Investigate : Vue Hôtes - Onglet processus

Document created by RSA Information Design and Development on Oct 22, 2018
Version 1Show Document
  • View in full screen mode
 

Remarque : Les informations de cette rubrique s'appliquent à RSA NetWitness® Suite  version 11.1 ou ultérieure.

Le panneau de processus fournit la liste des processus en cours d'exécution sur l'hôte. Pour accéder à cet onglet, sélectionnez un hôte dans la vue Hôtes, puis cliquez sur l'onglet Processus.

Workflow

high-level Investigate workflow with Investigate Endpoints and associated actions highlighted

Que voulez-vous faire ?

                                                     
Rôle d'utilisateurJe souhaite...Documentation relative à la version 11.1
Responsable de la recherche des menaces

parcourir les métadonnées d'événement

Commencer une procédure d'enquête dans la vue Naviguer ou la vue Événements

Responsable de la recherche des menaces

parcourir les événements bruts

Commencer une procédure d'enquête dans la vue Naviguer ou la vue Événements

Responsable de la recherche des menaces

analyser les métadonnées et événements bruts

Commencer une procédure d'enquête dans la vue Analyse d'événements

Responsable de la recherche des menacesexaminer les points de terminaison (Version 11.1)*Examiner les hôtes

Responsable de la recherche des menaces

rechercher des fichiers de point de terminaison suspects (Version 11.1)

Examiner les fichiers

Responsable de la recherche des menacesanalyser les fichiers et les événements des programmes malveillantsMener une analyse de malware

Responsable de la réponse aux incidents

triage d'un incident dans Investigate

Guide d'utilisation de NetWitness Respond

Responsable de la recherche des menacesafficher les processus en cours d'exécution sur l'hôte* Examiner les hôtes

*Vous pouvez effectuer cette tâche dans la vue actuelle.

Rubriques connexes

Aperçu rapide

Voici un exemple de l'onglet Processus :

Process tab

Le panneau Processus affiche les informations suivantes :

•Détails du processus

                                           
ChampDescription
Nom du processusNom du processus. Par exemple, server.exe.
PIDID du processus. Par exemple, 492.
Processus parent (PPID)Nom et ID du processus du parent. Par exemple, 4.
PropriétairePropriétaire du processus. Par exemple, SYSTEM.

Signature

Indique si le fichier est signé ou non signé, valide ou non valide et fournit des informations relatives aux signataires.

Chemin

Chemin du fichier associé au processus sur le disque. Par exemple, C:\Windows\System32.

Arguments de lancement

Arguments de ligne de commande transmis au processus lorsqu'il est lancé. Par exemple, -k LocalServiceNoNetwork.

Date et heure de création

Moment auquel le processus a été créé. Par exemple, 01/19/2018 11:32:29.908 am.

  • Liste des bibliothèques chargées pour le processus sélectionné, telles que les DLL (pour Windows), Dylibs (pour Mac) ou .SO (pour Linux).
  • Liste des exécutions automatiques (si configuré).

Panneau Propriétés du processus

Ce panneau affiche toutes les propriétés du processus sélectionné. Il se présente comme suit :

                                       
CatégorieDescription
Général
  • Informations générales sur le fichier, telles que le nom de fichier, l'entropie, la taille et le format.
  • SignatureFournit des informations sur le signataire.
    HachageType de hachage de fichier (MD5, SHA1 et SHA256).
    HeureHeure à laquelle le fichier a été créé, modifié ou ouvert.
    LieuEmplacement du fichier.
    ProcessusDétails du processus : taille de l'image et PID.

    Image

    Détails de l'image chargés par le processus.

    You are here
    Table of Contents > Matériaux de référence Enquêter > Vue Hôtes - Onglet processus

    Attachments

      Outcomes