Historische Untersuchungen

Ansichten:

Historische Untersuchungen können schnell Endpunkte identifizieren, die mögliche Kandidaten für eine weitere Analyse sind. Eine historische Untersuchung verwendet Server-Metadaten, um schnell Ergebnisse zu liefern.

Um auf diesen Bildschirm zuzugreifen, navigieren Sie zu Antwort → Historische Untersuchung.

Der Bildschirm Historische Untersuchung hat zwei Registerkarten:

Registerkarten	Beschreibung
Bewertung	Verwenden Sie eine Bewertung, um folgende Aktionen durchzuführen: Prüfen Sie die Verbreitung der Bedrohung und die Dauer des Vorhandenseins der Bedrohung im Netzwerk. Die Bewertung durchläuft alle Verlaufsdaten. Bestimmen Sie das Vorhandensein einer Bedrohung anhand einfacher Kriterien. Bewertungen unterstützen nur eine begrenzte Anzahl von Kriterien. Eine Bewertung unterstützt die folgenden Kriterientypen: Benutzerdefiniert: Geben Sie bis zu 10 benutzerdefinierte Kriterien an oder laden Sie diese, oder laden Sie ein C&C-Rückrufereignis. Details finden Sie unter Unterstützte Formate für benutzerdefinierte Kriterien. OpenIOC-Datei: Verwenden Sie OpenIOC-Regeln, um Untersuchungskriterien festzulegen. Historische Untersuchungen ignorieren alle Bedingungen und stimmen mit jedem der im OpenIOC-Dokument angegebenen Indikatoren überein. Weitere Informationen finden Sie unter Unterstützte IOC-Indikatoren für Verlaufsuntersuchungen. Die Bewertung durchläuft die Servermetadaten und aktualisiert bei einer ermittelten Übereinstimmung das Ergebnisfenster. Das vollständige Durchlaufen der Servermetadaten kann einige Minuten dauern. Weitere Informationen finden Sie unter Benutzerdefinierte Kriterien für Verlaufsuntersuchungen verwenden.
Ergebnisse der Fehlerursachenanalyse	Wenn eine Bewertung eine Übereinstimmung zurückgibt, können Administratoren eine Fehlerursachenanalyse erstellen: Auflisten aller verwandten Objekte zu den angegebenen Kriterien Identifizieren, ob eines der verwandten Objekte relevant ist Überprüfen Sie die Reihenfolge der Ereignisse, die zur Ausführung des übereinstimmenden Objekts führen. Die Erstellung einer Fehlerursachenanalyse kann einige Zeit in Anspruch nehmen. Verwenden Sie die Registerkarte Fehlerursachenanalyse, um den Status der Aufgabe zu überwachen. Weitere Informationen finden Sie unter Analyseketten.

Registerkarten

Beschreibung

Bewertung

Verwenden Sie eine Bewertung, um folgende Aktionen durchzuführen:

Prüfen Sie die Verbreitung der Bedrohung und die Dauer des Vorhandenseins der Bedrohung im Netzwerk. Die Bewertung durchläuft alle Verlaufsdaten.
Bestimmen Sie das Vorhandensein einer Bedrohung anhand einfacher Kriterien. Bewertungen unterstützen nur eine begrenzte Anzahl von Kriterien.

Eine Bewertung unterstützt die folgenden Kriterientypen:

Benutzerdefiniert: Geben Sie bis zu 10 benutzerdefinierte Kriterien an oder laden Sie diese, oder laden Sie ein C&C-Rückrufereignis.

Details finden Sie unter Unterstützte Formate für benutzerdefinierte Kriterien.
OpenIOC-Datei: Verwenden Sie OpenIOC-Regeln, um Untersuchungskriterien festzulegen. Historische Untersuchungen ignorieren alle Bedingungen und stimmen mit jedem der im OpenIOC-Dokument angegebenen Indikatoren überein.

Weitere Informationen finden Sie unter Unterstützte IOC-Indikatoren für Verlaufsuntersuchungen.

Die Bewertung durchläuft die Servermetadaten und aktualisiert bei einer ermittelten Übereinstimmung das Ergebnisfenster. Das vollständige Durchlaufen der Servermetadaten kann einige Minuten dauern.

Weitere Informationen finden Sie unter Benutzerdefinierte Kriterien für Verlaufsuntersuchungen verwenden.

Ergebnisse der Fehlerursachenanalyse

Wenn eine Bewertung eine Übereinstimmung zurückgibt, können Administratoren eine Fehlerursachenanalyse erstellen:

Auflisten aller verwandten Objekte zu den angegebenen Kriterien
Identifizieren, ob eines der verwandten Objekte relevant ist
Überprüfen Sie die Reihenfolge der Ereignisse, die zur Ausführung des übereinstimmenden Objekts führen.

Die Erstellung einer Fehlerursachenanalyse kann einige Zeit in Anspruch nehmen. Verwenden Sie die Registerkarte Fehlerursachenanalyse, um den Status der Aufgabe zu überwachen.

Weitere Informationen finden Sie unter Analyseketten.