Investigation: Vista Navegar

Document created by RSA Information Design and Development on Feb 9, 2017
Version 1Show Document
  • View in full screen mode
  

La vista Navegar muestra la actividad y los valores del servicio seleccionado de acuerdo con las opciones de Investigation en el panel Opciones: perfil, rango de tiempo, grupo de metadatos y consulta. A medida que investiga eventos de interés, se muestran las claves de metadatos y los valores.

Para acceder a la vista Navegar, seleccione Investigation > Navegar en el menú de Security Analytics. Cuando hay una investigación de servicio abierta, la vista es similar a la figura que se muestra a continuación.

La vista Navegar consta de las siguientes características:

  • Barra de herramientas
  • Botón Pausa/Recarga y ruta de navegación
  • Anuncio de tiempo
  • Información de depuración opcional.
  • Panel Visualización contraíble
  • Panel Valores
  • Panel Búsqueda de contexto

Barra de herramientas

La barra de herramientas proporciona una manera de:

  • Cambiar el servicio que se investiga.
  • Controlar el rango de datos que se muestra: puede seleccionar perfiles de uso, establecer un rango de tiempo, usar grupos de metadatos y crear consultas para aplicar a los datos.
  • Establecer el método de cuantificación y el método de clasificación de los datos en el panel Valores.
  • Realizar acciones en función de los resultados. Puede exportar e imprimir resultados, navegar a un evento para el cual tiene un ID de evento y transmitir una consulta a Informer.
  • Configurar ajustes de Investigation sin salir de las vistas de Investigation.

Algunas de las opciones de la barra de herramientas están etiquetadas con el valor predeterminado o el valor seleccionado en lugar de mostrar el nombre de la opción. Por ejemplo, la opción de rango de tiempo del ejemplo anterior está etiquetada Todos los datos para reflejar el valor seleccionado actualmente. Las opciones de la barra de herramientas son las siguientes.

                                                           
OpciónDescripción
Muestra el nombre del servicio seleccionado junto al ícono. Si hace clic en el ícono, se abre un cuadro de diálogo Investigar un servicio, en el cual puede seleccionar un servicio para investigar y establecer el servicio predeterminado que se investigará (consulte Comenzar una investigación de un servicio o una recopilación). El cambio del servicio no hace que se vuelvan a cargar los datos.
Rango de tiempo

Muestra las opciones de Rango de tiempo; la opción seleccionada actualmente aparece en la barra de herramientas (consulte Establecer el rango de tiempo para una investigación). Las posibles opciones son las siguientes:

  • Todos los datos
  • Últimos 5, 10, 15 o 30 minutos
  • Última hora, últimas 3, 6, 12 o 24 horas
  • Últimos 2 o 5 días
  • Primera hora
  • Mañana
  • Tarde
  • Noche
  • Todo el día
  • Ayer
  • Esta semana
  • La semana pasada
  • Personalizado

Nota: Si se especifican horas de inicio o finalización personalizadas en segundos, siempre el valor de la hora de inicio en segundos se configura de manera predeterminada en :00 y siempre el valor de la hora de finalización en segundos se configura de manera predeterminada en :59. Por ejemplo, si está usando la hora para desglosar un problema, la hora de desglose se interpreta como HH:MM:00 - HH:MM:59. Los segundos se muestran en este formato en las funciones de Investigation > Navegar.

Consulta

Se muestra el cuadro de diálogo Consulta, en el cual puede ingresar directamente una consulta personalizada, en lugar de desglosar los datos. Consulte Investigation: Cuadro de diálogo Consulta para obtener una descripción del cuadro de diálogo.

Perfil Muestra el menú Perfil; el perfil seleccionado se muestra en la barra de herramientas. Un perfil permite administrar y usar perfiles que pueden incluir grupos de metadatos personalizados, un grupo de columnas predeterminado y una consulta inicial. Los perfiles se aplican a la vista Navegar (consultas y grupos de metadatos) y a la vista Eventos (consultas y grupos de columnas). Consulte Usar perfiles de Investigation para encapsular vistas personalizadas para obtener más información.
MetadatosMuestra el menú Grupo de metadatos. Puede usar claves de metadatos predeterminadas o un grupo de metadatos personalizado. También tiene la opción de realizar cambios en ambos tipos de grupos (consulte Administrar grupos de metadatos definidos por el usuario).
Campo de clasificaciónMuestra el menú Campo de clasificación; la opción actualmente seleccionada se muestra en la barra de herramientas. Este menú tiene dos opciones: Ordenar por total y Ordenar por valor. El Campo de clasificación es un complemento de la opción Orden de clasificación; los datos de cada clave de metadatos se ordenan de acuerdo con el total (número verde) o con el valor de metadatos (texto azul) (consulte Establecer el método de cuantificación y la secuencia de clasificación de resultados de claves de metadatos).

Orden de clasificación

Muestra el menú Orden de clasificación; la opción actualmente seleccionada se muestra en la barra de herramientas. Este menú tiene dos opciones: Clasificar en orden ascendente y Clasificar en orden descendente. El Orden de clasificación es un complemento de la opción Campo de clasificación; el campo seleccionado de cada clave de metadatos se clasifica en orden descendente o ascendente (consulte Establecer el método de cuantificación y la secuencia de clasificación de resultados de claves de metadatos)).

Método de cuantificación

Muestra el menú Método de cuantificación; la opción actualmente seleccionada se muestra en la barra de herramientas. El menú desplegable contiene tres opciones para calcular la cantidad (el número verde entre paréntesis) para un valor de metadatos: Cuantificar por conteo de eventos, Cuantificar por tamaño de evento y Cuantificar por conteo de paquetes (consulte Establecer el método de cuantificación y la secuencia de clasificación de resultados de claves de metadatos)).

Estas opciones se aplican de manera diferente según el tipo de datos de la vista.

Para datos de paquetes:

  • Cuantificar por conteo de eventos muestra la cantidad de sesiones.
  • Cuantificar por tamaño de evento muestra el tamaño en bytes.
  • Cuantificar por conteo de paquetes muestra la cantidad de paquetes.

Para datos de registros:

  • Cuantificar por conteo de eventos muestra la cantidad de registros.
  • Cuantificar por tamaño de evento muestra el tamaño en bytes.
  • Cuantificar por conteo de paquetes muestra la cantidad de registros.

Acciones

En el menú Acciones se incluyen varias acciones (Visualizar, Ir a evento e Imprimir) que puede realizar en la vista Navegar (consulte Actuar conforme a un punto de desglose en la vista Navegar).

Guardar eventosMuestra el menú Guardar eventos, en el cual pude utilizar opciones para:extraer archivos asociados con un evento, exportar el punto de desglose actual como un archivo PCAP y exportar el punto de desglose actual como un archivo de registro (consulte Exportar un punto de desglose).

Buscar eventos

Le permite buscar patrones de texto en el conjunto actual de eventos. Si hace clic en el campo de búsqueda, se muestra un menú desplegable con opciones de búsqueda. Si hace clic en Aplicar, guarda las opciones seleccionadas y también actualiza las opciones de búsqueda en la vista Eventos y el perfil de investigaciones (consulte Investigation: Opciones de búsqueda).

ConfiguraciónMuestra los ajustes de Investigation para la vista Navegar (los cuales también se pueden editar en la vista Perfil), de modo que puede cambiarlos sin salir de la vista Navegar. Cuando cambia un ajuste en la vista Navegar, este también se cambia en la vista Perfil (consulte Configurar la vista Navegar y la vista Eventos).

Botón Pausa/Volver a cargar y ruta de navegación

La ruta de navegación rastrea cada consulta a medida que se desglosa a través de los metadatos del servicio. Cada consulta se enumera con un menú desplegable en una cadena separada por barras verticales. El último punto es el punto actual, que también se llama punta. El ícono frente a la ruta de navegación permite poner en pausa la carga de valores de metadatos y volver a cargarlos.

La ruta de navegación no incluye el nombre del servicio y solo se muestra si hay una consulta vigente. Si existen demasiados puntos de desglose para mostrar, el desbordamiento se indica como paréntesis angulares dobles, >>, al final de la ruta de navegación.

Cada menú desplegable en la ruta de navegación es igual, pero presenta una leve variación en función de la posición en la ruta de navegación.

En la siguiente tabla se describen los controles y las opciones de menú en la ruta de navegación.

                                           
CaracterísticaDescripción

Botón Pausa y Recarga. Controla la carga de datos en la vista. Tiene tres funciones posibles: pausar carga, continuar carga y volver a cargar.
Navegar aquíAbre el punto de desglose seleccionado en el panel Valores actual.
Navegar aquí (nueva pestaña)Abre el punto de desglose seleccionado en una nueva pestaña.
Insertar antesInserta una consulta antes del punto de desglose actual. Se abre el cuadro de diálogo Crear filtro, en el cual puede definir una consulta personalizada para insertar en la ruta de navegación (consulte Crear una consulta personalizada).

Anexar

Agrega una consulta después del punto de desglose actual. Se abre el cuadro de diálogo Crear filtro, en el cual puede definir una consulta personalizada para anexar al final de la ruta de navegación (consulte Crear una consulta personalizada).

Quitar Elimina el punto de desglose seleccionado de la ruta de navegación.

Editar

Abre el punto de desglose seleccionado en el cuadro de diálogo Crear filtro, lo cual le permite editar la consulta.

>>

Si hace clic en los paréntesis angulares, se muestra un menú desplegable del desbordamiento de la ruta de navegación.

(Opcional) Información de depuración

Si activó el ajuste Mostrar información de depuración y el servicio en el cual está navegando es un Broker 10.4 o superior, Security Analytics muestra la información de depuración debajo de la ruta de navegación.

La información de depuración es la cláusula where de la consulta actual. La única vez que no hay una cláusula where es cuando el rango de tiempo corresponde a todos los datos y no hay puntos de desglose. Si el Broker tiene por lo menos un servicio agregado que está offline, la información de depuración también incluye el servicio offline.

Por ejemplo:

(attachment exists)&&(tcp.dstport = '80')&&(risk.info exists)$$time='2014-05-04 18:50:00"-"2014-05-09 18:59:59(attachment exists) && (tcp.dstport = '80') && (risk.info exists) && time="2014-05-04 18:50:00"-"2014-05-09 18:50:59"

Además, el tiempo de carga se muestra al final de cada clave de metadatos en el panel Valores.

Anuncio de tiempo

Inmediatamente debajo de la ruta de navegación y de la información de depuración (si está presente), el anuncio de tiempo muestra el rango de tiempo que se usó para crear el gráfico.

Visualizaciones

En la parte superior de la vista Navegar hay una visualización del punto de desglose actual. Puede usarla para desglosar a datos desde el panel Visualización (consulte Desglosar a datos en Gráfico de tiempo de la vista Navegar). Puede mostrar u ocultar la visualización y elegir una de las opciones de visualización: Cronograma o Coordenadas. La visualización se abre inicialmente en la última visualización guardada.

Gráfico de cronograma

El cronograma muestra actividad del servicio y el rango de tiempo especificados como un gráfico de líneas o un gráfico de barras, de acuerdo con la selección en el menú Opciones. En la segunda figura se ilustra un gráfico de líneas y en la tercera, un gráfico de barras.

                                       
CaracterísticaDescripción
Número de eventos (Cronograma)

El eje Y del gráfico, basado en miles de eventos.

Cronograma (Cronograma)

El eje X del gráfico, basado en la hora en que ocurrieron los eventos.

Punto de evento (Cronograma) Si desea explorar una sección específica, seleccione simplemente el rango en el gráfico. El nuevo rango de tiempo se reflejará en el gráfico.
Investigar (Cronograma) Muestra los valores de metadatos del subconjunto seleccionado.

Restablecer zoom (Cronograma)

Para volver al rango de tiempo original, haga clic en Restablecer zoom.

Opciones Muestra el cuadro de diálogo Opciones de visualización. Los puntos de datos se pueden mostrar como un gráfico de líneas (predeterminado), un gráfico de barras o un gráfico de coordenadas. Cuando se selecciona un tipo de gráfico, se muestran las opciones pertinentes.

Ocultar

Contrae el gráfico.

Gráfico de coordenadas paralelas

El gráfico de coordenadas paralelas es una de las alternativas del menú Opciones para visualizar el punto de desglose actual. Si se selecciona Coordenadas en el cuadro de diálogo Opciones de visualización, puede elegir los metadatos que se mostrarán (consulte Visualizar metadatos como coordenadas paralelas).

                                   
CaracterísticaDescripción
Ejes

Cada eje es una clave de metadatos. La cantidad de claves de metadatos afecta el tiempo de carga del gráfico. Se cargan todas las claves de metadatos, pero la cantidad de eventos por clave de metadatos es limitada.

Líneas

Las líneas representan eventos y conectan valores en los ejes para mostrar la correlación entre varias claves de metadatos.

Opciones

Muestra el cuadro de diálogo Opciones de visualización. Los puntos de datos se pueden mostrar como un gráfico de líneas (predeterminado), un gráfico de barras o un gráfico de coordenadas. Cuando se selecciona un tipo de gráfico, se muestran las opciones pertinentes.

Solo se muestra un subconjunto de eventos.

Este mensaje es una notificación que indica que en el gráfico no se representan todos los eventos del panel Valores. La eliminación de ejes o el filtrado de los datos en el panel Valores pueden ayudar a mostrar todos los eventos.

Eventos encontrados | Rutas únicas

Muestra la cantidad total de eventos graficados en comparación con la cantidad de rutas únicas graficadas. La configuración de la opción Todas las claves de metadatos deben existir en un evento vuelve a generar el gráfico en una versión más dirigida y legible.

DNE Indica que no hay valores para esta clave de metadatos en el evento.

El cuadro de diálogo Opciones de visualización para Coordenadas permite seleccionar las claves de metadatos que se graficarán.

                                               
CaracterísticaDescripción
Selección de visualización

Muestra una lista desplegable de tipos de visualización: Cronograma y Coordenadas

Todas las claves de metadatos deben existir en un evento

Limita los datos representados en la visualización solo a aquellos eventos que incluyen todas las claves de metadatos seleccionadas. Esto puede dar lugar a una visualización más clara y dirigida.

Muestra el cuadro de diálogo Agregar claves a visualización de coordenadas paralelas, el cual permite agregar ejes a la visualización. Esto es útil si busca relaciones entre las claves de metadatos predeterminadas y otras adicionales.

Elimina las claves seleccionadas de modo que no aparezcan como ejes en la visualización. Esto puede contribuir a que la visualización sea menos desordenada y permitir que incluya más puntos de datos.

Revierte a las claves de metadatos predeterminadas para visualización, lo cual representa todas las claves de metadatos en el punto de desglose actual.

Controla la presentación de información adicional sobre la cantidad de ejes seleccionados en comparación con el conteo recomendado. Esto contribuye a que tenga en cuenta posibles mejoras en el rendimiento debido a la eliminación de ejes.

Ejes

Enumera las claves de metadatos seleccionadas como ejes en la visualización.

Cancelar

Cancela los cambios hechos en las opciones de visualización.

Aplicar

Guarda los cambios hechos en las opciones de visualización y los aplica a la visualización actual.

En el cuadro de diálogo Agregar claves a visualización de coordenadas paralelas, puede seleccionar las claves de metadatos o los grupos de metadatos que se usarán como ejes en la visualización de coordenadas paralelas.

                           
CaracterísticaDescripción
Selección de visualización

Seleccionar claves: Las dos opciones para seleccionar claves de metadatos son:

  • Desde claves de metadatos predeterminadas
  • Desde grupos de metadatos

Cada opción ofrece una lista desplegable en la cual se hace una selección.

Con las claves de metadatos seleccionadas…

Las opciones del método de adición de claves de metadatos permiten:

  • Reemplazar la lista actual de claves
  • Agregar a la lista actual de claves
  • Insertar en el comienzo de la lista actual de claves
Cancelar

Cierra el cuadro de diálogo y no agrega ninguna clave.

Agregar

Cierra el cuadro de diálogo y agrega las claves seleccionadas según lo especificado.

Panel Valores

La función principal de la vista Navegar es el panel Valores, el cual se puede usar para analizar datos (consulte Desglosar a datos en el panel Valores). En la primera figura que se muestra a continuación se ilustra el panel Valores en modo normal; en la segunda figura se ilustra la información que se agrega cuando está activo el ajuste Mostrar información de depuración.

La vista predeterminada corresponde a las últimas tres horas de recopilación, con uso de las claves de metadatos predeterminadas y las claves de metadatos no indexadas cerradas. Las claves de metadatos dentro de los grupos de metadatos se muestran en el orden en que Security Analytics las consulta. A medida que los datos se cargan en el panel Valores, Security Analytics se optimiza para mostrar resultados parciales, el progreso de la carga y el estado de los servicios durante la carga de datos.

El comportamiento de la carga lo determinan varios ajustes de configuración. Los ajustes de nivel más alto los configura el administrador para cada usuario. Son los siguientes:

  • La cantidad máxima de tiempo que se permite ejecutar una consulta a este usuario (Tiempo de espera agotado de consulta).
  • El límite en el cual Security Analytics deja de contar la cantidad de valores de metadatos en una sesión (Umbral de sesión). Si se establece un umbral para una sesión, la vista Navegación muestra que el umbral se alcanzó y el porcentaje del tiempo de consulta utilizado para alcanzarlo.

Nota: los valores de las claves de metadatos no indexadas tardan más en cargarse en el panel Valores. Para optimizar la carga, Security Analytics no abre las claves de metadatos no indexadas de manera predeterminada. Consulte Administrar y aplicar claves de metadatos predeterminadas en una investigación para obtener una descripción detallada de las claves de metadatos no indexadas en Investigation.

Cuando ha iniciado la investigación de un servicio, Security Analytics muestra los resultados en el panel Valores.

  1. Security Analytics carga claves de metadatos y valores de metadatos en el panel Valores. Para cada carga de clave de metadatos, las etapas de carga son:
    1. En espera de carga o Cerrado. En el caso de Cerrado, no se cargan datos para esa clave.
    2. Cargando
      1. Progreso de carga: Security Analytics recibe y muestra mensajes de progreso.
      2. Resultados parciales: Security Analytics recibe mensajes de valores y se muestran resultados parciales en el panel Valores.
    3. Carga finalizada: terminó la carga de todos los resultados.
  2. A medida que termina la carga de cada clave de metadatos y que se muestran los valores finales, se inicia la clave de metadatos siguiente. El valor Procesos de generación en la configuración Preferencias de Investigation especifica la cantidad o los valores que se generan para cada clave de metadatos. La carga continúa hasta que finalizan todas las claves que se cargarán.
  3. Si la opción Mostrar información de depuración está activa y el servicio en el cual está navegando es un Broker 10.4 o superior, Security Analytics muestra la información del tiempo de carga debajo de los valores para cada clave de metadatos y muestra detalles de carga adicionales para los servicios agregados. Security Analytics también muestra la información de depuración debajo de la ruta de navegación.

Resultados iterativos

Los resultados iterativos proporcionan retroalimentación sobre el estado de consultas dentro de las interfaces para ofrecer contexto adicional en cuanto a la duración de la carga de datos y si faltan datos de servicios. Por ejemplo, si está consultando un Broker que realiza la agregación desde dos Concentrators, Security Analytics comienza a mostrar los resultados del primer Concentrator tan pronto están disponibles, incluso si el segundo Concentrator continúa en espera de resultados.

Los resultados iterativos también incluyen una notificación que informa que faltan datos del servicio porque no está accesible.

Resultados parciales

Cuando se devuelven valores parciales del servicio Principal, sin que haya finalizado, un mensaje al final de la lista de claves de metadatos muestra el progreso de los valores cargados. En el siguiente ejemplo, Currently looking at 38 ip.src values 71% indica que la carga de valores para la clave de metadatos lleva un 71 %.

Información de depuración

Si el ajuste Mostrar información de depuración está activo, un campo al final de los valores muestra el estado de los diversos sistemas contra los cuales realiza la consulta dentro de Security Analytics. Por ejemplo, cuando realiza una consulta contra un Broker 10.4 que extrae datos de múltiples Concentrators, Security Analytics muestra el estado de la consulta en cada uno de los Concentrators, lo cual proporciona información sobre la velocidad relativa de carga de datos desde cada Concentrator. Cada servicio que participó en la consulta se muestra con el tiempo total transcurrido para la consulta.

Cada servicio que participó en la consulta se muestra con el tiempo total transcurrido para la consulta. En el ejemplo anterior, dos servicios devolvieron resultados en 3.207 segundos; localhost:50005 tardó dos segundos en devolver los resultados. Además, la cláusula Where de la consulta se muestra debajo de la ruta de navegación. Puede copiar esta sintaxis directamente en una regla de aplicación o en la cláusula Where de Informes de una regla.

Carga finalizada

Este es un ejemplo de valores que terminaron de cargarse.

Para cada clave de metadatos, hay una lista de valores (texto azul) y conteos (texto verde) en el punto de desglose actual. Cuando hace clic en un valor para desglosar a un subconjunto de los datos seleccionados actualmente, la pantalla se actualiza y el nuevo punto de desglose se registra en la ruta de navegación. Puede especificar los métodos de clasificación y cuantificación de la lista de valores mediante la opción de la barra de herramientas.

Nota: el título, los valores y los conteos de claves de metadatos no indexadas no se pueden desglosar; los valores y los conteos se muestran en negro. Consulte Administrar y aplicar claves de metadatos predeterminadas en una investigación para obtener una descripción detallada de las claves de metadatos no indexadas en Investigation.

                                           
CaracterísticaDescripción
Clave de metadatosEl nombre de los metadatos que se enumeran; por ejemplo, Tipo de servicio es una clave de metadatos.

Cantidad de valores generados frente a cantidad de valores disponibles para cargar

El valor Procesos de generación en la configuración Preferencias de Investigation especifica la cantidad o los valores que se generan. En el ejemplo anterior, la clave de metadatos es Tipo de servicio y se muestran 20 de más de 20 valores. Puede mostrar valores adicionales si hace clic en ...mostrar más.
104InvSearch.png Si hace clic en 104InvSearch.png en una clave de metadatos indexada, se abre el cuadro de diálogo Buscar, en el cual puede ingresar un filtro para la clave de metadatos actual. La función de búsqueda no está disponible para claves de metadatos no indexadas y se basa en el valor de metadatos real, no en el alias. El desglose mediante alias en el cuadro de diálogo Buscar no es compatible.
NOTA: consulte al administrador para obtener una lista de los alias que se usan para una clave de metadatos en Investigation. Cuando se usa un alias, este cuadro de diálogo de búsqueda no proporciona resultados. En lugar de esto, debe consultar la clave de metadatos mediante la funcionalidad de consulta de clic con el botón secundario o el cuadro de diálogo Consulta.
104InvSearchDg.png
Servicios offline: xxx.xxx.xxx.xxx:50004 Enumera los servicios offline que consulta un Broker 10.4.
Conteo de metadatos, por ejemplo Inves_Navigate_DeviceView_MetaDataCount.pngLa cantidad de instancias que se encuentran para un metadato específico en la sesión.
Valor de metadatos, por ejemplo Inves_Navigate_DeviceView_MetaDataValue.pngEl nombre específico asociado con los metadatos encontrados.
...mostrar másSi se limitó la cantidad de valores de metadatos (por ejemplo, 20) y se hace clic en esta opción, se muestran valores de metadatos adicionales para la clave de metadatos seleccionada.
Se cargó en 0.418 s Tiempo de ejecución total 0.434 s (localhost:50005 se cargó en 1 s…Las estadísticas de depuración muestran los tiempos de carga de acuerdo con la configuración Mostrar información de depuración.

Menús contextuales de claves de metadatos

Las claves de metadatos en el panel Valores tienen menús contextuales. Al lado de cada etiqueta de metadatos, una flecha desplegable muestra las opciones que se pueden aplicar a ese elemento. Puede usar esto para cambiar la manera en que se muestran los resultados de la clave de metadatos en la vista actual. Los cambios que se hacen en las claves de metadatos se muestran en la vista actual durante los puntos de desglose y persisten hasta que se actualiza la página o se selecciona un nuevo servicio en la barra de herramientas de la vista Navegar. UnaAdministrar y aplicar claves de metadatos predeterminadas en una investigación actualización revierte la vista actual de claves de metadatos según lo definido en el cuadro de diálogo Administrar claves de metadatos predeterminadas (consulte Administrar y aplicar claves de metadatos predeterminadas en una investigación). Si nunca ha hecho modificaciones en el cuadro de diálogo Administrar claves de metadatos predeterminadas, Security Analytics restaura las claves de metadatos predeterminadas desde el servicio Core.

  • Más resultados
  • Resultados máximos
  • Ocultar resultados
  • Información de clave de metadatos

Panel Búsqueda de contexto

Con la adición de un nuevo servicio Context Hub, la vista Navegar tiene un panel en el lado derecho denominado panel Búsqueda de contexto. El panel Búsqueda de contexto es visible solo si ha instalado el servicio Context Hub, el cual debe estar configurado. Para obtener más información sobre cómo configurar el servicio Context Hub, consulte la Guía de configuración de Context Hub.

En el panel Búsqueda de contexto se muestran los datos pertinentes cuando un analista busca datos contextuales para un valor de metadatos en el panel Valores.

Después de que el administrador configura el servicio Context Hub, puede ver la información contextual para los valores de metadatos en la vista Navegar y en la vista Eventos. Para obtener más información sobre cómo configurar el servicio Context Hub, consulte la Guía de configuración de Context Hub.

Para obtener información acerca de cómo realizar la búsqueda de contexto de valores de metadatos, consulte Ver el contexto adicional de un punto de datos.

El servicio Context Hub está preconfigurado con un mapeo predeterminado de tipos de metadatos y claves de metadatos. Para obtener información sobre el mapeo del valor de metadatos de Context Hub con clave de metadatos de Investigation, consulte “Administrar el mapeo de tipos de metadatos y claves de metadatos” en la Guía de configuración de Context Hub.

Puede ver el tipo de datos de contexto que está disponible para un valor de metadatos resaltado si mantiene el mouse sobre un valor de metadatos resaltado. Un indicador de en línea muestra qué tipo de datos de contexto están disponibles para los metadatos: ECAT, incidentes, alertas o listas.
F-Navigate-view-inline-indicator.png

Cuando se hace clic con el botón secundario en un valor de metadatos, se abre un menú con la opción de búsqueda de contexto. En la siguiente figura se muestra la opción Búsqueda de contexto cuando hace clic con el botón secundario en un valor de metadatos.

F-rc-meta-context-lookup.png

Para obtener más información sobre los resultados de búsqueda y la información contextual de distintos orígenes de datos, consulte Investigation: Panel Búsqueda de contexto.

Previous Topic:Vista Malware Analysis
You are here
Table of Contents > Materiales de referencia de Investigation > Vista Navegar

Attachments

    Outcomes