Investigar: Vista Hosts: Pestaña Proceso

Document created by RSA Information Design and Development on Oct 22, 2018Last modified by RSA Information Design and Development on Apr 24, 2019
Version 3Show Document
  • View in full screen mode
 

Nota: La información de este tema se aplica a RSA NetWitness® Platform versión 11.1 y superior.

El panel de proceso proporciona una lista de procesos que se ejecutan en el host. Para acceder a esta pestaña, seleccione un host en la vista Hosts y haga clic en la pestaña Proceso.

Flujo de trabajo

high-level Investigate workflow with Investigate Endpoints and associated actions highlighted

¿Qué desea hacer?

                                                     
Función de usuarioDeseo…Mostrarme cómo
Buscador de amenazas

navegar por metadatos de eventos

Comenzar una investigación en las vistas Navegar o Eventos

Buscador de amenazas

navegar por eventos crudos

Comenzar una investigación en las vistas Navegar o Eventos

Buscador de amenazas

analizar eventos crudos y metadatos

Comenzar una investigación en la vista Análisis de eventos

Buscador de amenazasinvestigar terminales (versión 11.1)*Investigar los hosts

Buscador de amenazas

buscar archivos sospechosos en terminales (versión 11.1)

Investigar los archivos

Buscador de amenazasbuscar malware en archivos y eventosRealización de un análisis de malware

Encargado de respuesta ante incidentes

realizar triage a un incidente en Investigate

Guía del usuario de NetWitness Respond

Buscador de amenazasver los procesos en ejecución en el host* Investigar los hosts

*Puede realizar esta tarea en la vista actual.

Temas relacionados

Vista rápida

Este es un ejemplo de la pestaña Proceso:

Process tab

El panel Proceso muestra la siguiente información bajo Detalles del proceso:

                                           
CampoDescripción
Nombre de procesoNombre del proceso. Por ejemplo, server.exe.
PIDID del proceso. Por ejemplo, 492.
Proceso primario (PPID)Nombre e ID de proceso del elemento primario. Por ejemplo, 4.
PropietarioPropietario del proceso. Por ejemplo, SYSTEM.

Firma

Indica si el archivo está o no firmado y si es o no válido, y proporciona información acerca del signatario.

Ruta

Ruta del archivo asociado al proceso en el disco. Por ejemplo, C:\Windows\System32.

Argumentos de lanzamiento

Argumentos de la línea de comandos transmitidos al proceso cuando se inicia. Por ejemplo, -k LocalServiceNoNetwork.

Hora de creación

Hora en que se creó el proceso. Por ejemplo, 01/19/2018 11:32:29.908 am.

  • Lista de bibliotecas cargadas para el proceso seleccionado, como archivos DLL (para Windows), Dylibs (para Mac) o .SO (para Linux).
  • Lista de ejecuciones automáticas (si están configuradas).

Panel Propiedades de proceso

Este panel muestra todas las propiedades del proceso seleccionado. Se agrupa de la siguiente manera:

                                       
CategoríaDescripción
General
  • Información general acerca del archivo, como nombre de archivo, entropía, tamaño y formato.
  • FirmaProporciona información acerca del signatario.
    HashTipo de hash del archivo (MD5, SHA1 y SHA256).
    TiempoHora en que se creó o se modificó el archivo, o en que se accedió a él.
    UbicaciónUbicación del archivo.
    ProcesoDetalles del proceso, como el tamaño de la imagen y el PID.

    Imagen

    Detalles de la imagen que carga el proceso.

    You are here
    Table of Contents > Materiales de referencia de Investigate > Vista Hosts--Pestaña Proceso

    Attachments

      Outcomes