Investigate: Vista Hosts: Pestaña Proceso

Document created by RSA Information Design and Development on Oct 22, 2018Last modified by RSA Information Design and Development on Oct 24, 2018
Version 2Show Document
  • View in full screen mode
 

Note: The information in this topic applies to RSA NetWitness® Suite Version 11.1 and later.

El panel de proceso proporciona una lista de procesos que se ejecutan en el host. Para acceder a esta pestaña, seleccione un host en la vista Hosts y haga clic en la pestaña Proceso.

Flujo de trabajo

high-level Investigate workflow with Investigate Endpoints and associated actions highlighted

¿Qué desea hacer?

                                                     
Función de usuarioDeseo…Documentación de 11.1
Buscador de amenazas

navegar por metadatos de eventos

Comenzar una investigación en las vistas Navegar o Eventos

Buscador de amenazas

navegar por eventos crudos

Comenzar una investigación en las vistas Navegar o Eventos

Buscador de amenazas

analizar eventos crudos y metadatos

Comenzar una investigación en la vista Análisis de eventos

Buscador de amenazasinvestigar terminales (versión 11.1)*Investigar los hosts

Buscador de amenazas

buscar archivos sospechosos en terminales (versión 11.1)

Investigar los archivos

Buscador de amenazasbuscar malware en archivos y eventosRealización de un análisis de malware

Encargado de respuesta ante incidentes

realizar triage a un incidente en Investigate

Guía del usuario de NetWitness Respond

Buscador de amenazasver los procesos en ejecución en el host* Investigar los hosts

*Puede realizar esta tarea en la vista actual.

Temas relacionados

Vista rápida

Este es un ejemplo de la pestaña Proceso:

Process tab

El panel Proceso muestra la siguiente información:

•Detalle de procesos

                                           
CampoDescripción
Nombre de procesoNombre del proceso. Por ejemplo, server.exe.
PIDID del proceso. Por ejemplo, 492.
Proceso primario (PPID)Nombre e ID de proceso del elemento primario. Por ejemplo, 4.
PropietarioPropietario del proceso. Por ejemplo, SYSTEM.

Firma

Indica si el archivo está o no firmado y si es o no válido, y proporciona información acerca del signatario.

Ruta

Ruta del archivo asociado al proceso en el disco. Por ejemplo, C:\Windows\System32.

Argumentos de lanzamiento

Argumentos de la línea de comandos transmitidos al proceso cuando se inicia. Por ejemplo, -k LocalServiceNoNetwork.

Hora de creación

Hora en que se creó el proceso. Por ejemplo, 01/19/2018 11:32:29.908 am.

  • Lista de bibliotecas cargadas para el proceso seleccionado, como archivos DLL (para Windows), Dylibs (para Mac) o .SO (para Linux).
  • Lista de ejecuciones automáticas (si están configuradas).

Panel Propiedades de proceso

Este panel muestra todas las propiedades del proceso seleccionado. Se agrupa de la siguiente manera:

                                       
CategoríaDescripción
General
  • Información general acerca del archivo, como nombre de archivo, entropía, tamaño y formato.
  • FirmaProporciona información acerca del signatario.
    HashTipo de hash del archivo (MD5, SHA1 y SHA256).
    TiempoHora en que se creó o se modificó el archivo, o en que se accedió a él.
    UbicaciónUbicación del archivo.
    ProcesoDetalles del proceso, como el tamaño de la imagen y el PID.

    Imagen

    Detalles de la imagen que carga el proceso.

    You are here
    Table of Contents > Materiales de referencia de Investigate > Hosts View - Process Tab

    Attachments

      Outcomes