Investigation: Iniciar una búsqueda externa de una clave de metadatos

Document created by RSA Information Design and Development on Feb 9, 2017Last modified by Susan Ewald on Feb 28, 2017
Version 2Show Document
  • View in full screen mode
  

En este tema se proporcionan instrucciones para usar plug-ins de Investigation de manera inmediata con el fin de iniciar una búsqueda externa de claves de metadatos específicas mediante herramientas externas a Security Analytics durante la investigación de datos en las vistas Navegar o Eventos.

Los analistas pueden usar búsquedas externas de Security Analytics Investigation de manera inmediata para ahorrar tiempo durante las investigaciones. Las búsquedas de uso inmediato están disponibles cuando se hace clic con el botón secundario en una de estas claves de metadatos:  Dirección IP (ip-src, ip-dst, ipv6-src, ipv6-dst, orig_ip)host (alias-host, domain.dst)client, y file-hash.

En el caso de todas las claves de metadatos IP y host, las siguientes búsquedas están incorporadas en Security Analytics:

  • Google Malware: abre una búsqueda en Google Malware en una nueva pestaña.
  • McAfee SiteAdvisor: abre una búsqueda en McAfee SiteAdvisor en una nueva pestaña.
  • Recopilación de DNS pasivo de BFK:  abre una búsqueda en una recopilación de DNS pasivo de BFK en una nueva pestaña
  • CentralOps Whois para direcciones IP y nombres de host: abre una búsqueda en CentralOps Whois de direcciones IP y nombres de host
  • Búsqueda en Malwaredomainlist.com: abre una búsqueda en Malwaredomainlist.com en una nueva pestaña
  • Búsqueda en Malwaredomains.com: abre una búsqueda en Malwaredomains.com en una nueva pestaña
  • Búsqueda de dirección IP en Robtex: abre una búsqueda de dirección IP en Robtex en una nueva pestaña
  • Búsqueda en SamSpade: abre una búsqueda en SamSpade en una nueva pestaña
  • Búsqueda en ThreatExpert: abre una búsqueda en ThreatExpert en una nueva pestaña
  • Búsqueda en UrlVoid: abre una búsqueda en UrlVoid en una nueva pestaña

Para las claves de metadatos file-hashalias-host, la búsqueda en Google abre una búsqueda en Google en una nueva pestaña.

Para la clave de metadatos client, la opción Búsqueda en ECAT abre un cliente de ECAT en una nueva pestaña si este cliente está instalado en el mismo sistema en el cual se usa el navegador.

Los administradores pueden agregar búsquedas externas adicionales y otras acciones personalizadas, como se describe en “Agregar acciones de menú contextual personalizadas” en la Guía de configuración del sistema.

Iniciar una búsqueda de IOC en ECAT

Para iniciar una búsqueda de datos de ECAT en la vista Investigation > Navegar:

  1. Haga clic con el botón secundario en un valor de metadatos para una de las siguientes claves de metadatos: ip-src, ip-dst, ipv6-src, ipv6-dst, orig_ip, alias-host, domain.dst, client.
  2. Seleccione Búsqueda externa en el menú contextual.
    Se muestra un submenú de opciones de la búsqueda externa.
    ExtLU.png
  3. Seleccione Búsqueda de IOC en ECAT.
    Un cuadro de diálogo solicita elegir una aplicación.
  4. Seleccione ECAT y haga clic en Aceptar.
    Se muestra el cuadro de diálogo Configuración de RSA ECAT.
    ecatlookup3.png
  5. Ingrese el nombre de usuario y la contraseña que se requieren para iniciar sesión en el cliente de ECAT y haga clic en Conectar.
    El punto de desglose se abre en RSA ECAT.
    ecatlookup4.png

Iniciar otras búsquedas externas

Para iniciar una búsqueda externa de datos (distinta de IOC de ECAT) en la vista Investigation > Navegar: 

  1. Haga clic con el botón secundario en un valor de metadatos para una de las siguientes claves de metadatos: ip-src, ip-dst, ipv6-src, ipv6-dst, orig_ip, alias-host, domain.dst, client.
  2. Seleccione Búsqueda externa en el menú contextual.
    Se muestra un submenú de opciones de la búsqueda externa.
    ExtLU.png
  3. Seleccione una de las opciones de búsqueda.
    El valor de metadatos seleccionado se abre en la búsqueda seleccionada. Por ejemplo, si seleccionó Historial de IP SANS, la información del punto de desglose se muestra en SANS Internet Storm Center.
    SANSIPlookup.png
You are here
Table of Contents > Realizar una investigación > Actuar conforme a un punto de desglose en la vista Navegar > Iniciar una búsqueda externa de una clave de metadatos

Attachments

    Outcomes