Investigate: Vista Hosts: Pestaña Ejecuciones automáticas

Document created by RSA Information Design and Development on Oct 22, 2018Last modified by RSA Information Design and Development on Oct 24, 2018
Version 2Show Document
  • View in full screen mode
 

Note: The information in this topic applies to RSA NetWitness® Suite Version 11.1 and later.

El panel Ejecuciones automáticas proporciona una lista de ejecuciones automáticas, servicios, tareas y trabajos cron que se ejecutan en el host. Para acceder a esta pestaña, seleccione un host en la vista Hosts y haga clic en la pestaña Ejecuciones automáticas.

Flujo de trabajo

high-level Investigate workflow with Investigate Endpoints and associated actions highlighted

¿Qué desea hacer?

                                                     
Función de usuarioDeseo…Documentación de 11.1
Buscador de amenazas

navegar por metadatos de eventos

Comenzar una investigación en las vistas Navegar o Eventos

Buscador de amenazas

navegar por eventos crudos

Comenzar una investigación en las vistas Navegar o Eventos

Buscador de amenazas

analizar eventos crudos y metadatos

Comenzar una investigación en la vista Análisis de eventos

Buscador de amenazasinvestigar terminales (versión 11.1)*Investigar los hosts

Buscador de amenazas

buscar archivos sospechosos en terminales (versión 11.1)

Investigar los archivos

Buscador de amenazasbuscar malware en archivos y eventosRealización de un análisis de malware

Encargado de respuesta ante incidentes

realizar triage a un incidente en Investigate

Guía del usuario de NetWitness Respond

Buscador de amenazasver las ejecuciones automáticas, los servicios, las tareas y los trabajos cron que están en ejecución en el host* Analizar las ejecuciones automáticas

*Puede realizar esta tarea en la vista actual.

Temas relacionados

Vista rápida

Este es un ejemplo de la pestaña Ejecuciones automáticas:

Autoruns tab

                       
CategoríaDescripción
Ejecuciones automáticas

Archivos que se ejecutan en el arranque. Muestra las siguientes columnas:

  • Nombre del archivo: cmd.exe
  • Ruta del registro: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot @AlternateShell
Servicios

Archivos que se ejecutan como servicio para el host seleccionado. Muestra las siguientes columnas:

  • Nombre del servicio: acsock
  • Estado de ejecución: stopped
  • Hora de creación del archivo: 07/11/2017 11:47:00 am
  • Firma: Microsoft, signed, valid
  • Ruta del archivo: C:\Windows\System32\drivers
Tareas/trabajos cron

Archivos que están configurados para ejecutarse como tareas programadas junto con el desencadenante. Muestra las siguientes columnas:

  • Nombre: shell32.dll
  • Hash: cafa6e7b6a9220e7c805ea476a89a78800f48bb48c66fe5f935057940df3909c
  • Hora de última ejecución: 01/19/2018 05:34:50 pm
  • Próxima hora de ejecución: 12/30/1899 05:30:00 am
  • Desencadenante: No Trigger

Panel Propiedades de ejecución automática

Este panel muestra todas las propiedades del archivo seleccionado. Se agrupa de la siguiente manera:

                                   
CategoríaDescripción
General
  • Información general acerca del archivo, como nombre de archivo, entropía, tamaño y formato.
  • FirmaProporciona información acerca del signatario.
    HashTipo de hash del archivo (MD5, SHA256 y SHA1).
    TiempoHora en que se creó o se modificó el archivo, o en que se accedió a él.
    UbicaciónUbicación del archivo.

    Imagen

    Imagen cargada.

    Previous Topic:Hosts View
    You are here
    Table of Contents > Materiales de referencia de Investigate > Hosts View - Autoruns Tab

    Attachments

      Outcomes