Investigation: Vista Malware Analysis

Document created by RSA Information Design and Development on Feb 9, 2017
Version 1Show Document
  • View in full screen mode
  

En Security Analytics Investigation, la vista Malware Analysis proporciona la interfaz del usuario para realizar un análisis de malware. Esta vista tiene un formato de tablero personalizable, en el cual los dashlets predeterminados de la vista inicial se basan en la función del usuario (Administración o Analista) y en sus personalizaciones. Inicialmente, en la vista Malware Analysis se muestra el dashlet Resumen de eventos. Los dashlets adicionales presentan distintas visualizaciones de los eventos que se ven, y cada representación se puede configurar para refinar aún más la vista a medida que usted busca indicadores de riesgo. Los dashlets de Malware Analysis disponibles en el tablero de Security Analytics también están disponibles en la vista Malware.

Para acceder a esta vista:

  1. En el menú de Security Analytics, seleccione Investigation > Malware Analysis.
    Si no se seleccionó un servicio predeterminado, se muestra el cuadro de diálogo Seleccionar un servicio Malware Analysis.
  2. Seleccione un servicio y haga clic en Ver modo continuo.
    Se muestra la vista Malware Analysis.

MwSumVw.png

Características

La vista Malware Analysis consta del panel Resumen de eventos y de cuatro dashlets exclusivos. Cada uno de los dashlets únicos tiene cuadros de diálogo Opciones idénticos. Los dashlets de Malware Analysis en el tablero de Security Analytics también están disponibles y se describen en Dashlets de Security Analytics.

Panel Resumen de eventos

El panel Resumen de eventos permite seleccionar el servicio, el modo de escaneo y el rango de tiempo. Además, puede seleccionar un punto de datos y ver los eventos asociados al evento.

En la siguiente tabla se describen todas las funciones del panel Resumen de eventos.

                                         
CaracterísticaDescripción
ServIcon.png Selecciona un servicio para mostrar.
Modo de escaneoMuestra una lista desplegable de modos de escaneo disponibles.
Rango de tiempoMuestra una lista desplegable de rangos de tiempo para ver eventos.
Fecha de inicioCuando Rango de tiempo se configura en personalizado, ofrece un calendario que permite elegir la fecha inicial del rango de tiempo.
Fecha finalCuando Rango de tiempo se configura en personalizado, ofrece un calendario que permite elegir la fecha final del rango de tiempo.
Ícono Agregar Muestra una lista desplegable de dashlets que puede agregar a la vista.
actions_button.png Muestra una lista desplegable de acciones que puede realizar en esta vista:
  • Restaurar configuración predeterminada
  • Ordenar dashlets
  • Aplicar filtro de umbral
Refresh_Icon.png Actualiza la vista Malware Analysis.

Cuadro de diálogo Opciones

El cuadro de diálogo Opciones permite personalizar los resultados que se muestran en el dashlet. Para acceder a este cuadro de diálogo, haga clic en el ícono properties icon.png en la esquina superior derecha de cada dashlet. En la siguiente tabla se describen las funciones del cuadro de diálogo Opciones.

                                
CaracterísticaDescripción
TítuloIndica si los datos mostrados se restringen o no a eventos marcados como de alta confianza. Si los datos no están restringidos, esta línea no se muestra.
Solo con influencia de alta confianzaIndica si los datos mostrados se restringen a eventos marcados como de alta confianza.
Estático, Red, Comunidad y SandboxPermite filtrar los resultados en función de los puntajes de los módulos de puntaje.
CancelarCierra el cuadro de diálogo sin guardar los cambios.
AplicarAplica los cambios al dashlet de inmediato y cierra el cuadro de diálogo.

Desgloses de metadatos

Desgloses de metadatos presenta eventos en forma de un gráfico circular, en el cual cada segmento representa un valor de metadatos para la clave de metadatos especificada. Puede seleccionar la clave de metadatos y el conteo de valores de metadatos para esa clave que se generará en el gráfico, comenzando por el valor de metadatos que tiene más eventos. Si mantiene el mouse sobre un evento se muestra el conteo.

MWAMetaBD.png

En la siguiente tabla se describen las opciones del dashlet Desgloses de metadatos.

                       
CaracterísticaDescripción
Solo alta confianzaIndica si los datos mostrados se restringen o no a eventos marcados como de alta confianza. Si los datos no están restringidos, esta línea no se muestra.
Clave de metadatos Lista desplegable de claves de metadatos disponibles.
CountLista desplegable que especifica cuántos de los resultados principales se muestran. 

Mapa de árbol de metadatos

El Mapa de árbol de metadatos presenta eventos en forma de un mapa de riesgos. Puede seleccionar la clave de metadatos y el conteo de valores de metadatos para esa clave que se generará en el gráfico, comenzando por los valores de metadatos que tienen más eventos. Además, puede seleccionar el módulo que detectó el valor de metadatos en los eventos: estático, red, Community o Sandbox.

MWAMetaTM.png

En la siguiente tabla se describen las opciones del dashlet Mapa de árbol de metadatos.

                               
CaracterísticaDescripción
Solo alta confianzaIndica si los resultados se restringen o no a eventos marcados como de alta confianza. Si los resultados no están restringidos, esta línea no se muestra.
Clave de metadatosLista desplegable de claves de metadatos disponibles para seleccionar como filtro.
CountLista desplegable que especifica cuántos de los resultados principales se muestran.
MóduloLista desplegable que especifica de qué módulo se extraerán resultados.
ValorLista desplegable que especifica la información que se mostrará cuando se mantenga el mouse sobre un resultado (por ejemplo, Puntaje promedio).

Rueda de puntaje

La rueda de puntaje ofrece una vista de eventos como anillos concéntricos con colores que representan los puntajes de los eventos de acuerdo con indicadores de riesgo y el módulo de puntaje. Puede cambiar la posición de los anillos mediante las flechas hacia arriba y hacia abajo para obtener una vista que resalta los eventos que detectó un módulo de puntaje (rojo) y que no detectaron otros módulos de puntaje.

MWAScrWhl.png

En la siguiente tabla se describen las funciones del dashlet Rueda de puntaje.

                   
CaracterísticaDescripción
Solo alta confianzaIndica si los resultados se restringen o no a eventos marcados como de alta confianza. Si los resultados no están restringidos, esta línea no se muestra.
Cuadrícula Orden de módulosMuestra el orden de los anillos en la rueda de puntaje. Anillo 1 es el anillo interior y Anillo 4, el exterior. Puede hacer clic en los botones Arriba y Abajo para reordenar los módulos y, a continuación, hacer clic en Actualizar para aplicar los cambios.

Cronograma de evento

El Cronograma de evento ofrece una vista de eventos organizados por el momento de la aparición en un gráfico de barras. Si se hace clic y se arrastra para seleccionar un rango de tiempo dentro del gráfico, se realiza un acercamiento al tiempo seleccionado.

MWAEvTL.png

En la siguiente tabla se describen las funciones del dashlet Cronograma de evento.

                   
CaracterísticaDescripción
Solo alta confianzaIndica si los resultados se restringen o no a eventos marcados como de alta confianza. Si los resultados no están restringidos, esta línea no se muestra.
Ver eventosMuestra Investigation > vista Eventos.
Next Topic:Vista Navegar
You are here
Table of Contents > Materiales de referencia de Investigation > Vista Malware Analysis

Attachments

    Outcomes