Investigation: Visualizar metadatos como coordenadas paralelas

Document created by RSA Information Design and Development on Feb 9, 2017
Version 1Show Document
  • View in full screen mode
  

En este tema se indica a los analistas cómo usar la visualización de coordenadas paralelas de la vista Navegar para centrar la investigación en combinaciones de valores y claves de metadatos que pueden indicar que los eventos son anormales y que ameritan una investigación.

El gráfico de coordenadas paralelas es una manera de visualizar el punto de desglose actual en Investigation para examinar más de dos claves de metadatos simultáneamente. La visualización simultánea de varias claves de metadatos puede ayudar a identificar problemas de seguridad asociados a comparaciones y patrones multivariantes, como cuando los valores y las claves de metadatos individuales no causan preocupación, pero si se combinan, pueden revelar un patrón o una relación anormales. 

Mejores prácticas para obtener gráficos de coordenadas paralelas eficaces

Para crear gráficos de coordenadas paralelas eficaces, siga estas recomendaciones:

  • Comience desde un punto de desglose en la vista Navegar en lugar de intentar visualizar todos los datos. 
  • Limite el rango de tiempo si es necesario.
  • Elija el conjunto útil de claves de metadatos más pequeño para mostrar como ejes. 
  • Especifique la secuencia de ejes para resaltar las anomalías entre los valores de metadatos a medida que sigue una línea que cruza el gráfico.
  • Cuando pueda identificar un conjunto de claves de metadatos útil y una secuencia, cree un grupo de metadatos personalizado para usarlo en investigaciones futuras. Por ejemplo, puede crear un grupo de metadatos personalizado para tipos de archivos ejecutables de Windows.
  • Importe los grupos de metadatos personalizados que RSA distribuyó a través de la comunidad de RSA.
  • Vuelva a utilizar y comparta los grupos de metadatos personalizados mediante su importación y exportación como archivos .jsn.
  • Puede ser útil crear dos versiones de cada grupo de metadatos personalizado. Una para el análisis de valores de metadatos y otra para crear un gráfico de coordenadas paralelas que se centre en un subconjunto más pequeño del mismo caso de uso.

Nota: Cuando se importan grupos de metadatos en el servidor de Security Analytics, Security Analytics muestra un mensaje de error si alguno de los grupos ya está presente en la aplicación.  Para importar un grupo que es un duplicado, primero debe eliminar el grupo existente. Si desea eliminar un grupo de metadatos, un perfil no puede estar usándolo.

Como ayuda para optimizar la creación de gráficos de coordenadas paralelas, en Security Analytics 10.5 y superior se incluyen varias optimizaciones.

  • Los analistas pueden especificar que en el gráfico solo se representen las sesiones en las cuales existen todas las claves de metadatos.
  • El administrador puede aumentar la cantidad de valores de metadatos que se representan en Configuración de coordenadas paralelas de la vista Sistema de Administration.

Casos de uso de grupos de metadatos de RSA para coordenadas paralelas

En la comunidad de RSA, un conjunto de grupos de metadatos personalizados predefinidos está disponible como un archivo jsn: MetaGroups_ootb_w_query.jsn. Para comenzar a utilizar algunos grupos de metadatos que RSA configuró con el fin de resaltar ciertas actividades, puede importar este archivo .jsn en el cuadro de diálogo Administrar grupos de metadatos. Algunas de las actividades dirigidas que se prestan para las visualizaciones de coordenadas paralelas son:

  • Señalización por botnet
  • Canales encubiertos
  • Correo electrónico
  • Sesiones cifradas
  • Análisis de archivos
  • Malware Analysis
  • Consultar archivos
  • Consultar hosts
  • Consultar direcciones IP
  • Consultar correo
  • Consultar usuarios
  • Consultar web
  • Ataques de inyección SQL
  • Análisis de amenazas
  • Análisis web

Ver una visualización de coordenadas paralelas

Desde una investigación en la vista Investigation > Navegar:

  1. Si el panel Visualización sobre el panel Valores está cerrado, seleccione Visualización.
  2. En la barra de herramientas, seleccione Usar grupo de metadatos > Análisis de archivos.
  3. En el panel Valores, en la clave de metadatos Huella digital forense, haga clic en windows_executable y en javascript, de modo que la ruta de navegación indique filetype = 'windows_executable' | filetype = 'javascript'.
    PCprocValues.png
  4. Una visualización predeterminada para el punto de desglose actual se muestra como un cronograma.
    PCVisDef.png
  5. En el panel Visualización, seleccione Opciones.
    Se muestra el cuadro de diálogo Opciones de visualización.
  6. En la lista desplegable Visualización, seleccione Coordenadas y haga clic en Aplicar.
    VisOptDga.png
    La visualización se carga. En este ejemplo, se encuentran 249 eventos y se visualizan 199 rutas únicas.
    PCVisanykeys.png

Seleccionar claves de metadatos para una visualización de coordenadas paralelas

Con una visualización de coordenadas paralelas abierta, realice lo siguiente:

  1. En el panel Visualización, seleccione Opciones.
    Se muestra el cuadro de diálogo Opciones de visualización. En la barra de herramientas, haga clic en ic-info2.png con el fin de mostrar la cantidad recomendada de ejes para una visualización legible. Cuando se muestra un conteo de claves recomendado, el conteo cambia en función del tamaño del navegador. Si agranda la ventana del navegador, el conteo recomendado aumenta.
    VisOptDgInfo.png
  2. Si desea cambiar la secuencia de claves de metadatos, arrastre las claves de metadatos hacia arriba o hacia abajo para disponerlas en la secuencia deseada. 
  3. Si desea eliminar las claves de metadatos, haga clic en el cuadro de selección y, a continuación, en icon-remove.png.
    Las claves de metadatos se eliminan, pero el cambio aún no se aplica.
  4. Si desea revertir al estado anterior, haga clic enicon-revert.png.
    Las claves de metadatos que eliminó se restauran y los cambios que hizo se eliminan.
  5. Si desea seleccionar claves de metadatos individuales, haga clic en icon-add.png, seleccione Desde claves predeterminadas y, en la lista desplegable, seleccione las claves de metadatos.
    AddPCKeys.png
    Las claves seleccionadas se enumeran.
    AddKeysPCDg2.png
  6. Si desea agregar todas las claves de un grupo de metadatos, no puede agregar claves de metadatos individuales. Seleccione Desde grupos de metadatos y elija un grupo en la lista desplegable.
    AddPCGrps.png
    Los grupos de metadatos seleccionados se enumeran en el campo.
  7. Seleccione el método para agregar las claves o los grupos: Reemplazar la lista actual de claves, Agregar a la lista actual de claves (al final) o Insertar al comienzo de la lista actual de claves.
    AddMeth.png
  8. Para completar el procedimiento, haga clic en Agregar.
    El cuadro de diálogo Opciones de visualización se muestra con los grupos o las claves de metadatos que seleccionó.
  9. Para mostrar el nuevo gráfico de visualización, haga clic en Aplicar.
    PCVisanykeys.png

Optimizar una visualización de coordenadas paralelas

  1. Para optimizar la visualización mediante la eliminación de eventos en los cuales no existen todas las claves de metadatos, seleccione Opciones.
    105PcOpt.png
  2. En el cuadro de diálogo Opciones de visualización, seleccione Todas las claves de metadatos deben existir en un evento. Haga clic en Aplicar.
    El gráfico resultante es más legible y útil, y generalmente tiene menos rutas únicas.
    PCVisAllKeys.png
  3. Si desea resaltar un conjunto de puntos pequeño para ver la ruta de la línea de derecha a izquierda, haga clic en un eje. El cursor cambia a una mira, la cual puede arrastrar para seleccionar uno o más valores. Cuando suelta el mouse, las líneas se resaltan. En el siguiente ejemplo, el tipo de servicio SSL se resalta con un cuadro de colorgris.
    PCVisHighl.png
  4. Si desea ampliar la visualización, arrastre hacia abajo el borde inferior del panel y ensanche la ventana del navegador desde el borde derecho.

Ejemplo de caso de uso

El siguiente es un ejemplo de una visualización de coordenadas paralelas de claves de metadatos que representa metadatos de archivo en una sesión. Hay tres claves de metadatos o ejes de izquierda a derecha: Extensiones, Huella digital forense y Nombre de archivo con valores que se enumeran a lo largo de cada eje. Los valores del eje Extensión muestran la extensión de archivo y los valores del eje Huella digital forense son archivos ejecutables de Windows. Normalmente, el tipo de archivo coincide con la huella digital forense prevista; sin embargo, es anormal que un tipo de archivo gif esté en combinación con la huella digital de archivo ejecutable de Windows. Se selecciona el tipo de archivo gif para resaltar las correlaciones de ese tipo de archivo, x86pe, y dos nombres de archivo en el tercer eje, de modo que un analista pueda identificar rápidamente los archivos que ameritan una investigación.

Para llegar a esta vista:

  1. Ordene por valor y clasifique en orden ascendente.
  2. Aplique dos filtros (file type = 'windows executable' y extension = 'gif') en la vista Navegar para limitar la cantidad de datos.
  3. Configure un gráfico de coordenadas paralelas con la selección de tres ejes: extensión de archivo, huella digital forense y nombre de archivo.
    invsamp.png

Ejemplo de la visualización de un conjunto de datos grande

En este ejemplo de una visualización de coordenadas paralelas aplicada a un conjunto de datos más grande se ilustran varios mensajes que ayudan a los analistas a comprender lo que se graficó.

  • Para crear un gráfico, Security Analytics comienza a escanear valores de metadatos y a devolver los resultados. Un rango de tiempo típico podría tener hasta 10,000,000 valores de metadatos. Cuando la cantidad de valores de metadatos devueltos alcanza el Límite de resultados de valores de metadatos, el gráfico se genera incluso si Security Analytics no ha escaneado una cantidad de valores de metadatos equivalente al Límite de escaneo de valores de metadatos. 
  • Hay un límite fijo en la cantidad de datos que se pueden representar como un gráfico de coordenadas paralelas. En Security Analytics 10.4 y anteriores, el límite se basa en la cantidad de ejes por valores de datos: 1,000 x la cantidad de ejes para proteger el rendimiento, pero en Security Analytics 10.5 y superior, el administrador configura límites de coordenadas paralelas como parte de los ajustes de Investigation en la vista Administration > Sistema.

PCVisanykeys.png

Con un conjunto de datos más grande, el procesamiento del gráfico de coordenadas paralelas tarda más que con un conjunto de datos y claves de metadatos más pequeño. Para preservar el rendimiento, Security Analytics representa los valores de metadatos del panel Valores de abajo hasta que se alcanzan los límites que estableció el administrador. Un mensaje informativo indica: Solo se muestra un subconjunto de eventos.

De todos los datos visualizados para 249 eventos, solo hubo 199 rutas de coordenadas paralelas únicas. Ciertos eventos se incluyen aunque no contienen algunas de las claves de metadatos; estos se etiquetan DNE debido a que los metadatos no existen en el evento.

You are here
Table of Contents > Realizar una investigación > Filtrar información en la vista Navegar > Visualizar metadatos como coordenadas paralelas

Attachments

    Outcomes