Investigate : Vue Hôtes - Onglet Exécutions automatiques

Document created by RSA Information Design and Development on Oct 22, 2018Last modified by RSA Information Design and Development on Apr 29, 2019
Version 2Show Document
  • View in full screen mode
 

Remarque : Les informations de cette rubrique s'appliquent à RSA NetWitness® Platform version 11.1 ou ultérieure.

Le panneau Exécutions automatiques fournit la liste des exécutions automatiques, des services, des tâches et des tâches cron s'exécutant sur l'hôte. Pour accéder à cet onglet, sélectionnez un hôte dans la vue Hôtes, puis cliquez sur l'onglet Exécutions automatiques.

Workflow

high-level Investigate workflow with Investigate Endpoints and associated actions highlighted

Que voulez-vous faire ?

                                                     
Rôle d'utilisateurJe souhaite...Me montrer comment
Responsable de la recherche des menaces

parcourir les métadonnées d'événement

Commencer une procédure d'enquête dans la vue Naviguer ou la vue Événements

Responsable de la recherche des menaces

parcourir les événements bruts

Commencer une procédure d'enquête dans la vue Naviguer ou la vue Événements

Responsable de la recherche des menaces

analyser les métadonnées et événements bruts

Commencer une procédure d'enquête dans la vue Analyse d'événements

Responsable de la recherche des menacesexaminer les points de terminaison (Version 11.1)*Examiner les hôtes

Responsable de la recherche des menaces

rechercher des fichiers de point de terminaison suspects (Version 11.1)

Examiner les fichiers

Responsable de la recherche des menacesanalyser les fichiers et les événements des programmes malveillantsMener une analyse de malware

Responsable de la réponse aux incidents

triage d'un incident dans Investigate

Guide d'utilisation de NetWitness Respond

Responsable de la recherche des menacesafficher les exécutions automatiques, services et tâches cron en cours d'exécution sur l'hôte* Analyser les exécutions automatiques

*Vous pouvez effectuer cette tâche dans la vue actuelle.

Rubriques connexes

Aperçu rapide

Voici un exemple de l'onglet Exécutions automatiques :

Autoruns tab

                       
CatégorieDescription
Exécutions automatiques

Fichiers qui sont exécutés au démarrage. Il affiche les colonnes suivantes :

  • Nom de fichier - cmd.exe
  • Chemin de registre - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot @AlternateShell
Services

Fichiers qui s'exécutent en tant que service pour l'hôte sélectionné. Il affiche les colonnes suivantes :

  • Nom du service - acsock
  • État en cours d'exécution :stopped
  • Heure de création du fichier - 07/11/2017 11:47:00 am
  • Signature - Microsoft, signed, valid
  • Chemin d'accès du fichier - C:\Windows\System32\drivers
Tâches/tâches Cron

Fichiers configurés pour s'exécuter en tant que tâches planifiées avec le déclencheur. Il affiche les colonnes suivantes :

  • Nom - shell32.dll
  • Hachage - cafa6e7b6a9220e7c805ea476a89a78800f48bb48c66fe5f935057940df3909c
  • Dernière heure d'exécution - 01/19/2018 05:34:50 pm
  • Prochaine heure d'exécution - 12/30/1899 05:30:00 am
  • Déclencheur - No Trigger

Panneau Propriétés des exécutions automatiques

Ce panneau affiche toutes les propriétés du fichier sélectionné. Il se présente comme suit :

                                   
CatégorieDescription
Réputation
  • État de réputation du fichier obtenu à partir de Reversing Lab. Les différents statuts sont Inconnu, Suspect, Malveillant et Correct.
  • Signature Fournit des informations sur le signataire.
    HachageType de hachage du fichier (MD5, SHA256 et SHA1).
    HeureHeure à laquelle le fichier a été créé, modifié ou ouvert.
    LieuEmplacement du fichier.
    Image Charger l'image
    Previous Topic:Vue Hôtes
    You are here
    Table of Contents > Matériaux de référence Enquêter > Vue Hôtes - Onglet Exécutions automatiques

    Attachments

      Outcomes