Investigation: Panel Búsqueda de contexto

Document created by RSA Information Design and Development on Feb 9, 2017
Version 1Show Document
  • View in full screen mode
  

Después de configurar el servicio Context Hub, puede ver el panel Búsqueda de contexto en la vista Navegar y en la vista Eventos del módulo Investigation. Cuando se ve este panel por primera vez, muestra las instrucciones para ejecutar la búsqueda de contexto. Más adelante este panel se minimiza y, si es necesario, puede ampliarse.

El panel Búsqueda de contexto no muestra ningún dato hasta que se realiza una búsqueda de contexto en un valor de metadatos. Los valores de metadatos que tienen información de contexto asociada se resaltan con un fondo de color gris. Los resultados de la búsqueda se muestran en el panel Búsqueda de contexto para diferentes orígenes configurados del valor de metadatos seleccionado. Los procedimientos relacionados con este panel se describen en Ver el contexto adicional de un punto de datos.

Para acceder a este panel:

  1. En el menú de Security Analytics, seleccione Investigation > Navegar o Eventos.
  2. Haga clic con el botón secundario en un valor de metadatos y seleccione Búsqueda de contexto en el menú contextual.

    El panel Búsqueda de contexto muestra la información contextual.

  3. En la barra de íconos, seleccione el origen para el cual desea ver la información contextual; para ello, haga clic en el ícono correspondiente.

En la siguiente figura se muestra un ejemplo del panel Búsqueda.

ConLkpPnl.png

Características

En el panel Búsqueda de contexto se encuentran los siguientes controles y características:

                               
CaracterísticaDescripción

Barra de opciones de origen
lookup-icons2.png

Muestra los íconos de los orígenes disponibles: ECAT, incidentes, alertas y listas. 
Nombre de origen

Muestra el nombre de origen según el ícono seleccionado:

  • ECAT
  • INCIDENTES
  • ALERTAS
  • LISTAS
ClasificarProporciona una lista desplegable de opciones de clasificación para la información de contexto detallada. Las opciones de clasificación posibles son Severidad: alta a baja, Severidad: baja a alta, Fecha: más antiguo a más reciente y Fecha: más reciente a más antiguo. Las opciones de clasificación varían según el tipo de origen.
ic-refresh2.png Actualiza los resultados de búsqueda.
n elementos (primeros n resultados)El pie de página proporciona un conteo de la cantidad total de resultados y el conteo de resultados que se muestra actualmente. Por ejemplo, 50 alertas (primeras 50 alertas).

Resultados de búsqueda

En el panel Búsqueda de contexto se muestra la siguiente información cuando se recuperan los datos de contexto de diferentes orígenes configurados:

Incidentes

Se muestran los incidentes, en primer lugar según la hora (más recientes a más antiguos) y, a continuación, según el estado de prioridad. Se muestra la siguiente información para las búsquedas de incidentes:

  • ID y nombre del incidente
  • Estado de prioridad de los incidentes
  • Valor de puntaje de riesgo de los incidentes
  • La fecha de creación del incidente
  • Estado del incidente
  • Usuario asignado al incidente
  • Última actualización: Indica la última vez en que se recuperaron datos contextuales del origen de datos y se actualizaron en la caché. 
  • Ventana de tiempo: Se basa en el valor que se configura para el campo “Consultar últimos” de la ventana Configurar respuestas de Incident Management. Para obtener detalles, consulte el tema Configurar respuestas de Incident Management de la Guía de configuración de Context Hub.
  • Clasificar: Este campo desplegable proporciona la opción para cambiar el orden de los resultados según la hora o la prioridad.

La siguiente figura es un ejemplo de los resultados de búsqueda de incidentes.
F-lookup-panel-incidents.png

Alertas

Las alertas se muestran en función de la gravedad. Se muestra la siguiente información para búsquedas de alertas:

  • Nombre de la alerta
  • Valor de severidad de las alertas
  • Fecha en que se creó la alerta
  • ID del incidente: Este es el ID del incidente con el cual está asociada la alerta (si corresponde).
  • Orígenes: Nombre del origen de eventos
  • Número de eventos asociados con la alerta.
  • Última actualización: Indica la última vez en que se recuperaron datos contextuales del origen de datos y se actualizaron en la caché. 
  • Ventana de tiempo: Se basa en el valor que se configura para el campo “Consultar últimos” de la ventana Configurar respuestas de Incident Management, la cual se describe en la Guía de configuración de Context Hub
  • Clasificar: Este campo desplegable proporciona la opción para cambiar el orden de los resultados según la hora o la prioridad.

La siguiente figura es un ejemplo de los resultados de búsqueda de alertas.

F-lookup-panel-alerts.png

Listas

Se muestra la siguiente información para búsquedas de listas.

  • Nombre de lista
  • Propietario que creó la lista
  • Fecha de creación
  • Fecha de la última actualización
  • Descripción de la lista

La siguiente figura es un ejemplo de los resultados de búsqueda del origen de datos Listas.

F-lookup-panel-lists.png

ECAT

Se muestra la siguiente información para búsquedas de ECAT.

  • Nombre y dirección IP de la máquina. 
    Si hace clic en la dirección IP o en el nombre de la máquina de ECAT, se desplazará hasta la interfaz del usuario de ECAT para ejecutar una investigación más profunda.
  • Última actualización: Indica la última vez en que se recuperaron datos contextuales del origen de datos y se actualizaron en la caché. 
  • Puntaje de la máquina: Un puntaje de IIOC de la máquina se agrega en función de los puntajes del módulo.
  • Cantidad de módulos: Cantidad de archivos activos para la máquina seleccionada. 
  • Última actualización: Indica cuándo se actualizaron por última vez los resultados del escaneo en la base de datos ECAT.
  • Último usuario de inicio de sesión
  • Dirección MAC de la máquina
  • Versión del sistema operativo
  • Notas administrativas (si corresponde)
  • Estado administrativo (si corresponde)
  • Principales módulos sospechosos (módulos cuyo puntaje de IIOC > 500). Se basa en el valor configurado para el campo “Puntaje de IIOC mínimo” en la ventana Configurar respuestas de Incident Management. El valor predeterminado para “Puntaje de IIOC mínimo” es 500.
  • Niveles de IIOC de la máquina

La siguiente figura es un ejemplo de los resultados de búsqueda del origen de datos ECAT.

F-lookup-panel-ecat.png

You are here
Table of Contents > Materiales de referencia de Investigation > Panel Búsqueda de contexto

Attachments

    Outcomes