Investigate : Vue Fichiers

Document created by RSA Information Design and Development on Oct 22, 2018
Version 1Show Document
  • View in full screen mode
 

Remarque : Les informations de cette rubrique s'appliquent à RSA NetWitness® Suite  version 11.1 ou ultérieure.

Dans la vue Fichiers, une liste de fichiers exécutables uniques figurantdans le déploiement est disponible. Pour accéder à cette vue, sélectionnez ENQUÊTER > Fichiers. Par défaut, la vue Fichiers affiche 100 fichiers. Pour afficher plus de fichiers, cliquez sur Charger davantage au bas de la page.

Workflow

high-level Investigate workflow wiht Find Suspicious Endpoint Files and the associated action highlighted

Que voulez-vous faire ?

                                                     
Rôle d'utilisateurJe souhaite...Documentation relative à la version 11.1
Responsable de la recherche des menaces

parcourir les métadonnées d'événement

Commencer une procédure d'enquête dans la vue Naviguer ou la vue Événements

Responsable de la recherche des menaces

parcourir les événements bruts

Commencer une procédure d'enquête dans la vue Naviguer ou la vue Événements

Responsable de la recherche des menaces

analyser les métadonnées et événements bruts

Commencer une procédure d'enquête dans la vue Analyse d'événements

Responsable de la recherche des menacesexaminer les points de terminaison (Version 11.1) Examiner les hôtes

Responsable de la recherche des menaces

rechercher des fichiers de point de terminaison suspects (Version 11.1)*

Examiner les fichiers

Responsable de la recherche des menacesanalyser les fichiers et les événements des programmes malveillantsMener une analyse de malware

Responsable de la réponse aux incidents

triage d'un incident dans Investigate

Guide d'utilisation de NetWitness Respond

Responsable de la recherche des menacesexporter les attributs des hôtes et les fichiers globaux* Examiner les fichiers

*Vous pouvez effectuer cette tâche dans la vue actuelle

Rubriques connexes

Aperçu rapide

Voici un exemple de la vue Fichiers.

Files View

                             
1Menu déroulant Ajouter des filtres. Vous pouvez filtrer les fichiers en choisissant un système d'exploitation (Windows, Linux ou Mac), des filtres enregistrés ou en sélectionnant les options du menu déroulant Ajouter des filtres. Pour plus d'informations, voir Filtrer les fichiers.
2Filtres enregistrés. Le panneau Filtres enregistrés affiche les filtres enregistrés. Pour plus d'informations, voir Filtrer les fichiers.
3

Trier les colonnes. Vous pouvez trier la liste par :

Nom du fichier - Nom du fichier.

Heure de la première visualisation : La première fois que le hachage a été vu dans l'hôte.

Signature - Indique si le fichier est signé ou non signé, valide ou non valide et fournit des informations relatives aux signataires.

Taille - Taille du fichier.

Entropie - Détermine si le contenu est compressé ou chiffré.

Format - Format du fichier - Windows (PE), Linux (ELF et scripts) et Mac (Macho).

PE.Resources.Company - Nom de l'entreprise.

4Menu Paramètres. Vous pouvez définir les préférences de la vue Fichiers en sélectionnant des colonnes dans le menu Paramètres. Pour plus d'informations, voir Définir les préférences de fichiers.
5Exporter dans un fichier CSV - Extrait les fichiers globaux dans un fichier CSV. Pour plus d'informations, voir Examiner les fichiers.

6

Pivoter vers les vues Naviguer et Analyse d'événements. Pour rechercher un nom de fichier ou un hachage particulier (SHA256 et MD5), vous pouvez faire pivoter les vues Naviguer et Analyse d'événements. Pour plus d'informations, voir Pivoter vers les vues Naviguer et Analyse d'événements..

Previous Topic:Vue Événements
You are here
Table of Contents > Matériaux de référence Enquêter > Vue Fichiers

Attachments

    Outcomes