Investigation: Filtrar datos de dashlets en la vista Resumen de eventos

Document created by RSA Information Design and Development on Feb 9, 2017
Version 1Show Document
  • View in full screen mode
  

En este tema se proporcionan instrucciones para que los analistas filtren datos en los dashlets que se ven en la vista Resumen de eventos de Security Analytics Malware.

La vista Resumen de eventos ofrece un resumen del escaneo que se investiga e incluye dashlets seleccionables. El Resumen de eventos es fijo, pero los analistas pueden configurar cada dashlet para filtrar la información y desglosar los datos.

104MWSumEvents2.png

El resto de este tema proporciona instrucciones para administrar y configurar los dashlets.

Configurar el dashlet Rueda de puntaje

La Rueda de puntaje es una visualización general de las sesiones analizadas que puntuaron alto, medio o bajo en cada una de las categorías de puntaje: Estático, Red, Community y Sandbox. La Rueda de puntaje es una forma rápida de desglosar las sesiones para revisarlas. Cada anillo representa una categoría de puntaje diferente, de modo que pueda comparar visualmente los resultados por categoría.

104ScrWheel.png

Puede cambiar el orden de los anillos para resaltar los indicadores de riesgo que se marcaron en una categoría, pero no en otra. La comparación de los mismos resultados en una secuencia de anillos diferente proporciona visibilidad de las vulnerabilidades adicionales en una sesión y se permite desglosar a sesiones de interés. En los siguientes ejemplos se muestran dos posibles casos de uso.

Ejemplo de candidatos de día cero

En este ejemplo se muestra cómo desglosar sesiones que Community no marcó como maliciosas, pero que todas las demás categorías de puntaje marcaron como maliciosas. La lista de sesiones resultante resalta los candidatos de día cero.

  1. Configure los anillos de la rueda de puntaje en la siguiente secuencia:
    Community (más interior) > Estático > Red > Sandbox (más exterior)
  2. Haga clic en el segmento rojo del anillo más exterior (Sandbox) que se alinea con un segmento verde del anillo más interior (Comunidad): verde (más interior) -> Estático: rojo -> Red: rojo -> Sandbox: rojo (más exterior). 
    ScoreWheelLabelExample.png

Ejemplo de sesiones maliciosas

En este ejemplo se muestra cómo desglosar sesiones en las que todas las categorías de puntaje identifican la lista de sesiones resultante como maliciosa, lo cual indica que Malware Analysis tiene la máxima confianza de que corresponden a malware.

  1. Configure los anillos de la rueda de puntaje en la siguiente secuencia:
    Community (más interior) > Estático > Red > Sandbox (más exterior)
  2. Haga clic en el segmento rojo del anillo más exterior (Sandbox) que se alinea con un segmento rojo del anillo más interior (Comunidad): rojo (más interior) -> Estático: rojo -> Red: rojo -> Sandbox: Red (más exterior). 

Organizar la secuencia de los anillos por módulo de puntaje

En la Rueda de puntaje, puede organizar la secuencia de los anillos por módulo de puntaje. Inicialmente, la secuencia de anillos del interior al exterior es Estático, Red, Community y Sandbox.

Para cambiar la secuencia de los anillos:

  1. Realice una de las siguientes acciones
    1. Haga clic y arrastre cada módulo de puntaje hacia arriba o abajo.
    2. Seleccione cada módulo de puntaje y utilice los botones Arriba y Abajo para transferirlo. 
  2. Cuando esté conforme con la secuencia de anillos, haga clic en el botón Actualizar.
    La Rueda de puntaje se actualiza con la nueva secuencia.
    ScoreWheelViewEvents.png

Configurar el dashlet Mapa de árbol de metadatos

En el gráfico Mapa de árbol de metadatos, puede visualizar y filtrar desgloses de metadatos por tipo, conteo y tipo de análisis de metadatos. Utilice las tres listas de selección para definir el filtro y el gráfico Mapa de árbol de metadatos se actualiza inmediatamente.

104MetTreMap.png

Configurar el dashlet Desgloses de metadatos

El dashlet Desgloses de metadatos es una visualización de valores para una clave de metadatos específica en un gráfico circular. En el gráfico Desgloses de metadatos, puede filtrar desgloses de metadatos por tipo y conteo de metadatos. Utilice las dos listas de selección para definir el filtro y el gráfico Desgloses de metadatos se actualiza inmediatamente.

104MetaBDDshlt.png

Configurar el dashlet Cronograma de eventos

El dashlet Cronograma de eventos es una visualización de los eventos en un cronograma. No hay filtros adicionales disponibles para el Cronograma de evento.

104EvTimeln.png

Abrir todos los eventos en la lista de eventos

Desde el interior del Cronograma de evento, puede abrir toda la lista de eventos en la Lista de eventos. Para hacerlo, haga clic en 104ViewEventsIc.png. Esta opción no es igual que hacer clic en el conteo junto a Eventos, que es el mismo para todos los gráficos de visualización y abre el punto de desglose actual en la Lista de eventos.

Configure el dashlet Lista del malware altamente sospechoso principal

El dashlet Lista del malware altamente sospechoso principal presenta los 10 eventos más sospechosos en la Lista de eventos o en la Lista de archivos. Este dashlet también está disponible en el tablero Unified y las opciones de configuración se describen en la Guía de introducción de Security Analytics.


Configurar el dashlet Malware con IOC de alta confianza y altos puntajes

El dashlet Malware con IOC de alta confianza y altos puntajes presenta indicadores de riesgo que tienen puntajes altos y confianza alta de que es probable que los eventos contengan malware. El dashlet también está disponible en el tablero Unified y las opciones de configuración se describen en Dashlet Malware con IOC de alta confianza y altos puntajes en la Guía de introducción de Security Analytics.

Configurar el dashlet Lista del posible malware de día cero principal

El dashlet Lista del posible malware de día cero principal presenta posibles eventos de día cero en la Lista de eventos o la Lista de archivos. El dashlet también está disponible en el tablero Unified y las opciones de configuración se describen en la Guía de introducción de Security Analytics.

You are here
Table of Contents > Realizar un análisis de malware > Filtrar datos de dashlets en la vista Resumen de eventos

Attachments

    Outcomes