Investigation: Iniciar una investigación de Malware Analysis

Document created by RSA Information Design and Development on Feb 9, 2017Last modified by Susan Ewald on Feb 28, 2017
Version 2Show Document
  • View in full screen mode
  

En este tema se proporcionan instrucciones para investigar los datos escaneados por Malware Analysis en Security Analytics Investigation.

Puede investigar datos que Security Analytics Malware Analysis haya escaneado, marcado y clasificado por su contenido de indicadores de riesgo. Esto incluye todos los tipos de escaneos de Malware Analysis: sondeo en modo continuo, sondeo según demanda y archivos cargados según demanda. El sondeo en modo continuo se debe habilitar cuando el administrador configura ajustes básicos para el servicio Malware Analysis.

Security Analytics proporciona varios métodos para iniciar una investigación de Malware Analysis.

Más veloz: Inicio inmediato desde dashlets de Malware Analysis

La manera más rápida de comenzar una investigación de Malware Analysis es un inicio inmediato desde el tablero Security Analytics mediante uno de los dashlets de Malware Analysis que enumera eventos o archivos que probablemente contienen malware. Desde uno de estos dashlets, puede ir directamente a los resultados de análisis de un evento específico que se ha enumerado como digno de investigación:

  • Lista del malware altamente sospechoso principal
  • Lista del posible malware de día cero principal
  • Dashlet Malware con IOC de alta confianza y altos puntajes

Sondeo según demanda desde un valor de metadatos en la vista Navegar

Puede iniciar un sondeo según demanda en una investigación si hace clic con el botón secundario en un valor de metadatos en la vista Navegar y selecciona una opción en el menú contextual. Cuando se completa el sondeo, los datos escaneados están disponibles para Malware Analysis (consulte Iniciar un escaneo de Malware Analysis desde la vista Navegar).

Investigar un servicio de RSA específico

También puede iniciar una investigación de Malware Analysis de un servicio en la vista Investigation > Malware Analysis. Para una investigación de Malware Analysis por servicio, se debe especificar un servicio en la vista Investigation > Malware Analysis:

  1. Security Analytics abre la vista Malware Analysis, en la cual está seleccionado el servicio predeterminado especificado por el usuario.
  2. Si no se especifica ningún servicio predeterminado, Security Analytics presenta un cuadro de diálogo que permite seleccionar el servicio de Malware Analysis que se investigará.
  3. Cuando un servicio se selecciona manualmente o de manera predeterminada en la vista Malware Analysis, Security Analytics abre el Resumen de eventos para el servicio seleccionado y sus datos de escaneo continuo.

En este tema se proporcionan instrucciones para todos los métodos de inicio de una investigación de Malware Analysis.

Iniciar una investigación de malware desde un dashlet de Malware Analysis

Este procedimiento tiene el requisito previo de que uno de los siguientes dashlets debe estar visible en el tablero Unified o en la vista Malware Analysis y se debe completar con eventos o archivos enumerados. Si no ve los dashlets, agréguelos y configúrelos.

  • Lista del malware altamente sospechoso principal
  • Lista del posible malware de día cero principal
  • Dashlet Malware con IOC de alta confianza y altos puntajes

Para iniciar una investigación de Malware Analysis desde un dashlet:

  1. Inicie sesión en Security Analytics y busque uno de los dashlets mencionados anteriormente en el tablero principal o en la vista Malware Analysis. El siguiente es un ejemplo del dashlet Lista del posible malware de día cero principal configurado para mostrar archivos.

    MwaTopZeroDayFls.png
  2. En el dashlet, haga doble clic en un evento o un archivo para realizar un análisis más profundo. La vista Malware Analysis presenta un análisis detallado del evento en la Lista de eventos o el evento con el cual está asociado el archivo en la Lista de archivos.
    MWAnaRes.png

Para obtener más información sobre cómo configurar los dashlets de Malware Analysis en el tablero Unified, consulte “Dashlets” en la Guía de introducción de Security Analytics.

Para conocer los métodos para configurar y filtrar la información de los dashlets en la vista Malware Analysis, consulte Filtrar datos de dashlets en la vista Resumen de eventos.

Para obtener información sobre las acciones que puede realizar en los resultados del análisis, consulte Ver detalles de Malware Analysis de un evento.

Comenzar una investigación de Malware Analysis (sin servicio predeterminado)

Para comenzar una investigación sin especificar algún servicio predeterminado:

  1. En el menú de Security Analytics, seleccione Investigation > Malware Analysis.
    Se muestra el cuadro de diálogo Seleccionar un servicio Malware Analysis con los hosts y los servicios de Malware Analysis disponibles para el usuario actual en el panel de la izquierda y los trabajos de escaneo disponibles en el panel de la derecha. Este panel de trabajos de escaneo contiene las mismas columnas que el dashlet Trabajos de escaneo de malware en el tablero Unified. Además, tiene una barra de herramientas y opciones de visualización, las cuales se describen en Investigation: Cuadro de diálogo Seleccionar un servicio Malware Analysis.
    SlctMWASrvc.png
  2. En la lista de hosts de Malware Analysis, seleccione un host. Se muestra una lista de trabajos de escaneo en el panel de la derecha.
  3. Para comenzar a analizar un escaneo, realice lo siguiente:
    1. Seleccione un escaneo y haga clic en Ver escaneo.
    2. Haga clic en Ver modo continuo.
      El Resumen de eventos para el escaneo seleccionado se muestra con los dashlets predeterminados abiertos. Cada usuario puede agregar, modificar y eliminar dashlets predeterminados, lo cual persiste en las distintas investigaciones de escaneos. Los usuarios también pueden restaurar los dashlets predeterminados, como se describe en Filtrar datos de dashlets en la vista Resumen de eventos.
      MWAVw.png

Configurar o borrar el servicio predeterminado

Puede configurar y borrar el servicio predeterminado en el cuadro de diálogo Seleccionar un servicio Malware Analysis.

Para configurar un servicio predeterminado:

  1. Haga clic en el nombre del servicio en la barra de herramientas Resumen de eventos.
    Se muestra el cuadro de diálogo Seleccionar un servicio Malware Analysis.
    SlctMWASrvc.png
  2. Seleccione un servicio en la lista de servicios de malware disponibles y haga clic en DefServ.png.
    El servicio se convierte en el valor predeterminado (lo cual se indica con DefServChk.png frente al nombre de host).
  3. Para borrar el servicio predeterminado, selecciónelo en la cuadrícula y haga clic enDefServ.png.
    No se configura un servicio predeterminado.

Cargar y escanear archivos

Un analista de malware con permiso para Iniciar escaneo de Malware Analysis puede cargar archivos para escanear mediante la opción Escanear archivos del cuadro de diálogo Seleccionar un servicio Malware Analysis (consulte Cargar archivos para escaneo de Malware Analysis. Un administrador puede cargar archivos de captura de paquete en un Decoder para Malware Analysis en la vista Sistema de servicios, como se describe en “Cargar archivo de captura de paquetes” en la Guía de configuración de Decoder y Log Decoder.

Comenzar una investigación (se especifica el servicio predeterminado)

Para comenzar una investigación con un servicio predeterminado especificado:

  1. En el menú de Security Analytics, seleccione Investigation > Malware Analysis.
    El Resumen de eventos para un escaneo continuo del servicio seleccionado se muestra con los dashlets predeterminados abiertos. Cada usuario puede agregar, modificar y eliminar dashlets predeterminados, lo cual persiste en las distintas investigaciones de escaneos. Los usuarios también pueden restaurar los dashlets predeterminados, como se describe en Filtrar datos de dashlets en la vista Resumen de eventos.
    MWAVw.png

Aplicar un filtro de parámetros de tiempo a los resultados

Puede aplicar un filtro de umbral para actualizar los resultados de los dashlets seleccionados.

  1. Para seleccionar un rango de tiempo distinto, seleccione Modo continuo u otro escaneo en la barra de herramientas.
    ContMode.png
    Se muestra el Resumen de eventos de malware del escaneo seleccionado.
  2. Para seleccionar un nuevo rango de tiempo para el escaneo, haga clic en la lista de selección de rangos en la barra de herramientas. Los rangos disponibles son: Últimos 5 minutos, Últimos 10 minutos, Últimos 15 minutos, Últimos 30 minutos, Última hora, Últimas 3 horas, Últimas 6 horas, Últimas 12 horas, Últimas 24 horas, Últimos 2 días, Últimos 5 días, Primera hora, Mañana, Tarde, Noche, Todo el día, Ayer, Esta semana, La semana pasada o Personalizado. 
    TimeRange.png
    Los resultados se actualizan de inmediato.
  3. Para actualizar un escaneo en modo continuo con nuevos datos, haga clic en IconRefresh.png.

Aplicar un filtro de umbral a los resultados del modo continuo

Puede aplicar un nuevo filtro de umbral a una instancia de los dashlets Malware con IOC de alta confianza y altos puntajes, Mapa de árbol de metadatos, Rueda de puntaje y Cronograma de evento.

Para personalizar el puntaje que se aplica al escaneo, realice lo siguiente en la barra de herramientas:

  1. Seleccione Configuración > Aplicar filtro de umbral.
    Se muestra el cuadro de diálogo Aplicar filtro de umbral.
    AppThrsFiltDg.png
  2. Si desea limitar la cantidad de eventos que se muestran a aquellos que obtuvieron un puntaje superior a un determinado número, realice lo siguiente:
    1. Arrastre el control deslizante en las barras Static, Red, Comunidad y Sandbox.
    2. Para seleccionar los dashlets a los cuales se aplican los umbrales, seleccione las casillas de verificación apropiadas.
    3. Haga clic en Aplicar.

Eliminar o volver a enviar un escaneo según demanda con una nueva configuración de omisión

Puede eliminar o volver a enviar un escaneo según demanda con una configuración de omisión distinta a la que se especificó en la vista Configuración del servicio para un servicio Malware Analysis.

Para eliminar un escaneo mientras observa un escaneo según demanda, realice lo siguiente:

  1. Seleccione Acciones > Eliminar escaneo.
    Security Analytics solicita confirmar la intención de eliminar el escaneo.
  2. Haga clic en .
    El escaneo seleccionado se elimina.

Para aplicar una configuración de omisión distinta al escaneo actual:

  1. Seleccione Acciones > Volver a enviar escaneo.
    Se muestra el cuadro de diálogo Escanear para encontrar malware.
    ScnfrMlwr.png
  2. Seleccione la configuración de omisión que desea utilizar en el nuevo escaneo y haga clic en Escanear.
    Malware Analysis restablece la caché y vuelve a enviar el archivo para un nuevo escaneo, y Security Analytics lo agrega a la línea de espera de trabajos.
  3. Cuando el trabajo finalice, desplácese a la izquierda y seleccione Ver.
    Se muestra el Resumen de eventos de malware del escaneo seleccionado.

Ver la lista de archivos

Puede ver una lista de archivos para un evento desde el Resumen de eventos de Malware Analysis y desde cada uno de los gráficos de visualización: Cronograma de evento, Desgloses de metadatos, Mapa de árbol de metadatos y Rueda de puntaje.

Para ver la Lista de archivos, realice una de las siguientes acciones:

  • En el Resumen de eventos, haga clic en la cantidad de archivos en la fila Total o en la fila Alta confianza bajo Archivos procesados, Archivos de PE, Archivos de Office o Archivos PDF. Se muestra la Lista de archivos.
  • En cualquier dashlet de visualización, haga clic en el número junto al campo Archivos en la esquina superior derecha del dashlet.
    MWAScrWhl.png
    Se muestra la Lista de archivos para el punto de desglose seleccionado.
    Files List.png

En la lista de archivos, puede buscar un archivo por nombre de archivo o hash de archivo MD5, clasificar la lista según dos criterios y orden ascendente o descendente y descargar archivos, como se describe en Examinar archivos y eventos de escaneo en formato de lista.

Para volver al Resumen de eventos, haga clic en Volver al resumen.

Ver la lista de eventos

En el Resumen de eventos de Malware Analysis y desde cada uno de los gráficos de visualización (Cronograma de evento, Desgloses de metadatos, Mapa de árbol de metadatos y Rueda de puntaje), puede seleccionar eventos para ver en la cuadrícula Eventos.

Para ver la Lista de eventos, realice una de las siguientes acciones: 

  • En el Resumen de eventos, haga clic en la cantidad de Eventos creados en la fila Total o en la fila Alta confianza. Se muestra la Lista de eventos.
  • En cualquier dashlet de visualización, haga clic en el número junto al campo Eventos en la esquina superior derecha del dashlet.
    MWAScrWhl.png
    Se muestra la Lista de eventos para la hora seleccionada.
    MWAEventLst.png
You are here
Table of Contents > Realizar un análisis de malware > Iniciar una investigación de Malware Analysis

Attachments

    Outcomes