Descripción general del servicio Context Hub

Document created by RSA Information Design and Development on Feb 9, 2017
Version 1Show Document
  • View in full screen mode
  

Context Hub es un nuevo servicio de RSA Security Analytics que ofrece funcionalidad de búsqueda de enriquecimiento en las vistas de Investigation. Este servicio proporciona una indicación de enriquecimiento en línea automatizado, además de una funcionalidad de búsqueda de enriquecimiento según demanda. Los analistas pueden usar la información adicional que obtiene Context Hub como información contextual e inteligencia durante una investigación. Los orígenes de los datos de enriquecimiento son Incident Management, listas personalizadas y ECAT.

El servicio Context Hub:

  • Está alojado en Event Stream Analysis (ESA).
  • Es compatible de forma predeterminada con búsquedas de enriquecimiento para estos tipos de metadatos: direcciones IP, usuarios, dominios, direcciones MAC, nombre de archivo, hash de archivo y hosts

Propósito

El servicio Context Hub reúne información contextual de varios orígenes de datos en Investigation, lo cual permite que los analistas tomen mejores decisiones durante sus investigaciones. La visualización de los valores de metadatos y la información contextual en una única interfaz ayuda a los analistas a dar prioridad e identificar las áreas de enfoque. Por ejemplo, las alertas y los incidentes generados recientemente desde Incident Management que implican un valor de metadatos determinado se mostrarán cuando el analista realice una operación de búsqueda de contexto para ese valor de metadatos.

Los analistas pueden crear listas personalizadas como listas negras, listas blancas o listas de seguimiento. Estas listas personalizadas se pueden completar con elementos mediante la importación de archivos CSV o la adición de valores de metadatos a través de la opción Agregar/eliminar de la lista en las vistas de Investigation. Las listas personalizadas se transforman automáticamente en orígenes de datos para la indicación en línea de valores de metadatos, así como búsquedas de enriquecimiento según demanda.

Las listas también pueden proporcionar una mejor interacción entre los analistas. Por ejemplo, un analista de nivel 2 puede indicar elementos sospechosos y, a continuación, los analistas de nivel 1 pueden utilizar este conocimiento para confirmar los incidentes o crear incidentes según sea necesario.

Con la información contextual de ECAT, los analistas pueden obtener indicadores de módulos y máquinas de terminal.

Flujo de trabajo para los administradores

En la vista Configuración de servicios del servicio Context Hub, un administrador puede configurar orígenes de datos para el servicio Context Hub. Para obtener más información, consulte Paso 2. Configurar orígenes de datos para Context Hub.

Un administrador puede configurar búsquedas de contexto para claves de metadatos personalizados si es necesario. También puede importar o exportar listas que puede usar el analista.

 

Flujo de trabajo para los analistas

En Investigation > vista Navegar, los valores de metadatos que tienen información contextual se resaltan con un fondo gris. Además, hay indicadores en línea para los valores de metadatos resaltados, los cuales muestran los orígenes donde está disponible la información contextual.

Nota: No todos los valores de metadatos resaltados tendrán información de búsqueda de contexto. Esto es porque la información contextual del origen de datos puede haber cambiado desde el momento en que se marcó como disponible.

Si los valores de metadatos no tienen indicadores de contexto, el analista puede iniciar una consulta según demanda para comprobar si puede haber información de contexto disponible. Para hacerlo, los analistas pueden hacer clic con el botón secundario en cualquier valor de metadatos que sea compatible con la búsqueda de contexto y, a continuación, elegir la opción de menú Búsqueda de contexto.

La opción Búsqueda de contexto también es compatible en Investigation > vista Eventos. Sin embargo, los indicadores en línea no están disponibles en esta vista. Por lo tanto, debe iniciar una búsqueda según demanda en los valores de metadatos.

Después de elegir la opción de menú Búsqueda de contexto cuando hace clic con el botón secundario, se abre un panel Búsqueda de contexto en el lado derecho de las vistas de Investigation. En el panel se muestra la información contextual de los orígenes configurados pertinentes a los valores de metadatos. Si desea obtener información adicional sobre el contexto, haga clic en los vínculos correspondientes en los resultados de búsqueda que se muestran en el panel Búsqueda de contexto. Para obtener más información, consulte el tema Ver el contexto adicional de un punto de datos de la Guía de Investigation y Malware Analysis.

Los analistas pueden agregar un valor de metadatos a una lista nueva o existente o quitarlo de ella, para lo cual deben hacer clic con el botón secundario en el mismo valor de metadatos y, a continuación, seleccionar la opción Agregar/eliminar de la lista.

Funciones y permisos de usuario

Los analistas que usan Security Analytics Investigation deben tener los permisos apropiados para realizar una búsqueda de contexto y usar listas personalizadas. 

Se agregaron dos nuevos permisos para Investigation en Security Analytics 10.6: Context Lookup y Manage List from Investigation . Estos permisos se agregaron de manera predeterminada a las funciones Analista, Administradores del SOC y Analistas de malware. Sin embargo, un administrador debe configurarlos cuando se actualiza a Security Analytics 10.6 desde versiones anteriores. Para obtener más información acerca de las funciones y los permisos, consulte los temas Permisos de funciones y Administrar usuarios con funciones y permisos de la Guía de administración de usuarios y seguridad del sistema.

Un analista con el permiso Context Lookup puede realizar una búsqueda de contexto desde las vistas de Investigation. Para obtener más información, consulte el tema Ver el contexto adicional de un punto de datos de la Guía de Investigation y Malware Analysis.

Un analista con el permiso Manage List from Investigation desde Investigation puede administrar listas y valores de lista desde las vistas de Investigation. Para obtener más información, consulte el tema Administrar listas y valores de lista en Investigation de la Guía de Investigation y Malware Analysis.

Ejemplo

En los siguientes casos de uso se explican algunos escenarios donde se utiliza el servicio Context Hub con orígenes de datos como Incident Management, ECAT y listas personalizadas.

Caso de uso de Incident Management en el servicio Context Hub

Cuando un analista de nivel 2 busca indicadores de riesgo nuevos en valores de metadatos, la retroalimentación que proporciona Incident Management como origen de enriquecimiento de contexto es muy útil. El analista puede ver si existe un incidente o una alerta relacionados con el valor de metadatos seleccionado. Esta capacidad permite que los analistas omitan los valores de metadatos para los cuales ya existen incidentes y se concentren en la búsqueda de indicadores de riesgo nuevos y únicos.

La información queda disponible en la misma vista Investigation > Navegar. La accesibilidad de esta información es eficiente porque el analista puede acceder a los datos de enriquecimiento sin pasar de una vista a otra ni requerir otra herramienta.

Caso de uso de ECAT en el servicio Context Hub

Cuando un analista de nivel 2 vea los resultados de búsqueda en las vistas de Investigation, podrá ver las direcciones IP, los hosts y las direcciones Mac que ejecutan agentes ECAT. Esto facilita más que nunca la detección de posibles riesgos directamente en las vistas de Security Analytics Investigation. Los detalles de la búsqueda de contexto proporcionan información general relacionada con el terminal que ejecuta el agente ECAT, lo cual permite que el analista comprenda si el sistema está o no en riesgo. Si el analista necesita más información sobre los puntajes de riesgo e IIOC para tomar esa decisión, tiene la capacidad de ver las notas y el estado documentados en ECAT, además de los módulos principales por puntaje de IOC. Si necesita aún más detalles, el analista puede hacer clic en los detalles que se proporcionan en el panel de búsqueda de contexto para dirigirse directamente a la interfaz del usuario de ECAT. Posteriormente, el analista puede usar las máquinas que se señalan como puntos de pivote en sus investigaciones para ver con qué otras máquinas se ha comunicado el sistema y detectar otros hosts en peligro.

Caso de uso de una lista en el servicio Context Hub

Caso de uso 1

Un analista de nivel 3 busca en el contexto de Incident Management direcciones IP y dominios asociados a sesiones sospechosas. Si no hay alertas o incidentes asociados, se debe monitorear comportamiento anormal en la dirección IP y el dominio que se investigan.

El analista puede incluir estos valores de metadatos en una lista. Por ejemplo, para mejorar la visibilidad de las direcciones IP sospechosas, el analista puede agregar los mismos valores de metadatos en dos listas. Una lista corresponde a dominios que presuntamente se relacionan con conexiones de comando y control, y la otra, a direcciones IP relacionadas con conexiones de troyanos de acceso remoto.

Ahora, un analista de nivel 2 puede usar esta lista de contexto para detectar indicadores de riesgo. El analista también puede exportar las listas en formato CSV y enviarlas al analista de nivel 1 para crear incidentes que se rastrearán y se analizarán adicionalmente.

Caso de uso 2

A medida que el analista de nivel 3 crea algo de contenido personalizado para detectar determinados indicadores de riesgo, desea proporcionar más detalles sobre ese contenido nuevo para guiar a los otros analistas cuando se topen con los valores de metadatos recientemente generados. Puede crear tres listas nuevas (crítica personalizada, sospechosa personalizada y de asesoría personalizada) que categorizan los valores de metadatos nuevos que un analista podrá ver cuando se haya desencadenado contenido nuevo. La descripción que proporciona el analista a cada lista brinda a los demás analistas antecedentes relacionados con lo que representan los valores de metadatos nuevos y la acción que deben tomar cuando los vean marcados en Investigation. Esto no reemplaza a la creación de un incidente o una alerta, sino que es una manera de proporcionar más detalles al analista cuando vea por primera vez estos valores de metadatos nuevos en Investigation.

 
You are here
Table of Contents > Context Hub

Attachments

    Outcomes