Investigate: Vista Hosts: Pestaña Archivos

Document created by RSA Information Design and Development on Oct 22, 2018Last modified by RSA Information Design and Development on Oct 24, 2018
Version 2Show Document
  • View in full screen mode
 

Note: The information in this topic applies to RSA NetWitness® Suite Version 11.1 and later.

La pestaña Archivos muestra todos los archivos escaneados en el host. Para acceder a esta pestaña, seleccione un host en la vista Hosts y haga clic en la pestaña Archivos. De forma predeterminada, se muestran 100 archivos. Para mostrar más archivos, haga clic en Cargar más en la parte inferior de la página.

Flujo de trabajo

high-level Investigate workflow with Investigate Endpoints and associated actions highlighted

¿Qué desea hacer?

                                                     
Función de usuarioDeseo…Documentación de 11.1
Buscador de amenazas

navegar por metadatos de eventos

Comenzar una investigación en las vistas Navegar o Eventos

Buscador de amenazas

navegar por eventos crudos

Comenzar una investigación en las vistas Navegar o Eventos

Buscador de amenazas

analizar eventos crudos y metadatos

Comenzar una investigación en la vista Análisis de eventos

Buscador de amenazasinvestigar terminales (versión 11.1)*Investigar los hosts

Buscador de amenazas

buscar archivos sospechosos en terminales (versión 11.1)

Investigar los archivos

Buscador de amenazasbuscar malware en archivos y eventosRealización de un análisis de malware

Encargado de respuesta ante incidentes

realizar triage a un incidente en Investigate

Guía del usuario de NetWitness Respond

Buscador de amenazasver los archivos escaneados en el host* Analizar los archivos

*Puede realizar esta tarea en la vista actual.

Temas relacionados

Vista rápida

Este es un ejemplo de la pestaña Archivos:

Files tab

                                           
CampoDescripción
Nombre del archivoNombre del archivo. Por ejemplo, 7-zip.dll.

Entropía

Entropía de los datos de la imagen, sin incluir los encabezados PE. Determina si el contenido está empaquetado (comprimido o cifrado).

Tamaño

Tamaño del archivo. Puede ser un indicador durante la evaluación de un archivo.

Ruta

Ruta del archivo. En ocasiones, los autores de malware colocan el archivo en directorios donde no suele haber este tipo de archivos. En general, los archivos maliciosos son archivos independientes (por ejemplo, un archivo en la raíz C:\ProgramData) en comparación con un grupo de archivos en una carpeta legítima (por ejemplo, los archivos en C:\Program Files\<folder name>\).

Firma

Indica si el archivo está o no firmado y si es o no válido, y proporciona información acerca del signatario.

Creado

Registro de fecha y hora del archivo.

Nombre de usuario

Usuario del archivo (para Linux). Por ejemplo, root.

Nombre del grupoGrupo al cual pertenece el usuario (para Linux). Por ejemplo, root (0).

Panel Propiedades de archivo

Este panel muestra todas las propiedades del archivo seleccionado. Se agrupa de la siguiente manera:

                               
CategoríaDescripción
General
  • Información general acerca del archivo, como nombre de archivo, entropía, tamaño y formato.
  • FirmaProporciona información acerca del signatario.
    HashTipo de hash del archivo (MD5, SHA256 y SHA1).
    TiempoHora en que se creó o se modificó el archivo, o en que se accedió a él.
    UbicaciónUbicación del archivo.
    You are here
    Table of Contents > Materiales de referencia de Investigate > Hosts View - Files Tab

    Attachments

      Outcomes