Investigation: Crear una consulta personalizada

Document created by RSA Information Design and Development on Feb 9, 2017
Version 1Show Document
  • View in full screen mode
  

En el panel de opciones de la vista Investigation > Navegar, puede crear una consulta en lugar de hacer clic en las claves y los valores de metadatos para desglosar a los metadatos. Los cuadros de diálogo para la creación de una consulta ofrecen ayuda de sintaxis con listas desplegables de las claves y los operadores de metadatos aplicables. Cuando observa la lista desplegable, puede expandir y contraer cada grupo de metadatos para ver u ocultar las claves de metadatos individuales en ese grupo.

Cuando selecciona un grupo de metadatos, Security Analytics genera la consulta compleja igual a una consulta con todas las claves de metadatos en ese grupo reunidas mediante OR. Entonces, si un grupo de metadatos contiene ip.src y ip.dst, la consulta generada es ip.src = <value> OR ip.dst = <value>. Si el grupo de metadatos contiene claves de metadatos que tienen diferentes tipos de valores de metadatos, el valor de entrada se deshabilita y la consulta utiliza declaraciones exists. Por ejemplo, un grupo de metadatos que contiene ip.src, ip.dst y alias.host incluye claves de metadatos que tienen diferentes tipos de valores; ip.src e ip.dst son las direcciones IP y alias.host es el texto. La consulta generada es ip.src exists OR ip.dst exists OR alias.host exists.

Una consulta básica tiene el siguiente formato:

<metakey> <operator> [<metavalue>]

Estos son algunos ejemplos:

action exists
action = 'get'
alias.host = '10.25.55.115'
extension = 'exe'
orig_ip != "10.0.0.0" - "10.255.255.255"

Crear una consulta con el método básico

Cuando crea una consulta con el método básico, Security Analytics proporciona listas desplegables de metadatos y operadores.

  1. En la barra de herramientas de la vista Navegación, seleccione Consulta.
    El cuadro de diálogo Consulta se muestra con la opción Simple seleccionada.
    QueryDDSimple.png
  2. En el campo Seleccionar metadatos, haga clic para mostrar la lista desplegable. La lista desplegable tiene dos secciones: Grupos de metadatos y Todos los metadatos.
  3. Seleccione una única clave de metadatos bajo Todos los metadatos o seleccione un grupo de metadatos bajo Grupos de metadatos. También puede ingresar en el campo una clave de metadatos o un grupo de metadatos.
  4. En el campo Operador, escriba un operador o haga clic en la lista desplegable para seleccionar un operador válido.
  5. (Opcional) Si ha seleccionado un operador que requiere un valor, por ejemplo, comienza, en el tercer campo escriba el valor de la clave de metadatos.
  6. En las casillas de verificación Red y Log, seleccione el tipo de datos para consultar. Realice una de las siguientes acciones
    1. Para limitar la consulta a paquetes, seleccione Red y deseleccione Log. En la consulta, medium 1 = paquete.
    2. Para limitar la consulta a registros, seleccione Log y deseleccione Red. En la consulta, medium 32 = registros.
    3. Para aplicar la consulta a los paquetes y los registros, seleccione Red y Log.
  7. Realice una de las siguientes acciones
    1. Haga clic en Aceptar.
      La ventana se cierra y la vista se actualiza con los resultados de la nueva consulta. La consulta se muestra en la ruta de navegación.
    2. Haga clic en Cancelar.
      La ventana se cierra y no se realizan cambios en la vista ni en la consulta actual.

Crear una consulta con el método avanzado

  1. En la barra de herramientas de la vista Navegar, seleccione Consulta.
    Se mostrará el cuadro de diálogo Consulta.
    QueryDDSimple.png
  2. Seleccione Avanzado.
    Se muestra el campo de consulta avanzada.
    QueryDDAdv.png
  3. En el campo, cree una consulta que pueda incluir la clave de metadatos, el operador y un valor. Cuando comienza a escribir una clave de metadatos en el campo, se muestra una lista desplegable de las claves de metadatos disponibles para el servicio seleccionado.
  4. Seleccione la clave de metadatos para la consulta.
    Se actualiza la pantalla. Si la expresión no se ha completado, el estado indica que la consulta no es válida.
  5. Continúe con un operador, de la lista desplegable y, a continuación un valor si es necesario. La pantalla se actualiza a medida que sigue ingresando la consulta. Si ingresa un operador, como exists o !exists, que no utiliza el campo de valor, el campo de valor se desactiva y el estado no válido se borra. Si ingresa un operador, como =, que requiere el campo de valor, el estado no válido permanece hasta que se ingresa un valor. Cuando la consulta es válida ya no se muestra el estado no válido.
    InvalidQuery.png
  6. Realice una de las siguientes acciones
    1. Haga clic en Aceptar.
      La ventana se cierra y la vista se actualiza con los resultados de la nueva consulta. La consulta se muestra en la ruta de navegación.
    2. Haga clic en Cancelar.
      La ventana se cierra y no se realizan cambios en la vista ni en la consulta actual.

Aplicar una consulta reciente

Puede ver consultas recientes y seleccionar una para aplicar al servicio actual que se investiga. Para seleccionar una consulta reciente:

  1. En la barra de herramientas de la vista Navegar, seleccione Consulta.
    El cuadro de diálogo Consulta se muestra con la opción Simple seleccionada.
    QueryDDSimple.png
  2. Seleccione la opción Reciente.
    La lista de consultas recientes se muestra en la parte inferior del cuadro de diálogo.
    QryDDRecent.png
  3. En la lista de consultas recientes, haga clic para seleccionar una consulta.
  4. Realice una de las siguientes acciones
    1. Haga doble clic en una consulta.
    2. Seleccione una consulta y haga clic en Aceptar.
      La ventana se cierra y la vista se actualiza con los resultados de la nueva consulta. La consulta se muestra en la ruta de navegación.
    3. Haga clic en Cancelar.
      La ventana se cierra y no se realizan cambios en la vista ni en la consulta actual.
You are here
Table of Contents > Realizar una investigación > Consultar datos en la vista Navegar > Crear una consulta personalizada

Attachments

    Outcomes