Historische Untersuchungen bewerten historische Ereignisse und Analyseketten auf Basis
festgelegter Kriterien. Die Ergebnisse können in Form einer Grundursachenanalyse-Karte
angezeigt werden, auf der die Ablaufverfolgung aller verdächtigen Aktivitäten zusammengefasst
wird. Auf diese Weise wird die Analyse unternehmensweiter Ereignisse vereinfacht,
die an einem zielgerichteten Angriff beteiligt sind.
Historische Untersuchungen verwenden die folgenden Objekttypen zu Analysezwecken:
-
DNS-Eintrag
-
IP-Adresse
-
Dateiname
-
Dateipfad
-
SHA-1-Hash-Werte
-
MD5-Hash-Werte
-
Benutzerkonto
Historische Untersuchungen fragen eine standardisierte Datenbank ab, die die historischen
Ereignisse eines Endpunkts enthält. Verglichen mit einer herkömmlichen Protokolldatei
benötigt diese Methode weniger Festplattenspeicher und verbraucht weniger Ressourcen.