調査:[ホスト]ビュー:[ファイル]タブ

Document created by RSA Information Design and Development on Oct 19, 2018
Version 1Show Document
  • View in full screen mode
 

注:このトピックに記載されている情報はRSA NetWitness® Suite バージョン11.1以降に適用されます。

[ファイル]タブには、ホストでスキャンされたすべてのファイルが表示されます。このタブにアクセスするには、[ホスト]ビューからホストを選択し、[ファイル]タブをクリックします。デフォルトでは、100個のファイルが表示されます。それ以上のファイルを表示するには、ページの下部にある[さらに読み込み]をクリックします。

ワークフロー

high-level Investigate workflow with Investigate Endpoints and associated actions highlighted

実行したいことは何ですか?

                                                     
ユーザのロール実行したいこと11.1ドキュメント
脅威ハンター

イベント メタデータを参照する

[ナビゲート]または[イベント]ビューで調査を開始する

脅威ハンター

RAWイベントを参照する

[ナビゲート]または[イベント]ビューで調査を開始する

脅威ハンター

RAWイベントとメタデータを分析する

[イベント分析]ビューで調査を開始する

脅威ハンターエンドポイントを調査する(バージョン11.1)*ホストの調査

脅威ハンター

不審なエンドポイント ファイルを探す(バージョン11.1)

ファイルの調査

脅威ハンターファイルとイベントをスキャンしてマルウェアを探すMalware Analysisの実施

インシデント対応者

調査でインシデントを優先順位付けする

NetWitness Respondユーザ ガイド

脅威ハンターホストでスキャンされたファイルを表示する* ファイルの分析

*このタスクは現在のビューで実行できます。

関連トピック

簡単な説明

以下は、[ファイル]タブの例です。

Files tab

                                           
フィールド説明
ファイル名ファイルの名前。例:7-zip.dll

エントロピー

PEヘッダーを除く、イメージ データのエントロピー。コンテンツがパック化(圧縮または暗号化)されているかどうかを判断します。

サイズ

ファイルのサイズ。ファイルを評価するときのインジケータにもなります。

パス

ファイルのパス。マルウェアの作成者はマルウェア ファイルを、通常はそのようなファイルがないディレクトリに配置することがあります。悪意のあるファイルは、正当なフォルダにある一連のファイル(たとえば、C:\Program Files\<folder name>\にある複数のファイル)ではなく、通常はスタンドアロン ファイルです(たとえば、ルートのC:\ProgramDataにある1つのファイル)。

署名

ファイルが署名されているかどうかと、有効か無効かを示し、署名情報を提供します。

作成日時

ファイルのタイム スタンプ。

ユーザ名

ファイルのユーザ(Linuxの場合)。例:root

グループ名ユーザが所属するグループ(Linuxの場合)。例:root (0)

[ファイル プロパティ]パネル

このパネルには、選択したファイルのすべてのプロパティが表示されます。これは、次のようにグループ化されます。

                               
カテゴリ説明
全般
  • ファイル名、エントロピー、サイズ、形式など、ファイルに関する全般情報。
  • 署名署名についての情報。
    ハッシュファイルのハッシュ タイプ(MD5、SHA256、SHA1)。
    時間ファイルが作成、変更、またはアクセスされた日時。
    場所ファイルの場所。
    You are here
    Table of Contents > Investigateの参考情報 > [ホスト]ビュー:[ファイル]タブ

    Attachments

      Outcomes