Investigation: Opciones de búsqueda

Document created by RSA Information Design and Development on Feb 9, 2017
Version 1Show Document
  • View in full screen mode
  

Puede buscar eventos en la vista Navegar y en la vista Eventos de Investigation. En la vista Navegar, puede hacer clic en un valor de metadatos, como HTTP, para desglosar a los datos y, a continuación, ingresar una cadena de búsqueda en el campo Buscar para buscar eventos en ese subconjunto de datos. La búsqueda abre una pestaña en la vista Eventos, presenta el desglose y el rango de tiempo hacia delante y muestra los resultados de búsqueda. También puede desglosar a los datos mediante consultas antes de iniciar una búsqueda.

Los procedimientos relacionados con la búsqueda en las vistas de Investigation se describen en Configurar la vista Navegar y la vista Eventos, Filtrar y buscar resultados en la vista Eventosy Desglosar a datos en el panel Valores.

Las vistas Navegar y Eventos de Investigation le permiten buscar patrones de texto en el conjunto actual de eventos. Puede ejecutar una búsqueda de texto por palabra clave o una coincidencia de regex (expresión regular). 

Búsqueda por palabra clave

La búsqueda de texto proporciona estas funcionalidades:

  • A cada palabra delimitada por un espacio en blanco se le agrega Y para que se encuentren todas las palabras, pero el orden o la ubicación con relación a las otras palabras es irrelevante. Por ejemplo, si busca Mark Albert, tanto Mark como Albert se deben encontrar en la sesión, pero no es necesario que estén juntas o en un orden específico.
  • La palabra O es especial. Si busca Mark OR Albert, se debe encontrar Mark o Albert como coincidencia en la sesión, pero no se requieren ambos.
  • Puede combinar o hacer coincidir Y y O implícitos juntos en la cadena de búsqueda. Un O explícito tiene mayor prioridad que Y implícito (espacio en blanco). En los siguientes ejemplos se hace la misma declaración lógica, que requiere que los términos queso y albóndigas estén presentes en una coincidencia, además de tostada o pan:
    cheese toast OR bread dumplings
    cheese AND (toast OR bread) AND dumplings
  • Puede excluir palabras de los resultados de la búsqueda con el operador -. Por ejemplo, la búsqueda de cheese -toast arrojará cualquier resultado que tenga la palabra queso, a menos que la palabra tostada también esté presente.
  • La búsqueda por palabra clave puede coincidir con los metadatos almacenados en los siguientes patrones:
    • Direcciones IPv4 e IPv6. Cualquier término que se puedan reconocer como una dirección IP se convertirán al formato nativo de metadatos, de modo que puede encontrarse en los metadatos indexados.
    • Rangos de IPv4 CIDR. Puede usar la notación CIDR para localizar las direcciones IPv4 dentro de un rango.
    • Registros de fecha y hora. Los registros de fecha y hora se comparan con los metadatos de tiempo nativo y cualquier campo de metadatos de tiempo adicional se almacena con el tipo de tiempo. 
    • Números. La función de búsqueda intentará automáticamente identificar los términos de búsqueda decimal y hacerlos coincidir con campos numéricos de datos de metadatos.

Opciones para controlar el comportamiento de la búsqueda

Para acceder al cuadro de búsqueda y a las opciones de búsqueda en las vistas Navegar o Eventos:

  1. En el menú de Security Analytics, seleccione Investigation > Navegar o Eventos.
  2. En el cuadro de diálogo Investigar, seleccione un servicio y haga clic en Navegar.
    Puede ver el campo Buscar eventos en la barra de herramientas. 
    SearchEventsField.png
    Solución de problemas: Si no puede ver el campo Buscar eventos en la barra de herramientas, haga clic en ic-more.png a la derecha de la barra de herramientas.
  3. Haga clic en el campo Buscar para ver el menú desplegable Buscar eventos.
    SearchEvents.png

Las opciones seleccionadas en este cuadro cambiarán la forma en que se ejecuta la búsqueda. El modo de búsqueda predeterminado es usar los índices de búsqueda de palabras clave en metadatos y datos crudos.

En la siguiente tabla se describen las opciones de búsqueda de Investigation.

                                 
Característica Descripción
Índices de búsquedaEn primer lugar, busca en los índices antes de escanear los metadatos o los datos crudos. Buscar en el índice es la manera más rápida de buscar palabras clave en un conjunto de datos de gran tamaño. La búsqueda de índice utiliza cualquier índice pertinente presente en la recopilación de datos.

Precaución:
- La búsqueda de índice solamente arroja resultados de los datos indexados.
- Las búsquedas de índice no encontrarán coincidencias de subcadena. Si necesita coincidencias de subcadena, desactive esta casilla de verificación y utilice un modo de búsqueda sin índice.

MetadatosBusca los metadatos. Su patrón de palabra clave o regex se comparará con los metadatos analizados.
RAW (red/registro)Busca el texto del registro. Cada evento se decodifica y se busca en el contenido coincidencias con el patrón de palabra clave o regex.
Si selecciona todos los datos sin filtros en un Archiver, el tiempo de ejecución puede ser excesivo y se puede mostrar una advertencia.

Precaución: La búsqueda cruda de sesiones de red hace que las sesiones se decodifiquen, lo cual requiere mucho tiempo. Es posible que desee deshabilitar las búsquedas crudas cuando busca recopilaciones solo de red.

No distingue mayúsculas de minúsculasOmite mayúsculas y minúsculas en la búsqueda.
Expresión regularRealiza las búsquedas mediante una expresión regular de Perl, en lugar de texto. De forma predeterminada, Security Analytics ejecuta una búsqueda de texto. Para ejecutar una búsqueda de expresión regular, seleccione la opción Expresión regular.

Precaución:
- Las búsquedas de expresión regular pueden ser muy lentas.
- Al combinar las expresiones regulares y las opciones de índice de búsqueda, el patrón de expresión regular se compara con valores de índice únicos en lugar de valores de metadatos. Esto genera resultados con mayor rapidez, pero no es una búsqueda exhaustiva de todos los metadatos o datos crudos.

AplicarConfigura las opciones de búsqueda predeterminadas que se aplicarán a una búsqueda en la vista Navegar y en la vista Eventos. Esto también actualiza las preferencias de Investigation en su perfil (Perfil > Preferencias > pestaña Investigation). Las preferencias se guardan y se aplican de inmediato.
Puede seleccionar opciones de búsqueda para una determinada búsqueda sin cambiar las preferencias de búsqueda predeterminadas.

Sintaxis de búsqueda de expresiones regulares

La búsqueda de una expresión regular utiliza sintaxis de expresión regular de Perl, que se documenta detalladamente en http://perldoc.perl.org/perlre.html.

Búsqueda de palabras clave de texto crudo (nuevo en la versión 10.6)

El Log Decoder tiene la capacidad de crear un índice de texto crudo para eventos de registro sin analizar. Esta funcionalidad crea elementos de metadatos que forman una indexación de texto completo en los servicios descendentes como Concentrators y Archivers. Cuando se habilita la opción de índices de búsqueda en las preferencias de búsqueda, la búsqueda utiliza automáticamente el índice de texto. Tenga en cuenta que el índice de texto genera elementos de metadatos que tienen una granularidad gruesa.  Por ejemplo, la configuración predeterminada del indexador de texto trunca los términos de texto. Al comparar las coincidencias de índice con datos crudos, el motor de búsqueda encontrará resultados precisos para la búsqueda. Sin embargo, puede mejorar los tiempos de búsqueda si deshabilita la casilla de verificación de la búsqueda cruda. Si lo hace, se devolverá resultados con mayor rapidez, pero es posible que vea falsos positivos en los resultados de la búsqueda.

Ejemplos de búsqueda

Los siguientes ejemplos muestran búsquedas en las vistas Navegar y Eventos.

Búsqueda en la vista Navegar

Para buscar en los datos que se muestran actualmente en la vista Navegar:

  1. Para desglosar los datos, haga clic en un valor de metadatos, como HTTP, en el panel Navegar.
    ClickMetaValueHTTP.png 
  2. Escriba una cadena de búsqueda en el campo Buscar y presione Intro o haga clic en Buscar
    NavViewSearchExG.png
    En el siguiente ejemplo se muestran los resultados de búsqueda de la cadena de búsqueda google en una nueva pestaña en la vista Eventos. El desglose (consulta) y el rango de tiempo en la vista Navegar se presentan en la vista Eventos (servicio=80 y Últimas 24 horas en este ejemplo). 
    NavViewSearchExG2.png
  3. Para borrar el cuadro de búsqueda y volver a la vista Eventos normal, haga clic en X en el cuadro de búsqueda.

Buscar en la vista Eventos

Para buscar en los datos que se muestran actualmente en la vista Eventos:

  1. Escriba una cadena de búsqueda en el cuadro Buscar y presione Intro o haga clic en Buscar.
    Los resultados de búsqueda se muestran en la vista Eventos. Los eventos que coinciden con los criterios de búsqueda se muestran en la cuadrícula de la vista Eventos. En la vista Detalles y en la vista Lista, las coincidencias se resaltan en la columna Detalles. Además, cuando busca RAW, las coincidencias se resaltan en el columna Registros de la vista Registro. A continuación se muestra un ejemplo de los resultados de búsqueda del término Washington en la vista Detalles de eventos. Observe que las coincidencias de la búsqueda no se resaltan en ninguna reconstrucción de evento.
    EventsViewSearchEX.png
  2. Si desea limitar la búsqueda, cambie la consulta y la hora.
  3. Si desea detener la búsqueda y volver a la vista Eventos, haga clic en Cancelar
    Se conserva cualquier resultado que se muestre.
  4. Para borrar el cuadro de búsqueda y volver a la vista Eventos normal, haga clic en X en el cuadro de búsqueda.
You are here
Table of Contents > Materiales de referencia de Investigation > Opciones de búsqueda en las vistas de Investigation

Attachments

    Outcomes