Link analysis to visualize website communication

To determine what other systems might be affected, John uses link analysis to

quickly visualize all of the websites that were viewed and despite the large

amount of traffic across websites for companies that Replay did business with, a

small subset of accesses might clearly be seen to the infected web host. John

analyzes these links to see what other servers on his network were used to access

this web host.

In his investigation, John uses the nodes in the graph, which represent web pages

and the arrows between the nodes represent the relationships or transactions

between the web pages to quickly assess traffic patterns and to see how documents

were traversed. The larger the node, the more links the document has in its path

and the larger the link arrow, the more times that link was used.

QRadar Incident Forensics User Guide

Being a popular NFL news site, it was not surprising to see a number of other

servers were in contact with that web host and were potentially affected.

Image analysis

To narrow down which servers downloaded the malicious image file, John

switches to image analysis and can quickly see all of the image files that were sent

or received.

John quickly confirms that all of his infected servers and 2 servers he was unaware

of, had all access the compromised image file.

John also determines that several of the other servers that accessed the same

website didn't download the infected file. John now has the information that he

needs to quarantine these 2 extra servers, and create a new file hash of the infected

file that Replay Industries can upload and shared with others on IBM X-Force

®

Exchange.

Figure 4. Example of image analysis and image distribution

Chapter 4. Investigation tools

Download 1,36 Mb.

Do'stlaringiz bilan baham: