Investigation: Reconstruir un evento

Document created by RSA Information Design and Development on Feb 9, 2017
Version 1Show Document
  • View in full screen mode
  

Cuando visualiza una lista de eventos en la vista Security Analytics Investigation > Eventos, puede crear con seguridad una reconstrucción del evento en un formato legible que coincide con el original. De forma predeterminada, la vista inicial de un evento reconstruido es el formato más adecuado (Mejor reconstrucción); por ejemplo, el contenido web se reconstruye como una página web; una conversación por IM se muestra con ambas partes de la conversación. Cada usuario puede seleccionar una reconstrucción predeterminada distinta en la vista Perfil > Preferencias.

En la reconstrucción, puede:

  • Seleccionar la información del evento que desea ver. Los valores posibles son: datos de solicitud, datos de respuesta, datos de solicitud y de respuesta.
  • Seleccione el tipo de reconstrucción: detalles, texto, hexadecimal, paquetes, web, correo o IM.
  • Exportar registros crudos.
  • Exportar el evento como un archivo PCAP.
  • Extraer los archivos disponibles en el evento.

Precaución: tenga cuidado cuando haga clic en un vínculo a un archivo en la reconstrucción. Si el sistema tiene una aplicación asociada al archivo o el navegador puede abrirlo y los archivos adjuntos son maliciosos, estos pueden afectar negativamente al sistema.

  • Mostrar el evento en una ventana o pestaña independiente (dependiendo de la configuración del navegador).
  • Si visualiza la reconstrucción como una vista previa en la vista actual, puede avanzar al próximo evento y retroceder al evento anterior mediante los botones de navegación en la esquina inferior izquierda.

Nota: Las opciones Configuración de la reconstrucción y Configuración de caché de reconstrucción de Security Analytics permiten que un administrador administre el rendimiento de la aplicación para Investigation. A medida que los analistas reconstruyen sesiones que están investigando, dos situaciones pueden afectar el rendimiento y a los resultados.
- Algunos eventos pueden ser muy grandes e incluir muchos miles de paquetes de origen. La reconstrucción de estos tipos de sesiones puede degradar el rendimiento de las aplicaciones.
- En algunos casos, la caché de reconstrucción puede presentar contenido incorrecto; por esta razón, Security Analytics limpia cada 24 horas la caché que tiene más de un día. Entre las limpiezas diarias de la caché, ciertas acciones pueden dejar obsoleta la caché que se usa en una reconstrucción y, si es necesario, los administradores pueden limpiar manualmente la caché para uno o más servicios que están conectados al servidor de Security Analytics actual.

Reconstruir un evento

  1. Abrir un punto de desglose en la vista Eventos.
  2. Para mostrar todos los metadatos, haga clic en 104ShowAddlMeta.png.
  3. Para abrir una reconstrucción de evento en la vista actual, realice una de las siguientes acciones:
    1. Al final del evento, seleccione 104ViewDetail.png.
    2. Seleccione un evento para reconstruir y elija Acciones > Ver evento > Vista previa en línea.
      La Reconstrucción de evento se abre en una ventana emergente en la misma vista. De forma predeterminada, Security Analytics muestra la mejor reconstrucción para el evento, según lo determina el contenido del evento o la reconstrucción que seleccionó en la configuración Vista de sesión predeterminada para Investigation. Puede utilizar las opciones de la barra de herramientas Reconstrucción de evento para cambiar el método de reconstrucción, ver los resultados en paralelo, exportar un evento, abrir archivos adjuntos del correo electrónico, extraer archivos y abrir el evento en una nueva pestaña.
      104EvReconTopToBot.png
  4. Para tener una vista previa de una reconstrucción del siguiente evento, haga clic en 104ReconNext.png o para una vista previa de una reconstrucción del evento anterior, haga clic en 104ReconPrevious.png.
  5. Para abrir una reconstrucción de evento en una nueva pestaña, realice una de las siguientes acciones:
    1. En la vista Eventos, seleccione un evento para reconstruir y elija Acciones > Ver evento> Abrir en una nueva pestaña.
    2. En la barra de herramientas Reconstrucción de evento de la reconstrucción con vista previa, haga clic en Abrir evento en nueva pestaña en la barra de herramientas.
      La Reconstrucción de evento se abre en una pestaña nueva.
      104NavEvReconNT.png

Ver en paralelo o de arriba abajo

Para seleccionar la forma en que se muestran las solicitudes y respuestas para un evento:

  1. En la barra de herramientas Reconstrucción de evento, haga clic en De arriba abajo o En paralelo.
  2. En el menú desplegable, seleccione la información que desea ver en el evento: En paralelo o De arriba abajo.
    La reconstrucción se actualiza con la información seleccionada.
    104EvenReconPreview.png

Seleccione la información del evento que desea ver

Para seleccionar la información de evento que desea ver:

  1. En la barra de herramientas Reconstrucción de evento, haga clic en Solicitud y respuesta.
  2. En el menú desplegable, seleccione la información que desea ver en el evento: Solicitud y respuesta, Solicitud o Respuesta.
    La reconstrucción se actualiza con la información seleccionada.

Seleccionar el tipo de reconstrucción de evento

Para seleccionar el tipo de reconstrucción de un evento:

  1. En la barra de herramientas de la sección Reconstrucción de evento, haga clic en Mejor reconstrucción.
  2. En el menú desplegable, seleccione el tipo de reconstrucción que desea ver: metadatos, texto, formato hexadecimal, paquetes, web, correo o archivos.
    La reconstrucción se actualiza con el tipo de reconstrucción seleccionado.

Abrir o descargar archivos adjuntos del correo electrónico

Cuando observa una reconstrucción de un correo electrónico que tiene archivos adjuntos, puede abrir tipos de archivos compatibles o descargarlos al sistema local.

Precaución: tenga cuidado cuando seleccione los archivos adjuntos. Si el sistema tiene una aplicación asociada a los archivos adjuntos o el navegador puede abrirlos y son maliciosos, estos pueden afectar negativamente al sistema.

Para abrir o descargar archivos adjuntos del correo electrónico:

  1. En la barra de herramientas de la sección Reconstrucción de evento, seleccione el menú desplegable Ver y elija Ver correo.
    Se muestra la sección Reconstrucción de evento.
    EmlRecatt.png
  2. En la sección Reconstrucción de evento del correo electrónico, haga clic en Archivo adjunto.
    Si el tipo de archivo es compatible con el navegador, el archivo adjunto se abre en una nueva pestaña.
    Si no lo es, se muestra el cuadro de diálogo Descargar que permite descargar el archivo adjunto.

Exportar un evento como un archivo PCAP

La opción Exportar PCAP descarga las sesiones del rango de tiempo actual y del punto de desglose a un archivo PCAP. Para exportar un evento como un archivo pcap:

  1. En la barra de herramientas de la sección Reconstrucción de evento, haga clic en Acciones.
  2. Haga clic en Exportar PCAP.
  3. Se muestra un cuadro de diálogo de confirmación.
  4. Haga clic en Aceptar.
    El trabajo se calendariza y cuando finaliza el PCAP se descarga al sistema de archivo local. En la pestaña Perfil > Trabajos, puede descargar el PCAP.

Extraer archivos de un evento reconstruido

La opción Extraer archivos extrae y descarga los archivos asociados con el evento. Para extraer archivos:

  1. En la barra de herramientas de la sección Reconstrucción de evento, haga clic en Acciones.
  2. Haga clic en Extraer archivos.
    Aparece el cuadro de diálogo Extracción de archivo.
  3. Seleccione los tipos de archivos que desea extraer y haga clic en Aceptar.
  4. El trabajo se calendariza y cuando finaliza los tipos de archivo seleccionados se descargan al sistema de archivo local. En la pestaña Perfil > Trabajos, puede descargar los archivos.
You are here
Table of Contents > Realizar una investigación > Examinar eventos > Reconstruir un evento

Attachments

    Outcomes