Investigate : Vue Hôtes - Onglet Exécutions automatiques

Document created by RSA Information Design and Development on Oct 22, 2018
Version 1Show Document
  • View in full screen mode
 

Remarque : Les informations de cette rubrique s'appliquent à RSA NetWitness® Suite  version 11.1 ou ultérieure.

Le panneau Exécutions automatiques fournit la liste des exécutions automatiques, des services, des tâches et des tâches cron s'exécutant sur l'hôte. Pour accéder à cet onglet, sélectionnez un hôte dans la vue Hôtes, puis cliquez sur l'onglet Exécutions automatiques.

Workflow

high-level Investigate workflow with Investigate Endpoints and associated actions highlighted

Que voulez-vous faire ?

                                                     
Rôle d'utilisateurJe souhaite...Documentation relative à la version 11.1
Responsable de la recherche des menaces

parcourir les métadonnées d'événement

Commencer une procédure d'enquête dans la vue Naviguer ou la vue Événements

Responsable de la recherche des menaces

parcourir les événements bruts

Commencer une procédure d'enquête dans la vue Naviguer ou la vue Événements

Responsable de la recherche des menaces

analyser les métadonnées et événements bruts

Commencer une procédure d'enquête dans la vue Analyse d'événements

Responsable de la recherche des menacesexaminer les points de terminaison (Version 11.1)*Examiner les hôtes

Responsable de la recherche des menaces

rechercher des fichiers de point de terminaison suspects (Version 11.1)

Examiner les fichiers

Responsable de la recherche des menacesanalyser les fichiers et les événements des programmes malveillantsMener une analyse de malware

Responsable de la réponse aux incidents

triage d'un incident dans Investigate

Guide d'utilisation de NetWitness Respond

Responsable de la recherche des menacesafficher les exécutions automatiques, services et tâches cron en cours d'exécution sur l'hôte* Analyser les exécutions automatiques

*Vous pouvez effectuer cette tâche dans la vue actuelle.

Rubriques connexes

Aperçu rapide

Voici un exemple de l'onglet Exécutions automatiques :

Autoruns tab

                       
CatégorieDescription
Exécutions automatiques

Fichiers qui sont exécutés au démarrage. Il affiche les colonnes suivantes :

  • Nom du fichier - cmd.exe
  • Chemin de registre - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot @AlternateShell
Services

Fichiers qui s'exécutent en tant que service pour l'hôte sélectionné. Il affiche les colonnes suivantes :

  • Nom du service - acsock
  • État en cours d'exécution :stopped
  • Heure de création du fichier - 07/11/2017 11:47:00 am
  • Signature - Microsoft, signed, valid
  • Chemin d'accès du fichier - C:\Windows\System32\drivers
Tâches/tâches Cron

Fichiers configurés pour s'exécuter en tant que tâches planifiées avec le déclencheur. Il affiche les colonnes suivantes :

  • Nom - shell32.dll
  • Hachage - cafa6e7b6a9220e7c805ea476a89a78800f48bb48c66fe5f935057940df3909c
  • Dernière heure d'exécution - 01/19/2018 05:34:50 pm
  • Prochaine heure d'exécution - 12/30/1899 05:30:00 am
  • Déclencheur - No Trigger

Panneau Propriétés des exécutions automatiques

Ce panneau affiche toutes les propriétés du fichier sélectionné. Il se présente comme suit :

                                   
CatégorieDescription
Général
  • Informations générales sur le fichier, telles que le nom de fichier, l'entropie, la taille et le format.
  • SignatureFournit des informations sur le signataire.
    HachageType de hachage du fichier (MD5, SHA256 et SHA1).
    HeureHeure à laquelle le fichier a été créé, modifié ou ouvert.
    LieuEmplacement du fichier.

    Image

    Image chargée.

    Previous Topic:Vue Hôtes
    You are here
    Table of Contents > Matériaux de référence Enquêter > Vue Hôtes - Onglet Exécutions automatiques

    Attachments

      Outcomes