名情報を提供します。

パス

プロセスと関連付けられたファイルのディスク上のパス。例:C:\Windows\System32

起動の引数

プロセスが起動したときに渡されるコマンドライン引数。例:-k LocalServiceNoNetwork

作成時間

プロセスが作成された日時。例:01/19/2018 11:32:29.908 am

  • DLL(Windows)、Dylib(Mac)、.SO(Linux)などの、選択されたプロセスに対してロードされているライブラリのリスト。
  • Autorunのリスト(構成されている場合)。

[プロセスのプロパティ]パネル

このパネルには、選択したプロセスのすべてのプロパティが表示されます。これは、次のようにグループ化されます。

                                       
カテゴリ説明
全般
  • ファイル名、エントロピー、サイズ、形式など、ファイルに関する全般情報。
  • 署名署名についての情報。
    ハッシュファイルのハッシュ タイプ(MD5、SHA1、SHA256)。
    時間ファイルが作成、変更、またはアクセスされた日時。
    場所ファイルの場所。
    プロセスイメージ サイズやPIDなどのプロセスの詳細。

    イメージ

    プロセスがロードしたイメージの詳細。

    You are here
    Table of Contents > Investigateの参考情報 > [ホスト]ビュー:[プロセス]タブ

    Attachments

      Outcomes