Investigate : Vue Hôtes - Onglet Fichiers

Document created by RSA Information Design and Development on Oct 22, 2018
Version 1Show Document
  • View in full screen mode
 

Remarque : Les informations de cette rubrique s'appliquent à RSA NetWitness® Suite  version 11.1 ou ultérieure.

L'onglet Fichiers affiche tous les fichiers analysés sur l'hôte. Pour accéder à cet onglet, sélectionnez un hôte dans la vue Hôtes, puis cliquez sur l'onglet Fichiers. Par défaut, 100 fichiers sont affichés. Pour afficher plus de fichiers, cliquez sur Charger davantage au bas de la page.

Workflow

high-level Investigate workflow with Investigate Endpoints and associated actions highlighted

Que voulez-vous faire ?

                                                     
Rôle d'utilisateurJe souhaite...Documentation relative à la version 11.1
Responsable de la recherche des menaces

parcourir les métadonnées d'événement

Commencer une procédure d'enquête dans la vue Naviguer ou la vue Événements

Responsable de la recherche des menaces

parcourir les événements bruts

Commencer une procédure d'enquête dans la vue Naviguer ou la vue Événements

Responsable de la recherche des menaces

analyser les métadonnées et événements bruts

Commencer une procédure d'enquête dans la vue Analyse d'événements

Responsable de la recherche des menacesexaminer les points de terminaison (Version 11.1)*Examiner les hôtes

Responsable de la recherche des menaces

rechercher des fichiers de point de terminaison suspects (Version 11.1)

Examiner les fichiers

Responsable de la recherche des menacesanalyser les fichiers et les événements des programmes malveillantsMener une analyse de malware

Responsable de la réponse aux incidents

triage d'un incident dans Investigate

Guide d'utilisation de NetWitness Respond

Responsable de la recherche des menacesafficher les fichiers analysés sur l'hôte* Analyser les fichiers

*Vous pouvez effectuer cette tâche dans la vue actuelle.

Rubriques connexes

Aperçu rapide

Voici un exemple de l'onglet Fichiers :

Files tab

                                           
ChampDescription
Nom du fichierNom du fichier. Par exemple, 7-zip.dll.

Entropie

Entropie des données d'image, à l'exclusion des en-têtes PE. Détermine si le contenu est compacté (compressé ou chiffré).

Taille

Taille du fichier. Peut être un indicateur lors de l'accès à un fichier.

Chemin

Chemin du fichier. Parfois, les auteurs de programmes malveillants placent le fichier dans des répertoires où il n'y a généralement pas de fichiers de ce type. Les fichiers malveillants sont généralement des fichiers autonomes (par exemple, un fichier à la racine C:\ProgramData) par rapport à un groupe de fichiers dans un dossier légitime (par exemple, les fichiers figurant dans C:\Program Files\<folder name>\).

Signature

Indique si le fichier est signé ou non signé, valide ou non valide et fournit des informations relatives aux signataires.

Créé

Horodatage du fichier.

Nom d'utilisateur

Utilisateur du fichier (pour Linux). Par exemple, root.

Nom du groupeGroupe auquel appartient l'utilisateur (pour Linux). Par exemple, root (0).

Panneau Propriétés du fichier

Ce panneau affiche toutes les propriétés du fichier sélectionné. Il se présente comme suit :

                               
CatégorieDescription
Général
  • Informations générales sur le fichier, telles que le nom de fichier, l'entropie, la taille et le format.
  • SignatureFournit des informations sur le signataire.
    HachageType de hachage du fichier (MD5, SHA256 et SHA1).
    HeureHeure à laquelle le fichier a été créé, modifié ou ouvert.
    LieuEmplacement du fichier.
    You are here
    Table of Contents > Matériaux de référence Enquêter > Vue Hôtes - Onglet Fichiers

    Attachments

      Outcomes