Investigation: Examinar archivos y eventos de escaneo en formato de lista

Document created by RSA Information Design and Development on Feb 9, 2017
Version 1Show Document
  • View in full screen mode
  

En este tema se proporcionan instrucciones para ver archivos asociados con un evento en la Lista de archivos de Security Analytics Malware Analysis.

Cuando ve el Resumen de eventos en un escaneo de Security Analytics Malware Analysis, puede hacer clic en un conteo de archivos o en un conteo de eventos para ver la Lista de archivos o la Lista de eventos del escaneo (consulte Iniciar una investigación de Malware Analysis). En la Lista de archivos y la Lista de eventos, puede buscar un archivo por nombre de archivo o hash de archivo MD5, clasificar la lista mediante dos criterios y orden ascendente o descendente, y descargar archivos. Cuando encuentra un evento o archivo que el interesa en la Lista de eventos o Lista de archivos, puede ver muchos detalles sobre el evento en la vista Detalles de eventos.

104MwEventsList.png

Para cada evento de la Lista de eventos, Security Analytics proporciona la siguiente información:

  • Marcado como un evento de alta confianza, que probablemente contenga indicadores de riesgo.
  • El puntaje numérico de cada módulo de puntaje: Estático, Red, Community y Sandbox.
  • Puntajes del proveedor de antivirus.
  • El indicador Influido por regla personalizada.
  • La fecha en que se archivó el evento.
  • La hora de sesión.
  • El filtro de hash de MD5.
  • Cantidad de archivos en el evento.
  • La dirección IP de origen del evento.
  • La identidad.
  • La dirección IP de destino.
  • El país de destino.
  • El nombre del host de alias.
  • El tipo de evento, por ejemplo, Network.
  • El servicio que utiliza el evento.
  • La organización de destino

104FilesList.png

Para cada archivo en la Lista de archivos, Security Analytics proporciona la siguiente información:

  • Marcado como un evento de alta confianza, que probablemente contenga indicadores de riesgo.
  • El puntaje numérico de cada módulo de puntaje: Estático, Red, Community y Sandbox.
  • Puntajes del proveedor de antivirus.
  • El nombre de archivo.
  • El tipo de archivo.
  • El filtro de hash de MD5.
  • La dirección IP de origen del evento que contenía el archivo.
  • La dirección IP de destino.
  • La fecha en que se archivó el evento que contenía el archivo.
  • El tamaño del archivo.

Clasificar la Lista de archivos o la Lista de eventos

Puede clasificar la Lista de archivos y la Lista de eventos por nombre de columna en orden ascendente y descendente. Puede elegir una o dos columnas.

Para clasificar la lista:

  1. En la primera lista desplegable Ordenar por, elija un nombre de columna y una dirección de clasificación: SortDes.png para el orden descendente o 104SrtAsc.png para el orden ascendente.
  2. (Opcional) En la segunda lista desplegable Ordenar por, elija un nombre de columna y una dirección de clasificación, SortDes.png para el orden descendente o 104SrtAsc.png para el orden ascendente.
    Los títulos de las columnas reflejan el orden de clasificación seleccionado. En el siguiente ejemplo, la columna Hash se clasifica en orden ascendente y la columna Tamaño se clasifica en orden descendente.
    104FilesLstSorted.png

Filtrar la lista por nombre de archivo o hash de archivo MD5

Puede filtrar la Lista de archivos y la Lista de eventos por nombre de archivo o hash de archivo. Con esta función, puede especificar un subconjunto limitado de los datos originales en función de los criterios de búsqueda.

Nota: Cuando realiza una búsqueda, se busca el escaneo que está visualizando actualmente, no todos los escaneos.

  1. Haga clic en ic-filtbutton.png.
    Se muestra el cuadro de diálogo Filtrar.
  2. Ingrese un valor en Nombre de archivo o Hash de MD5 y haga clic en Filtrar. Los campos Nombre de archivo y Hash de archivo no distinguen mayúsculas de minúsculas. No se admiten comodines o expresiones regulares. El filtro se basa en coincidencias exactas. Puede arrastrar un nombre de archivo o hash que desee seleccionar desde la Lista de archivos o la Lista de eventos y, a continuación, copiarlo y pegarlo en el cuadro de diálogo.
    104MWHashPaste.png
  3. Haga clic en Filtrar.
    Malware Analysis filtra la lista para mostrar solo archivos o eventos con el hash seleccionado.
  4. Para revertir a la lista no filtrada, haga clic en 104FilterIcon.png. Cuando aparezca el cuadro de diálogo Filtrar, haga clic en Restablecer.

Descargar archivos de la Lista de archivos

Security Analytics permite seleccionar y descargar archivos de la Lista de archivos o la Lista de eventos.

Precaución: Sea precavido cuando descargue archivos desde Malware Analysis; algunos archivos pueden contener código dañino. La descarga de archivos es un permiso específico que se puede configurar. Consulte “Definir funciones y permisos para analistas de malware” en la Guía de configuración de Malware Analysis para obtener más detalles.

Para descargar archivos de la Lista de archivos o la Lista de eventos:

  1. En la Lista de archivos o la Lista de eventos, seleccione la casilla de verificación junto a una o más filas.
  2. En la barra de herramientas, seleccione 104DnLdFilesIcon.png.
    Se muestra el cuadro de diálogo Descarga de archivo de malware.
  3. Realice una de las siguientes acciones
    1. Si decide no descargar el archivo, haga clic en Cancelar.
    2. Si desea descargar el archivo, haga clic en el botón Descargar.
      El archivo o los archivos seleccionados se descargar en un archivo zip con el nombre Malware_Files.zip.

Eliminar eventos del escaneo

En la Lista de eventos, seleccione uno o más eventos y elimínelos del escaneo. Esto es útil para eliminar eventos que no le interesan.

Para eliminar un evento del escaneo que se visualiza:

  1. En la Lista de eventos, seleccione uno o más eventos.
  2. En la barra de herramientas, haga clic en ic-dltevnts.png.
    Security Analytics solicita confirmar la intención de eliminar los eventos.
  3. En el cuadro de diálogo de confirmación, haga clic en .
    Se eliminan los eventos seleccionados.

Volver al resumen de eventos

Para salir de la Lista de archivos o la Lista de eventos y volver al Resumen de eventos, haga clic en Volver al resumen.

Abra el análisis detallado de un evento

Mientras examina eventos o archivos en la Lista de archivos o la Lista de eventos, puede hacer doble clic en cualquier evento o archivo para abrir un análisis detallado del evento en la Lista de eventos o el evento con el cual está asociado el archivo en la Lista de archivos (consulte Ver detalles de Malware Analysis de un evento).

You are here
Table of Contents > Realizar un análisis de malware > Examinar archivos y eventos de escaneo en formato de lista

Attachments

    Outcomes